Google interrompe espionagem digital que atingiu o Brasil

O Google afirmou na 4ª feira (25.fev.2026) que seu GTIG (grupo de inteligência contra ameaças), a Mandiant e parceiros interromperam uma campanha global de espionagem digital ligada a um ator que a empresa associa à China e que mirou principalmente organizações de telecomunicações e de governo. O relatório publicado no blog do Google Cloud diz que o grupo, rastreado como UNC2814, teve intrusões confirmadas em 42 países e atingiu 53 vítimas até 18 de fevereiro.

O Brasil aparece no mapa divulgado pela empresa como um dos países com vítimas suspeitas ou confirmadas na operação. O documento não lista nomes de organizações, mas indica que o alcance foi distribuído por “dezenas de nações” em 4 continentes e que o foco incluiu provedores de telecom em escala mundial.

Segundo o Google, a campanha não explorou falha de segurança em produtos da companhia. Em vez disso, os invasores abusaram de funcionalidades legítimas da API do Google Sheets como canal de C2 (comando e controle), fazendo com que o tráfego malicioso se parecesse com requisições comuns a serviços em nuvem –tática usada para aumentar discrição e reduzir alertas em redes corporativas.

A empresa disse que a interrupção incluiu o encerramento de projetos do Google Cloud controlados pelo invasor, a desativação de infraestrutura vinculada ao UNC2814 e o bloqueio de contas e acessos usados para chamadas à API do Sheets. O relatório também informa que foram divulgados IOCs (indicadores de comprometimento) ligados à infraestrutura do grupo ativa “desde pelo menos 2023”.

O malware descrito no documento, chamado GRIDTIDE, é apresentado como um backdoor escrito em C com capacidade de executar comandos no sistema, enviar e baixar arquivos. Em 1 dos casos analisados, a Mandiant encontrou o backdoor em um servidor que continha dados pessoais identificáveis, como nome completo, telefone, data e local de nascimento, número de título de eleitor e número de identificação nacional.

O Google avalia que o interesse nesse tipo de dado é compatível com espionagem em telecomunicações, voltada a identificar, rastrear e monitorar pessoas de interesse –e cita que campanhas semelhantes já foram usadas para extrair registros de chamadas e monitorar SMS.

O relatório afirma que o GTIG não observou diretamente a extração de dados sensíveis durante essa campanha, mas destaca que intrusões históricas associadas a atores com vínculo com a China em redes de telecom já resultaram no roubo de registros de chamadas e de mensagens SMS não criptografadas, além do comprometimento de sistemas legais de interceptação. O Google também disse que a atividade não tem sobreposição com a operação “Salt Typhoon”, atribuída pelo governo dos EUA à China e relacionada a alvos nos Estados Unidos.