Ciberespiões chineses invadem operadoras e órgãos governamentais

Resumo jornalístico – Cibersegurança

Uma operação conjunta entre o Google Threat Intelligence Group (GTIG), a Mandiant e parceiros resultou na interrupção de uma sofisticada campanha global de espionagem cibernética, atribuída a um agente de ameaça suspeito de origem chinesa, identificado como UNC2814. O ataque utilizava chamadas de API de serviços SaaS para mascarar o tráfego malicioso, direcionando-se principalmente a redes de telecomunicações e órgãos governamentais em 42 países, com indícios de infecção em pelo menos 20 outros.

O principal diferencial técnico da campanha foi o uso do backdoor GRIDTIDE, desenvolvido em C, que abusava da API do Google Sheets para operações de comando e controle (C2). O malware autenticava-se em contas de serviço do Google utilizando uma chave privada embutida, realizava reconhecimento do sistema comprometido e transmitia informações sensíveis por meio de células da planilha, empregando codificação base64 segura para URLs. Essa abordagem permitia que o tráfego malicioso se misturasse ao fluxo legítimo, dificultando a detecção por ferramentas convencionais de monitoramento web.

As funcionalidades do GRIDTIDE incluíam execução remota de comandos, upload e download de arquivos, tudo orquestrado por instruções inseridas em células específicas da planilha. A resposta das equipes de cibersegurança envolveu a revogação de acessos à API, desativação de projetos em nuvem controlados pelo agente e o bloqueio de domínios utilizados para C2, além da notificação e suporte direto às organizações afetadas. Apesar da interrupção bem-sucedida, os especialistas alertam para a possibilidade de o grupo UNC2814 retomar as operações com nova infraestrutura, ressaltando a necessidade de vigilância contínua e atualização dos mecanismos de detecção.