O Ministério de Minas e Energia do Brasil está entre as vítimas de uma operação de ciberespionagem. Uma investigação da Unit 42, divisão de inteligência de ameaças da Palo Alto Networks, revelou que o grupo TGR-STA-1030 comprometeu governos e infraestruturas críticas em 37 países nos últimos 12 meses, incluindo o Brasil.
- O TecMundo entrou em contato com o Ministério de Minas e Energia do Brasil e não obteve resposta até o momento da publicação da reportagem.
Entre novembro e dezembro de 2025, os pesquisadores observaram o grupo escaneando infraestrutura governamental de 155 países, buscando vulnerabilidades e pontos de entrada em sistemas críticos.
smart_display
Nossos vídeos em destaque
A Unit 42 avalia com alta confiança que o TGR-STA-1030 é um grupo alinhado com interesses estatais que opera a partir da Ásia. Essa atribuição é baseada no uso frequente de ferramentas regionais, preferências de idioma, alvos que coincidem com eventos de interesse da região, e conexões diretas de infraestrutura originando da área geográfica.
Brasil na mira: corrida global por minerais de terras raras
O grupo comprometeu o Ministério de Minas e Energia do Brasil. O país é considerado como tendo a segunda maior oferta de reservas de minerais de terras raras do mundo, elementos químicos essenciais para a fabricação de smartphones, veículos elétricos, turbinas eólicas e equipamentos militares.
De acordo com reportagens públicas, as exportações brasileiras desses minerais triplicaram na primeira metade de 2025. À medida que empresas asiáticas apertam seu controle global sobre esses recursos, os Estados Unidos começaram a olhar para o Brasil como fonte alternativa de suprimento.
Em outubro de 2025, o encarregado de negócios dos EUA no Brasil realizou reuniões com executivos de mineração no país. No início de novembro, a Corporação Financeira de Desenvolvimento Internacional dos EUA investiu US$ 465 milhões na Serra Verde, uma produtora brasileira de terras raras.
O timing do comprometimento do ministério brasileiro coincide precisamente com esse período de intensificação de negociações comerciais.
Alvos de alto valor estratégico
O grupo focou principalmente em ministérios e departamentos governamentais. Entre as vítimas confirmadas estão cinco entidades nacionais de aplicação da lei e controle de fronteiras, três ministérios de finanças e diversos outros ministérios relacionados à economia, comércio, recursos naturais e funções diplomáticas.
As invasões incluem o parlamento de uma nação, um alto funcionário eleito de outra, empresas nacionais de telecomunicações e organizações policiais e de contraterrorismo. Dada a gravidade, a Unit 42 notificou as entidades impactadas e ofereceu assistência para remediar as violações.
Phishing sofisticado engana funcionários governamentais
O ataque começa com campanhas de phishing extremamente direcionadas. Em fevereiro de 2025, a Unit 42 investigou e-mails maliciosos enviados para funcionários de governos europeus com assuntos sobre reorganização ministerial e links para arquivos hospedados no mega.nz.
Os e-mails eram cuidadosamente elaborados para parecerem comunicações oficiais. Um arquivo direcionado ao governo estoniano tinha o nome “Mudanças na estrutura organizacional da Polícia e Guarda de Fronteiras.zip” em estoniano.
Quando a vítima clica no link, baixa um arquivo compactado contendo um executável malicioso chamado DiaoYu.exe, diaoyu significa “pesca” em mandarim, e um arquivo de imagem vazio chamado pic1.png.
DiaoYu Loader se esconde de antivírus
O DiaoYu Loader emprega técnicas sofisticadas para evitar detecção. Antes de executar suas funções maliciosas, ele verifica se a resolução horizontal da tela é maior ou igual a 1440 pixels e se o arquivo pic1.png está presente. Essas verificações garantem que o malware está rodando em um ambiente real, não em sistemas de análise automatizada.
Se essas condições não forem atendidas, o programa simplesmente encerra sem executar nenhuma ação maliciosa. Apenas quando satisfeitas essas verificações é que o malware procede para auditar o sistema em busca de cinco produtos específicos de antivírus: Kaspersky, Avira, Bitdefender, Sentinel One e Symantec.
Após as verificações, o malware baixa três arquivos de um repositório no GitHub e instala um payload Cobalt Strike, ferramenta que permite aos atacantes controlar remotamente o computador da vítima, executarem comandos e roubarem dados.
ShadowGuard: o rootkit invisível
Durante uma investigação, a Unit 42 identificou o grupo usando um novo rootkit Linux chamado ShadowGuard. Um rootkit é um tipo de malware que opera no nível mais profundo do sistema operacional, o kernel, onde possui privilégios máximos e é extremamente difícil de detectar.
O ShadowGuard usa tecnologia eBPF (Extended Berkeley Packet Filter), que permite executar código diretamente dentro do kernel Linux. Rootkits eBPF são notoriamente difíceis de detectar porque operam inteiramente dentro do espaço do kernel altamente confiável, não aparecendo como módulos separados.
O rootkit pode ocultar até 32 processos simultaneamente, tornando-os invisíveis para ferramentas padrão de análise como o comando Linux ps aux. Além disso, possui uma verificação codificada para ocultar especificamente diretórios e arquivos nomeados swsecret.
Infraestrutura em camadas oculta origem dos ataques
O grupo aplica uma abordagem de infraestrutura em múltiplas camadas para mascarar suas operações. Na camada voltada para as vítimas, aluga servidores em provedores VPS legítimos, frequentemente em países com forte estado de direito como Estados Unidos, Reino Unido e Singapura.
Essa preferência por localizações provavelmente auxilia o grupo de três maneiras. A infraestrutura parece mais legítima para defensores de rede, permite conexões de baixa latência através de múltiplas regiões, e essas localizações têm leis separadas que dificultam investigações coordenadas.
Para conectar à infraestrutura C2, o grupo aluga infraestrutura VPS adicional para retransmitir tráfego. Ao longo do tempo, utilizou serviços de proxy residencial, usado para mascarar seu endereço IP, como DataImpulse, a rede Tor e outros serviços para anonimizar conexões.
Ocasionalmente, o grupo comete erros quando túneis colapsam ou esquecem de estabelecer conexões protegidas. Em diversas ocasiões, a Unit 42 observou o grupo se conectando diretamente a partir de endereços IP pertencentes ao Sistema Autônomo (AS) 9808, que pertencem a um provedor de serviços de internet na região do grupo.
A investigação identificou diversos domínios usados pelo grupo para comunicações maliciosas. Domínios notáveis incluem gouvn.me, usado para mirar países francófonos que usam “gouv” para denotar domínios governamentais, e dog3rj.tech, possivelmente uma referência a “DOGE Jr”.
Correlação entre ataques e eventos reais
Ao monitorar o timing das operações, a Unit 42 traçou correlações entre campanhas e eventos do mundo real.
Durante o shutdown do governo dos EUA em outubro de 2025, o grupo demonstrou maior interesse nas Américas, escaneando infraestrutura governamental de Brasil, Canadá, Honduras, México, Panamá e outros países.
O reconhecimento mais pronunciado ocorreu em 31 de outubro de 2025, com conexões a pelo menos 200 endereços IP do Governo de Honduras, apenas 30 dias antes da eleição nacional onde candidatos sinalizaram abertura para relações com Taiwan.
Na Europa, após o presidente tcheco se encontrar com o Dalai Lama em agosto de 2025, observaram o escaneamento de infraestrutura governamental tcheca incluindo exército, polícia e ministérios. No final de agosto, o grupo tentou se conectar a mais de 600 endereços IP hospedando domínios da União Europeia.
Na África, o foco permanece dividido entre interesses militares e mineração. Na República Democrática do Congo, comprometeram um ministério após vazamentos de ácido por empresas de mineração asiáticas. Na Zâmbia, a atividade provavelmente está associada ao colapso de uma barragem que continha resíduos de mineração e poluiu um rio com cianeto e arsênico.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.