Na quarta-feira, 25 de fevereiro de 2026, o Google divulgou informações sobre a interrupção de uma campanha global de espionagem digital. A operação, conduzida em parceria com a Mandiant e outros parceiros, visava um grupo associado a um ator da China, identificado como UNC2814.
CONTINUA DEPOIS DA PUBLICIDADE
A campanha focou-se em organizações de telecomunicações e entidades governamentais em escala global.
Escopo da Ameaça e Vítimas Confirmadas
Segundo o relatório, o grupo UNC2814 conseguiu confirmar intrusões em 42 países até o dia 18 de fevereiro. Até então, 53 vítimas foram identificadas. O Brasil foi um dos países listados com vítimas suspeitas ou confirmadas nesta operação. A ação se estendeu por quatro continentes, afetando “dezenas de nações” e incluindo provedores de telecomunicações de grande porte.
CONTINUA DEPOIS DA PUBLICIDADE
Tática de Infiltração e Abuso de APIs
O Google esclareceu que a campanha não se baseou em vulnerabilidades em produtos da empresa. Em vez disso, os invasores exploraram funcionalidades legítimas da API do Google Sheets, utilizando-a como um canal de Comando e Controle (C2). Essa estratégia permitiu que o tráfego malicioso se misturasse com requisições comuns a serviços em nuvem, aumentando a discrição e dificultando a detecção por sistemas de segurança corporativos.
A empresa detalhou que a interrupção incluiu o encerramento de projetos do Google Cloud controlados pelo invasor, a desativação de infraestrutura e o bloqueio de contas e acessos utilizados para as chamadas à API do Sheets.
LEIA TAMBÉM!
IOCs e Malware GRIDTIDE
O relatório também disponibilizou Indicadores de Comprometimento (IOCs) relacionados à infraestrutura do grupo UNC2814, que remontam a 2023. O malware associado à operação, chamado GRIDTIDE, é descrito como um backdoor escrito em C, com a capacidade de executar comandos no sistema e transferir arquivos.
Em uma das análises, a Mandiant identificou o backdoor em um servidor que continha dados pessoais sensíveis, como nome completo, telefone, data de nascimento, local de nascimento, número de título de eleitor e número de identificação nacional.
Implicações e Riscos Identificados
O Google avaliou que o interesse nesse tipo de dado é compatível com a espionagem em telecomunicações, visando identificar, rastrear e monitorar indivíduos de interesse. A empresa ressaltou que campanhas semelhantes já foram utilizadas para extrair registros de chamadas e monitorar mensagens SMS não criptografadas, além do comprometimento de sistemas de interceptação.
Apesar de não terem observado a extração de dados sensíveis durante a campanha, o GTIG destacou que intrusões históricas associadas a atores com vínculo com a China em redes de telecom já resultaram no roubo de registros de chamadas e mensagens SMS não criptografadas.
Conclusão
A operação de interrupção, liderada pelo Google em parceria com a Mandiant, demonstra a constante vigilância e resposta a ameaças cibernéticas globais. O caso do UNC2814 ressalta a importância da segurança em APIs e a necessidade de monitoramento contínuo para proteger dados sensíveis e infraestruturas críticas.
