Pesquisadores de cibersegurança destacaram uma campanha de espionagem informática de alto impacto que, segundo as assinaturas que a analisaram, parece alinhada com interesses estaduais chineses e se dirige principalmente a governos e setores de defesa na Ásia, com a presença inesperada de uma vítima na Europa. O que a torna particularmente preocupante não é apenas a sofisticação técnica - explotação de falhas conhecidas em serviços expostos à Internet, implantação de web shells e uso de backdoors avançados - mas a combinação de táticas de acesso inicial de baixo custo com ferramentas de persistência e movimento lateral que facilitam exfiltração prolongada e difícil de mitigar.
O vetor inicial apontado em vários relatórios é a exploração de vulnerabilidades “N‐day” em servidores Microsoft Exchange e IIS, seguindo uma corrente típica de intrusão: exploração remota, instalação de web shells (como variantes conhecidas na comunidade) para manter acesso, e depois a carga lateral de portas traseiras como ShadowPad mediante técnicas de DLL sideloading aproveitando executáveis legítimos. Estes padrões ilustram uma regra clássica do adversário moderno: aproveitar sistemas pendentes para entrar e usar software assinado como camuflagem para evitar controles.
Além das ferramentas mencionadas, os operadores recorreram a túneis e proxys open‐source (herramientas tipo GOST ou wstunnel) e empacotadores que dificultam a detecção estática, juntamente com utilitários como Mimikatz para escalar privilégios e ferramentas personalizadas para mover-se lateralmente (implementações de SMBExec em C#, e lançadores RDP à medida). Em pelo menos um incidente, foi informado do aproveitamento de uma vulnerabilidade relativamente nova para propagar uma variante de RAT para Linux, o que mostra que os operadores adaptam rapidamente seu arsenal a ambientes heterogêneos.
Paralelamente, organizações de pesquisa documentaram campanhas de phishing direcionadas que usam técnicas de suplantação digital muito trabalhadas para capturar credenciais, roubar tokens OAuth ou induzir a instalação de malware. A tática de rastreamento com pixels 1x1 e o reuso de infraestrutura entre múltiplas campanhas apontam uma operação distribuída e persistente orientada não só para instituições, mas jornalistas, ativistas e comunidades no exterior, o que torna essas ações numa forma moderna de repressão transnacional.
As implicações são claras: uma falha de adesivo ou uma má higiene de acesso pode tornar-se uma lacuna que comprometa segredos de Estado, capacidades de defesa e segurança de ativistas e jornalistas. Também representa um desafio de governança: a aparente participação de atores comerciais contratados para trabalhos de ciber-inteligência complica a responsabilização e a resposta diplomática contra campanhas que operam na penumbra entre o Estado e o mercenário.
Do ponto de vista técnico e operacional, a prioridade imediata para administradores e responsáveis pela segurança deve ser a correção e mitigação de vetores conhecidos. É imprescindível aplicar os adesivos e atualizações cumulativas para o Microsoft Exchange e validar as configurações de IIS; a Microsoft mantém guias de vulnerabilidades e atualizações que devem ser consultados e aplicadas sem demora ( Guia de Actualizações da Microsoft). Onde não é possível corrigir imediatamente, a aplicação de proteção virtual por WAF/IPS com regras afinadas para bloquear tentativas de exploração e a detecção da web shells é uma medida de urgência efetiva em muitos ambientes.
Igualmente crítico é reforçar a postura de acesso remoto: limitar ou auditar o uso de ferramentas de suporte remoto como AnyDesk, forçar autenticação multifator resistente a phishing (preferivelmente com chaves FIDO2 ou mecanismos de phishing-resistant), revisar e rotar credenciais expostas, e controlar o uso de tokens OAuth por aplicações de terceiros. As organizações também devem fortalecer sua telemetria —registros de IIS, Exchange, e conexões RDP/SMB — e implantar detecção baseada em comportamento para identificar padrões de DLL sideloading, execução de comandos da web shells e exfiltração através de túneis criptografados.
Para jornalistas, ativistas e organizações da sociedade civil que são alvo preferencial de campanhas de suplantação, a recomendação não é apenas técnica, mas também de procedimento: manter contas sensíveis separadas de contas cotidianas, ativar métodos de autenticação forte e verificável, desconfiar de mensagens que requerem ações urgentes ou revisões por ligação e empregar canais alternativos de verificação fora do e-mail. As plataformas e fornecedores de e-mail devem implantar proteções avançadas contra AiTM e kits de phishing que suplantam páginas de início de sessão.
Finalmente, a resposta requer coordenação a nível sectorial e nacional: troca de indicadores de compromisso com CERTs e parceiros internacionais, exercícios de caça de ameaças (threat hunting) orientados para web shells e DLL sideloading, e políticas públicas que contemplem a rastreabilidade contratual quando empresas privadas participam em operações alinhadas com interesses estatais. Num mundo onde a fronteira entre espionagem estatal e actividades comerciais está difuminada, a resiliência tecnológica deve ser acompanhada de quadros normativos e diplomáticos para reduzir riscos estratégicos.
A comunidade técnica pode encontrar referências úteis e atualizadas sobre vulnerabilidades exploradas e boas práticas de mitigação em recursos públicos como a lista de vulnerabilidades conhecidas exploradas da CISA ( CISA Known Exploited Vulnerabilities Catalog) e nos relatórios de grupos de investigação que documentam campanhas de jornalistas e sociedade civil (por exemplo, análises e alertas publicados por parte dos jornalistas e da sociedade civil) Citizen Lab). Adoptar uma estratégia proativa de adesivo, segmentação, detecção e formação em phishing é a forma mais rápida de reduzir a janela de exposição a atores que já demonstraram a capacidade de operar de maneira sustentada e sigilosa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...