Investigação revela que grupo hacker Careto operava sob comando governamental espanhol

Investigação da Kaspersky liga sofisticada operação de ciberespionagem a interesses estratégicos espanhóis

Mais de uma década após sua descoberta, o misterioso grupo hacker conhecido como Careto — também chamado de The Mask — foi associado ao governo espanhol, segundo ex-funcionários da Kaspersky. A empresa de cibersegurança revelou o grupo em 2014, descrevendo-o como uma das ameaças mais avançadas da época, com capacidade de roubar dados altamente sensíveis de computadores comprometidos, como conversas privadas, senhas, capturas de tela e até configurações de VPN. Embora a empresa nunca tenha feito atribuições públicas, ex-pesquisadores afirmam que, internamente, havia certeza de que se tratava de uma operação estatal conduzida por hackers a serviço da Espanha.

A operação teve início após a Kaspersky identificar atividades suspeitas direcionadas ao governo de Cuba, incluindo o comprometimento de sistemas pertencentes a uma instituição cubana. As investigações revelaram que Cuba era o país com o maior número de vítimas entre os 31 afetados, reforçando o interesse estratégico da operação. À época, membros da organização separatista ETA viviam no país, o que pode ter motivado o foco da campanha. Além de Cuba, foram identificados alvos no Brasil, Marrocos, Gibraltar e até na própria Espanha, todos com relevância geopolítica para Madri.

O malware do Careto era distribuído principalmente por meio de spearphishing — e-mails com links maliciosos disfarçados de notícias de jornais espanhóis como El País e El Mundo. Um dos trechos de código do malware incluía a expressão “Caguen1aMar”, uma gíria típica espanhola, reforçando a suspeita da origem ibérica do grupo. A sofisticação da ferramenta era tamanha que, após a publicação da Kaspersky, os operadores desativaram rapidamente sua infraestrutura e apagaram os rastros — algo incomum mesmo entre grupos hackers governamentais, classificando o Careto como uma ameaça de elite.

Em 2024, o Careto voltou à ativa. A Kaspersky identificou novas infecções em organizações na América Latina e na África Central, sendo uma das vítimas reincidente, já comprometida em 2019 e 2022. As técnicas empregadas eram semelhantes às do passado: o malware ligava microfones sem alertar o usuário, coletava cookies de sessão, documentos pessoais e histórico de navegação. Apesar da recorrência nos métodos e nomes de arquivos, os pesquisadores dizem que, tecnicamente, ainda não é possível atribuir com total certeza o responsável pelas ações recentes — embora tudo indique tratar-se da mesma operação.

Via - TC