O Google anunciou nesta semana a interrupção de uma campanha global de espionagem digital conhecida como GRIDTIDE, conduzida pelo grupo de ameaças UNC2814, ligado à China. A operação teve como alvo empresas de telecomunicações e órgãos governamentais em pelo menos 42 países — incluindo o Brasil — e estaria ativa desde 2017.
De acordo com a empresa, os invasores mantiveram acesso prolongado a sistemas sensíveis, permitindo a vigilância contínua de indivíduos considerados “pessoas de interesse”. No território brasileiro, o ataque comprometeu mais de uma operadora de telecomunicações e apresentou sinais de atividade persistente desde 2018.
Espionagem baseada em ferramentas legítimas
Diferente de ataques tradicionais que exploram vulnerabilidades de software, o grupo utilizou uma estratégia mais discreta: o abuso de serviços legítimos em nuvem para evitar detecção.
Os criminosos passaram a usar a API do Google Sheets como infraestrutura de comando e controle (C2). Na prática, comandos eram enviados ao malware por meio de planilhas reais hospedadas no serviço do Google, fazendo com que o tráfego parecesse uma atividade corporativa comum — dificultando a identificação por sistemas de segurança.
O funcionamento do malware GRIDTIDE
Após o comprometimento inicial, os invasores implantavam o malware GRIDTIDE nos dispositivos afetados. O software malicioso foi projetado para permanecer ativo mesmo após reinicializações ou encerramento de sessões.
Entre as capacidades identificadas estão execução remota de comandos, envio e download de arquivos e coleta detalhada de informações do sistema, como endereço IP, usuário logado e características do sistema operacional.
Foco em vigilância e coleta de inteligência
Segundo o Google, o principal objetivo da operação era espionagem estratégica. Evidências indicam acesso a dados altamente sensíveis, incluindo nomes completos, números de telefone, CPF, datas de nascimento e registros eleitorais.
Em ambientes de telecomunicações, esse tipo de acesso pode permitir o monitoramento de chamadas, mensagens SMS e a localização indireta de alvos específicos, como autoridades públicas, jornalistas e executivos.
Como a operação foi interrompida
A resposta envolveu equipes de inteligência de ameaças do Google e da Mandiant, que atuaram para desmantelar a infraestrutura utilizada pelo grupo.
As medidas incluíram a desativação de projetos maliciosos hospedados no Google Cloud, revogação do acesso às APIs exploradas pelos invasores e notificação direta às organizações afetadas. Além disso, foram divulgados Indicadores de Comprometimento (IOCs), permitindo que outras empresas verifiquem possíveis infecções em seus próprios ambientes.
O caso reforça uma tendência crescente no cenário de ciberespionagem: ataques cada vez menos barulhentos, que exploram ferramentas legítimas do cotidiano digital para permanecer invisíveis dentro das redes por anos.
