A ESET divulgou na terça-feira, 11 de novembro, o seu mais recente Relatório de Atividades APT (Ameaça Persistente Avançada). A investigação, que cobre o período de abril a setembro de 2025, documenta uma intensificação das operações de grupos alinhados com a Rússia e a China, em linha com os objetivos geopolíticos de Moscovo e Pequim.
O Relatório de Atividades APT (Ameaça Persistente Avançada) destaca uma nova campanha do grupo FamousSparrow (alinhado com a China) contra múltiplas entidades governamentais na América Latina. Em paralelo, grupos russos como o Sandworm e o Gamaredon continuaram as suas operações focadas na Ucrânia e em membros da União Europeia.
O foco russo na Ucrânia: Espionagem e destruição
As entidades governamentais europeias continuaram a ser o foco principal da ciberespionagem russa. O relatório da ESET sublinha que mesmo os alvos não ucranianos de grupos alinhados com a Rússia exibiram ligações estratégicas ou operacionais com a Ucrânia.
O país continua a ser central para os esforços de inteligência da Rússia, através de vários grupos:
- Gamaredon: Permaneceu o grupo APT mais ativo contra a Ucrânia, com um aumento na intensidade e frequência das suas operações de ciberespionagem.
- Sandworm: Também se concentrou na Ucrânia, mas com um objetivo destrutivo. Os seus alvos incluíram os setores governamental, energético, logístico e cerealífero, numa provável tentativa de enfraquecer a economia ucraniana.
- RomCom: Explorou uma vulnerabilidade zero-day no WinRAR para implantar backdoors, com foco nos setores financeiro, industrial e de defesa na UE e no Canadá.
Tanto o Gamaredon como o Sandworm privilegiaram o spearphishing como método de comprometimento principal, uma técnica de custo muito inferior à exploração de zero-days.
Expansão chinesa e a “digressão latino-americana”
Os grupos APT alinhados com a China continuaram muito ativos, com campanhas que abrangeram Ásia, Europa e EUA. No entanto, a ESET destaca uma nova “digressão latino-americana” do grupo FamousSparrow, observada entre junho e setembro.
Esta operação representa a maior parte das atividades atribuídas ao FamousSparrow no período, o que sugere um novo foco operacional na região. Os alvos incluíram múltiplas entidades governamentais em:
- Argentina
- Equador
- Guatemala
- Honduras
- Panamá
A ESET sugere que estas atividades “podem estar parcialmente ligadas à atual disputa de poder entre os EUA e a China na região”, bem como ao “renovado interesse da administração Trump pela América Latina”.
IA e ataques de ‘falsa bandeira’
A investigação identificou ainda outras táticas relevantes:
- FrostyNeighbor (Bielorrússia): Explorou uma vulnerabilidade XSS no Roundcube e utilizou emails de spearphishing que se faziam passar por empresas polacas. A ESET nota que a estrutura desses emails (uso de emojis e marcadores) lembra conteúdo gerado por IA.
- InedibleOchotense (Rússia): Conduziu uma campanha de spearphishing que se fazia passar pela própria ESET. Os emails e mensagens de Signal entregavam um instalador ESET legítimo, mas trojanizado, que instalava o backdoor Kalambur.
“Os grupos alinhados com a China continuam muito ativos“, afirma Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET. “Esta abrangência global ilustra que os agentes de ameaça […] continuam a ser mobilizados para atender a uma vasta gama de prioridades geopolíticas atuais de Pequim“.
Conclusão
O relatório APT da ESET para o segundo e terceiro trimestres de 2025 demonstra que as operações de ciberespionagem e ciber-sabotagem estão intrinsecamente ligadas a objetivos geopolíticos. A intensificação russa na Ucrânia e a expansão chinesa na América Latina refletem as prioridades estratégicas de longo prazo destas nações no domínio digital.
Outros artigos interessantes:
