Ciberespionagem: hackers invadem sistemas de governos em mais de 37 países incluindo o Brasil

Pesquisadores revelaram uma extensa operação de ciberespionagem que comprometeu sistemas de 37 governos e realizou atividades de reconhecimento em 155 países, segundo um novo relatório da Palo Alto Networks, por meio de sua equipe de inteligência Unit 42. A campanha é atribuída a um grupo hacker sediado na Ásia, embora não haja atribuição direta a um país específico.

De acordo com Pete Renals, diretor de Programas de Segurança Nacional da Unit 42, o que torna a campanha particularmente alarmante é sua escala global. Segundo ele, trata-se provavelmente do maior comprometimento coordenado de infraestruturas governamentais em todo o mundo desde o ataque à cadeia de suprimentos da SolarWinds.

As investigações indicam que pelo menos 70 instituições governamentais foram efetivamente comprometidas nos 37 países afetados, com acesso persistente mantido por meses em alguns casos. Em um dos incidentes mais graves, os hackers conseguiram acesso ao parlamento e a um alto funcionário eleito de um país não identificado. Entre os alvos estão empresas nacionais de telecomunicações, forças policiais, departamentos de contraterrorismo e ministérios estratégicos, como relações exteriores, finanças, energia, imigração, justiça, mineração e comércio.

Embora o foco principal da campanha seja espionagem e exfiltração de dados, a Unit 42 alerta que os métodos empregados, a diversidade de alvos e a escala da operação representam riscos significativos e de longo prazo à segurança nacional e à continuidade de serviços críticos. Renals comparou a campanha a operações chinesas recentes, como Volt Typhoon e Salt Typhoon, destacando que, diferentemente dessas, a nova ofensiva não se limitou a setores ou regiões específicas.

A campanha começou a ser identificada no início de 2025, durante a investigação de ataques de phishing contra governos europeus. Análises posteriores levaram os pesquisadores a uma infraestrutura ativa desde janeiro de 2024. Um dos elementos centrais das campanhas de phishing foi o uso de arquivos compactados enviados por e-mail a endereços governamentais. Em um caso específico, um funcionário da Estônia recebeu um arquivo ZIP relacionado a forças policiais e de fronteira, cujo nome original era “Diaoyu” termo em chinês associado a “phishing” no contexto de segurança cibernética.

O malware entregue por meio dessas campanhas executava uma série de ações que culminavam na instalação do Cobalt Strike, ferramenta amplamente utilizada por hackers para obter persistência e movimentação lateral em ambientes comprometidos. Além do phishing, os invasores utilizaram kits de exploração, ferramentas próprias e códigos de prova de conceito para explorar vulnerabilidades em produtos amplamente usados por governos em diferentes regiões.

Os pesquisadores observaram ainda uma forte correlação entre os ataques e eventos geopolíticos relevantes. Durante a paralisação do governo dos Estados Unidos em outubro de 2025, por exemplo, o grupo intensificou varreduras e ataques contra países das Américas, incluindo Brasil, Canadá, México e diversas nações da América Central e do Caribe. No mesmo período, houve o comprometimento de uma entidade de mineração na Bolívia ligada a terras raras e, no Brasil, do Ministério de Minas e Energia, setor estratégico devido às reservas do mineral.

Outras atividades de reconhecimento e intrusão ocorreram logo após eventos de grande repercussão, como a operação dos EUA que resultou na captura do presidente da Venezuela, quando ao menos 140 endereços IP governamentais venezuelanos foram alvo de varreduras intensivas. Países europeus como Alemanha, Grécia e República Tcheca, além de nações do Sudeste Asiático, também figuraram entre os alvos.

Segundo a Unit 42, esforços recentes conseguiram expulsar os hackers de parte das redes comprometidas. A próxima etapa da investigação será monitorar como o grupo reage às ações de contenção e se tentará restabelecer o acesso, o que pode revelar ainda mais detalhes sobre suas capacidades e objetivos estratégicos.