Um grupo de ameaças patrocinado por um Estado comprometeu dezenas de redes governamentais e de infraestrutura crítica em 37 países durante uma operação global batizada de 'Shadow Campaigns'.
Entre novembro e dezembro do ano passado, o mesmo ator realizou atividades de reconhecimento contra entidades governamentais relacionadas a 155 países.
Segundo a divisão Unit 42 da Palo Alto Networks, o grupo está ativo desde pelo menos janeiro de 2024, e há alta confiança de que opera a partir da Ásia.
Enquanto não houver uma atribuição definitiva, os pesquisadores o monitoram sob a designação TGR-STA-1030/UNC6619.
As ações das 'Shadow Campaigns' têm como foco principal ministérios, forças policiais, controle de fronteiras, setores financeiros, comércio, energia, mineração, imigração e agências diplomáticas.
Os especialistas da Unit 42 confirmaram que os ataques comprometeram com sucesso pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países.
Entre os alvos estão órgãos ligados a políticas comerciais, temas geopolíticos e processos eleitorais nas Américas; ministérios e parlamentos em vários países europeus; o Departamento do Tesouro da Austrália; além de entidades governamentais e infraestruturas estratégicas em Taiwan.
A lista de países afetados é extensa e apresenta concentrações regionais alinhadas a eventos específicos, o que indica um planejamento cuidadoso do timing das operações.
Por exemplo, durante a paralisação parcial do governo dos EUA em outubro de 2025, o grupo intensificou as varreduras em entidades da América do Norte, Central e do Sul, incluindo Brasil, Canadá, República Dominicana, Guatemala, Honduras, Jamaica, México, Panamá e Trinidad e Tobago.
Foi detectada uma atividade significativa de reconhecimento contra pelo menos 200 endereços IP ligados à infraestrutura do governo de Honduras, poucos dias antes da eleição nacional, período em que ambos os candidatos demonstraram intenção de restabelecer relações diplomáticas com Taiwan.
A Unit 42 aponta como vítimas comprometidas os seguintes alvos:
- Ministério de Minas e Energia do Brasil
- Rede de uma entidade boliviana associada à mineração
- Dois ministérios do México
- Infraestrutura governamental no Panamá
- Um endereço IP vinculado a uma instalação da Venezolana de Industria Tecnológica
- Organizações governamentais em Chipre, República Tcheca, Alemanha, Grécia, Itália, Polônia, Portugal e Sérvia
- Uma companhia aérea indonésia
- Diversos departamentos e ministérios do governo da Malásia
- Entidade policial da Mongólia
- Grande fornecedor da indústria de equipamentos elétricos de Taiwan
- Departamento governamental da Tailândia, provavelmente com foco em economia e comércio internacional
- Infraestruturas críticas na República Democrática do Congo, Djibuti, Etiópia, Namíbia, Níger, Nigéria e Zâmbia
Além disso, a Unit 42 acredita que o grupo tentou conexões via SSH a infraestruturas associadas ao Departamento do Tesouro da Austrália, Ministério das Finanças do Afeganistão e ao Escritório do Primeiro-Ministro e Conselho de Ministros do Nepal.
Também foram identificados indícios de ataques e tentativas de reconhecimento contra outras organizações, como o governo da República Tcheca (incluindo Exército, Polícia, Parlamento e diversos ministérios) e a infraestrutura da União Europeia, onde o grupo mirou em mais de 600 IPs que hospedam domínios *.europa.eu.
Em julho de 2025, a atividade concentrou-se fortemente na Alemanha, com tentativas de conexão a cerca de 490 IPs ligados a sistemas governamentais.
As fases iniciais das operações utilizaram phishing altamente customizado, enviando e-mails a funcionários governamentais com iscas relacionadas a esforços internos de reorganização ministerial.
Esses e-mails continham links para arquivos maliciosos hospedados no Mega.nz, com nomes localizados.
Os arquivos compactados incluíam um loader de malware chamado Diaoyu e uma imagem PNG de zero bytes denominada pic1.png.
Pesquisadores da Unit 42 explicam que o loader Diaoyu baixava cargas maliciosas do Cobalt Strike e o framework VShell para comunicação comando e controle (C2), mas só executava caso algumas verificações específicas fossem aprovadas, evitando assim análises.
Além do requisito de resolução horizontal da tela igual ou superior a 1.440 pixels, o malware checava a presença do arquivo pic1.png na pasta de execução.
Na ausência desse arquivo, o programa finalizava antes de analisar o host infectado.
Para evitar detecção, o loader também buscava processos em execução relacionados a produtos de segurança como Kaspersky, Avira, Bitdefender, SentinelOne e Norton (Symantec).
Além do phishing, a TGR-STA-1030/UNC6619 explorou pelo menos 15 vulnerabilidades conhecidas para obter acesso inicial.
Foram identificadas falhas exploradas em soluções como SAP Solution Manager, Microsoft Exchange Server, dispositivos D-Link e no sistema operacional Microsoft Windows.
O arsenal de ferramentas do grupo para as operações Shadow Campaigns é amplo, incluindo webshells como Behinder, Godzilla e Neo-reGeorg, além de ferramentas de tunelamento de rede como GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX.
Uma descoberta notável foi um rootkit customizado para o kernel Linux, chamado ShadowGuard, que utiliza a tecnologia eBPF (extended Berkeley Packet Filter).
Segundo os pesquisadores, essa técnica é difícil de detectar por operar completamente no kernel, uma área altamente confiável do sistema.
Isso permite ao malware manipular funções essenciais e logs de auditoria antes que ferramentas de segurança ou monitoramento possam identificar as ações maliciosas.
O ShadowGuard oculta informações de processos maliciosos ao nível do kernel, escondendo até 32 PIDs por meio da interceptação de syscalls.
Também consegue ocultar arquivos e diretórios nomeados 'swsecret' de inspeções manuais, além de permitir que o operador defina processos que permaneçam visíveis.
A infraestrutura utilizada nas Shadow Campaigns inclui servidores legítimos de VPS nos EUA, Singapura e Reino Unido, junto a servidores de retransmissão para ofuscar o tráfego, além de proxies residenciais e rede Tor para camuflagem adicional.
Os pesquisadores notaram que os domínios usados para os servidores de comando e controle (C2) buscavam parecer familiares às vítimas, como a utilização da extensão .gouv para países francófonos ou o domínio dog3rj[.]tech em ataques na região europeia.
Segundo eles, o nome dog3rj pode ser uma referência a 'DOGE Jr', com múltiplos significados no contexto ocidental, incluindo "Department of Government Efficiency" (Departamento de Eficiência Governamental dos EUA) ou o nome de uma criptomoeda.
De acordo com o relatório da Unit 42, TGR-STA-1030/UNC6619 é um ator de espionagem operacionalmente maduro que prioriza informações estratégicas, econômicas e políticas, tendo já impactado dezenas de governos no mundo inteiro.
O documento inclui indicadores de comprometimento (IoCs) para auxiliar equipes de defesa na identificação e bloqueio dessas ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...