O Ministério de Minas e Energia (MME) entrou no radar de uma suposta operação internacional de ciberespionagem. Segundo um relatório da Unit 42, divisão de inteligência de ameaças da Palo Alto Networks, o grupo identificado como TGR-STA-1030 teria comprometido governos e infraestruturas críticas em 37 países nos últimos 12 meses, incluindo o Brasil.
Procurado, o Ministério de Minas e Energia afirmou que não identificou qualquer tráfego anormal ou tentativa de invasão em seus sistemas, conexões ou plataformas digitais. O órgão reforçou que mantém monitoramento contínuo e adota padrões nacionais e internacionais de segurança da informação.
De acordo com a Unit 42, entre novembro e dezembro de 2025 o grupo realizou varreduras em infraestruturas governamentais de 155 países, em busca de vulnerabilidades e possíveis pontos de entrada. Os pesquisadores avaliam, com alto grau de confiança, que o TGR-STA-1030 atua alinhado a interesses estatais e opera a partir da Ásia. Essa conclusão se baseia no uso de ferramentas regionais, preferências linguísticas, alvos estratégicos e conexões de infraestrutura originadas da região.
Brasil e a corrida pelas terras raras
O interesse no Brasil não seria aleatório. O país possui a segunda maior reserva de minerais de terras raras do mundo, insumos estratégicos para a produção de smartphones, veículos elétricos, turbinas eólicas e equipamentos militares. Dados públicos indicam que as exportações brasileiras desses minerais triplicaram no primeiro semestre de 2025.
Com empresas asiáticas concentrando grande parte do controle global desses recursos, os Estados Unidos passaram a enxergar o Brasil como uma alternativa estratégica. Em outubro de 2025, representantes do governo norte-americano se reuniram com executivos do setor mineral no país. Pouco depois, a Corporação Financeira de Desenvolvimento Internacional dos EUA anunciou um investimento de US$ 465 milhões na mineradora brasileira Serra Verde. O suposto interesse do grupo hacker no ministério brasileiro coincide com esse período de intensificação das negociações.
MME nega qualquer comprometimento
Em nota oficial, o Ministério de Minas e Energia afirmou que seus sistemas são protegidos por tecnologias avançadas, seguem normas rigorosas de segurança da informação e passaram recentemente por atualizações em suas políticas internas. O órgão destacou ainda que, mesmo em um cenário hipotético de acesso indevido, não haveria exposição de informações classificadas ou estratégicas. Como medida preventiva, o ministério informou ter acionado instâncias governamentais de inteligência para acompanhamento do caso.
Alvos estratégicos ao redor do mundo
Segundo a Unit 42, o foco do grupo está em ministérios e departamentos governamentais. Entre as vítimas confirmadas estão órgãos de aplicação da lei, controle de fronteiras, ministérios da Fazenda e entidades ligadas à economia, comércio, recursos naturais e diplomacia. Também foram registrados ataques a parlamentos, autoridades eleitas, empresas nacionais de telecomunicações e organizações policiais e de contraterrorismo.
Phishing altamente direcionado
A principal porta de entrada dos ataques são campanhas de phishing sofisticadas. E-mails falsos, cuidadosamente redigidos para parecerem comunicações oficiais, foram enviados a funcionários públicos, com temas como reorganização ministerial. Os links levavam a arquivos hospedados em serviços legítimos, como o mega.nz, o que ajudava a driblar filtros de segurança.
Ao serem abertos, os arquivos instalavam o malware DiaoYu Loader, projetado para evitar detecção. O programa verifica se está rodando em um ambiente real, checando resolução de tela e arquivos específicos antes de agir. Só então baixa componentes adicionais, incluindo um payload do Cobalt Strike, que permite controle remoto do sistema e roubo de dados.
Rootkit invisível e infraestrutura camuflada
A investigação também identificou o uso de um rootkit avançado para Linux, batizado de ShadowGuard. Ele opera no nível mais profundo do sistema operacional e utiliza tecnologia eBPF, o que o torna extremamente difícil de detectar. O malware consegue ocultar processos, arquivos e diretórios específicos, passando despercebido por ferramentas tradicionais de análise.
Para esconder a origem dos ataques, o grupo utiliza uma infraestrutura em múltiplas camadas, com servidores alugados em países como Estados Unidos, Reino Unido e Singapura, além de proxies residenciais, rede Tor e outros serviços de anonimização. Em raros erros operacionais, os pesquisadores conseguiram rastrear conexões diretas a endereços IP associados à região de origem do grupo.
Ataques alinhados a eventos globais
A Unit 42 também observou uma forte correlação entre as campanhas e eventos geopolíticos reais. Durante o shutdown do governo dos EUA em outubro de 2025, houve aumento de atividades nas Américas, incluindo varreduras em infraestruturas governamentais do Brasil. Na Europa, ações semelhantes ocorreram após encontros diplomáticos sensíveis, enquanto na África o foco esteve ligado a interesses militares e à mineração.
O conjunto das evidências aponta para uma operação de ciberespionagem altamente organizada, com objetivos estratégicos claros e alinhados a disputas econômicas e políticas globais.
