O Brasil foi identificado como um dos alvos centrais de uma sofisticada operação global de ciberespionagem conduzida pelo grupo de ameaça persistente TGR-STA-1030 (também conhecido como UNC6619). Segundo relatório da unidade de inteligência Heimdall, da ISH Tecnologia, a campanha é de natureza estatal e visa a obtenção de inteligência estratégica sobre recursos naturais e infraestrutura crítica, colocando o país em uma rota de monitoramento que já atingiu organizações em 37 nações.
Diferente de ataques cibernéticos voltados para extorsão financeira, o objetivo deste grupo é a coleta de informações geopolíticas de longo prazo. Hugo Santos, Diretor de Inteligência de Ameaças da ISH, afirma que "estamos diante de um ator que busca vantagem competitiva e soberana, monitorando de perto setores que sustentam a economia nacional, como energia e a exploração de minerais estratégicos".
A investigação aponta que o grupo demonstra um interesse profundo em organizações ligadas à mineração, especificamente no setor de terras raras, e em infraestruturas de telecomunicações e aviação. O relatório detalha que o reconhecimento realizado pelo grupo abrangeu infraestruturas em 155 nações, evidenciando uma malha de espionagem que busca antecipar decisões sobre políticas públicas e acordos comerciais.
Como exemplo desse cenário de monitoramento de alto escalão, os pesquisadores do Heimdall identificaram evidências de comprometimento relacionado ao Ministério de Minas e Energia (MME). O interesse do grupo estende-se a pastas como Fazenda, Relações Exteriores e Justiça, visando atingir decisores políticos e técnicos com acesso a documentos sensíveis sobre cadeias de suprimento e planejamento estatal.
Táticas de persistência silenciosa
Para manter o acesso sem detecção, o TGR-STA-1030 utiliza técnicas de "living-off-the-land", ou seja, empregando ferramentas legítimas do sistema para ocultar suas atividades. O acesso inicial é realizado via spear-phishing seletivo e exploração de vulnerabilidades conhecidas (N-day).
“O arsenal técnico inclui o rootkit ShadowGuard, capaz de esconder processos no nível do sistema operacional, e o loader customizado DiaoYu.exe. Essas ferramentas permitem que os atacantes mantenham o comando e controle das redes invadidas por meses, utilizando frameworks como Cobalt Strike e Sliver para exfiltrar dados de forma silenciosa”, explica Santos.
Imagem: https://br.freepik.com/fotos-gratis/renderizacao-3d-do-planeta-terra_44957907.htm
