O Brasil está entre os principais alvos de uma campanha global de ciberespionagem que mira setores estratégicos como energia, mineração e infraestrutura crítica. O alerta consta em relatório da unidade de inteligência Heimdall, da ISH Tecnologia, que atribui a operação ao grupo TGR-STA-1030, também conhecido como UNC6619.
Segundo a análise, a campanha tem natureza estatal e foco na coleta de inteligência geopolítica de longo prazo, diferente de ataques cibernéticos voltados à extorsão financeira. O grupo já teria monitorado organizações em 37 países, dentro de uma malha de reconhecimento que alcança 155 nações.
Monitoramento de recursos estratégicos
De acordo com o relatório, o interesse do grupo está concentrado em recursos naturais e cadeias estratégicas, com destaque para o setor de terras raras, além de áreas como telecomunicações e aviação.
Como exemplo de monitoramento de alto escalão, pesquisadores identificaram evidências de comprometimento relacionadas ao Ministério de Minas e Energia. O interesse também se estenderia a pastas como Fazenda, Relações Exteriores e Justiça, com o objetivo de acessar documentos sensíveis sobre políticas públicas, acordos comerciais e planejamento estatal.
Hugo Santos, Diretor de Inteligência de Ameaças da ISH, afirma que “estamos diante de um ator que busca vantagem competitiva e soberana, monitorando de perto setores que sustentam a economia nacional, como energia e a exploração de minerais estratégicos”.
Técnicas de persistência silenciosa
Para manter acesso prolongado sem detecção, o grupo utiliza técnicas conhecidas como living off the land, explorando ferramentas legítimas do próprio sistema para ocultar atividades maliciosas. O acesso inicial ocorre por meio de spear phishing direcionado e exploração de vulnerabilidades conhecidas.
“O arsenal técnico inclui o rootkit ShadowGuard, capaz de esconder processos no nível do sistema operacional, e o loader customizado DiaoYu.exe. Essas ferramentas permitem que os atacantes mantenham o comando e controle das redes invadidas por meses, utilizando frameworks como Cobalt Strike e Sliver para exfiltrar dados de forma silenciosa”, explica Santos.
Segundo a ISH Tecnologia, a combinação dessas técnicas amplia a capacidade de permanência dos invasores em ambientes governamentais e de infraestrutura crítica.
Mitigação e postura de defesa
A empresa recomenda a adoção de monitoramento comportamental avançado, gestão rigorosa de vulnerabilidades e aplicação imediata de patches em sistemas expostos. A implementação de autenticação multifator também é apontada como medida essencial para dificultar a persistência desses agentes.
Para a ISH Tecnologia, o cenário reforça a necessidade de elevar o nível de maturidade em segurança cibernética, especialmente em setores estratégicos da economia brasileira, diante do avanço de campanhas de ciberespionagem com motivação geopolítica.
