Hackers ligados ao governo da China conseguiram invadir diversas organizações de infraestrutura crítica na América do Norte ao longo do último ano, utilizando credenciais comprometidas e servidores vulneráveis. A informação foi divulgada por pesquisadores da Cisco Talos, divisão de inteligência de ameaças da Cisco.

De acordo com o relatório publicado na quinta-feira, a campanha teve início em 2025 e envolveu grupos hackers patrocinados pelo Estado chinês, com a missão de obter acesso inicial a organizações consideradas de “alto valor estratégico”. A Cisco Talos rastreia a atividade sob o codinome UAT-8837.

Após a invasão inicial, os hackers passaram a utilizar diferentes ferramentas para roubar credenciais, coletar configurações de segurança e mapear os ambientes internos das vítimas, ampliando progressivamente seu nível de acesso. Entre os métodos identificados, destacou-se a exploração da vulnerabilidade CVE-2025-53690, que afeta produtos da empresa de software Sitecore.

Essa falha do tipo zero-day havia sido destacada por autoridades federais de cibersegurança no segundo semestre do ano passado, quando agências civis dos Estados Unidos foram obrigadas a aplicar correções emergenciais até 25 de setembro. Na ocasião, o Google também publicou uma análise técnica do incidente, apontando ferramentas de pós-exploração semelhantes às agora identificadas pela Cisco Talos. Segundo os pesquisadores, o interesse recorrente nessa falha sugere que o grupo chinês pode ter acesso a exploits zero-day.

Entre as ferramentas utilizadas está o Earthworm, que permite expor endpoints internos a infraestruturas controladas pelos hackers. O malware é amplamente usado por grupos de língua chinesa para identificar sistemas que não são detectados por soluções de proteção de endpoint, possibilitando a criação de túneis reversos para servidores externos sob controle do invasor.

A preocupação com ataques chineses a infraestruturas críticas voltou a ganhar destaque após um incidente ocorrido em dezembro, quando o grupo Salt Typhoon comprometeu uma plataforma de e-mail utilizada por assessores do Congresso dos Estados Unidos. As vítimas atuavam em comissões relacionadas à China e a assuntos internacionais.

Autoridades norte-americanas têm reiterado alertas sobre a atuação de grupos hackers patrocinados pelo Estado chinês contra agências governamentais e setores críticos. Reforçando esse cenário, um conjunto de agências cibernéticas ocidentais divulgou nesta semana um alerta conjunto sobre o aumento das ameaças digitais a sistemas de tecnologia operacional (OT), que sustentam processos industriais essenciais.