{"id":172010,"date":"2026-02-05T06:05:50","date_gmt":"2026-02-05T14:05:50","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=172010"},"modified":"2026-02-06T06:49:44","modified_gmt":"2026-02-06T14:49:44","slug":"shadow-campaigns-uncovering-global-espionage","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/","title":{"rendered":"The Shadow Campaigns: Revelando a Espionagem Global"},"content":{"rendered":"<h2><a id=\"post-172010-_t6v7i2o8sov\"><\/a>Resumo Executivo<\/h2>\n<p>Esta investiga\u00e7\u00e3o revela um novo grupo de ciberespionagem que a Unit 42 rastreia como TGR-STA-1030. Referimo-nos \u00e0 atividade do grupo como <em>Shadow Campaigns<\/em> (\"Campanhas das Sombras\"). Avaliamos com alta confian\u00e7a que o TGR-STA-1030 \u00e9 um grupo alinhado a um Estado que opera a partir da \u00c1sia. No \u00faltimo ano, esse grupo comprometeu organiza\u00e7\u00f5es governamentais e de infraestrutura cr\u00edtica em 37 pa\u00edses. Isso significa que aproximadamente um em cada cinco pa\u00edses sofreu uma viola\u00e7\u00e3o cr\u00edtica por parte desse grupo no \u00faltimo ano. Al\u00e9m disso, entre novembro e dezembro de 2025, observamos o grupo conduzindo reconhecimento ativo contra infraestruturas governamentais associadas a 155 pa\u00edses.<\/p>\n<p>Este grupo visa principalmente minist\u00e9rios e departamentos governamentais. Por exemplo, o grupo comprometeu com sucesso:<\/p>\n<ul>\n<li>Cinco entidades de n\u00edvel nacional de seguran\u00e7a p\u00fablica\/controle de fronteiras<\/li>\n<li>Tr\u00eas minist\u00e9rios da fazenda e v\u00e1rios outros minist\u00e9rios governamentais<\/li>\n<li>Departamentos globais alinhados com fun\u00e7\u00f5es econ\u00f4micas, comerciais, de recursos naturais e diplom\u00e1ticas<\/li>\n<\/ul>\n<p>Dada a escala do comprometimento e a import\u00e2ncia dessas organiza\u00e7\u00f5es, notificamos as entidades impactadas e oferecemos assist\u00eancia por meio de protocolos de divulga\u00e7\u00e3o respons\u00e1vel.<\/p>\n<p>Aqui descrevemos a sofistica\u00e7\u00e3o t\u00e9cnica dos atores, incluindo o phishing e as t\u00e9cnicas de explora\u00e7\u00e3o, ferramentas e infraestrutura utilizadas pelo grupo. Fornecemos indicadores defensivos para incluir infraestrutura que est\u00e1 ativa no momento desta publica\u00e7\u00e3o. Al\u00e9m disso, exploramos em profundidade a vitimologia por regi\u00e3o com a inten\u00e7\u00e3o de demonstrar as supostas motiva\u00e7\u00f5es do grupo. Os resultados indicam que esse grupo prioriza esfor\u00e7os contra pa\u00edses que estabeleceram ou est\u00e3o explorando certas parcerias econ\u00f4micas.<\/p>\n<p>Al\u00e9m disso, tamb\u00e9m compartilhamos previamente esses indicadores com pares do setor para garantir defesas robustas em toda a ind\u00fastria contra esse ator de amea\u00e7a.<\/p>\n<p>Os clientes da Palo Alto Networks est\u00e3o mais protegidos contra as amea\u00e7as descritas neste artigo por meio de produtos e servi\u00e7os, incluindo:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> e<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\"><strong>Cortex XDR<\/strong><\/a> e <strong><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/strong><\/li>\n<\/ul>\n<p>Se voc\u00ea acredita que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipe de Resposta a Incidentes da Unit 42<\/a>.<\/p>\n<table style=\"width: 94.7783%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>T\u00f3picos Relacionados da Unit 42<\/b><\/td>\n<td style=\"width: 200.36%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/tag\/asia\/\" target=\"_blank\" rel=\"noopener\"><b>\u00c1sia<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/tag\/phishing\/\" target=\"_blank\" rel=\"noopener\">Phishing<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-172010-_klc9quup6s2k\"><\/a>Introdu\u00e7\u00e3o ao Ator<\/h2>\n<p>A Unit 42 identificou pela primeira vez o TGR-STA-1030 (tamb\u00e9m conhecido como UNC6619) ao investigar um cluster de campanhas de phishing maliciosas (referidas aqui como <em>Shadow Campaigns<\/em>) visando governos europeus no in\u00edcio de 2025. Usamos o prefixo<a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\"> TGR-STA<\/a> como um marcador para denotar um grupo tempor\u00e1rio de atividade alinhada a um Estado, enquanto continuamos a refinar a atribui\u00e7\u00e3o a uma organiza\u00e7\u00e3o espec\u00edfica.<\/p>\n<p>Desde nossa investiga\u00e7\u00e3o inicial, identificamos infraestrutura do ator que remonta a janeiro de 2024, sugerindo que o grupo est\u00e1 ativo h\u00e1 pelo menos dois anos. No \u00faltimo ano, monitoramos a evolu\u00e7\u00e3o e expans\u00e3o do grupo \u00e0 medida que ele comprometeu:<\/p>\n<ul>\n<li>Cinco entidades de n\u00edvel nacional de seguran\u00e7a p\u00fablica\/controle de fronteiras<\/li>\n<li>Tr\u00eas minist\u00e9rios da fazenda e v\u00e1rios outros minist\u00e9rios governamentais<\/li>\n<li>Departamentos globais alinhados com fun\u00e7\u00f5es econ\u00f4micas, comerciais, de recursos naturais e diplom\u00e1ticas<\/li>\n<\/ul>\n<p>Avaliamos com alta confian\u00e7a que o TGR-STA-1030 \u00e9 um grupo alinhado a um Estado que opera a partir da \u00c1sia. Baseamos essa avalia\u00e7\u00e3o nas seguintes descobertas:<\/p>\n<ul>\n<li>Uso frequente de ferramentas e servi\u00e7os regionais<\/li>\n<li>Prefer\u00eancias de configura\u00e7\u00e3o de idioma<\/li>\n<li>Segmenta\u00e7\u00e3o de alvos e cronogramas que se alinham rotineiramente com eventos e intelig\u00eancia de interesse para a regi\u00e3o<\/li>\n<li>Conex\u00f5es <em>upstream<\/em> para infraestrutura operacional origin\u00e1ria da regi\u00e3o<\/li>\n<li>Atividade do ator alinhada rotineiramente com o fuso hor\u00e1rio GMT+8<\/li>\n<\/ul>\n<p>Al\u00e9m disso, descobrimos que um dos invasores usa o <em>handle<\/em> \u201cJackMa\u201d, que pode se referir ao empres\u00e1rio bilion\u00e1rio e filantropo que cofundou o Alibaba Group e a Yunfeng Capital.<\/p>\n<h2><a id=\"post-172010-_j5gtmu5kzd6b\"><\/a>Phishing<\/h2>\n<p>Em fevereiro de 2025, a Unit 42 investigou um cluster de campanhas de phishing maliciosas visando governos europeus. Essas campanhas seguiram um padr\u00e3o de envio para destinat\u00e1rios de e-mail governamentais com uma isca de reorganiza\u00e7\u00e3o de minist\u00e9rio ou departamento e links para arquivos maliciosos hospedados no <span style=\"font-family: 'courier new', courier, monospace;\">mega[.]nz<\/span>. A Figura 1 abaixo mostra um exemplo.<\/p>\n<figure id=\"attachment_172011\" aria-describedby=\"caption-attachment-172011\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172011 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-768025-172010-1.png\" alt=\"Captura de tela de e-mail de phishing, traduzida. E-mail anunciando mudan\u00e7as organizacionais em um minist\u00e9rio governamental, enfatizando melhorias na intera\u00e7\u00e3o global e na efici\u00eancia estrutural. Inclui um link para detalhes das altera\u00e7\u00f5es e um convite para envio de feedback.\" width=\"900\" height=\"532\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-768025-172010-1.png 946w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-768025-172010-1-745x440.png 745w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-768025-172010-1-768x454.png 768w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-172011\" class=\"wp-caption-text\">Figura 1. Exemplo de e-mail de phishing (traduzido).<\/figcaption><\/figure>\n<p>Clicar no link baixa um arquivo compactado com idioma e nomenclatura consistentes com o pa\u00eds e minist\u00e9rio visados.<\/p>\n<p>Avaliamos que uma entidade governamental da Est\u00f4nia identificou a campanha e carregou um desses<a href=\"https:\/\/www.virustotal.com\/gui\/file\/66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0\" target=\"_blank\" rel=\"noopener\"> arquivos zip<\/a> em um reposit\u00f3rio p\u00fablico de malware. Neste caso, o nome do arquivo estoniano era:<\/p>\n<p style=\"padding-left: 40px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip<\/span><\/p>\n<p>Isso se traduz como <span style=\"font-family: 'courier new', courier, monospace;\">Mudan\u00e7as na estrutura organizacional do Conselho de Pol\u00edcia e Guarda de Fronteiras.zip<\/span><\/p>\n<h3><a id=\"post-172010-_ix7qaca6kgq7\"><\/a><strong>Loader<\/strong> Diaoyu<\/h3>\n<p>Ao analisar o arquivo compactado, descobrimos que o conte\u00fado foi modificado pela \u00faltima vez em 14 de fevereiro de 2025. Al\u00e9m disso, o pr\u00f3prio arquivo cont\u00e9m<a href=\"https:\/\/www.virustotal.com\/gui\/file\/23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe\" target=\"_blank\" rel=\"noopener\"> um arquivo execut\u00e1vel<\/a> contendo um nome id\u00eantico ao ZIP e um arquivo de zero byte chamado <span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>.<\/p>\n<p>Revisando os metadados do execut\u00e1vel, descobrimos que a vers\u00e3o do arquivo \u00e9 apresentada como <span style=\"font-family: 'courier new', courier, monospace;\">2025,2,13,0<\/span>, sugerindo que o arquivo foi provavelmente criado um dia antes, em 13 de fevereiro. Essa data tamb\u00e9m corresponde ao <em>timestamp<\/em> de compila\u00e7\u00e3o PE.<\/p>\n<p>Al\u00e9m disso, os metadados mostram que o nome original do arquivo era <span style=\"font-family: 'courier new', courier, monospace;\">DiaoYu.exe<\/span>. O termo Diaoyu traduz-se como pesca, ou <em>phishing<\/em> em um contexto de seguran\u00e7a cibern\u00e9tica.<\/p>\n<p>O malware emprega um <em>guardrail<\/em> (medida de prote\u00e7\u00e3o) de execu\u00e7\u00e3o de duplo est\u00e1gio para frustrar a an\u00e1lise automatizada em <em>sandbox<\/em>. Al\u00e9m do requisito de hardware de uma resolu\u00e7\u00e3o de tela horizontal maior ou igual a 1440, a amostra realiza uma verifica\u00e7\u00e3o de depend\u00eancia ambiental para um arquivo espec\u00edfico (<span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>) em seu diret\u00f3rio de execu\u00e7\u00e3o.<\/p>\n<p>Nesse contexto, pic1.png atua como uma verifica\u00e7\u00e3o de integridade baseada em arquivo. Se a amostra de malware for enviada para uma <em>sandbox<\/em> isoladamente, a aus\u00eancia desse arquivo auxiliar faz com que o processo termine graciosamente antes da detona\u00e7\u00e3o, mascarando efetivamente seu comportamento malicioso. Somente ap\u00f3s satisfazer esses pr\u00e9-requisitos o malware prossegue para auditar o host em busca dos seguintes produtos de seguran\u00e7a cibern\u00e9tica:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Avp.exe<\/span> (Kaspersky)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentryEye.exe<\/span> (Avira)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">EPSecurityService.exe<\/span> (Bitdefender)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentinelUI.exe<\/span> (Sentinel One)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">NortonSecurity.exe<\/span> (Symantec)<\/li>\n<\/ul>\n<p>Essa sele\u00e7\u00e3o restrita de produtos \u00e9 interessante, e n\u00e3o est\u00e1 claro por que o ator escolheu procurar apenas esses produtos espec\u00edficos. Embora v\u00e1rias fam\u00edlias de malware verifiquem comumente a presen\u00e7a de produtos antiv\u00edrus, os autores de malware normalmente incluem uma lista mais abrangente que engloba uma variedade de fornecedores globais.<\/p>\n<p>Ap\u00f3s verificar esses produtos, o malware baixa os seguintes arquivos do GitHub:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/admin-bar-sprite[.]png<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Linux[.]jpg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Windows[.]jpg<\/span><\/li>\n<\/ul>\n<p>Deve-se notar que o projeto GitHub padeqav n\u00e3o est\u00e1 mais dispon\u00edvel.<\/p>\n<p>Finalmente, o malware realiza uma s\u00e9rie de a\u00e7\u00f5es nesses arquivos que resultam, em \u00faltima inst\u00e2ncia, na instala\u00e7\u00e3o de um payload do Cobalt Strike.<\/p>\n<h2><a id=\"post-172010-_g0dwvneq20p\"><\/a>Explora\u00e7\u00e3o<\/h2>\n<p>Al\u00e9m das campanhas de phishing, o grupo frequentemente combina tentativas de explora\u00e7\u00e3o com suas atividades de reconhecimento para obter acesso inicial \u00e0s redes alvo. At\u00e9 o momento, n\u00e3o observamos o grupo desenvolvendo, testando ou implantando quaisquer <em>exploits<\/em> de dia zero (<em>zero-day<\/em>). No entanto, avaliamos que o grupo se sente confort\u00e1vel testando e implantando uma ampla gama de ferramentas comuns, kits de explora\u00e7\u00e3o e c\u00f3digo de prova de conceito para <em>exploits<\/em> de dia N (<em>N-day<\/em>).<\/p>\n<p>Por exemplo, no \u00faltimo ano, nosso servi\u00e7o Advanced Threat Prevention detectou e bloqueou tentativas do grupo de explorar os seguintes tipos de vulnerabilidades:<\/p>\n<ul>\n<li>Vulnerabilidade de escalonamento de privil\u00e9gios do SAP Solution Manager<\/li>\n<li>Vulnerabilidade XXE de leitura remota de arquivos do Pivotal Spring Data Commons<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo do Microsoft Open Management Infrastructure<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo do Microsoft Exchange Server<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo da D-Link<\/li>\n<li>Tentativa de solicita\u00e7\u00e3o de <em>directory traversal<\/em> HTTP<\/li>\n<li>Tentativa de inje\u00e7\u00e3o de SQL HTTP<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo Struts2 OGNL<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de comando da Ruijieyi Networks<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de comando do Eyou Email System<\/li>\n<li>Vulnerabilidade de inje\u00e7\u00e3o de SQL do software Beijing Grandview Century eHR<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo do Weaver Ecology-OA<\/li>\n<li>Tentativa de acesso ao <span style=\"font-family: 'courier new', courier, monospace;\">win.ini<\/span> do Microsoft Windows detectada<\/li>\n<li>Vulnerabilidade de <em>bypass<\/em> de autentica\u00e7\u00e3o de download de arquivo do Commvault CommCell CVSearchService<\/li>\n<li>Vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo do Zhiyuan OA<\/li>\n<\/ul>\n<p>Em uma ocasi\u00e3o, observamos o ator se conectando a servi\u00e7os de passaporte eletr\u00f4nico e visto eletr\u00f4nico associados a um minist\u00e9rio das rela\u00e7\u00f5es exteriores. Como o servidor desses servi\u00e7os estava configurado com o software Atlassian Crowd, o ator tentou explorar a<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2019-11580\" target=\"_blank\" rel=\"noopener\"> CVE-2019-11580<\/a>, carregando um payload chamado <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4\">rce.jar<\/a>.<\/span> O c\u00f3digo inclu\u00eddo no payload era semelhante \u00e0 descri\u00e7\u00e3o do c\u00f3digo de outra an\u00e1lise da CVE-2019-11580 fornecida pela<a href=\"https:\/\/www.anquanke.com\/post\/id\/225375\" target=\"_blank\" rel=\"noopener\"> Anquanke<\/a>.<\/p>\n<h2><a id=\"post-172010-_z00e1n8n9kh1\"><\/a>Ferramentas<\/h2>\n<p>Avaliamos que o grupo depende fortemente de uma combina\u00e7\u00e3o de frameworks de comando e controle (C2) e ferramentas comuns \u00e0 regi\u00e3o dos atores para se movimentar lateralmente e manter acesso persistente dentro de ambientes comprometidos.<\/p>\n<h3><a id=\"post-172010-_pynwparxfgyx\"><\/a><strong>Frameworks<\/strong> de<strong> C2<\/strong><\/h3>\n<p>De 2024 at\u00e9 o in\u00edcio de 2025, observamos o grupo implantando comumente payloads do Cobalt Strike. No entanto, com o tempo, o grupo fez uma transi\u00e7\u00e3o lenta para o VShell como sua ferramenta preferida.<\/p>\n<p>O VShell \u00e9 um framework de C2 baseado em Go. O grupo frequentemente configura seu acesso web em portas TCP ef\u00eameras de 5 d\u00edgitos usando n\u00fameros ordenados. Em novembro de 2025, a<a href=\"https:\/\/blog.nviso.eu\/wp-content\/uploads\/2025\/11\/VShell.pdf\" target=\"_blank\" rel=\"noopener\"> NVISO publicou uma pesquisa abrangente<\/a> sobre as origens dessa ferramenta, seus recursos e seu uso em larga escala por m\u00faltiplos grupos de amea\u00e7as e atores.<\/p>\n<p>No \u00faltimo ano, avaliamos que o grupo tamb\u00e9m alavancou frameworks como Havoc, SparkRat e Sliver com variados graus de sucesso.<\/p>\n<h3><a id=\"post-172010-_9k39zo5pp9ch\"><\/a><strong>Web<\/strong> Shells<\/h3>\n<p>O TGR-STA-1030 implantou frequentemente <em>web shells<\/em> em servidores web voltados para a internet, bem como em servidores web internos, para manter o acesso e permitir a movimenta\u00e7\u00e3o lateral. As tr\u00eas <em>web shells<\/em> mais comuns usadas pelo grupo s\u00e3o Behinder, Neo-reGeorg e Godzilla.<\/p>\n<p>Al\u00e9m disso, notamos durante uma investiga\u00e7\u00e3o que o grupo tentou ofuscar suas <em>web shells<\/em> Godzilla usando c\u00f3digo do projeto GitHub <span style=\"font-family: 'courier new', courier, monospace;\">Tas9er<\/span>. Esse projeto ofusca o c\u00f3digo criando fun\u00e7\u00f5es e strings com nomes como <span style=\"font-family: 'courier new', courier, monospace;\">Baidu<\/span>. Ele tamb\u00e9m adiciona mensagens expl\u00edcitas aos governos.<\/p>\n<h3><a id=\"post-172010-_qpd01iy7pkf9\"><\/a>T\u00faneis<\/h3>\n<p>Observamos o grupo utilizando o GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX tanto em sua infraestrutura de C2 quanto em redes comprometidas para tunelar o tr\u00e1fego de rede desejado.<\/p>\n<h3><a id=\"post-172010-_1298r8iwy4uk\"><\/a><strong>Apresentando o<\/strong> ShadowGuard<\/h3>\n<p>Durante uma investiga\u00e7\u00e3o, identificamos o grupo usando um novo <em>rootkit<\/em> de kernel Linux, ShadowGuard. A amostra que descobrimos (hash SHA-256 <span style=\"font-family: 'courier new', courier, monospace;\">7808B1E01EA790548B472026AC783C73A033BB90BBE548BF3006ABFBCB48C52D<\/span>) \u00e9 um <em>rootkit<\/em> Extended Berkeley Packet Filter (eBPF) projetado para sistemas Linux. Neste momento, avaliamos que o uso deste <em>rootkit<\/em> \u00e9 exclusivo deste grupo.<\/p>\n<p><em>Backdoors<\/em> eBPF s\u00e3o notoriamente dif\u00edceis de detectar porque operam inteiramente dentro do espa\u00e7o altamente confi\u00e1vel de kernel. Programas eBPF n\u00e3o aparecem como m\u00f3dulos separados. Em vez disso, eles s\u00e3o executados dentro da m\u00e1quina virtual BPF do kernel, tornando-os inerentemente furtivos. Isso permite que eles manipulem fun\u00e7\u00f5es principais do sistema e logs de auditoria antes que ferramentas de seguran\u00e7a ou aplicativos de monitoramento do sistema possam ver os dados reais.<\/p>\n<p>Este <em>backdoor<\/em> aproveita a tecnologia eBPF para fornecer os seguintes recursos de furtividade no n\u00edvel do kernel:<\/p>\n<ul>\n<li><strong>Oculta\u00e7\u00e3o no n\u00edvel do kernel<\/strong>: Pode ocultar detalhes de informa\u00e7\u00f5es de processo diretamente no n\u00edvel do kernel.<\/li>\n<li><strong>Oculta\u00e7\u00e3o de processo (intercepta\u00e7\u00e3o de <em>syscall<\/em>)<\/strong>: A ferramenta intercepta chamadas de sistema cr\u00edticas, especificamente usando <em>kill signals<\/em> personalizados (pontos de entrada e sa\u00edda) para identificar quais processos o invasor deseja ocultar.\n<ul>\n<li>Oculta IDs de processo (PIDs) especificados, tornando-os invis\u00edveis para ferramentas de an\u00e1lise padr\u00e3o em espa\u00e7o do usu\u00e1rio, como o comando <span style=\"font-family: 'courier new', courier, monospace;\">ps aux<\/span> padr\u00e3o do Linux.<\/li>\n<li>Pode ocultar at\u00e9 32 processos simultaneamente.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Oculta\u00e7\u00e3o de arquivos e diret\u00f3rios<\/strong>: Possui uma verifica\u00e7\u00e3o <em>hard-coded<\/em> para ocultar especificamente diret\u00f3rios e arquivos chamados <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>.<\/li>\n<li><strong>Lista de permiss\u00f5es (<em>Allow-listing<\/em>)<\/strong>: O <em>backdoor<\/em> inclui um mecanismo de lista de permiss\u00f5es onde processos colocados na lista s\u00e3o deliberadamente exclu\u00eddos e permanecem inalterados pela funcionalidade de oculta\u00e7\u00e3o.<\/li>\n<\/ul>\n<p>Quando iniciado, o programa verificar\u00e1 automaticamente o seguinte:<\/p>\n<ul>\n<li>Privil\u00e9gios de root<\/li>\n<li>Suporte a eBPF<\/li>\n<li>Suporte a Tracepoint<\/li>\n<\/ul>\n<p>Exemplos de comandos uma vez que o ShadowGuard \u00e9 iniciado s\u00e3o mostrados abaixo na Tabela 1.<\/p>\n<table style=\"width: 100.932%; height: 304px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; height: 24px; width: 73.8983%;\"><strong>Comando<\/strong><\/td>\n<td style=\"text-align: center; height: 24px; width: 26.3559%;\"><strong>Vis\u00e3o Geral<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 73.8983%;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -900 1234<\/span><\/td>\n<td style=\"height: 48px; width: 26.3559%;\"><span style=\"font-family: 'courier new', courier, monospace;\">-900<\/span> = Adicionar PID alvo (1234) \u00e0 lista de permiss\u00f5es<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 73.8983%;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -901 1234<\/span><\/td>\n<td style=\"height: 48px; width: 26.3559%;\"><span style=\"font-family: 'courier new', courier, monospace;\">-901<\/span> = Remover PID alvo (1234) da lista de permiss\u00f5es<\/td>\n<\/tr>\n<tr style=\"height: 184px;\">\n<td style=\"height: 184px; width: 73.8983%;\"><span style=\"font-family: 'courier new', courier, monospace;\">touch swsecret_config.txt<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">mkdir swsecret_data<\/span><\/p>\n<p>* Nota: Por padr\u00e3o, o ShadowGuard esconde\/oculta quaisquer diret\u00f3rios ou arquivos chamados swsecret. Isso pode ser um codinome interno abreviado usado pelos desenvolvedores do rootkit para marcar seus pr\u00f3prios arquivos. Exemplo: \u201cColoque toda a configura\u00e7\u00e3o e logs dentro de um diret\u00f3rio chamado swsecret.\u201d<\/td>\n<td style=\"height: 184px; width: 26.3559%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ls -la<\/span> arquivos\/diret\u00f3rios come\u00e7ando com <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span> devem aparecer como um ponto . (ou seja, devem estar ocultos)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tabela 1. Exemplos de comandos para o ShadowGuard.<\/p>\n<h2><a id=\"post-172010-_1i9d9uuwi49c\"><\/a>Infraestrutura<\/h2>\n<p>Consistente com qualquer ator avan\u00e7ado conduzindo ciberespionagem, este grupo faz grandes esfor\u00e7os para mascarar e ofuscar a origem de suas opera\u00e7\u00f5es. No entanto, apesar de todos os seus melhores esfor\u00e7os, \u00e9 excepcionalmente dif\u00edcil superar os dois desafios a seguir:<\/p>\n<ol>\n<li>Inspe\u00e7\u00e3o de Tr\u00e1fego de Rede: \u00c9 amplamente conhecido que v\u00e1rias na\u00e7\u00f5es empregam m\u00e9todos para censurar e filtrar o tr\u00e1fego que entra\/sai de seus respectivos pa\u00edses. Como tal, \u00e9 extremamente improv\u00e1vel que grupos de ciberespionagem estrangeiros encaminhem voluntariamente seu tr\u00e1fego de rede atrav\u00e9s de qualquer na\u00e7\u00e3o que empregue essas capacidades de inspe\u00e7\u00e3o.<\/li>\n<li>Evolu\u00e7\u00e3o da rede: Manter infraestrutura para opera\u00e7\u00f5es de ciberespionagem \u00e9 dif\u00edcil. Requer a cria\u00e7\u00e3o rotineira de novos dom\u00ednios, servidores virtuais privados (VPS) e t\u00faneis de rede. Estudar a infraestrutura de um grupo ao longo do tempo quase sempre revela erros e falhas onde t\u00faneis colapsam ou talvez servi\u00e7os de prote\u00e7\u00e3o de identidade expiram.<\/li>\n<\/ol>\n<h3><a id=\"post-172010-_altf4nbstip0\"><\/a><strong>Estrutura de Rede<\/strong><\/h3>\n<p>Avaliamos que o grupo aplica uma abordagem de infraestrutura em v\u00e1rias camadas para ofuscar suas atividades.<\/p>\n<h4>Voltada para a V\u00edtima (<em>Victim-Facing<\/em>)<\/h4>\n<p>O grupo rotineiramente aluga e configura seus servidores C2 em infraestruturas pertencentes a uma variedade de provedores de VPS leg\u00edtimos e comumente conhecidos. No entanto, ao contr\u00e1rio da maioria dos grupos que configuram sua infraestrutura maliciosa em provedores \"bulletproof\" ou em locais obscuros, este grupo prefere estabelecer sua infraestrutura em pa\u00edses que t\u00eam um forte estado de direito.<\/p>\n<p>Por exemplo, o grupo escolhe frequentemente servidores virtuais nos EUA, Reino Unido e Cingapura. Avaliamos que essa prefer\u00eancia por locais provavelmente ajuda o grupo de tr\u00eas maneiras:<\/p>\n<ol>\n<li>A infraestrutura pode parecer mais leg\u00edtima para os defensores de rede.<\/li>\n<li>Isso poderia permitir conex\u00f5es de baixa lat\u00eancia nas Am\u00e9ricas, Europa e Sudeste Asi\u00e1tico.<\/li>\n<li>Esses locais t\u00eam leis, pol\u00edticas e prioridades distintas que regem as opera\u00e7\u00f5es de suas organiza\u00e7\u00f5es dom\u00e9sticas de aplica\u00e7\u00e3o da lei e intelig\u00eancia estrangeira. Assim, ter infraestrutura nesses locais provavelmente exige esfor\u00e7os de coopera\u00e7\u00e3o entre ag\u00eancias para que seus governos investiguem e rastreiem efetivamente o grupo.<\/li>\n<\/ol>\n<h4>Relays<\/h4>\n<p>Para se conectar \u00e0 infraestrutura de C2, o grupo aluga infraestrutura VPS adicional que usa para retransmitir o tr\u00e1fego. Esses hosts s\u00e3o frequentemente configurados com SSH na porta 22 ou uma porta ef\u00eamera de n\u00famero alto. Em alguns casos, tamb\u00e9m observamos hosts configurados com RDP na porta 3389.<\/p>\n<h4>Proxies<\/h4>\n<p>Com o tempo, o grupo aproveitou uma variedade de recursos para anonimizar suas conex\u00f5es com a infraestrutura de <em>relay<\/em>. No in\u00edcio de 2025, observamos o grupo usando infraestrutura que associamos \u00e0 DataImpulse, uma empresa que fornece servi\u00e7os de proxy residencial. Desde ent\u00e3o, observamos o grupo usando a rede Tor e outros servi\u00e7os de proxy.<\/p>\n<h4>Upstream<\/h4>\n<p>Ao rastrear a infraestrutura <em>upstream<\/em>, \u00e9 importante reconhecer que o objetivo principal de um grupo de espionagem \u00e9 roubar dados. Para realizar essa tarefa, um grupo precisa construir um caminho da rede comprometida de volta para uma rede que possa acessar. Como tal, o fluxo de dados <em>upstream<\/em> normalmente se correlaciona geograficamente com a localiza\u00e7\u00e3o f\u00edsica do grupo.<\/p>\n<p>Como observado acima, o ato de manter toda essa infraestrutura e suas conex\u00f5es associadas \u00e9 bastante desafiador. Ocasionalmente, o grupo comete erros, seja porque esquece de estabelecer um t\u00fanel ou porque um t\u00fanel colapsa. Quando isso acontece, o grupo se conecta diretamente de sua infraestrutura <em>upstream<\/em>.<\/p>\n<p>Em v\u00e1rias ocasi\u00f5es, observamos o grupo se conectando diretamente \u00e0 infraestrutura de <em>relay<\/em> e voltada para a v\u00edtima a partir de endere\u00e7os IP pertencentes ao Sistema Aut\u00f4nomo (AS) 9808. Esses endere\u00e7os IP s\u00e3o de propriedade de um provedor de servi\u00e7os de internet na regi\u00e3o do grupo.<\/p>\n<h3><a id=\"post-172010-_papjsta3zabk\"><\/a><strong>Dom\u00ednios<\/strong><\/h3>\n<p>Identificamos v\u00e1rios dom\u00ednios usados pelo grupo para facilitar as comunica\u00e7\u00f5es C2 de malware. A maioria foi registrada com os seguintes dom\u00ednios de n\u00edvel superior (TLDs):<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tech<\/span><\/li>\n<\/ul>\n<p>Dom\u00ednios not\u00e1veis incluem:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<\/ul>\n<p>O grupo usou este dom\u00ednio para atingir pa\u00edses franc\u00f3fonos que usam <span style=\"font-family: 'courier new', courier, monospace;\">gouv<\/span> para denotar dom\u00ednios governamentais. Embora o ator tenha apontado consistentemente esse nome de dom\u00ednio para infraestrutura VPS alugada voltada para a v\u00edtima, notamos uma anomalia no final de 2024. Embora o dom\u00ednio nunca tenha apontado para ele, o ator parece ter copiado um certificado X.509 com o common name <span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span> de um VPS voltado para a v\u00edtima para um servidor Tencent localizado na regi\u00e3o dos atores. Aqui ele ficou vis\u00edvel por quatro dias em novembro de 2024.<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<\/ul>\n<p>O grupo usou este dom\u00ednio para atingir na\u00e7\u00f5es europeias. \u00c9 poss\u00edvel que o nome do dom\u00ednio possa ser uma refer\u00eancia a \u201cDOGE Jr\u201d, que tem v\u00e1rios significados em um contexto ocidental, como o Departamento de Efici\u00eancia Governamental dos EUA ou o nome de uma criptomoeda. Este dom\u00ednio foi registrado usando um endere\u00e7o de e-mail associado ao dom\u00ednio <span style=\"font-family: 'courier new', courier, monospace;\">888910[.]xyz.<\/span><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<\/ul>\n<p>O grupo usou este dom\u00ednio para atingir o governo zambiano.<\/p>\n<h2><a id=\"post-172010-_rdbe237kw2f6\"><\/a>Vis\u00e3o Geral do Alvo Global<\/h2>\n<p>Ao longo do \u00faltimo ano, o grupo aumentou substancialmente seus esfor\u00e7os de varredura e reconhecimento. Essa mudan\u00e7a segue a evolu\u00e7\u00e3o do grupo de e-mails de phishing para <em>exploits<\/em> para acesso inicial. Mais emblem\u00e1tico dessa atividade, observamos o grupo varrendo infraestrutura em 155 pa\u00edses entre novembro e dezembro de 2025, conforme observado na Figura 2.<\/p>\n<figure id=\"attachment_172022\" aria-describedby=\"caption-attachment-172022\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172022 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-770518-172010-2.png\" alt=\"Mapa-m\u00fandi mostrando v\u00e1rios pa\u00edses coloridos em laranja.\" width=\"1000\" height=\"469\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-770518-172010-2.png 1425w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-770518-172010-2-786x368.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-770518-172010-2-768x360.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-172022\" class=\"wp-caption-text\">Figura 2. Pa\u00edses visados pelo reconhecimento do TGR-STA-1030 entre novembro e dezembro de 2025.<\/figcaption><\/figure>\n<p>Dada a natureza expansiva da atividade, alguns analistas podem assumir erroneamente que o grupo simplesmente lan\u00e7a varreduras amplas em todo o espa\u00e7o IPv4 de <span style=\"font-family: 'courier new', courier, monospace;\">1.1.1[.]1<\/span> a <span style=\"font-family: 'courier new', courier, monospace;\">255.255.255[.]255<\/span>, mas n\u00e3o \u00e9 esse o caso. Com base em nossa observa\u00e7\u00e3o, o grupo foca sua varredura estritamente na infraestrutura governamental e em alvos espec\u00edficos de interesse em cada pa\u00eds.<\/p>\n<p>Os esfor\u00e7os de reconhecimento do grupo lan\u00e7am luz sobre seus interesses globais. Tamb\u00e9m observamos o sucesso do grupo em comprometer v\u00e1rias organiza\u00e7\u00f5es governamentais e de infraestrutura cr\u00edtica globalmente. Avaliamos que, no \u00faltimo ano, o grupo comprometeu pelo menos 70 organiza\u00e7\u00f5es em 37 pa\u00edses, conforme mostrado na Figura 3. Os invasores conseguiram manter o acesso a v\u00e1rias das entidades impactadas por meses.<\/p>\n<figure id=\"attachment_172033\" aria-describedby=\"caption-attachment-172033\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172033 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-772640-172010-3.png\" alt=\"Mapa-m\u00fandi mostrando v\u00e1rios pa\u00edses destacados em laranja. Os pa\u00edses incluem na\u00e7\u00f5es nas Am\u00e9ricas, \u00c1frica, Europa e \u00c1sia.\" width=\"1000\" height=\"455\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-772640-172010-3.png 1272w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-772640-172010-3-786x358.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-772640-172010-3-768x350.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-172033\" class=\"wp-caption-text\">Figura 3. Localiza\u00e7\u00f5es das organiza\u00e7\u00f5es impactadas em 2025.<\/figcaption><\/figure>\n<p>As organiza\u00e7\u00f5es impactadas incluem minist\u00e9rios e departamentos do interior, rela\u00e7\u00f5es exteriores, fazenda, com\u00e9rcio, economia, imigra\u00e7\u00e3o, minera\u00e7\u00e3o, justi\u00e7a e energia.<\/p>\n<p>Este grupo comprometeu o parlamento de uma na\u00e7\u00e3o e um alto funcion\u00e1rio eleito de outra. Tamb\u00e9m comprometeu empresas de telecomunica\u00e7\u00f5es de n\u00edvel nacional e v\u00e1rias organiza\u00e7\u00f5es nacionais de pol\u00edcia e contraterrorismo.<\/p>\n<p>Embora este grupo possa estar perseguindo objetivos de espionagem, seus m\u00e9todos, alvos e escala de opera\u00e7\u00f5es s\u00e3o alarmantes, com potenciais consequ\u00eancias de longo prazo para a seguran\u00e7a nacional e servi\u00e7os essenciais.<\/p>\n<p>Monitorando de perto o <em>timing<\/em> das opera\u00e7\u00f5es do grupo, tra\u00e7amos correla\u00e7\u00f5es entre v\u00e1rias de suas campanhas e eventos do mundo real. Essas correla\u00e7\u00f5es informam avalia\u00e7\u00f5es quanto \u00e0s potenciais motiva\u00e7\u00f5es do grupo. As se\u00e7\u00f5es a seguir fornecem <em>insights<\/em> adicionais de situa\u00e7\u00f5es not\u00e1veis por regi\u00e3o geogr\u00e1fica.<\/p>\n<h3><a id=\"post-172010-_smy2xc2oy41s\"><\/a>Am\u00e9ricas<\/h3>\n<p>Durante a paralisa\u00e7\u00e3o do governo dos EUA (<em>shutdown<\/em>) que come\u00e7ou em outubro de 2025, o grupo come\u00e7ou a exibir maior interesse em organiza\u00e7\u00f5es e eventos ocorrendo em pa\u00edses da Am\u00e9rica do Norte, Central e do Sul. Durante aquele m\u00eas, observamos varredura de infraestrutura governamental no Brasil, Canad\u00e1, Rep\u00fablica Dominicana, Guatemala, Honduras, Jamaica, M\u00e9xico, Panam\u00e1 e Trinidad e Tobago.<\/p>\n<p>Talvez o reconhecimento mais pronunciado tenha ocorrido em 31 de outubro de 2025, quando observamos conex\u00f5es com pelo menos 200 endere\u00e7os IP hospedando infraestrutura do Governo de Honduras. O momento dessa atividade ocorre apenas 30 dias antes da elei\u00e7\u00e3o nacional, na qual ambos os candidatos sinalizaram abertura para restaurar rela\u00e7\u00f5es diplom\u00e1ticas com Taiwan.<\/p>\n<p>Al\u00e9m das atividades de reconhecimento, avaliamos que o grupo provavelmente comprometeu entidades governamentais na Bol\u00edvia, Brasil, M\u00e9xico, Panam\u00e1 e Venezuela, conforme observado na Figura 4.<\/p>\n<figure id=\"attachment_172044\" aria-describedby=\"caption-attachment-172044\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172044 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-774707-172010-4.png\" alt=\"Mapa destacando M\u00e9xico, Col\u00f4mbia e Venezuela em laranja, com outras \u00e1reas em cinza.\" width=\"1000\" height=\"956\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-774707-172010-4.png 1182w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-774707-172010-4-460x440.png 460w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-774707-172010-4-732x700.png 732w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-774707-172010-4-768x734.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-172044\" class=\"wp-caption-text\">Figura 4. Localiza\u00e7\u00e3o das entidades impactadas nas Am\u00e9ricas.<\/figcaption><\/figure>\n<h4><a id=\"post-172010-_uw8qvv5chrfj\"><\/a>Bol\u00edvia<\/h4>\n<p>Avaliamos que o grupo provavelmente comprometeu a rede de uma entidade boliviana associada \u00e0 minera\u00e7\u00e3o. A motiva\u00e7\u00e3o por tr\u00e1s dessa atividade pode estar associada ao interesse em minerais de terras raras.<\/p>\n<p>Achamos not\u00e1vel que o t\u00f3pico dos direitos de minera\u00e7\u00e3o tenha se tornado um foco central na recente elei\u00e7\u00e3o presidencial da Bol\u00edvia. No final de julho de 2025, o candidato Jorge Quiroga prometeu cancelar acordos de minera\u00e7\u00e3o multibilion\u00e1rios que o governo boliviano havia assinado anteriormente com duas na\u00e7\u00f5es.<\/p>\n<h4><a id=\"post-172010-_copqo4b7jcx8\"><\/a>Brasil<\/h4>\n<p>Avaliamos que o grupo comprometeu o Minist\u00e9rio de Minas e Energia do Brasil. O Brasil \u00e9 considerado detentor da segunda maior reserva de minerais de terras raras do mundo.<\/p>\n<p>De acordo com relat\u00f3rios p\u00fablicos, as exporta\u00e7\u00f5es desses minerais triplicaram no primeiro semestre de 2025. \u00c0 medida que as empresas asi\u00e1ticas aumentam seu controle global sobre esses recursos, os EUA come\u00e7aram a olhar para o Brasil para obter fontes alternativas.<\/p>\n<p>Em outubro, o Encarregado de Neg\u00f3cios dos EUA no Brasil realizou reuni\u00f5es com executivos de minera\u00e7\u00e3o no pa\u00eds. No in\u00edcio de novembro, a Corpora\u00e7\u00e3o Financeira de Desenvolvimento Internacional dos EUA investiu US$ 465 milh\u00f5es na Serra Verde (uma produtora brasileira de terras raras). Isso foi visto como um esfor\u00e7o para reduzir a depend\u00eancia da \u00c1sia para esses minerais essenciais.<\/p>\n<h4><a id=\"post-172010-_qrw63s7pzinb\"><\/a>M\u00e9xico<\/h4>\n<p>Avaliamos que o grupo comprometeu dois minist\u00e9rios do M\u00e9xico. Essa atividade est\u00e1 muito provavelmente associada a acordos comerciais internacionais.<\/p>\n<p>Em 25 de setembro de 2025, o Mexico News Daily relatou uma investiga\u00e7\u00e3o sobre os planos mais recentes do M\u00e9xico de impor tarifas sobre certos bens. Coincidentemente, o tr\u00e1fego de rede malicioso foi visto pela primeira vez originando-se de redes pertencentes aos minist\u00e9rios do M\u00e9xico dentro de 24 horas ap\u00f3s o an\u00fancio da investiga\u00e7\u00e3o comercial.<\/p>\n<h4><a id=\"post-172010-_re3j8dq7lcta\"><\/a>Panam\u00e1<\/h4>\n<p>Em dezembro de 2025, um relat\u00f3rio afirmou que as autoridades locais destru\u00edram um monumento, provocando condena\u00e7\u00e3o imediata de alguns l\u00edderes e pedidos de investiga\u00e7\u00e3o.<\/p>\n<p>Coincidentemente, na mesma \u00e9poca, avaliamos que o TGR-STA-1030 provavelmente comprometeu a infraestrutura governamental que pode estar associada \u00e0 investiga\u00e7\u00e3o.<\/p>\n<h4><a id=\"post-172010-_gie310ivapqm\"><\/a>Venezuela<\/h4>\n<p>Em 3 de janeiro de 2026, os EUA lan\u00e7aram a Opera\u00e7\u00e3o Absolute Resolve. Essa opera\u00e7\u00e3o resultou na captura do presidente venezuelano e sua esposa. Nos dias que se seguiram, o TGR-STA-1030 conduziu extensas atividades de reconhecimento visando pelo menos 140 endere\u00e7os IP de propriedade do governo.<\/p>\n<p>Avaliamos ainda que, j\u00e1 em 4 de janeiro de 2026, o grupo provavelmente comprometeu um endere\u00e7o IP que geolocaliza para uma instala\u00e7\u00e3o da Venezolana de Industria Tecnol\u00f3gica, conforme visto na Figura 5. Essa organiza\u00e7\u00e3o foi originalmente fundada como uma <em>joint venture<\/em> entre o governo venezuelano e uma empresa de tecnologia asi\u00e1tica. O empreendimento permitiu a produ\u00e7\u00e3o de computadores como um passo inicial para aprofundar os la\u00e7os tecnol\u00f3gicos e econ\u00f4micos entre as duas regi\u00f5es.<\/p>\n<figure id=\"attachment_171675\" aria-describedby=\"caption-attachment-171675\" style=\"width: 717px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171675 size-medium lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png\" alt=\"Imagem de sat\u00e9lite mostrando uma localiza\u00e7\u00e3o marcada utilizando o Google Street Maps.\" width=\"717\" height=\"440\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png 717w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1141x700.png 1141w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-768x471.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1536x942.png 1536w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2.png 1679w\" sizes=\"(max-width: 717px) 100vw, 717px\" \/><figcaption id=\"caption-attachment-171675\" class=\"wp-caption-text\">Figura 5. Dados de geolocaliza\u00e7\u00e3o para o endere\u00e7o IP comprometido.<\/figcaption><\/figure>\n<h3><a id=\"post-172010-_kcu9sxeuyh1c\"><\/a>Europa<\/h3>\n<p>Ao longo de 2025, o TGR-STA-1030 aumentou seu foco nas na\u00e7\u00f5es europeias. Em julho de 2025, aplicou um foco concentrado na Alemanha, onde iniciou conex\u00f5es com mais de 490 endere\u00e7os IP hospedando infraestrutura governamental.<\/p>\n<p>Em agosto de 2025, o presidente tcheco Petr Pavel reuniu-se em privado com o Dalai Lama durante uma viagem \u00e0 \u00cdndia. Nas semanas que se seguiram, observamos a varredura da infraestrutura governamental tcheca, incluindo:<\/p>\n<ul>\n<li>O Ex\u00e9rcito<\/li>\n<li>Pol\u00edcia<\/li>\n<li>Parlamento<\/li>\n<li>Minist\u00e9rios do Interior, da Fazenda e das Rela\u00e7\u00f5es Exteriores<\/li>\n<\/ul>\n<p>No in\u00edcio de novembro, uma fonte de not\u00edcias tibetana anunciou que o<a href=\"https:\/\/www.tibetanreview.net\/czech-president-to-copatron-dalai-lama-90th-birthday-gala-this-month\/\" target=\"_blank\" rel=\"noopener\"> presidente tcheco tamb\u00e9m co-patrocinaria a gala do 90\u00ba anivers\u00e1rio do Dalai Lama<\/a>. Pouco depois, testemunhamos uma segunda rodada de varreduras focada estritamente no site do presidente tcheco.<\/p>\n<p>Separadamente, no final de agosto, o grupo aplicou um foco concentrado na infraestrutura da Uni\u00e3o Europeia. Observamos o grupo tentando se conectar a mais de 600 endere\u00e7os IP hospedando dom\u00ednios <span style=\"font-family: 'courier new', courier, monospace;\">*.europa[.]eu<\/span>.<\/p>\n<p>Al\u00e9m das atividades de reconhecimento, avaliamos que o grupo provavelmente comprometeu entidades governamentais em pa\u00edses como Chipre, Rep\u00fablica Tcheca, Alemanha, Gr\u00e9cia, It\u00e1lia, Pol\u00f4nia, Portugal e S\u00e9rvia, conforme mostrado na Figura 6. Ao fazer isso, o grupo comprometeu pelo menos um minist\u00e9rio da fazenda onde buscou coletar intelig\u00eancia sobre desenvolvimento internacional tanto do pa\u00eds impactado quanto da Uni\u00e3o Europeia.<\/p>\n<figure id=\"attachment_172055\" aria-describedby=\"caption-attachment-172055\" style=\"width: 678px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172055 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-782429-172010-6.png\" alt=\"Mapa da Europa destacando v\u00e1rios pa\u00edses coloridos em laranja, incluindo It\u00e1lia, Alemanha e Gr\u00e9cia.\" width=\"678\" height=\"431\" \/><figcaption id=\"caption-attachment-172055\" class=\"wp-caption-text\">Figura 6. Localiza\u00e7\u00f5es das entidades impactadas na Europa.<\/figcaption><\/figure>\n<h4><a id=\"post-172010-_f6pj2843lc0\"><\/a>Chipre<\/h4>\n<p>Avaliamos que o grupo comprometeu a infraestrutura governamental no in\u00edcio de 2025. O momento dessa atividade coincidiu com os esfor\u00e7os de uma na\u00e7\u00e3o asi\u00e1tica para expandir certas parcerias econ\u00f4micas em toda a Europa. Na \u00e9poca, Chipre tamb\u00e9m estava tomando medidas preparat\u00f3rias para assumir a presid\u00eancia do Conselho da Uni\u00e3o Europeia no final do ano, cargo que ocupa atualmente.<\/p>\n<h4><a id=\"post-172010-_i1ol3vko82ai\"><\/a>Gr\u00e9cia<\/h4>\n<p>Avaliamos que o grupo provavelmente comprometeu a infraestrutura associada ao<a href=\"https:\/\/syzefxis.ddt.gov.gr\/\" target=\"_blank\" rel=\"noopener\"> Projeto Syzefxis<\/a>. Esse projeto destinava-se a modernizar as organiza\u00e7\u00f5es do setor p\u00fablico grego usando servi\u00e7os de internet de alta velocidade.<\/p>\n<h3><a id=\"post-172010-_tj0zjvyqpkdz\"><\/a><strong>\u00c1sia e<\/strong> Oceania<\/h3>\n<p>Embora o grupo realize varreduras amplamente em ambos os continentes, o TGR-STA-1030 parece priorizar seus esfor\u00e7os de reconhecimento contra pa\u00edses nas regi\u00f5es do Mar do Sul da China e do Golfo da Tail\u00e2ndia. Observamos rotineiramente a varredura de infraestrutura governamental na Indon\u00e9sia, Tail\u00e2ndia e Vietn\u00e3. Por exemplo, no in\u00edcio de novembro de 2025, observamos conex\u00f5es com 31 endere\u00e7os IP hospedando infraestrutura governamental tailandesa.<\/p>\n<p>Al\u00e9m disso, vale a pena notar que os esfor\u00e7os de reconhecimento do grupo frequentemente se estendem al\u00e9m das conex\u00f5es com conte\u00fado voltado para a web nas portas 80 e 443. Em novembro de 2025, tamb\u00e9m observamos o grupo tentando iniciar conex\u00f5es com a porta 22 (SSH) em infraestrutura pertencente a:<\/p>\n<ul>\n<li>Departamento do Tesouro da Austr\u00e1lia<\/li>\n<li>Minist\u00e9rio da Fazenda do Afeganist\u00e3o<\/li>\n<li>Gabinete do Primeiro-Ministro e Conselho de Ministros do Nepal<\/li>\n<\/ul>\n<p>Al\u00e9m das atividades de reconhecimento, avaliamos que o grupo provavelmente comprometeu entidades governamentais e de infraestrutura cr\u00edtica em pa\u00edses como Afeganist\u00e3o, Bangladesh, \u00cdndia, Indon\u00e9sia, Jap\u00e3o, Mal\u00e1sia, Mong\u00f3lia, Papua Nova Guin\u00e9, Ar\u00e1bia Saudita, Sri Lanka, Coreia do Sul, Taiwan, Tail\u00e2ndia, Uzbequist\u00e3o e Vietn\u00e3, conforme mostrado na Figura 7.<\/p>\n<figure id=\"attachment_172066\" aria-describedby=\"caption-attachment-172066\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172066 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-784180-172010-7.png\" alt=\"Mapa destacando v\u00e1rios pa\u00edses da \u00c1sia e Oceania em laranja, incluindo China, \u00cdndia, Indon\u00e9sia e Austr\u00e1lia.\" width=\"1000\" height=\"916\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-784180-172010-7.png 1120w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-784180-172010-7-480x440.png 480w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-784180-172010-7-764x700.png 764w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-784180-172010-7-768x704.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-172066\" class=\"wp-caption-text\">Figura 7. Localiza\u00e7\u00f5es das entidades impactadas na \u00c1sia e Oceania.<\/figcaption><\/figure>\n<h4><a id=\"post-172010-_tecqq6qxl5l7\"><\/a>Indon\u00e9sia<\/h4>\n<p>Em mar\u00e7o de 2024, a Indon\u00e9sia prometeu aumentar certos esfor\u00e7os de coordena\u00e7\u00e3o de contraterrorismo. Em meados de 2025, o grupo comprometeu uma entidade de seguran\u00e7a p\u00fablica indon\u00e9sia.<\/p>\n<p>Avaliamos que o grupo tamb\u00e9m comprometeu a infraestrutura associada a um oficial do governo indon\u00e9sio. Essa atividade pode ter sido associada \u00e0 extra\u00e7\u00e3o de recursos naturais da prov\u00edncia de Papua. Descobrimos que o oficial foi encarregado de supervisionar o desenvolvimento na prov\u00edncia e o investimento estrangeiro no setor de minera\u00e7\u00e3o.<\/p>\n<p>O grupo tamb\u00e9m comprometeu uma companhia a\u00e9rea indon\u00e9sia. A infraestrutura comprometida geolocaliza para instala\u00e7\u00f5es no Aeroporto Internacional Soekarno-Hatta, conforme mostrado na Figura 8. A companhia a\u00e9rea estava em negocia\u00e7\u00f5es com um fabricante aeroespacial dos EUA para comprar novas aeronaves como parte de seus planos de crescimento estrat\u00e9gico. Ao mesmo tempo, um interesse concorrente estava promovendo ativamente aeronaves de um fabricante com sede no Sudeste Asi\u00e1tico.<\/p>\n<figure id=\"attachment_172077\" aria-describedby=\"caption-attachment-172077\" style=\"width: 400px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172077 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-786426-172010-8.png\" alt=\"Visualiza\u00e7\u00e3o de mapa com foco no Aeroporto Internacional Soekarno-Hatta, com terminais rotulados e um marcador vermelho indicando um local espec\u00edfico na \u00e1rea.\" width=\"400\" height=\"454\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-786426-172010-8.png 501w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-786426-172010-8-387x440.png 387w\" sizes=\"(max-width: 400px) 100vw, 400px\" \/><figcaption id=\"caption-attachment-172077\" class=\"wp-caption-text\">Figura 8. Dados de geolocaliza\u00e7\u00e3o para o endere\u00e7o IP comprometido.<\/figcaption><\/figure>\n<h4><a id=\"post-172010-_68w7g27yy2s3\"><\/a>Mal\u00e1sia<\/h4>\n<p>Avaliamos que o grupo comprometeu v\u00e1rios departamentos e minist\u00e9rios do governo malaio. Usando esse acesso, o grupo buscou extrair dados de intelig\u00eancia econ\u00f4mica e de imigra\u00e7\u00e3o.<\/p>\n<p>Al\u00e9m disso, avaliamos que o grupo comprometeu uma grande entidade financeira privada na Mal\u00e1sia que fornece microempr\u00e9stimos em apoio a fam\u00edlias de baixa renda e pequenas empresas.<\/p>\n<h4><a id=\"post-172010-_86rny5wnae5l\"><\/a>Mong\u00f3lia<\/h4>\n<p>O grupo comprometeu uma entidade de seguran\u00e7a p\u00fablica mongol em 15 de setembro de 2025. Pouco depois, o Ministro da Justi\u00e7a e Assuntos Internos da Mong\u00f3lia reuniu-se com uma contraparte de uma na\u00e7\u00e3o asi\u00e1tica. Ap\u00f3s a reuni\u00e3o, ambos os pa\u00edses sinalizaram a inten\u00e7\u00e3o de expandir a coopera\u00e7\u00e3o para combater o crime transnacional.<\/p>\n<p>Dado o <em>timing<\/em>, avaliamos que essa atividade estava provavelmente associada \u00e0 coleta de intelig\u00eancia em apoio \u00e0 reuni\u00e3o inicial e \u00e0s discuss\u00f5es de coopera\u00e7\u00e3o em andamento.<\/p>\n<h4><a id=\"post-172010-_bljgkpi6dqpb\"><\/a>Taiwan<\/h4>\n<p>No in\u00edcio de 2025, o grupo comprometeu um grande fornecedor na ind\u00fastria de equipamentos de energia de Taiwan. Com esse acesso, acreditamos que o grupo conseguiu acessar arquivos e diret\u00f3rios de neg\u00f3cios pertinentes a projetos de gera\u00e7\u00e3o de energia em Taiwan. Avaliamos ainda que, em meados de dezembro de 2025, o grupo recuperou o acesso a essa rede.<\/p>\n<h4><a id=\"post-172010-_a06g2cdw9f17\"><\/a>Tail\u00e2ndia<\/h4>\n<p>Avaliamos que em 5 de novembro de 2025, o grupo comprometeu um departamento governamental tailand\u00eas onde provavelmente buscou intelig\u00eancia econ\u00f4mica e de com\u00e9rcio internacional. O momento dessa atividade se sobrep\u00f5e ao esfor\u00e7o do governo para expandir as rela\u00e7\u00f5es diplom\u00e1ticas com na\u00e7\u00f5es vizinhas. Como tal, avaliamos que a atividade foi provavelmente coleta de intelig\u00eancia em apoio \u00e0 visita e futuras discuss\u00f5es de coopera\u00e7\u00e3o.<\/p>\n<h3><a id=\"post-172010-_h97rm61wymn3\"><\/a>\u00c1frica<\/h3>\n<p>\u00c9 nossa observa\u00e7\u00e3o que, quando se trata de na\u00e7\u00f5es africanas, o foco do grupo permanece dividido entre interesses militares e o avan\u00e7o de interesses econ\u00f4micos, especificamente esfor\u00e7os de minera\u00e7\u00e3o.<\/p>\n<p>Avaliamos que o grupo provavelmente comprometeu entidades governamentais e de infraestrutura cr\u00edtica em pa\u00edses como Rep\u00fablica Democr\u00e1tica do Congo, Djibuti, Eti\u00f3pia, Nam\u00edbia, N\u00edger, Nig\u00e9ria e Z\u00e2mbia, conforme mostrado na Figura 9:<\/p>\n<figure id=\"attachment_172088\" aria-describedby=\"caption-attachment-172088\" style=\"width: 626px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-172088 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-788527-172010-9.png\" alt=\"Mapa da \u00c1frica com v\u00e1rios pa\u00edses sombreados em laranja para representar contagens de dados.\" width=\"626\" height=\"643\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-788527-172010-9.png 626w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-788527-172010-9-428x440.png 428w\" sizes=\"(max-width: 626px) 100vw, 626px\" \/><figcaption id=\"caption-attachment-172088\" class=\"wp-caption-text\">Figura 9. Localiza\u00e7\u00f5es das entidades impactadas na \u00c1frica.<\/figcaption><\/figure>\n<h4><a id=\"post-172010-_ziff2dcjzk33\"><\/a>Rep\u00fablica Democr\u00e1tica do Congo (RDC)<\/h4>\n<p>Avaliamos que em dezembro de 2025, o grupo comprometeu um minist\u00e9rio do governo neste pa\u00eds. Descobrimos que, no in\u00edcio do ano, uma empresa de minera\u00e7\u00e3o asi\u00e1tica foi respons\u00e1vel por um vazamento de \u00e1cido que causou impactos significativos em um rio na vizinha Z\u00e2mbia. Em novembro de 2025, um segundo vazamento por outra empresa asi\u00e1tica impactou os cursos d'\u00e1gua ao redor de Lubumbashi, a segunda maior cidade da RDC. Esse evento levou as autoridades a suspender as opera\u00e7\u00f5es de minera\u00e7\u00e3o de uma subsidi\u00e1ria da Zhejiang Huayou Cobalt Co. Dado o <em>timing<\/em> e o foco \u00fanico do grupo em opera\u00e7\u00f5es de minera\u00e7\u00e3o, avaliamos que a atividade poderia estar relacionada a essa situa\u00e7\u00e3o de minera\u00e7\u00e3o.<\/p>\n<h4>Djibuti<\/h4>\n<p>V\u00e1rias na\u00e7\u00f5es mant\u00eam bases militares em Djibuti. Essas bases permitem o combate \u00e0 pirataria em alto mar, bem como outras fun\u00e7\u00f5es de log\u00edstica e defesa regionais atrav\u00e9s do Mar da Ar\u00e1bia, Golfo P\u00e9rsico e Oceano \u00cdndico.<\/p>\n<p>Em meados de novembro, um novo Grupo de Escolta Naval de uma das na\u00e7\u00f5es assumiu responsabilidades na regi\u00e3o. Durante sua estreia operacional, o grupo escoltou um graneleiro registrado no Panam\u00e1 chamado Nasco Gem, que transporta cargas como carv\u00e3o e min\u00e9rio. No contexto da atividade cibern\u00e9tica, isso poderia estar relacionado ao direcionamento dos setores de minera\u00e7\u00e3o que observamos do TGR-STA-1030.<\/p>\n<p>Avaliamos que, no final de outubro de 2025, o grupo obteve acesso a uma rede do governo de Djibuti. Dado o momento da atividade, acreditamos que ela possa estar associada \u00e0 coleta de intelig\u00eancia em apoio \u00e0s opera\u00e7\u00f5es de transfer\u00eancia naval.<\/p>\n<h4>Z\u00e2mbia<\/h4>\n<p>Avaliamos que o grupo comprometeu uma rede do governo zambiano em 2025. Essa atividade est\u00e1 provavelmente associada \u00e0 situa\u00e7\u00e3o da Sino-Metals Leach Zambia.<\/p>\n<p>Em fevereiro, uma barragem que continha res\u00edduos de uma opera\u00e7\u00e3o de minera\u00e7\u00e3o asi\u00e1tica entrou em colapso e poluiu um rio importante com cianeto e ars\u00eanico. A situa\u00e7\u00e3o e os esfor\u00e7os de limpeza associados continuam sendo um ponto de disc\u00f3rdia pol\u00edtica.<\/p>\n<h2>Conclus\u00e3o<\/h2>\n<p>O TGR-STA-1030 continua sendo uma amea\u00e7a ativa ao governo e \u00e0 infraestrutura cr\u00edtica em todo o mundo. O grupo visa principalmente minist\u00e9rios e departamentos governamentais para fins de espionagem. Avaliamos que ele prioriza esfor\u00e7os contra pa\u00edses que estabeleceram ou est\u00e3o explorando certas parcerias econ\u00f4micas.<\/p>\n<p>No \u00faltimo ano, este grupo comprometeu organiza\u00e7\u00f5es governamentais e de infraestrutura cr\u00edtica em 37 pa\u00edses. Dada a escala do comprometimento e a import\u00e2ncia das entidades governamentais impactadas, estamos trabalhando com pares da ind\u00fastria e parceiros governamentais para aumentar a conscientiza\u00e7\u00e3o sobre a amea\u00e7a e interromper essa atividade.<\/p>\n<p>Encorajamos os defensores de rede e pesquisadores de seguran\u00e7a a alavancar os indicadores de comprometimento (IoCs) fornecidos abaixo para investigar e implantar defesas contra este grupo.<\/p>\n<h3><strong>Prote\u00e7\u00e3o e Mitiga\u00e7\u00e3o da Palo Alto Networks<\/strong><\/h3>\n<p>Os clientes da Palo Alto Networks est\u00e3o mais protegidos contra as amea\u00e7as discutidas acima por meio dos seguintes produtos e servi\u00e7os:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> e<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identificam URLs e dom\u00ednios conhecidos associados a esta atividade como maliciosos.<\/li>\n<li>Os modelos de <em>machine learning<\/em> e t\u00e9cnicas de an\u00e1lise do<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a> foram revisados e atualizados \u00e0 luz dos indicadores compartilhados nesta pesquisa.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> \u00e9 projetado para defender redes contra amea\u00e7as comuns e amea\u00e7as direcionadas.<\/li>\n<li>O <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR <\/a>e o <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> auxiliam na prote\u00e7\u00e3o contra as amea\u00e7as descritas neste blog ao utilizarem o <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Malware Prevention Engine<\/a>. Essa abordagem combina diversas camadas de prote\u00e7\u00e3o, incluindo o <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, o Behavioral Threat Protection e o m\u00f3dulo Local Analysis, projetados para evitar que malwares conhecidos e desconhecidos causem danos aos endpoints.<\/li>\n<\/ul>\n<p>Se voc\u00ea acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipe de Resposta a Incidentes da Unit 42<\/a> ou ligue:<\/p>\n<ul>\n<li>Am\u00e9rica do Norte: Liga\u00e7\u00e3o gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa e Oriente M\u00e9dio: +31.20.299.3130<\/li>\n<li>\u00c1sia: +65.6983.8730<\/li>\n<li>Jap\u00e3o: +81.50.1790.0200<\/li>\n<li>Austr\u00e1lia: +61.2.4062.7950<\/li>\n<li>\u00cdndia: 000 800 050 45107<\/li>\n<li>Coreia do Sul: +82.080.467.8774<\/li>\n<\/ul>\n<p>A Palo Alto Networks compartilhou essas descobertas com nossos colegas membros da Cyber Threat Alliance (CTA). Os membros da CTA usam essa intelig\u00eancia para implantar rapidamente prote\u00e7\u00f5es para seus clientes e para interromper sistematicamente atores cibern\u00e9ticos maliciosos. Saiba mais sobre a<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-172010-_epoi7aau3tjl\"><\/a>Indicadores de Comprometimento<\/h2>\n<h3><a id=\"post-172010-_onxoaxpmc82c\"><\/a>Endere\u00e7os<strong> IP<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.197.44[.]208<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">142.91.105[.]172<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146.190.152[.]219<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.230.34[.]45<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.245.194[.]54<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.65.156[.]200<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.203.164[.]101<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.60[.]22<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.109[.]37<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.127.251[.]171<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.166.210[.]146<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">208.85.21[.]30<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-172010-_el62oox4e94a\"><\/a>Dom\u00ednios<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">abwxjp5[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">brackusi0n[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">emezonhe[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msonline[.]help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pickupweb[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pr0fu5a[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">q74vn[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">servgate[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zrheblirsy[.]me<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-172010-_o84fanhmmj49\"><\/a>SHA256 de Phishing\/Downloader<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-172010-_9wmzo2p4zf44\"><\/a>SHA256 do Cobalt Strike<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5175b1720fe3bc568f7857b72b960260ad3982f41366ce3372c04424396df6fe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">358ca77ccc4a979ed3337aad3a8ff7228da8246eebc69e64189f930b325daf6a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">293821e049387d48397454d39233a5a67d0ae06d59b7e5474e8ae557b0fc5b06<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c876e6c074333d700adf6b4397d9303860de17b01baa27c0fa5135e2692d3d6f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b2a6c8382ec37ef15637578c6695cb35138ceab42ce4629b025fa4f04015eaf2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5ddeff4028ec407ffdaa6c503dd4f82fa294799d284b986e1f4181f49d18c9f3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">182a427cc9ec22ed22438126a48f1a6cd84bf90fddb6517973bcb0bac58c4231<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-172010-_5dv6ivgi65ae\"><\/a>SHA256 do ShadowGuard<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7808b1e01ea790548b472026ac783c73a033bb90bbe548bf3006abfbcb48c52d<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-172010-_y960htgrwpqw\"><\/a>SHA256 do Exploit CVE-2019-11580<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.<\/p>\n","protected":false},"author":23,"featured_media":171571,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8800,8827],"tags":[9920,9921,9922,9923],"product_categories":[8892,8967,8978,8982,8893,9040,9056,9059,8888],"coauthors":[1025],"class_list":["post-172010","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nation-state-cyberattacks-pt-br","category-threat-actor-groups-pt-br","tag-espionage","tag-government","tag-phishing","tag-tgr-sta-1030","product_categories-advanced-dns-security-pt-br","product_categories-advanced-threat-prevention-pt-br","product_categories-advanced-url-filtering-pt-br","product_categories-advanced-wildfire-pt-br","product_categories-cloud-delivered-security-services-pt-br","product_categories-cortex-pt-br","product_categories-cortex-xdr-pt-br","product_categories-cortex-xsiam-pt-br","product_categories-unit-42-incident-response-pt-br"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>The Shadow Campaigns: Revelando a Espionagem Global<\/title>\n<meta name=\"description\" content=\"Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"The Shadow Campaigns: Revelando a Espionagem Global\" \/>\n<meta property=\"og:description\" content=\"Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-05T14:05:50+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-06T14:49:44+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"The Shadow Campaigns: Revelando a Espionagem Global","description":"Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/","og_locale":"pt_BR","og_type":"article","og_title":"The Shadow Campaigns: Revelando a Espionagem Global","og_description":"Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.","og_url":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/","og_site_name":"Unit 42","article_published_time":"2026-02-05T14:05:50+00:00","article_modified_time":"2026-02-06T14:49:44+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"The Shadow Campaigns: Revelando a Espionagem Global","datePublished":"2026-02-05T14:05:50+00:00","dateModified":"2026-02-06T14:49:44+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/"},"wordCount":6281,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","keywords":["Espionage","Government","phishing","TGR-STA-1030"],"articleSection":["Ataques virtuais de Estado-na\u00e7\u00e3o","Grupos de hackers"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/","url":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/","name":"The Shadow Campaigns: Revelando a Espionagem Global","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2026-02-05T14:05:50+00:00","dateModified":"2026-02-06T14:49:44+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Em 2025, um grupo de amea\u00e7as comprometeu governos e infraestruturas cr\u00edticas em 37 pa\u00edses, com atividades de reconhecimento em 155.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the shadow campaigns. Digital graphic showing a networked globe with various data points and connectivity lines, symbolizing global digital communication and information technology."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"The Shadow Campaigns: Revelando a Espionagem Global"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/5b5a1c33b73a577ebaf42f25081b0ebd","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/172010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/comments?post=172010"}],"version-history":[{"count":3,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/172010\/revisions"}],"predecessor-version":[{"id":172105,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/172010\/revisions\/172105"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/media\/171571"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/media?parent=172010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/categories?post=172010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/tags?post=172010"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/product_categories?post=172010"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/coauthors?post=172010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}