Hackers chineses miram infraestruturas críticas de alto valor na América do Norte, alerta Cisco

Hackers ligados ao governo da China conseguiram invadir diversas organizações de infraestrutura crítica na América do Norte ao longo do último ano, utilizando credenciais comprometidas e servidores vulneráveis. A informação foi divulgada por pesquisadores da Cisco Talos, divisão de inteligência de ameaças da Cisco.

De acordo com o relatório publicado na quinta-feira, a campanha teve início em 2025 e envolveu grupos hackers patrocinados pelo Estado chinês, com a missão de obter acesso inicial a organizações consideradas de “alto valor estratégico”. A Cisco Talos rastreia a atividade sob o codinome UAT-8837.

Após a invasão inicial, os hackers passaram a utilizar diferentes ferramentas para roubar credenciais, coletar configurações de segurança e mapear os ambientes internos das vítimas, ampliando progressivamente seu nível de acesso. Entre os métodos identificados, destacou-se a exploração da vulnerabilidade CVE-2025-53690, que afeta produtos da empresa de software Sitecore.

Essa falha do tipo zero-day havia sido destacada por autoridades federais de cibersegurança no segundo semestre do ano passado, quando agências civis dos Estados Unidos foram obrigadas a aplicar correções emergenciais até 25 de setembro. Na ocasião, o Google também publicou uma análise técnica do incidente, apontando ferramentas de pós-exploração semelhantes às agora identificadas pela Cisco Talos. Segundo os pesquisadores, o interesse recorrente nessa falha sugere que o grupo chinês pode ter acesso a exploits zero-day.

Entre as ferramentas utilizadas está o Earthworm, que permite expor endpoints internos a infraestruturas controladas pelos hackers. O malware é amplamente usado por grupos de língua chinesa para identificar sistemas que não são detectados por soluções de proteção de endpoint, possibilitando a criação de túneis reversos para servidores externos sob controle do invasor.

A preocupação com ataques chineses a infraestruturas críticas voltou a ganhar destaque após um incidente ocorrido em dezembro, quando o grupo Salt Typhoon comprometeu uma plataforma de e-mail utilizada por assessores do Congresso dos Estados Unidos. As vítimas atuavam em comissões relacionadas à China e a assuntos internacionais.

Autoridades norte-americanas têm reiterado alertas sobre a atuação de grupos hackers patrocinados pelo Estado chinês contra agências governamentais e setores críticos. Reforçando esse cenário, um conjunto de agências cibernéticas ocidentais divulgou nesta semana um alerta conjunto sobre o aumento das ameaças digitais a sistemas de tecnologia operacional (OT), que sustentam processos industriais essenciais.