China

Nos últimos dois anos e meio, organizações governamentais e de telecomunicações na África, Oriente Médio e Ásia têm sido alvo de um ator de ameaças de estado-nacional alinhado à China, conhecido como Phantom Taurus. O foco principal do grupo inclui ministérios das relações exteriores, embaixadas e operações militares, com o objetivo de coletar informações confidenciais e realizar espionagem. O grupo, que foi inicialmente identificado como CL-STA-0043, demonstrou uma capacidade notável de adaptação em suas táticas e técnicas, utilizando ferramentas personalizadas, como um malware chamado NET-STAR, desenvolvido em .NET para atacar servidores web IIS. As operações do Phantom Taurus frequentemente coincidem com eventos geopolíticos significativos, refletindo um interesse estratégico por informações de defesa e comunicações diplomáticas. A abordagem do grupo inclui a exploração de vulnerabilidades conhecidas, como ProxyLogon e ProxyShell, em servidores Microsoft Exchange e IIS, além de um método inovador que permite a extração de dados diretamente de bancos de dados SQL. A complexidade e a sofisticação das técnicas empregadas pelo Phantom Taurus representam uma ameaça significativa para servidores expostos à internet, exigindo atenção redobrada de profissionais de segurança cibernética.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

Um vazamento de dados sem precedentes expôs mais de 500 GB de documentos sensíveis do Grande Firewall da China (GFW) em 11 de setembro de 2025. Este é o maior vazamento de documentos internos do GFW na história, oferecendo uma visão detalhada do sistema de censura e vigilância digital da China. A análise inicial indica que o vazamento inclui código-fonte, registros de trabalho, comunicações internas e arquivos de pacotes RPM. Os dados vazados originaram-se de duas organizações-chave: Geedge Networks e o MESA Lab do Instituto de Engenharia da Informação da Academia Chinesa de Ciências. A Geedge Networks, liderada por Fang Binxing, conhecido como o ‘Pai do Grande Firewall’, é a força técnica central por trás das operações do GFW. O vazamento revela também que a China exporta sua tecnologia de censura para outros países, como Myanmar e Paquistão, sob a iniciativa da Rota da Seda. Especialistas em segurança alertam que a profundidade do vazamento pode alterar a compreensão global sobre os mecanismos de controle da internet em regimes autoritários e exigem cautela no manuseio dos dados vazados, recomendando ambientes isolados para análise.

Pesquisadores da Bitdefender alertaram sobre um novo malware sem arquivo, chamado EggStreme, que foi utilizado por um ator de ameaça chinês para atacar uma empresa militar nas Filipinas. O EggStreme é uma estrutura modular que permite acesso remoto, injeção de payloads, registro de teclas e espionagem persistente. O malware é composto por seis componentes principais, incluindo um carregador inicial que estabelece uma conexão reversa e um backdoor principal que suporta 58 comandos. A entrega do malware ocorre por meio de um arquivo DLL carregado lateralmente, que é ativado por executáveis confiáveis, permitindo que ele contorne controles de segurança. Embora a Bitdefender tenha tentado atribuir o ataque a grupos APT chineses conhecidos, não conseguiu estabelecer uma conexão clara, mas os objetivos do ataque se alinham com as táticas de espionagem cibernética frequentemente associadas a esses grupos. O ataque destaca a crescente preocupação com a segurança cibernética na região da Ásia-Pacífico, onde atores estatais têm se mostrado ativos em várias nações vizinhas, incluindo Vietnã e Taiwan.

Pesquisadores de segurança cibernética identificaram um conjunto de 45 domínios associados a grupos de ameaças ligados à China, como Salt Typhoon e UNC4841, com registros que datam de maio de 2020. A análise, realizada pela Silent Push, revela que esses domínios compartilham infraestrutura com atividades anteriores, incluindo a exploração de uma vulnerabilidade crítica (CVE-2023-2868) em dispositivos Barracuda Email Security Gateway. Salt Typhoon, ativo desde 2019, ganhou notoriedade por atacar provedores de telecomunicações nos EUA e é supostamente operado pelo Ministério da Segurança do Estado da China. A pesquisa também destacou o uso de endereços de e-mail Proton Mail para registrar domínios com informações falsas. A recomendação é que organizações que possam estar em risco de espionagem chinesa verifiquem seus logs DNS dos últimos cinco anos em busca desses domínios e seus subdomínios. O alerta é especialmente relevante considerando a crescente preocupação com a cibersegurança em um cenário global cada vez mais complexo.

Recentemente, a China experimentou uma interrupção em sua conexão com a internet global, que durou 74 minutos, afetando especificamente o tráfego no TCP port 443, utilizado para HTTPS. O incidente ocorreu entre 00:34 e 01:48, horário de Pequim, quando a maioria dos cidadãos estava dormindo, levantando questões sobre se foi um erro ou uma ação intencional. Durante a interrupção, o Grande Firewall da China bloqueou o acesso a sites externos e interrompeu serviços de empresas como Apple e Tesla. Curiosamente, apenas o port 443 foi afetado, enquanto outros, como 22 (SSH) e 80 (HTTP), permaneceram operacionais. A análise sugere que o dispositivo responsável pela interrupção não correspondia aos equipamentos conhecidos do Grande Firewall, o que pode indicar um novo dispositivo de censura ou uma configuração incorreta. Além disso, não houve eventos políticos significativos que pudessem justificar a ação, tornando a situação ainda mais enigmática. Coincidentemente, horas antes, o Paquistão também enfrentou uma queda significativa no tráfego da internet, o que pode indicar uma possível conexão entre os dois eventos, dado o histórico de censura em ambos os países.

Pesquisadores de segurança identificaram que 12 aplicativos de VPN gratuitos disponíveis nas lojas Google Play e Apple App Store possuem impressões digitais de redes russas, enquanto seis têm traços chineses. Entre esses, cinco VPNs estão associadas a uma empresa baseada em Xangai, supostamente ligada ao exército chinês. Embora essas impressões não confirmem necessariamente a propriedade russa ou chinesa, especialistas recomendam cautela em relação à privacidade dos dados. Os aplicativos afetados incluem Turbo VPN e VPN Proxy Master, que utilizam kits de desenvolvimento de software (SDKs) de origem russa ou chinesa, indicando uma possível intenção de controle. A análise revela que a maioria dos aplicativos que se comunicam com domínios russos não está listada na App Store da Apple, sugerindo uma abordagem mais rigorosa da empresa em relação a VPNs ligadas à Rússia. O uso de VPNs não verificadas pode expor os usuários a riscos de privacidade, como rastreamento invasivo e vigilância estrangeira. Para uma navegação segura, recomenda-se considerar VPNs confiáveis como Privado VPN, Proton VPN e Windscribe VPN.

Um relatório do Tech Transparency Project revelou que mais de 20 das 100 principais VPNs gratuitas nas lojas de aplicativos dos EUA têm indícios de propriedade chinesa, sem divulgações claras sobre esses vínculos. Após a publicação do relatório, a Apple removeu alguns aplicativos suspeitos, mas muitos permanecem disponíveis. A Comparitech analisou 24 aplicativos de VPN, tanto para Android quanto para iOS, e encontrou que seis deles se comunicam com domínios chineses, enquanto oito se conectam a IPs russos. Esses sinais não confirmam a propriedade, mas levantam preocupações sobre a privacidade dos usuários, já que as leis da China e da Rússia podem forçar VPNs a monitorar dados. A análise também revelou que algumas VPNs utilizam SDKs chineses ou russos, o que pode indicar controle ou desenvolvimento por entidades desses países. A Comparitech recomenda que os usuários verifiquem a origem de suas VPNs, já que a falta de transparência pode ser um sinal de alerta. VPNs baseadas na China ou na Rússia não podem garantir serviços de ‘sem registros’, o que é essencial para a proteção da privacidade do usuário.