O Brasil foi identificado como um dos alvos centrais de uma sofisticada operação global de ciberespionagem conduzida pelo grupo de ameaça persistente TGR-STA-1030 (também conhecido como UNC6619). Segundo relatório da unidade de inteligência Heimdall, da ISH Tecnologia, a campanha é de natureza estatal e visa a obtenção de inteligência estratégica sobre recursos naturais e infraestrutura crítica, colocando o país em uma rota de monitoramento que já atingiu organizações em 37 nações.

Diferente de ataques cibernéticos voltados para extorsão financeira, o objetivo deste grupo é a coleta de informações geopolíticas de longo prazo. Hugo Santos, Diretor de Inteligência de Ameaças da ISH, afirma que "estamos diante de um ator que busca vantagem competitiva e soberana, monitorando de perto setores que sustentam a economia nacional, como energia e a exploração de minerais estratégicos".

A investigação aponta que o grupo demonstra um interesse profundo em organizações ligadas à mineração, especificamente no setor de terras raras, e em infraestruturas de telecomunicações e aviação. O relatório detalha que o reconhecimento realizado pelo grupo abrangeu infraestruturas em 155 nações, evidenciando uma malha de espionagem que busca antecipar decisões sobre políticas públicas e acordos comerciais.

Como exemplo desse cenário de monitoramento de alto escalão, os pesquisadores do Heimdall identificaram evidências de comprometimento relacionado ao Ministério de Minas e Energia (MME). O interesse do grupo estende-se a pastas como Fazenda, Relações Exteriores e Justiça, visando atingir decisores políticos e técnicos com acesso a documentos sensíveis sobre cadeias de suprimento e planejamento estatal.

Táticas de persistência silenciosa 

Para manter o acesso sem detecção, o TGR-STA-1030 utiliza técnicas de "living-off-the-land", ou seja, empregando ferramentas legítimas do sistema para ocultar suas atividades. O acesso inicial é realizado via spear-phishing seletivo e exploração de vulnerabilidades conhecidas (N-day).

“O arsenal técnico inclui o rootkit ShadowGuard, capaz de esconder processos no nível do sistema operacional, e o loader customizado DiaoYu.exe. Essas ferramentas permitem que os atacantes mantenham o comando e controle das redes invadidas por meses, utilizando frameworks como Cobalt Strike e Sliver para exfiltrar dados de forma silenciosa”, explica Santos.

Mitigação e postura de defesa 

A ISH Tecnologia reforça que a proteção contra espionagem estatal exige monitoramento comportamental avançado e gestão rigorosa de vulnerabilidades. A aplicação imediata de patches em sistemas expostos e a implementação de autenticação de múltiplos fatores (MFA) são medidas críticas para elevar a régua de segurança e dificultar a persistência desses agentes em ambientes governamentais e de infraestrutura.