O Google, juntamente com Mandiant e outros colaboradores, conseguiu desativar uma campanha de espionagem cibernética que tinha operando pelo menos de 2023 e que, segundo suas pesquisas, afetou dezenas de organizações em todo o mundo. A ameaça é atribuída a um ator que o Google identifica internamente como UNC2814, e as vítimas relatadas superam as 50 entidades distribuídas em mais de 40 países, com indícios de infecções adicionais em cerca de 20 nações.
O que faz especialmente engenhoso – e perigoso – a este ataque é o uso de serviços legítimos na nuvem como canal de comando e controle. Neste caso, os atacantes desenvolveram um backdoor escrito em C que aproveita a API do Google Sheets para se comunicar com seus operadores e esconder tráfego malicioso entre chamadas a um serviço aparentemente inocuo. Usar APIs de SaaS como veículo de C2 reduz o ruído e dificulta a detecção pelas ferramentas de monitoramento web convencionais, porque o tráfego parece corresponder a atividade legítima do Google.
A descrição técnica publicada pelos pesquisadores explica que o malware, como GRIDTIDE, se autentica com uma conta de serviço do Google através de uma chave privada incorporada no binário. Ao iniciar, a amostra limpa a folha utilizada para as comunicações, removendo um grande bloco de linhas e colunas para deixá-la lista como canal. Depois recolhe dados da equipe comprometida — utilizador, nome da equipe, versão do sistema operacional, IP local, configuração regional e fuso- horário — e os escreve em uma célula concreta. A célula A1 atua como a caixa de controle: o malware a consulta continuamente para receber ordens e responde com um estado quando você desenhou as instruções.
O protocolo de trabalho que o Google descreve inclui um comportamento de pesquisa pensado para reduzir a probabilidade de ser detectado: se a célula de comandos estiver vazia, o cliente tenta ler cada segundo durante um tempo prudente e depois muda a verificação espaciada aleatoriamente em intervalos de vários minutos. Os comandos que o GRIDTIDE aceita incluem a execução de comandos codificados na Base64 num interpretador de shell, a leitura de ficheiros locais para os enviar fragmentados para a folha e a reconstrução de ficheiros colocados nas células da folha. Para empacotar a informação, os operadores usam um esquema de Base64 compatível com URLs, o que, aos olhos de muitas ferramentas, é misturado com tráfego normal.
Este tipo de técnicas — aproveitar serviços na nuvem e APIs públicas para C2 — não é novo, mas seu uso por atores até agora direcionados a infraestruturas críticas e operadores de telecomunicações aumenta a preocupação. O Google e os seus aliados afirmam que a cadeia exata de como eles obtiveram o primeiro acesso nesta campanha ainda não está clara, embora a UNC2814 tenha histórico de comprometer servidores web e dispositivos de borda explorando vulnerabilidades conhecidas.
A resposta foi coordenada e contundente: as equipes envolvidas revogaram acessos, desativaram projetos do Google Cloud vinculados ao ator, cancelaram as credenciais da API do Google Sheets utilizadas nas operações e neutralizaram a infraestrutura conhecida, incluindo sinkholes para domínios ligados à campanha. Além disso, as organizações afetadas foram contactadas diretamente para oferecer suporte na limpeza das intrusões. As ações evitaram que o canal de Sheets fosse útil para o ator, mas os pesquisadores alertam que é muito provável que o grupo reemprenda operações com nova infraestrutura.
A publicação técnica do Google inclui regras de detecção e indicadores de compromisso que as equipes de segurança podem usar para procurar vestígios de GRIDTIDE em seus ambientes. Para aqueles que gerem ambientes na nuvem, o incidente é um lembrete para revisar práticas como a gestão de contas de serviço, a rotação de chaves e a atribuição de licenças mínimas necessárias. Também é recomendável monitorar padrões anormais de uso de APIs - por exemplo, escrituras e leituras atípicas em folhas ou tráfego com conteúdo codificado que não corresponde a atividade legítima - e ter alertas para usos de contas de serviço fora do habitual.
Se você quiser aprofundar a pesquisa e detalhes técnicos, o relatório do Google sobre a interrupção da campanha está disponível no blog do Google Cloud: Disrupting GRIDTIDE: global espionage campaign. Para contextualizar a ameaça à prática de abusar de APIs e serviços cloud, você pode revisar a documentação oficial das APIs envolvidas, como a Google Sheets API e o guia sobre contas de serviço no Google Cloud. Um artigo de imprensa técnica que cobriu a notícia e seu alcance oferece uma síntese acessível para não especialistas: BleepingComputer — Google disrupts GRIDTIDE. Também é útil rever quadros de referência como o MITRE ATT&CK para entender como este tipo de C2 se encaixa em técnicas conhecidas: T1071 – Application Layer Protocol.
Além da resposta imediata, a lição para empresas e administradores é clara: as plataformas na nuvem e as APIs públicas oferecem enormes vantagens, mas também podem ser utilizadas como canais encobertos por atores sofisticados. A segurança na nuvem requer não apenas controles perimetrales tradicionais, mas visibilidade e telemetria específicas sobre o uso de APIs e credenciais, assim como planos de resposta que possam anular rapidamente acessos comprometidos e coordenar-se com fornecedores quando se detecta abuso.
Entretanto, as equipes de inteligência e resposta continuarão a vigiar o movimento de UNC2814 e outros grupos que recorrem a técnicas semelhantes. Num mundo onde o ecossistema cloud é ubiquo, a habilidade de detectar padrões atípicos em serviços legítimos e para atuar de forma colaborativa entre fornecedores e vítimas será cada vez mais determinante para conter esse tipo de campanhas.
Se você administra ambientes empresariais, verifique as referências oficiais e compartilhe as IoC e as regras de detecção fornecidas pelo Google com sua equipe de segurança para avaliar se houve exposição nos seus sistemas e, se necessário, solicitar apoio especializado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...