O Google anunciou nesta quarta-feira que, em parceria com empresas do setor, desmantelou a infraestrutura de um grupo de ciberespionagem com suposta ligação com a China, identificado como UNC2814, responsável por comprometer ao menos 53 organizações em 42 países.

Segundo relatório publicado pelo Google Threat Intelligence Group (GTIG) e pela Mandiant, o grupo tem histórico de ataques contra governos e operadoras de telecomunicações na África, Ásia e Américas. Há indícios de que outras 20 nações também tenham sido impactadas.

A campanha foi classificada como uma das mais amplas e impactantes já observadas nos últimos anos.

Backdoor GRIDTIDE: espionagem via Google Sheets

No centro da operação está um backdoor inédito chamado GRIDTIDE, desenvolvido em linguagem C. O malware utiliza a API do Google Sheets como canal de comunicação para comando e controle (C2), disfarçando o tráfego malicioso como se fosse atividade legítima em aplicações SaaS.

O mecanismo funciona por meio de uma planilha estruturada com células específicas:

• A1: recebe comandos do invasor e devolve status de execução

• A2 até An: transferência de dados e saída de comandos

• V1: armazenamento de informações do sistema comprometido

Essa técnica permite comunicação bidirecional entre o dispositivo infectado e o operador do ataque, facilitando execução de comandos remotos, upload e download de arquivos.

Embora nem todos os incidentes confirmem o uso do GRIDTIDE, há indícios de que muitas organizações permaneceram comprometidas por anos sem detecção.

Técnicas de movimentação lateral e persistência

Ainda não está claro como o acesso inicial foi obtido, mas o grupo possui histórico de exploração de servidores web e dispositivos de borda de rede — alvos frequentes por normalmente não possuírem ferramentas robustas de detecção de malware.

Entre as técnicas observadas:

• Uso de contas de serviço para movimentação lateral via SSH

• Abuso de ferramentas legítimas do sistema (Living-off-the-Land - LotL) para reconhecimento e escalonamento de privilégios

• Criação de serviço persistente em /etc/systemd/system/xapt.service

• Execução do malware a partir de /usr/sbin/xapt

• Implantação do SoftEther VPN Bridge para comunicação criptografada externa

O uso do SoftEther VPN já foi associado anteriormente a outros grupos chineses de espionagem digital.

Há evidências de que o malware foi implantado em sistemas contendo dados pessoais sensíveis (PII), reforçando o caráter de espionagem direcionada. Apesar disso, o Google afirmou não ter identificado exfiltração de dados durante o período monitorado.

Resposta do Google e impacto global

Como parte da operação de contenção, o Google:

• Encerrrou todos os projetos Google Cloud controlados pelo grupo

• Desativou a infraestrutura identificada

• Bloqueou contas utilizadas pelo invasor

• Interrompeu chamadas à API do Google Sheets usadas como C2

• Notificou formalmente todas as vítimas

De acordo com o Google, a escala global da campanha com operações confirmadas ou suspeitas em mais de 70 países demonstra o alto grau de sofisticação e planejamento do grupo.

A expectativa é que o UNC2814 tente reconstruir sua presença global, embora campanhas dessa magnitude exijam anos de preparação e não sejam facilmente restabelecidas.