Gridtide

Um grupo de hackers chineses, identificado como UNC2814, está por trás de uma campanha de espionagem global que utiliza o Google Planilhas como vetor de ataque. A colaboração entre o Grupo de Inteligência de Ameaças da Google (GTIG) e a empresa de cibersegurança Mandiant revelou que a campanha, que começou em 2023, já afetou 53 empresas em 42 países, incluindo o Brasil. Os atacantes exploram uma nova backdoor chamada GRIDTIDE, que se autentica em contas do Google e utiliza a API do Google Sheets para executar comandos maliciosos. O malware é capaz de coletar informações sensíveis, como nome de usuário, detalhes do sistema operacional e localização, enquanto se esconde em meio ao tráfego normal da internet. Após a descoberta, as autoridades desativaram a infraestrutura do grupo e notificaram as organizações afetadas, oferecendo suporte para mitigar os danos. A situação destaca a vulnerabilidade de sistemas governamentais e de telecomunicações a ataques sofisticados que utilizam ferramentas comuns como o Google Planilhas.

O Google, por meio de seu Grupo de Inteligência de Ameaças (GTIG) e em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um ator de ameaça suspeito de ser da China, que utilizava chamadas de API de SaaS para ocultar tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais. A campanha, que estava ativa desde pelo menos 2023, afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos 20 outros países. O vetor de acesso inicial é desconhecido, mas acredita-se que o grupo, identificado internamente como UNC2814, tenha explorado falhas em servidores web e sistemas de borda. A nova ferramenta utilizada, chamada ‘GRIDTIDE’, é um backdoor em C que abusa da API do Google Sheets para operações de comando e controle (C2) evasivas. O GRIDTIDE autentica-se em uma Conta de Serviço do Google usando uma chave privada codificada e realiza reconhecimento do host, coletando informações como nome de usuário e detalhes do sistema. Apesar de a Google não ter observado diretamente a exfiltração de dados, foi confirmado que o GRIDTIDE foi implantado em um sistema que continha informações pessoais sensíveis. A campanha foi desmantelada com a desativação de projetos do Google Cloud controlados pelo UNC2814 e a revogação do acesso à API do Google Sheets. Embora a interrupção tenha sido abrangente, espera-se que o grupo retome suas atividades em breve.

O Google anunciou, em 25 de fevereiro de 2026, que colaborou com parceiros da indústria para desmantelar a infraestrutura de um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC2814. Este grupo é responsável por violações em pelo menos 53 organizações em 42 países, com um histórico de ataques a governos e empresas de telecomunicações em diversas regiões do mundo. O relatório, elaborado pelo Google Threat Intelligence Group e pela Mandiant, destaca o uso de uma nova backdoor chamada GRIDTIDE, que utiliza a API do Google Sheets para ocultar o tráfego malicioso e facilitar a transferência de dados. Embora a forma de acesso inicial do grupo ainda esteja sendo investigada, há indícios de que eles exploram servidores web e sistemas de borda. O Google tomou medidas significativas, encerrando todos os projetos do Google Cloud controlados pelos atacantes e desativando a infraestrutura conhecida do UNC2814. A atividade global deste grupo, que se estende por mais de 70 países, representa uma séria ameaça para os setores de telecomunicações e governamentais, evidenciando a necessidade de vigilância contínua e medidas de segurança robustas.