Uma nova e vasta operação de ciberespionagem, denominada "Shadow Campaigns", comprometeu dezenas de redes governamentais e de infraestruturas críticas em todo o mundo, e Portugal consta explicitamente na lista de vítimas confirmadas. A descoberta foi feita pela equipa de investigação Unit 42, da Palo Alto Networks, que expôs um grupo de ameaças patrocinado por um estado, com origem provável na Ásia.
Os investigadores identificaram que este ator, rastreado provisoriamente como TGR-STA-1030 ou UNC6619, está ativo desde pelo menos janeiro de 2024, mas intensificou drasticamente as suas operações de reconhecimento entre novembro e dezembro do ano passado, visando entidades em 155 países.
Uma teia global de espionagem que atingiu Lisboa
A escala desta campanha é alarmante. O grupo foca-se essencialmente em ministérios governamentais, forças policiais, controlo de fronteiras, finanças, comércio e energia. Segundo os dados recolhidos, os ataques resultaram no compromisso efetivo de, pelo menos, 70 organizações em 37 nações.
A lista de alvos inclui ministérios e parlamentos em vários estados europeus, entre os quais se destacam Portugal, Alemanha, Grécia e Itália, bem como entidades no Brasil e no México. A Unit 42 destaca ainda um foco estratégico: durante a paralisação do governo dos EUA em outubro de 2025, o grupo aumentou o varrimento de alvos nas Américas.
As táticas iniciais basearam-se em emails de phishing altamente personalizados, muitas vezes utilizando o pretexto de "reorganização interna" dos ministérios para enganar funcionários públicos. Estes emails continham links para arquivos maliciosos alojados no serviço Mega.nz. Uma vez abertos, estes ficheiros libertavam um carregador de malware chamado "Diaoyu", capaz de instalar ferramentas de controlo remoto como o Cobalt Strike.
Para além do phishing, o grupo explorou pelo menos 15 vulnerabilidades conhecidas para ganhar acesso inicial, tirando partido de falhas em sistemas SAP, equipamentos D-Link e servidores Microsoft Exchange.
ShadowGuard: O pesadelo invisível no Linux
Um dos aspetos mais sofisticados desta campanha é a utilização de um conjunto de ferramentas avançadas, incluindo um rootkit personalizado para Linux chamado "ShadowGuard". Este malware utiliza a tecnologia eBPF (Extended Berkeley Packet Filter) para operar ao nível do kernel, tornando-se extremamente difícil de detetar pelas soluções de segurança tradicionais.
O ShadowGuard consegue ocultar processos maliciosos, ficheiros e atividades de rede, manipulando as funções do sistema antes que as ferramentas de monitorização consigam ler os dados reais. Isto permitiu aos atacantes manterem-se ocultos nas redes das vítimas por longos períodos, extraindo inteligência estratégica, económica e política.
A infraestrutura do ataque foi desenhada para se camuflar, utilizando servidores privados virtuais (VPS) legítimos nos EUA e na Europa, e recorrendo a nomes de domínios que imitavam os alvos, como a utilização da extensão ".gouv" para países francófonos. Segundo a análise detalhada da Unit 42, estamos perante um ator operacionalmente maduro que prioriza a recolha de informações de alto valor, com um impacto que já se faz sentir em dezenas de governos a nível mundial.
Nenhum comentário
Seja o primeiro!