Uma investigação recente conduzida pela Unit 42, área de inteligência em ameaças da Palo Alto Networks, revelou a existência de uma ampla operação de espionagem digital que comprometeu organizações governamentais e estruturas estratégicas em 37 países ao longo de 2025. Batizada de Shadow Campaigns, a ofensiva é atribuída a um grupo avançado monitorado como TGR-STA-1030, apontado como alinhado a interesses estatais e com atuação concentrada na coleta de dados sensíveis e inteligência estratégica.
CONTEÚDO RELACIONADO – Palo Alto Networks conclui aquisição da Chronosphere e reforça integração entre observabilidade e cibersegurança
De acordo com o relatório, as ações do grupo indicam um modelo de ciberespionagem estruturado e contínuo, com impacto potencial sobre cadeias econômicas, segurança pública, diplomacia e gestão de recursos naturais. A análise aponta ainda que, apenas entre novembro e dezembro do ano passado, foram identificadas atividades de reconhecimento contra sistemas governamentais ligados a aproximadamente 155 países, sugerindo uma tentativa de ampliação do alcance da operação.
Entre os principais alvos identificados estão ministérios, agências de controle de fronteiras, órgãos de segurança pública e entidades relacionadas a setores considerados críticos, como energia, comércio exterior e telecomunicações. A campanha, segundo os pesquisadores, combina ataques de phishing direcionado com exploração de vulnerabilidades já conhecidas em sistemas corporativos e governamentais para obter acesso inicial às redes.
Um dos diferenciais técnicos observados na operação é o uso de ferramentas avançadas para persistência e ocultação das invasões. O grupo emprega web shells, infraestruturas de comando e controle e rootkits capazes de atuar no nível do kernel dos sistemas operacionais, dificultando a detecção e permitindo permanência prolongada dentro das redes comprometidas. Apesar do alto grau de sofisticação, o relatório destaca que os invasores não dependeram de falhas inéditas, mas exploraram vulnerabilidades públicas que, em muitos casos, ainda não haviam sido corrigidas pelas organizações afetadas.
A investigação também aponta possíveis motivações geopolíticas por trás das campanhas. Em diversas regiões, incluindo Américas, Europa, Ásia e África, os ataques teriam buscado informações estratégicas relacionadas a políticas econômicas, negociações internacionais e exploração de recursos naturais. No Brasil, por exemplo, foram identificados indícios de comprometimento envolvendo sistemas ligados ao Ministério de Minas e Energia, o que reforça o interesse sobre setores estratégicos e cadeias produtivas associadas a minerais e matriz energética.
Embora o relatório não atribua formalmente a operação a um país específico, a análise da infraestrutura utilizada, padrões operacionais e características das ferramentas sugere ligação com atores baseados na Ásia. As organizações afetadas foram notificadas por meio de protocolos de divulgação responsável, enquanto indicadores técnicos das ameaças foram compartilhados com parceiros da indústria de segurança para ampliar mecanismos de proteção.
Para os pesquisadores da Unit 42, o caso evidencia uma mudança no cenário da segurança digital global, em que operações cibernéticas passam a integrar estratégias de coleta de inteligência e competição geopolítica.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X
