O grupo hacker chinês que espionava brasileiros – e foi derrubado pelo Google
A campanha GRIDTIDE, do grupo UNC2814, atingiu empresas de telecom e órgãos do governo em 42 países, incluindo o Brasil
Nesta semana, o Google confirmou a interrupção de uma operação global de espionagem digital batizada de GRIDTIDE, atribuída ao grupo identificado pela comunidade de segurança como UNC2814. A ofensiva teve como alvo principais operadoras de telecomunicações e organizações governamentais em várias partes do mundo, com atuação documentada desde 2017. No Brasil, o ataque atingiu várias operadoras e permaneceu ativo de forma persistente a partir de 2018. De acordo com a empresa, a campanha mobilizou ações em 42 países, incluindo o Brasil, enquanto a operação como um todo envolvia mais de 70 nações, distribuídas por quatro continentes.
Como o ataque era estruturado, afinal? Em vez de explorar falhas de segurança comuns, o grupo recorreu a uma tática ambiciosa de abuso de ferramentas legítimas. Entre as táticas destacadas, o uso da API do Google Sheets (as planilhas do Google) como um canal de comando e controle, conhecido no jargão de segurança como C2. Ao empregar planilhas reais para enviar comandos ao malware, o tráfego de rede passa a parecer tráfego normal de serviços em nuvem, o que dificulta a detecção por sistemas de defesa tradicionais.
O componente central da operação foi um malware sofisticado, descrito pela prioridade de manter a presença nos sistemas-alvo. Entre as funções observadas, estavam a persistência — o código é configurado para continuar rodando mesmo que a sessão seja encerrada; o controle remoto — permitindo que os invasores executem comandos, enviem e recebam arquivos; e a coleta de dados — o software faz um reconhecimento do equipamento infectado, reunindo informações como usuário, IP e dados do sistema operacional. Na prática, esse conjunto permitia aos atacantes acompanhar operações internas e obter informações valiosas do ambiente comprometido.
Mas qual era exatamente o objetivo dessa espionagem? O foco era vigilância e obtenção de inteligência. Entre os indícios de acesso a informações sensíveis, havia dados como nomes completos, telefones, CPFs, datas de nascimento e até títulos de eleitor. Em empresas de telecomunicações, o acesso possibilitava monitorar “pessoas de interesse” — políticas, jornalistas e executivos — além de acompanhar mensagens SMS e registros de chamadas. Em resumo, o que esteve em jogo foi a vigilância direcionada e a coleta de dados para fins estratégicos.
Como foi possível frear o grupo? A resposta veio de uma atuação conjunta do Google, por meio do seu grupo de inteligência (GTIG), e da Mandiant. As medidas incluíram a desativação de projetos no Google Cloud e o bloqueio de contas controladas pelos invasores, bem como a revogação de acessos às APIs do Google Sheets utilizadas na comunicação com o malware. Além disso, o Google informou as vítimas confirmadas e publicou Indicadores de Comprometimento (IOCs) para que outras empresas pudessem checar se também haviam sido afetadas. Em síntese, foi uma combinação de interrupção da infraestrutura, contenção de comunicação e transparência para ampliar a proteção coletiva.
