Ataques cibernéticos sofisticados raramente fazem barulho enquanto estão em curso. Eles avançam de forma discreta, explorando brechas invisíveis e usando ferramentas aparentemente legítimas. Foi exatamente esse o cenário de uma operação internacional que permaneceu ativa por anos. A ofensiva mirou empresas estratégicas e órgãos públicos em dezenas de países — e só recentemente teve seus bastidores expostos após uma intervenção decisiva.
A campanha global que colocou o Brasil no radar
O Google revelou ter interrompido uma ampla operação de espionagem digital conhecida como GRIDTIDE. A campanha foi atribuída ao grupo UNC2814, associado à China, e teria atingido organizações de telecomunicações e entidades governamentais em 42 países.
De acordo com a investigação, o grupo atua pelo menos desde 2017, mantendo uma estratégia persistente de infiltração. No Brasil, mais de uma operadora de telecomunicações foi comprometida, com atividades detectadas de forma contínua a partir de 2018.
O foco principal da operação era monitorar pessoas consideradas de interesse, explorando o acesso a registros sensíveis mantidos por empresas do setor de comunicações.
O “disfarce” que ajudou a esconder o ataque
Um dos pontos que mais chamou atenção dos analistas foi a técnica utilizada pelos invasores. Em vez de depender exclusivamente de falhas de segurança tradicionais, o grupo optou por abusar de ferramentas legítimas para se camuflar.
Segundo o Google, os hackers utilizaram a API do Google Sheets como canal de comando e controle (C2). Na prática, isso significa que comandos para o malware eram enviados por meio de planilhas reais na nuvem.
Essa estratégia é especialmente eficaz porque o tráfego gerado parece ser uso comum de serviços corporativos. Sistemas de defesa tradicionais tendem a considerar esse tipo de comunicação como legítima, o que dificulta a detecção precoce da ameaça.
O que o malware GRIDTIDE era capaz de fazer
Para manter o acesso às redes comprometidas, o grupo implantou um software malicioso avançado, também chamado GRIDTIDE. A ferramenta foi projetada para operar de forma discreta e persistente dentro dos sistemas infectados.
Entre as principais capacidades identificadas estão:
- Persistência: o malware continuava ativo mesmo após reinicializações ou encerramento de sessões
- Controle remoto: permitia aos invasores executar comandos e movimentar arquivos dentro dos servidores comprometidos
- Coleta de informações: realizava reconhecimento detalhado das máquinas infectadas, capturando dados como usuário, endereço IP e características do sistema operacional
Esse conjunto de funções transformava o GRIDTIDE em uma poderosa ferramenta de espionagem digital.
O verdadeiro objetivo por trás da operação
As evidências analisadas indicam que a campanha tinha foco claro em vigilância e coleta de inteligência. O acesso a sistemas de telecomunicações abre portas para um nível profundo de monitoramento.
Segundo o Google, foram encontrados indícios de acesso a dados sensíveis, incluindo nomes completos, números de telefone, CPFs, datas de nascimento e até registros eleitorais.
Em operadoras de telefonia, esse tipo de invasão pode permitir o rastreamento de indivíduos específicos — como políticos, jornalistas e executivos — além do monitoramento de SMS e históricos de chamadas.
Como a operação foi interrompida
A resposta veio por meio do Grupo de Inteligência de Ameaças do Google (GTIG) em conjunto com a Mandiant. As equipes adotaram uma série de medidas para desarticular a infraestrutura usada pelos invasores.
Entre as ações tomadas estão:
- Derrubada de projetos maliciosos hospedados no Google Cloud
- Revogação do acesso às APIs do Google Sheets utilizadas como canal de controle
- Notificação direta às vítimas identificadas
- Publicação de Indicadores de Comprometimento (IOCs) para ajudar outras organizações a detectar possíveis infecções
A divulgação desses indicadores permite que empresas de segurança e equipes de TI verifiquem rapidamente se seus sistemas foram afetados.
Embora a campanha tenha sido interrompida, especialistas alertam que operações desse tipo evoluem constantemente. O caso GRIDTIDE reforça um ponto cada vez mais claro no cenário digital: ataques modernos não dependem apenas de falhas técnicas — muitas vezes, eles se escondem justamente no uso aparentemente normal das ferramentas do dia a dia.
[Fonte: Olhar digital]
