Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreih25ktkwdywybvn23enmw4e64qkicmnyhybthfona6x4cpoxc6pnq",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mggft7xh3df2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreieuxipi4qqm5svskwyehgxm6dlpnkvnodaio24jsmbg7j2twqwi64"
    },
    "mimeType": "image/jpeg",
    "size": 30909
  },
  "path": "/seguranca/411406-china-mira-operadoras-brasileiras-em-campanha-de-espionagem-digital.htm",
  "publishedAt": "2026-03-06T22:20:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Um**grupo de hackers com alta probabilidade de vínculo ao governo chinês** está conduzindo uma campanha sistemática de espionagem contra provedores de telecomunicações na América do Sul desde 2024. O alerta foi publicado nesta semana pela Cisco Talos, organização de inteligência em cibersegurança.\n\n O grupo, identificado como **UAT-9244, utiliza três programas maliciosos inéditos e técnicas sofisticadas de ocultação** para comprometer redes de internet, telefonia e dados sem ser detectado.\n\n## A origem do UAT-9244\n\n**A Cisco Talos identificou o UAT-9244 como um aglomerado de atividade independente** , mas estreitamente associado a grupos já conhecidos, o Famous Sparrow e o Tropic Trooper. O grupo **compartilha ferramentas e táticas de ataque semelhantes com esses coletivos** , mas, devido às particularidades observadas, os especialistas o monitoram como um núcleo de atividade separado.\n\nA **atribuição à China é feita com o que os pesquisadores chamam de \"alta confiança\"** , uma escala usada na inteligência para indicar o grau de certeza de uma conclusão. Essa confiança **se baseia em evidências técnicas concretas** , uma vez que a atribuição se apoia em identidade de código, infraestrutura de comando e controle e metodologias de distribuição semelhantes às de outros grupos chineses conhecidos.\n\nAlém disso, **os próprios arquivos dos programas maliciosos deixaram rastros** , já que os pesquisadores **notaram strings de debug em Chinês Simplificado nos binários** , um indicador direto da origem dos desenvolvedores. \"Strings de debug\" são anotações que programadores deixam no código durante o desenvolvimento, neste caso, escritas em mandarim.\n\n## Por que telecomunicações?\n\nAs operadoras de telecomunicações são, na prática, **a espinha dorsal das comunicações de um país inteiro**. Quem controla a infraestrutura de uma operadora tem acesso potencial a ligações telefônicas, tráfego de dados corporativos, comunicações governamentais e até sistemas de segurança pública que dependem dessas redes.\n\nO **foco exclusivo nas telecomunicações sul-americanas distingue o UAT-9244 de outros grupos chineses** , ainda que compartilhe características comuns de arsenal técnico com eles. Isso indica que o interesse não é financeiro, não se trata de ransomware para extorquir dinheiro.\n\nAo coletar inteligência de comunicações em uma região de crescente interesse econômico e político para a China, é possível afirmar que o interesse é geopolítico.\n\n## As três armas do ataque\n\nA investigação revelou **a utilização de três famílias de software malicioso que nunca tinham sido documentadas anteriormente**. Cada uma tem um papel distinto na operação.\n\nO primeiro programa é o **TernDoor** , desenvolvido para comprometer computadores com Windows. Ele entra no sistema por meio de uma técnica chamada DLL side-loading. Em vez de instalar um arquivo obviamente malicioso, ele **substitui sorrateiramente uma biblioteca de sistema legítima por uma versão adulterada**.\n\nO programa confiável do Windows **carrega essa biblioteca sem perceber a troca**. Uma vez iniciado, o TernDoor coleta informações do sistema, executa comandos remotos, lê e escreve arquivos e suporta desinstalação com um parâmetro específico, ou seja, os atacantes podem apagar os próprios rastros à distância.\n\nPara permitir que continue ativo mesmo após reinicializações, o grupo programa a permanência nos sistemas infectados por meio da modificação do registro e da criação de tarefas agendadas ocultas.\n\nO segundo programa é o PeerTime, voltado para servidores Linux e dispositivos de rede embarcados, como roteadores e switches.\n\nSua característica mais sofisticada é o canal de comunicação que usa, já que em vez de se comunicar com os servidores dos atacantes por protocolos convencionais, que sistemas de segurança monitoram, ele usa o protocolo BitTorrent, o mesmo utilizado para compartilhamento de arquivos na internet.\n\nIsso **faz com que o tráfego malicioso se misture com o tráfego comum e passe despercebido**. O PeerTime é compilado para diversas arquiteturas de processador, como ARM, AARCH, PPC e MIPS, o que indica que pode infectar uma variedade de sistemas embarcados, incluindo os equipamentos de rede que raramente recebem atualizações de segurança e costumam ser ignorados em estratégias de proteção.\n\nO terceiro programa é o BruteEntry, e **sua função é expandir o alcance do ataque**. Depois que um dispositivo é comprometido, o BruteEntry o transforma em um \"soldado digital\" que passa a atacar outros sistemas em nome dos hackers.\n\nO BruteEntry transforma os dispositivos comprometidos em nós de varredura, conhecidos como Operational Relay Boxes (ORBs), usando as máquinas infectadas para escanear novos alvos e forçar o acesso a serviços como SSH, Postgres e Tomcat por meio de ataques de força bruta.\n\nUm ataque de força bruta é quando o sistema testa automaticamente milhares de combinações de usuário e senha até encontrar uma que funcione.\n\nA consequência prática dos ORBs é que **os ataques subsequentes parecem partir do endereço IP da vítima original** , não do servidor dos hackers na China. Isso cria uma cadeia de rastreamento extremamente difícil de seguir e dificulta o bloqueio baseado em endereços conhecidos.\n\n## Como se defender\n\nA Cisco Talos recomenda verificar em sistemas Windows a presença dos arquivos WSPrint.exe e BugSplatRc64.dll, além de tarefas agendadas suspeitas. Em Linux, é necessário monitorar processos relacionados ao PeerTime e ao Talos Intelligence BruteEntry, bem como tráfego BitTorrent anômalo em dispositivos de borda.\n\nDo ponto de vista estrutural, as principais recomendações são:\n\n  * **Auditar arquivos suspeitos no Windows:** verificar a presença de WSPrint.exe e BugSplatRc64.dll e inspecionar tarefas agendadas ocultas;\n  * **Monitorar dispositivos Linux e de borda:** identificar processos anômalos relacionados ao PeerTime e ao BruteEntry;\n  * **Bloquear tráfego BitTorrent em equipamentos de rede:** o PeerTime usa esse protocolo para disfarçar sua comunicação com os servidores dos atacantes;\n  * **Ativar autenticação de múltiplos fatores** em serviços administrativos, especialmente SSH;\n  * **Restringir o acesso remoto a interfaces de gestão:** nenhuma delas deveria estar exposta diretamente à internet sem controles rígidos;\n  * **Adotar soluções EDR (Endpoint Detection and Response):** ferramentas que monitoram comportamentos suspeitos nos dispositivos em tempo real, além dos antivírus tradicionais;\n  * **Atualizar firmware de roteadores e switches:** equipamentos de borda raramente recebem atenção nas rotinas de segurança e são um vetor preferencial desse grupo.\n\n\n\nAcompanhe o TecMundo nas redes sociais para mais notícias sobre cibersegurança.",
  "title": "China mira operadoras brasileiras em campanha de espionagem digital"
}