‹ ARQUIVO NB-L064 · .log · 2026·07

Os atacantes mais capazes já não precisam de arrombar nada

Os atacantes mais capazes já não precisam de arrombar nada
NB-L064 .log

Durante mais de um ano, um grupo de espionagem ligado ao Estado chinês esteve sentado dentro das redes de várias instituições de investigação médica nos Estados Unidos e no Canadá, e ninguém deu por ele. A primeira intrusão confirmada é de setembro de 2023 e a atividade prolongou-se até novembro de 2025. Não houve porta arrombada nem alarme disparado. Houve uma regra de reencaminhamento de emails, criada em silêncio dentro do sistema das próprias vítimas, a copiar para uma caixa de correio controlada pelos atacantes tudo o que interessava.

É esta a parte que devia tirar-nos o sono. O ataque mais perigoso já não é o que rebenta a fechadura, é o que se torna mobília. O grupo, a que a Google chama UNC6508, não trouxe ferramentas exóticas para roubar os dados. Usou aquilo que os laboratórios já tinham e em que confiavam, e virou-o contra eles. Quando o intruso passa a fazer parte do funcionamento normal do sistema, deixa de haver algo estranho para detetar.

Como entraram e porque sobreviveram às atualizações

A entrada foi por servidores REDCap expostos à internet. O REDCap, um programa muito usado na comunidade médica para gerir as bases de dados dos ensaios clínicos, guarda exatamente o que estes atacantes procuravam: investigação de fármacos, dados de saúde, políticas de saúde pública. Uma vez lá dentro, instalaram um programa feito à medida, batizado INFINITERED pelos investigadores da Google, que fez três coisas.

Primeiro, escondeu-se dentro dos próprios ficheiros do REDCap e agarrou-se ao mecanismo de atualização: cada vez que os administradores atualizavam o software, o código malicioso voltava a injetar-se sozinho. Instalar a correção não limpava a infeção, reinstalava-a. Segundo, ficou a apanhar os nomes de utilizador e as palavras-passe à medida que as pessoas se autenticavam, guardando-os cifrados na própria base de dados. Terceiro, abriu uma porta das traseiras (um backdoor, um acesso escondido para controlo remoto) que recebia ordens disfarçadas de tráfego normal do site.

A traição estava nas regras que a própria organização escreveu

O golpe mais elegante, e mais assustador, veio a seguir. Em vez de exportar ficheiros aos gigabytes, o que dispara alarmes, o UNC6508 abriu o painel de administração do Google Workspace das vítimas e criou uma «regra de conformidade». Estas regras são uma funcionalidade legítima, feita para as organizações governarem o próprio correio, por exemplo arquivar mensagens com certas palavras. Os atacantes criaram uma regra, a que chamaram «Patroit», que procurava um vocabulário muito específico: estratégia militar, tecnologia avançada, investigação médica, inteligência artificial, veículos não tripulados, programas de ciberataque, operações no Indo-Pacífico. Cada mensagem que batesse certo era copiada, em silêncio, para um Gmail controlado por eles.

Repare-se no que isto significa. A ferramenta desenhada para dar às organizações controlo sobre o seu correio tornou-se o cano por onde a informação saiu. Nesta parte não há malware nenhum a detetar, é uma configuração legítima usada para um fim ilegítimo.

E o alvo diz tudo. Não foi dinheiro, não foi extorsão. Foi conhecimento: descoberta molecular, ensaios clínicos de medicamentos, prontidão militar, instituições de saúde das forças armadas. É a investigação que decide que medicamentos vais ter daqui a dez anos e como se defende um país. A espionagem clássica roubava um segredo e ia-se embora. Esta senta-se durante anos dentro do fluxo de trabalho legítimo e vai drenando, devagar, aquilo que define a próxima década.

E não é um problema só do outro lado do Atlântico. Em Portugal, já em 2021 uma investigação do jornal Público, com base em quatro fontes ligadas à segurança interna, associava a China precisamente a ciberataques contra instituições de saúde nacionais, então sob investigação da Polícia Judiciária. O relatório de 2026 do Centro Nacional de Cibersegurança confirma a tendência: nove em cada dez entidades inquiridas percecionam um risco acrescido de sofrer um incidente. A pergunta não é se somos alvo, é se daríamos conta.

Como se fecha esta porta

Para quem gere estes sistemas, a Google deixou o mapa. O essencial:

  • Auditar as regras de conformidade e os registos de administração à procura de alterações que ninguém autorizou. Foi aqui que a fuga viveu escondida.
  • Exigir autenticação em dois passos resistente a phishing (chaves físicas ou equivalente) nas contas de administrador, que são as que abrem tudo.
  • Atualizar o REDCap para a versão mais recente e apagar por completo as versões antigas, sem deixar restos onde o código se volte a injetar.
  • Vigiar o reencaminhamento externo de correio e definir regras que bloqueiem ou alertem a partilha de dados sensíveis para fora da organização.
  • Tratar os servidores de investigação expostos à internet como aquilo que são, uma porta de entrada, e não uma prateleira esquecida.

A lição do UNC6508 não é que existe mais um programa malicioso a temer. É que os atacantes mais capazes já não precisam de arrombar nada. Aprenderam a usar as nossas próprias regras, os nossos próprios botões e a nossa própria confiança, e a fazê-lo com a paciência de quem sabe que o mais difícil de ver é aquilo que parece normal.

Fontes: Google Threat Intelligence Group, SecurityWeek.

#StaySafe
🙏🖖

DOMÍNIO
BRI assistente

Quer saber sobre um projeto, um serviço ou uma notícia recente? Pergunte. Conheço todo o conteúdo deste site.