Desde 2024, um ator persistente ligado à China, identificado pelos pesquisadores como UAT-9244, tem centrado sua atenção em fornecedores de serviços de telecomunicações na América do Sul, comprometendo tanto equipamentos com Windows e Linux como dispositivos na borda da rede. A capacidade de operar em vários sistemas e arquitecturas indica um planejamento orientado para atacar a infraestrutura crítica do setor das comunicações, um branco estratégico que pode amplificar o impacto de qualquer intrusão.
A equipe de pesquisa da Cisco Talos, que vem seguindo esta atividade, aponta que UAT-9244 compartilha ferramentas, táticas e perfis de vítimas com grupos conhecidos como FamousSparrow e Tropic Trooper, embora preferem rastrear este conjunto de operações como um cluster independente. Os analistas consideram esta atribuição com alto grau de confiança, mas, ao mesmo tempo, alertam que, apesar da semelhança em objetivos com outros coletivos como Salt Typhoon, não há evidência definitiva que unifique todas essas campanhas em um único ator. Para aqueles que querem ler a análise técnica original e os IoC publicados pelos pesquisadores, o relatório de Talos está disponível aqui: Cisco Talos — Relatório do UAT-9244.
A campanha destaca pelo aparecimento de três famílias de malware que até agora não haviam sido documentadas publicamente. Em ambientes Windows aparece um backdoor que os pesquisadores denominam TernDoor. Essa ameaça aproveita uma técnica de DLL side-loading para carregar código malicioso de uma livraria que aparenta ser legítima e, uma vez dentro do sistema, injeta a carga final em processos de confiança. Além disso, incorpora um controlador de dispositivo próprio que lhe permite gerir à vontade a execução de processos - deter-los, descontinuar e retomar -, e estabelece persistência por tarefas programadas e modificações no registro do Windows que buscam ocultar seus rastros. Entre suas capacidades estão a execução remota de comandos, a manipulação de arquivos, a coleta de informações do sistema e a possibilidade de desinstalar-se de forma controlada.
No lado Linux, a família batizada como PeerTime atrai a atenção por ter sido desenvolvida para uma ampla gama de arquiteturas - ARM, AARCH, PPC e MIPS -, sugerindo um objetivo claro: dispositivos embebidos e equipamentos de rede que abundam em ambientes de telecomunicações. PeerTime é distribuído em duas variantes — uma em C/C++ e outra escrita em Rust — e utiliza uma metodologia pouco convencional para seu canal de comando e controle: o protocolo BitTorrent. Isto permite- lhe comunicar em modo peer-to-peer, baixar e executar cargas de outros pares, e valer-se de utilitários comuns em sistemas embebidos, como a BusyBox, para escrever arquivos no host. Os pesquisadores também observaram cadeias de depuração em chinês simplificado em ferramentas instrumentadoras associadas ao malware, um indício adicional sobre a possível origem dos utilitários usados pelos atacantes.
Completa o trio uma ferramenta chamada BruteEntry, que inclui um binário instrumentor escrito em Go e um módulo de força bruta. O propósito desta peça é converter dispositivos já comprometidos em nodos de digitalização e exploração, denominados pelos atacantes como Operational Relay Boxes (ORBs). Desde esses nós se realizam barridos em busca de novos objetivos e se lançam tentativas de acesso por força bruta contra serviços como SSH, bases de dados Postgres e servidores Tomcat. Os resultados das tentativas de acesso, juntamente com o estado das tarefas, são reportados de volta ao comando e controle que opera a campanha.
A conjunção destas três famílias coloca um tabuleiro de ataque onde a penetração inicial em dispositivos de borda pode rapidamente transformar esses aparelhos em plataformas de reconhecimento e pivoteo, alimentando uma rede de proxies que torna mais difícil atribuir e conter a operação. O uso de protocolos P2P como BitTorrent para a comunicação de comando e controle e a criação de infraestrutura ORB são táticas destinadas a aumentar a resiliência da campanha frente a esforços de detecção e bloqueio.
Para os equipamentos de segurança de operadores de telecomunicações, esta pesquisa oferece indicações práticas: revisar a telemetria relacionada a execuções invulgares de processos de sistema, procurar sinais de DLL side-loading e monitorar tarefas programadas e mudanças suspeitas no registro do Windows que tentem esconder persistência. Em ambientes Linux e em dispositivos embebidos, convém prestar atenção a processos que se renomeam para aparentar legitimidade, atividade anómala relacionada com BusyBox e tráfego BitTorrent saliente com padrões incomuns em equipamentos que não deveriam estar participando em redes P2P. Além disso, a presença de tentativas maciças de autenticação falhada contra SSH, Postgres ou Tomcat pode ser um sinal precoce de máquinas empregadas para força bruta. A Cisco Talos inclui no seu relatório indicadores de compromisso que as equipas de resposta podem usar como ponto de partida para detecção e bloqueio destas intrusões: IoC e análise técnica em Talos.
Para além da resposta técnica imediata, este tipo de campanhas volta a colocar sobre a mesa a necessidade de fortalecer a ciberresiliência do setor das comunicações. Os prestadores de serviços devem reforçar a segmentação da rede, aplicar controlos de acesso estritos, exigir autenticação multifator para os administrativos e serviços críticos, endurecer as configurações de dispositivos de borda e manter uma política de adesivo ativa. Para aqueles que gerem infra-estruturas críticas, é útil consultar recursos oficiais sobre proteção do setor de comunicações e boas práticas de segurança: a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA mantêm guias e avisos destinados ao sector das comunicações que podem servir como referência operacional: CISA — Communications Sector.
Por sua vez, a comunidade de inteligência e as equipas de resposta têm quadros como o MITRE ATT&CK para correlacionar técnicas observadas e enriquecer regras de detecção. Entender as técnicas de persistência, evasão e intrusão descritas por Talos ajuda a mapear as observações em detecções praticas e priorizar mitigações: MITRE ATT&CK.
O surgimento de UAT-9244 e suas ferramentas confirma que os atacantes continuam a inovar, adaptando seus arsenais para comprometer dispositivos heterogêneos e usar canais menos convencionais de comunicação. A lição para os operadores e responsáveis pela segurança é clara: a superfície de ataque foi alargada e as defesas devem evoluir em consequência, reforçando a visibilidade, o controlo de acessos e a resposta a comportamentos anormais em toda a cadeia de infra-estruturas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...