Mais de dez anos após ser identificado pela primeira vez, o sofisticado grupo de hackers conhecido como Careto voltou a ser detectado em atividades de espionagem cibernética. O grupo, originalmente descoberto por pesquisadores da Kaspersky em 2014, é apontado internamente como uma operação ligada ao governo espanhol — embora essa atribuição nunca tenha sido feita publicamente pela empresa de segurança.
A operação do Careto foi inicialmente revelada após um ataque a sistemas governamentais cubanos, considerados o “paciente zero” da investigação. Desde então, os pesquisadores encontraram rastros de infecções em pelo menos 31 países, incluindo Brasil, França, Marrocos, Reino Unido e Venezuela, atingindo governos, empresas privadas, instituições de pesquisa e ativistas.
O malware do Careto, altamente furtivo e avançado para a época, era capaz de interceptar tráfego de internet, capturar teclas digitadas, fazer capturas de tela, roubar chaves de criptografia e acessar dispositivos como PCs Windows, Macs, Linux, além de possíveis variantes para Android e iOS. As campanhas do grupo utilizavam principalmente spearphishing, com links maliciosos que se passavam por veículos de comunicação espanhóis ou temas políticos.
Na ocasião, apesar de encontrarem indícios culturais e técnicos que apontavam para a Espanha — como uma expressão típica espanhola no código do malware e ícones relacionados à cultura espanhola — a Kaspersky manteve sua política de “não atribuição”, preferindo não responsabilizar publicamente qualquer Estado.
Contudo, ex-funcionários da Kaspersky ouvidos pelo TechCrunch revelaram que, internamente, os pesquisadores tinham “alta confiança” de que o Careto operava a serviço do governo espanhol. Entre os alvos prioritários estavam Cuba — onde o malware foi disseminado amplamente — e Gibraltar, território britânico de interesse estratégico para a Espanha.
Após a exposição pública em 2014, o grupo encerrou rapidamente suas operações, removendo evidências de sua infraestrutura de forma coordenada — uma prática rara que o colocou entre as elites do ciberespionagem.
Retorno em 2024: novas campanhas na América Latina e África
Em maio de 2024, a Kaspersky anunciou a detecção de uma nova campanha atribuída ao Careto, marcando o retorno do grupo após anos de silêncio. O malware foi encontrado em uma organização não identificada na América Latina — comprometida anteriormente pelo grupo em 2012, 2019 e 2022 — e em outra vítima localizada na África Central.
A nova operação manteve a sofisticação: os hackers invadiram servidores de e-mail, instalaram implantes para captura de tela, keylogging e acesso remoto, além de acionar microfones de forma clandestina, sem alertar os usuários. Os especialistas observaram ainda o roubo de documentos, cookies de sessão e históricos de navegação.
Segundo os pesquisadores Georgy Kucherin e Marc Rivero López, que apresentaram os achados na conferência Virus Bulletin 2024, o grupo “continua extremamente competente”, mesmo cometendo pequenos erros que permitiram sua identificação.
Apesar das evidências acumuladas, a Kaspersky manteve a cautela: “Provavelmente é um Estado-nação, mas não podemos afirmar tecnicamente quem desenvolveu o malware”, disse Kucherin ao TechCrunch.
Careto: uma operação “artesanal” de espionagem estatal
O Careto se junta a uma seleta lista de operações ocidentais de ciberespionagem já discutidas publicamente, como o Equation Group (EUA), os Lamberts (supostamente CIA) e a “Revolução dos Bichos” (França). A sofisticação, o foco em alvos estratégicos e a cautela operacional consolidam o grupo como uma das mais notáveis ameaças persistentes avançadas (APT) do cenário cibernético.
Segundo Kucherin, “os ataques deles são uma obra-prima”. Comparado a outros grupos estatais, como o norte-coreano Lazarus ou o chinês APT41, o Careto é considerado “uma ameaça pequena, mas que supera as grandes em complexidade”.
A Kaspersky conclui que, mesmo após mais de uma década, o Careto segue como uma ameaça ativa e altamente sofisticada, representando um alerta para governos e organizações sobre a evolução constante do ciberespionagem global.
