Uma investigação conduzida pelo NASA Office of Inspector General revelou uma campanha de spear phishing altamente direcionada que enganou funcionários da NASA e colaboradores por anos, resultando no vazamento de softwares sensíveis com potencial uso militar e aeroespacial.

De acordo com o relatório, um cidadão chinês identificado como Song Wu se passou por pesquisadores e engenheiros norte-americanos para induzir vítimas a compartilharem códigos e ferramentas proprietárias. A campanha ocorreu entre 2017 e 2021 e teve como alvo não apenas a NASA, mas também instituições como a Força Aérea, Marinha, Exército dos Estados Unidos, Administração Federal de Aviação, universidades e empresas privadas.

A cadeia de ataque foi baseada em engenharia social altamente refinada. Inicialmente, os hackers realizavam reconhecimento detalhado das vítimas, identificando pesquisadores e engenheiros com acesso a softwares críticos. Em seguida, criavam identidades falsas, muitas vezes simulando colegas ou parceiros acadêmicos, estabelecendo comunicação legítima por e-mail ao longo do tempo.

Com a confiança estabelecida, os invasores solicitavam acesso a softwares de modelagem avançada usados no desenvolvimento aeroespacial e militar. Em alguns casos, as vítimas compartilharam essas ferramentas sem perceber que estavam violando leis de controle de exportação dos Estados Unidos, enviando dados diretamente para contas controladas pelos atacantes.

Segundo o U.S. Department of Justice, Song Wu atuava como engenheiro na Aviation Industry Corporation of China, um conglomerado estatal chinês do setor aeroespacial e de defesa. O objetivo da operação era obter softwares capazes de apoiar o desenvolvimento de tecnologias militares, incluindo mísseis táticos avançados e sistemas aerodinâmicos para armas.

A campanha teve sucesso em diversos casos, evidenciando como ataques de phishing direcionados continuam sendo uma das principais ameaças para ambientes altamente sensíveis. Diferente de campanhas massivas, o spear phishing explora confiança, contexto e relações profissionais, tornando a detecção significativamente mais difícil.

As investigações levaram à acusação formal de Song Wu por fraude eletrônica e roubo de identidade agravado. Ele pode enfrentar até 20 anos de prisão por cada acusação de fraude, além de penas adicionais por uso indevido de identidade. O Federal Bureau of Investigation incluiu o suspeito na lista de mais procurados, mas ele permanece foragido.

O caso também revela padrões recorrentes nesse tipo de fraude: pedidos repetidos pelo mesmo software, justificativas inconsistentes, mudanças inesperadas em métodos de pagamento e uso de canais alternativos para transferência de arquivos — todos sinais clássicos de tentativas de contornar controles de exportação e mecanismos de segurança.

Do ponto de vista estratégico, o incidente reforça uma tendência crescente: o uso de engenharia social para contornar controles técnicos e acessar propriedade intelectual crítica. Em vez de explorar vulnerabilidades em sistemas, os hackers exploram vulnerabilidades humanas — especialmente em ambientes colaborativos como universidades e projetos de pesquisa.