Um grupo de ciberespionagem até então desconhecido, atuando na Ásia, invadiu as redes de pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países ao longo do último ano.
A descoberta é resultado de uma nova análise da Unit 42, equipe de inteligência da Palo Alto Networks.
Entre novembro e dezembro de 2025, os hackers foram observados realizando atividades de reconhecimento ativo contra infraestrutura governamental vinculada a 155 países.
Entre as vítimas confirmadas estão cinco órgãos nacionais de aplicação da lei e controle de fronteiras, três ministérios da Fazenda, além de diversas outras pastas relacionadas às áreas econômica, comercial, de recursos naturais e diplomática.
A Palo Alto Networks nomeou o grupo como TGR-STA-1030, em que "TGR" significa temporary threat group (grupo temporário de ameaça) e "STA" indica motivação estatal.
Os indícios apontam que o ator iniciou suas operações em janeiro de 2024.
Embora a origem exata do grupo ainda seja incerta, a análise da Unit 42 indica uma conexão asiática, com base no uso de ferramentas regionais, preferência de idioma, escolhas de alvos que refletem eventos e interesses da região, e horários de atividade alinhados ao fuso GMT+8.
O vetor inicial de ataque costuma ser campanhas de phishing que induzem as vítimas a clicar em links direcionados ao serviço de armazenamento de arquivos MEGA, sediado na Nova Zelândia.
Esses links hospedam arquivos ZIP contendo um executável chamado Diaoyu Loader e um arquivo de zero bytes nomeado "pic1.png".
Esse malware opera em duas etapas, com mecanismos para impedir análise automatizada em sandbox.
De acordo com a Unit 42, além de verificar se a resolução horizontal do hardware é igual ou superior a 1440 pixels, o Diaoyu Loader também confere a presença específica do arquivo "pic1.png" no diretório de execução.
Esse arquivo atua como um mecanismo de integridade, fazendo o malware encerrar sua execução caso não seja encontrado na localização correta.
Somente após essa validação, o malware verifica se estão em execução soluções de segurança de fornecedores como Avira ("SentryEye.exe"), Bitdefender ("EPSecurityService.exe"), Kaspersky ("Avp.exe"), SentinelOne ("SentinelUI.exe") e Symantec ("NortonSecurity.exe").
Ainda não está claro por que o grupo busca especificamente esses produtos.
O objetivo final do loader é baixar três imagens — "admin-bar-sprite.png", "Linux.jpg" e "Windows.jpg" — de um repositório GitHub chamado "WordPress", que servem como meio para carregar payloads do Cobalt Strike.
O perfil no GitHub associado ("github.com/padeqav") já não está mais disponível.
Além disso, o grupo TGR-STA-1030 tentou explorar diversas vulnerabilidades conhecidas (N-day) em softwares de empresas como Microsoft, SAP, Atlassian, Ruijie Networks, Commvault e Eyou Email System para obter acesso inicial às redes.
Até o momento, não há evidências do uso de zero-day exploits nessas operações.
O arsenal do grupo inclui frameworks para comando e controle (C2) como Cobalt Strike, VShell, Havoc, Sliver e SparkRAT; web shells como Behinder, neo-reGeorg e Godzilla; além de ferramentas de tunelamento, incluindo GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX.
Vale destacar que os web shells empregados são frequentemente associados a grupos chineses de hackers.
Outro destaque é o rootkit para kernel Linux denominado ShadowGuard, que utiliza a tecnologia Extended Berkeley Packet Filter (eBPF) para ocultar informações de processos, interceptar chamadas críticas do sistema e esconder diretórios e arquivos com o nome "swsecret".
Segundo a Unit 42, o grupo costuma alugar e configurar seus servidores de comando e controle (C2) em infraestruturas legítimas de provedores confiáveis de VPS.
Além disso, eles usam servidores VPS adicionais para fazer relay do tráfego, dificultando a rastreabilidade.
A análise aponta que o grupo conseguiu manter acesso persistente por meses em várias organizações comprometidas, demonstrando esforço prolongado para coletar informações.
A Palo Alto Networks alerta que o TGR-STA-1030 continua sendo uma ameaça ativa e significativa para governos e infraestruturas críticas ao redor do mundo.
Seu foco principal são ministérios e departamentos governamentais, com motivações de espionagem.
A prioridade do grupo parece recair sobre países que possuem ou buscam parcerias econômicas específicas.
Embora suas atividades tenham objetivos de espionagem, os métodos empregados, os alvos selecionados e a escala operacional do grupo são preocupantes, apontando para impactos duradouros na segurança nacional e em serviços essenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...