Uma campanha avançada de espionagem digital está mirando empresas de telecomunicações na América do Sul desde 2024. O alerta foi divulgado pela Cisco Talos, que identificou atividades atribuídas a um grupo de hackers com forte probabilidade de ligação com o governo chinês.
O grupo foi catalogado como UAT-9244 e utiliza três tipos de malwares inéditos combinados com técnicas sofisticadas de ocultação para invadir redes de internet, telefonia e dados sem levantar suspeitas.
Origem e possíveis ligações com outros grupos
Segundo a investigação da Cisco Talos, o UAT-9244 funciona como um núcleo independente, mas compartilha ferramentas e táticas com outros coletivos de espionagem digital associados à China, como Famous Sparrow e Tropic Trooper.
Os analistas classificaram a atribuição ao governo chinês com “alta confiança”, um nível usado em inteligência quando existem evidências técnicas consistentes. Entre os indícios estão semelhanças no código utilizado, infraestrutura de comando e controle e métodos de distribuição de malware já vistos em outras campanhas.
Outro detalhe chamou atenção dos pesquisadores: os arquivos maliciosos continham strings de debug em Chinês Simplificado. Essas anotações costumam ser deixadas por programadores durante o desenvolvimento e, nesse caso, indicam que os softwares foram criados por desenvolvedores que utilizam mandarim.
Por que o alvo são as telecomunicações?
Operadoras de telecomunicações são consideradas infraestrutura crítica. Controlar ou monitorar suas redes pode permitir acesso a chamadas telefônicas, tráfego de dados corporativos, comunicações governamentais e até sistemas de segurança pública que dependem dessas conexões.
O fato de o grupo focar especificamente em telecoms sul-americanas sugere que o objetivo não é financeiro — como ocorre em ataques de ransomware — mas sim estratégico. A coleta de dados de comunicação em uma região com crescente importância econômica e política para a China aponta para motivações geopolíticas.
As três ferramentas usadas no ataque
A campanha utiliza três famílias de malware com funções distintas dentro da operação.
A primeira delas é o TernDoor, criado para comprometer computadores com Microsoft Windows. Ele se infiltra por meio de uma técnica chamada DLL side-loading, na qual uma biblioteca legítima do sistema é substituída por uma versão adulterada. Assim, um programa confiável carrega o arquivo malicioso sem perceber a alteração.
Uma vez ativo, o TernDoor coleta informações do sistema, executa comandos remotos, manipula arquivos e até permite que os próprios invasores apaguem seus rastros. Para permanecer ativo após reinicializações, o malware modifica o registro do sistema e cria tarefas agendadas ocultas.
O segundo malware é o PeerTime, voltado para servidores Linux e dispositivos de rede como roteadores e switches. Seu diferencial está no canal de comunicação: em vez de usar protocolos tradicionais, ele se conecta aos servidores dos invasores por meio do protocolo BitTorrent.
Com isso, o tráfego malicioso se mistura ao tráfego comum da rede, dificultando a detecção. O PeerTime também foi compilado para diversas arquiteturas de processador — como ARM, PPC e MIPS — o que permite infectar diferentes tipos de equipamentos de rede.
O terceiro componente da operação é o BruteEntry, responsável por ampliar o alcance da campanha. Após comprometer um dispositivo, o malware o transforma em um ponto de ataque que tenta invadir novos sistemas.
Essas máquinas infectadas passam a atuar como Operational Relay Boxes (ORBs), realizando varreduras e ataques de força bruta contra serviços como OpenSSH, PostgreSQL e Apache Tomcat.
Ataques de força bruta consistem em testar automaticamente milhares de combinações de usuário e senha até encontrar uma que funcione. Como os ataques partem das máquinas já comprometidas, o tráfego parece vir das próprias vítimas, dificultando o rastreamento e o bloqueio.
Como se proteger
A Cisco Talos recomenda que empresas verifiquem possíveis sinais de comprometimento. Em sistemas Windows, é importante investigar a presença de arquivos suspeitos como WSPrint.exe e BugSplatRc64.dll, além de tarefas agendadas incomuns.
Em ambientes Linux e dispositivos de rede, o monitoramento deve focar em processos associados ao PeerTime e ao BruteEntry, bem como em tráfego BitTorrent anômalo.
Entre as medidas estruturais sugeridas estão:
- habilitar autenticação multifator em serviços administrativos, especialmente SSH;
- restringir acesso remoto a interfaces de gestão expostas na internet;
- adotar soluções de EDR (Endpoint Detection and Response) para monitoramento contínuo de comportamento suspeito;
- atualizar firmware de roteadores e switches, que muitas vezes ficam fora das rotinas de segurança.
Equipamentos de borda pouco monitorados continuam sendo um dos pontos favoritos de grupos de espionagem digital. Quando um invasor controla essa camada da rede, ele não apenas coleta informações — ele passa a observar o fluxo inteiro de comunicação que atravessa o sistema. E isso, em geopolítica digital, vale ouro.
