Espionagem mira governos no Brasil

Uma campanha de espionagem que mira governos no Brasil tem como alvo entidades estatais, financeiras e industriais também em América Latina, Ásia e África. Denominada PassiveNeuron, a operação utiliza componentes APT (Advanced Persistent Threat, ou Ameaça Persistente Avançada) inéditos, capazes de comprometer servidores Windows por meio de técnicas avançadas de evasão.

Além disso, essa campanha de espionagem que mira governos no Brasil demonstra um nível de sofisticação que preocupa especialistas em segurança cibernética, combinando persistência prolongada com múltiplas camadas de ocultação, o que a torna particularmente difícil de detectar e mitigar.

Desde junho de 2024, a Kaspersky acompanha a operação, registrando uma nova leva de intrusões a partir de dezembro do mesmo ano. Posteriormente, em agosto de 2025, novas contaminações foram detectadas na região latino-americana, embora as entidades afetadas ainda não tenham sido reveladas.

O que torna a campanha de espionagem que mira governos no Brasil especialmente alarmante é a ênfase em infraestrutura crítica de governos e corporações, combinada com técnicas de persistência complexas e sofisticadas.

Servidores SQL: foco da campanha de espionagem

De acordo com a investigação da Kaspersky, a maioria das máquinas comprometidas executa Windows Server. Nesse contexto, o vetor inicial da operação envolve comprometer o Microsoft SQL, software amplamente utilizado em ambientes corporativos.

Para isso, os invasores exploram o SQL de três maneiras principais:

Vulnerabilidades no software do servidor
SQL Injection
Força bruta em contas administrativas

Em seguida, após comprometer o SQL, os atacantes tentam implantar web shells ASPX, permitindo execução remota de comandos. Diante da resistência das defesas, a operação evoluiu para implantes ainda mais sofisticados.

Arsenal de malware da campanha de espionagem

Para reforçar sua eficácia, a operação utiliza três implantes principais, frequentemente combinados, tornando cada etapa da intrusão mais difícil de detectar e neutralizar.

1. Neursite: backdoor estratégico

O Neursite é um backdoor modular desenvolvido em C++ para espionagem, permitindo coleta de informações do sistema, gerenciamento de processos, proxy de tráfego e carregamento de plugins sob demanda.

2. NeuralExecutor: loader avançado

O NeuralExecutor, escrito em .NET, executa payloads adicionais e funciona como lançador de segunda fase para malware especializado, garantindo continuidade da operação mesmo diante de tentativas de mitigação.

3. Cobalt Strike: ferramenta auxiliar

Além dessas ferramentas, os criminosos utilizam Cobalt Strike, uma ferramenta comercial de red teaming abusada por atacantes devido à sua flexibilidade, permitindo simular acessos legítimos.

Persistência via Phantom DLL Hijacking

No estágio inicial, uma DLL maliciosa é depositada na pasta System32, garantindo execução automática e evitando sandboxes. Dessa forma, a operação consegue permanecer ativa em servidores críticos, reforçando o impacto da campanha de espionagem que mira governos no Brasil.

Cadeia de carregamento em vários estágios

Após confirmar o alvo, múltiplos estágios de DLLs e shellcodes são carregados, culminando no payload final, injetado em processos legítimos do Windows. Essa abordagem em camadas dificulta a detecção e a mitigação do ataque, tornando a operação ainda mais resistente.

Investigação indica grupo chinês

Indícios apontam para grupos chineses, como APT31, APT27 e APT41. Apesar das evidências, a Kaspersky atribui a campanha de espionagem que mira governos no Brasil a um ator chinês com baixa confiança, devido à possibilidade de falsificação de TTPs.

Como se proteger da campanha de espionagem

Portanto, para reduzir riscos, entidades devem priorizar a proteção de servidores, adotando medidas como:

Reduzir superfície de ataque
Monitoramento contínuo
Proteção contra SQL Injection
Detecção de web shells
Autenticação multifator

Em resumo, a campanha de espionagem que mira governos no Brasil destaca-se pelo alto nível de sofisticação, exigindo vigilância constante e adoção de medidas de segurança proativas para mitigar riscos.