O Google anunciou uma intervenção contra a infraestrutura usada por um grupo de ciberespionagem que rastreiam como UNC2814, atribuído a atores com suposta ligação à China, depois de encontrar provas de compromissos em dezenas de organizações ao longo de todo o mundo. Segundo a equipe de inteligência de ameaças do Google junto com colaboradores externos, a campanha afetou entidades em múltiplos continentes e apoiou-se em técnicas pouco convencionais para ocultar sua atividade maliciosa dentro de serviços legítimos na nuvem. A intervenção incluiu a desactivação de projetos do Google Cloud controlados pelos atacantes e a revogação do acesso a contas e chamadas à API que estavam sendo abusadas como canal de comando e controle.( Relatório do Google).
O componente central detectado pelos pesquisadores é um backdoor novo batizado como GRIDTIDE, desenvolvido em linguagem C, que aproveita a API do Google Sheets como um canal de comunicação. Em vez de usar servidores C2 tradicionais, os atacantes escrevem e leem células em folhas de cálculo para enviar comandos, receber resultados de comandos e transferir arquivos. Essa técnica converte tráfego que a simples vista parece benigno —petições a uma API de um serviço de produtividade — em uma canalização de controle persistente e difícil de distinguir do uso legítimo.
Em termos práticos, o GRIDTIDE implementa um mecanismo de sondagem por células: certas posições na folha atuam como caixas para instruções, outras como depósitos temporários para a saída de comandos e arquivos, e algumas mais como registros do sistema infectado. O malware permite fazer upload e download de arquivos e executar comandos de shell remotamente, tornando-o uma ferramenta completa para reconhecimento, extração de informação e estabelecimento de persistência. Embora o Google não tenha observado, durante a campanha descrita, uma grande transferência de dados fora das redes comprometidas, eles descobriram que o malware foi instalado em endpoints que continham informações pessoais identificáveis, um sinal claro de interesse em vigilância seletiva e cibernética.
Os ataques também mostram um padrão de exploração do perímetro de rede e recursos de infraestrutura. Os pesquisadores apontam que os atores iniciais parecem ter conseguido acesso através de compromissos em servidores web e dispositivos na borda da rede, e logo se moveram lateralmente dentro dos ambientes corporativos aproveitando contas de serviço e conexões SSH. É habitual que esses adversários recurranem binários “living-off-the-land” –herramientas legítimas do sistema operacional – para executar reconhecimento, elevar privilégios e lançar código sem ativar facilmente as defesas, o que complica sua detecção.
Para se defender, os atacantes utilizaram métodos tradicionais de persistência em sistemas Linux, criando um serviço systemd que executava o binário malicioso recorrente. Também foi observada a utilização do SoftEther VPN Bridge para estabelecer canais criptografados para endereços externos; justamente, a comunidade de segurança documentou o uso do SoftEther em operações anteriores atribuídas a grupos ligados à China, pela sua flexibilidade e porque permite túneis difíceis de distinguir do tráfego VPN legítimo ( site do projeto SoftEther).
O Google descreve a campanha como uma das mais amplas e de maior alcance que viram nos últimos anos, com compromissos confirmados ou suspeitos em um número muito amplo de países e objetivos que incluem operadores de telecomunicações e organismos governamentais. Como parte da sua resposta, o provedor eliminou a infraestrutura na nuvem controlada pelos atacantes e emitiu notificações formais às organizações afetadas, além de oferecer apoio ativo às vítimas com intrusões verificadas. A empresa adverte que, embora a desactivação represente um golpe significativo, esses grupos geralmente investirão anos em construir acesso persistente e trabalharão para voltar a se estabelecer.
O caso de GRIDTIDE destaca vários desafios que enfrentam as defesas modernas: por um lado, o uso de APIs e serviços SaaS como canais de C2 obriga a repensar qual tráfego consideramos “de confiança”; por outro, a borda da rede –aparatos e serviços expostos à Internet – continua sendo um objetivo privilegiado porque muitos desses dispositivos carecem de detecção de malware e, se se comprometem, oferecem um caminho direto para recursos internos. Uma análise recente sobre tendências na borda inclui como estas superfícies se tornaram alvos atrativos para invasões a escala global ( relatório de GreyNoise).
Para organizações preocupadas com este tipo de ameaças, a lição é dupla: há que reforçar tanto a segurança do perímetro como o controle e a supervisão do uso de APIs e contas de serviço na nuvem. Recomenda-se auditar e restringir permissões de contas de serviço, monitorizar padrões incomuns de chamadas a APIs de terceiros, registrar e analisar o uso de ferramentas administrativas e aplicar segmentação de rede que limite a capacidade de movimento lateral. Também é fundamental ter procedimentos claros para revogar credenciais e fechar projetos na nuvem ante indícios de compromisso, como o Google fez neste caso.
Em suma, a operação contra UNC2814 e a exposição de GRIDTIDE mostram como os adversários avançam em criatividade ao aproveitar serviços legítimos para ocultar sua atividade. A proteção contra campanhas sofisticadas exige combinar vigilância contínua, controles de identidade e acesso, e uma rápida capacidade de resposta coordenada entre fornecedores de nuvem e organizações afetadas. A boa notícia é que ações coordenadas como a descrita podem mitigar uma parte importante do dano e obrigar os atacantes a recompor suas infra-estruturas, embora não eliminam por si só a ameaça a longo prazo.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...