O Google revelou que grupos ligados a China, Irã, Rússia e Coreia do Norte intensificaram operações coordenadas contra a Base Industrial de Defesa (DIB, na sigla em inglês). Segundo o Google Threat Intelligence Group (GTIG), o setor enfrenta uma ofensiva constante envolvendo espionagem, sabotagem, engenharia social e exploração de cadeias de suprimento.

De acordo com o relatório, os ataques giram em torno de quatro frentes principais:

• Alvos ligados a tecnologias empregadas na guerra Rússia-Ucrânia;

• Abordagem direta a funcionários e exploração de processos de recrutamento;

• Uso de dispositivos de borda e equipamentos de rede como vetores iniciais;

• Riscos na cadeia de suprimentos após violações no setor de manufatura.

A análise indica que veículos autônomos, drones e sistemas avançados de defesa estão entre os principais focos dos grupos patrocinados por Estados.

Espionagem, infiltração e uso de apps de mensagens

Diversos grupos foram identificados atuando nesse ecossistema:

• APT44 (Sandworm) tentou extrair dados de aplicativos criptografados como Signal e Telegram, inclusive utilizando scripts para descriptografar mensagens após acesso físico a dispositivos.

• UNC5125 (FlyingYeti) realizou campanhas direcionadas a operadores de drones na linha de frente, distribuindo malware por meio de formulários do Google Forms e aplicativos de mensagens.

• UNC5792 e UNC4221 exploraram funcionalidades de vinculação de dispositivos do Signal para sequestrar contas.

• UNC6096 distribuiu arquivos LNK maliciosos via WhatsApp, enquanto campanhas móveis implantaram malware como GALLGRAB e CraxsRAT em dispositivos Android militares.

Além disso, campanhas como “Operation Dream Job”, atribuídas a grupos ligados à Coreia do Norte, continuam explorando falsas ofertas de emprego para infiltrar empresas aeroespaciais e de defesa.

O relatório destaca que atores chineses têm explorado dispositivos de borda, vulnerabilidades em portais públicos e redes de Operational Relay Boxes (ORB) para mascarar origem e dificultar atribuição.

Essas redes permitem que o tráfego malicioso se misture ao tráfego legítimo de redes domésticas e comerciais, contornando geofencing e ampliando resiliência contra bloqueios.

Outro ponto de atenção é a exploração de sistemas como REDCap para implantar malwares persistentes, como o INFINITERED, capazes de manter acesso remoto e roubar credenciais.

Segundo o Google, a Base Industrial de Defesa vive um cenário de pressão contínua e multifacetada. Além de operações patrocinadas por Estados, grupos com motivação financeira também exploram o setor por meio de extorsão e ransomware.

O uso crescente de inteligência artificial para reconhecimento e criação de iscas de phishing demonstra evolução tática significativa. A tendência de evitar detecção por ferramentas EDR, focando em endpoints individuais e engenharia social altamente segmentada, também é destacada.

A conclusão do relatório é direta: o setor de defesa está sob um estado permanente de assédio digital, exigindo vigilância constante e cooperação internacional reforçada.