Telecomunicações

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Um novo estudo da F-Secure revela que mais da metade dos consumidores americanos, cerca de 56%, enfrentará tentativas de fraudes online mensalmente em 2025. A pesquisa, que abrangeu 10.000 consumidores, mostra que 52% dos afetados perderão dinheiro em ataques, com o número de vítimas financeiras mais que dobrando em relação ao ano anterior. Embora a exposição a fraudes não esteja aumentando tão rapidamente, a eficácia dos golpistas em monetizar ataques está crescendo. Os criminosos estão se concentrando em fraudes de maior valor, como golpes de faturas falsas e fraudes de investimento. A inteligência artificial (IA) tem sido um fator significativo, permitindo que os golpistas aprimorem suas táticas de ataque, incluindo a criação de e-mails personalizados e a utilização de vozes sintéticas. Além disso, 69% dos consumidores acreditam que podem identificar fraudes, mas 43% deles acabaram se tornando vítimas. O estudo também destaca a crescente importância das redes sociais como vetor de ataque, com um aumento de oito vezes nas perdas financeiras entre 2020 e 2025. A pesquisa sugere que as empresas de telecomunicações devem assumir um papel ativo na proteção dos consumidores, já que 93% dos entrevistados acreditam que essas empresas devem oferecer medidas de segurança.

Pesquisadores de cibersegurança revelaram uma campanha de fraude em telecomunicações que utiliza truques de verificação CAPTCHA falsos para enganar usuários desavisados a enviar mensagens de texto internacionais, resultando em cobranças em suas contas de celular. De acordo com um relatório da Infoblox, a operação está ativa desde junho de 2020 e envolve engenharia social e sequestro do botão ‘voltar’ em navegadores. A fraude, conhecida como International Revenue Share Fraud (IRSF), utiliza números de telefone registrados em países com altas taxas de terminação e colaborações com provedores locais para maximizar os lucros. Os usuários são redirecionados para páginas falsas que solicitam o envio de SMS para ‘confirmar que são humanos’, resultando em cobranças de até $30 por até 60 mensagens enviadas a 15 números diferentes. A campanha também se aproveita de cookies para rastrear o progresso dos usuários e utiliza técnicas de redirecionamento para manter as vítimas presas em um ciclo de navegação. Essa operação prejudica tanto os indivíduos, que enfrentam cobranças inesperadas, quanto as operadoras de telecomunicações, que arcam com as perdas decorrentes de disputas de clientes.

Pesquisadores do Citizen Lab revelaram que dois grupos de vigilância estão explorando falhas na infraestrutura global de telecomunicações para rastrear a localização de usuários de celulares. Os ataques utilizam sistemas de sinalização, como SS7 e Diameter, que são essenciais para a comunicação entre operadoras. A primeira campanha visou um alvo de alto perfil, enquanto a segunda enviou mensagens SMS invisíveis que coletavam informações de localização sem o conhecimento do usuário. O mais alarmante é que esses ataques não dependem de malware ou ações do usuário, podendo ser realizados simplesmente comprometendo a rede móvel. Além disso, o uso de VPNs não oferece proteção contra esses tipos de rastreamento, pois os ataques operam em um nível diferente da conexão de internet. Embora esses ataques pareçam direcionados a indivíduos de alto perfil, a falta de medidas de proteção efetivas para o público em geral levanta preocupações sobre a segurança das comunicações móveis. Para indivíduos em risco, a única solução viável é desativar as conexões celulares e usar apenas Wi-Fi.

Uma investigação realizada pela empresa de cibersegurança Infrawatch revelou a existência de 94 fazendas de SIM em 17 países, conectadas a 35 operadoras móveis, incluindo grandes redes do Reino Unido e dos Estados Unidos. Essas fazendas, que consistem em racks de cartões SIM controlados remotamente, são utilizadas para contornar sistemas de verificação baseados em telefone, como senhas de uso único enviadas por SMS. A infraestrutura é operada por uma empresa baseada na Bielorrússia, chamada ProxySmart, que fornece acesso a serviços de conectividade móvel em várias regiões. A pesquisa destacou que essas fazendas são promovidas em fóruns online e aceitam pagamentos em criptomoedas, dificultando a identificação de usuários maliciosos. A análise técnica revelou que a plataforma ProxySmart permite a rotação automática de IPs e o controle remoto de dispositivos, aumentando a dificuldade de detecção por parte das operadoras. A descoberta de tais operações levanta preocupações sobre a segurança das redes móveis e a exposição de organizações e usuários a fraudes e abusos online. A investigação foi compartilhada com autoridades de segurança antes da publicação, ressaltando a necessidade de ações mais rigorosas contra esse tipo de crime.

Recentemente, uma falha crítica no Citrix NetScaler ADC e Gateway (CVE-2026-3055) foi identificada e está sendo ativamente explorada, com um CVSS de 9.3, o que a torna uma vulnerabilidade de alto risco. Essa falha se deve à validação insuficiente de entradas, permitindo que atacantes acessem informações sensíveis, especialmente se o sistema estiver configurado como um Provedor de Identidade SAML. Além disso, o FBI confirmou o hack da conta de e-mail do diretor Kash Patel, atribuído ao grupo de hackers Handala, vinculado ao Irã, que alegou ter acessado documentos confidenciais. Outro incidente notável envolve o grupo Red Menshen, que implantou backdoors em infraestruturas de telecomunicações, utilizando ferramentas como o BPFDoor para monitorar tráfego sem ser detectado. O caso de Ilya Angelov, um hacker russo condenado a dois anos de prisão por gerenciar um botnet usado em ataques de ransomware, também destaca a persistência de ameaças cibernéticas. Por fim, a FCC dos EUA baniu a importação de novos roteadores fabricados no exterior devido a riscos de segurança, refletindo uma crescente preocupação com a segurança cibernética em nível governamental.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

Desde 2024, um ator de ameaça persistente avançada (APT) vinculado à China, identificado como UAT-9244, tem como alvo a infraestrutura crítica de telecomunicações na América do Sul, atacando sistemas Windows e Linux, além de dispositivos de borda. A Cisco Talos, que monitora essa atividade, descreve UAT-9244 como associado ao grupo FamousSparrow, que também possui vínculos com o grupo Salt Typhoon, conhecido por suas ações contra provedores de serviços de telecomunicações.

Um grupo de ameaça persistente avançada, identificado como UAT-9244 e vinculado à China, tem como alvo provedores de serviços de telecomunicações na América do Sul desde 2024. Pesquisadores da Cisco Talos relataram que o grupo utiliza três novas famílias de malware: TernDoor, um backdoor para Windows; PeerTime, um backdoor para Linux que utiliza o protocolo BitTorrent; e BruteEntry, um scanner de força bruta que transforma dispositivos comprometidos em nós de escaneamento.

O grupo de ciberameaças conhecido como UnsolicitedBooker tem direcionado suas atividades para empresas de telecomunicações no Quirguistão e no Tajiquistão, após uma série de ataques anteriores a entidades na Arábia Saudita. Os ataques utilizam duas backdoors distintas, chamadas LuciDoor e MarsSnake, conforme relatado pela Positive Technologies. A UnsolicitedBooker, que foi documentada pela primeira vez pela ESET em maio de 2025, é considerada ativa desde março de 2023 e tem um histórico de ataques a organizações na Ásia, África e Oriente Médio. Recentemente, os ataques foram realizados através de e-mails de phishing que continham documentos do Microsoft Office, que, ao serem abertos, solicitavam que os usuários ‘ativassem o conteúdo’ para executar macros maliciosas. Essas macros implantavam um carregador de malware chamado LuciLoad, que, por sua vez, instalava a backdoor LuciDoor. Em um ataque posterior, o grupo utilizou um carregador diferente, o MarsSnakeLoader, para implantar a backdoor MarsSnake. A Positive Technologies também observou que o MarsSnake foi utilizado em ataques direcionados à China. O uso de ferramentas raras de origem chinesa e a possibilidade de um roteador hackeado servir como servidor de comando e controle destacam a sofisticação das operações do grupo.

A operadora de telecomunicações holandesa Odido anunciou que foi alvo de um ataque cibernético que comprometeu os dados pessoais de aproximadamente 6,2 milhões de clientes. O incidente foi detectado no final de semana de 7 de fevereiro, levando a empresa a iniciar uma investigação com especialistas em cibersegurança. Os atacantes conseguiram acessar o sistema de contato com o cliente da Odido, permitindo o download de informações sensíveis, como endereços, números de telefone, e-mails e dados de identificação, como números de passaporte ou carteira de motorista. A empresa garantiu que informações mais críticas, como senhas e dados de cobrança, não foram afetadas. Após a descoberta do ataque, a Odido bloqueou o acesso não autorizado e notificou a Autoridade de Proteção de Dados da Holanda. A empresa está em processo de informar todos os clientes impactados e implementou medidas adicionais de segurança. Até o momento, não há evidências de que os dados tenham sido divulgados publicamente. O incidente destaca a vulnerabilidade das empresas de telecomunicações e a necessidade de robustecer as medidas de segurança para proteger informações sensíveis dos clientes.

O grupo de hackers chinês conhecido como UNC3886 comprometeu as quatro maiores operadoras de telecomunicações de Cingapura - Singtel, StarHub, M1 e Simba - pelo menos uma vez no último ano. Embora os invasores tenham conseguido acesso limitado a sistemas críticos, não houve interrupções nos serviços. Em resposta, Cingapura lançou a ‘Operação Cyber Guardian’ para conter a atividade do grupo nas redes das operadoras. A Agência de Cibersegurança de Cingapura (CSA) revelou que os atacantes utilizaram um exploit de zero-day para contornar firewalls e roubar dados técnicos. Além disso, foi identificado o uso de rootkits para manter a furtividade e persistência durante o ataque. Apesar da confirmação de comprometimento, as autoridades não encontraram evidências de acesso ou roubo de dados sensíveis de clientes. A CSA e a Autoridade de Desenvolvimento de Mídia e Telecomunicações (IMDA) mobilizaram mais de cem investigadores de seis agências governamentais para investigar a situação. O Ministro do Desenvolvimento Digital e Informação de Cingapura, Josephine Teo, destacou que, embora o ataque não tenha causado danos significativos, é um lembrete da importância do trabalho dos defensores cibernéticos.

A Agência de Cibersegurança de Cingapura (CSA) revelou que o grupo de espionagem cibernética vinculado à China, conhecido como UNC3886, lançou uma campanha direcionada contra o setor de telecomunicações do país. Todos os quatro principais operadores de telecomunicações de Cingapura – M1, SIMBA Telecom, Singtel e StarHub – foram alvos dos ataques. O grupo, ativo desde pelo menos 2022, utiliza dispositivos de borda e tecnologias de virtualização para obter acesso inicial. Em um incidente, UNC3886 empregou um exploit de zero-day para contornar um firewall e extrair dados técnicos. Além disso, o grupo utilizou rootkits para garantir acesso persistente e ocultar suas atividades. Apesar das invasões, a CSA afirmou que não houve evidências de exfiltração de dados pessoais dos clientes e que as operações de telecomunicações não foram severamente afetadas. Para mitigar a ameaça, a CSA lançou a operação CYBER GUARDIAN, que resultou na implementação de medidas de remediação e no fechamento de pontos de acesso do grupo. A situação destaca a crescente preocupação com a segurança cibernética em setores críticos e a necessidade de vigilância contínua.

A botnet Aisuru/Kimwolf lançou um ataque DDoS massivo que atingiu picos de 31,4 Tbps e 200 milhões de requisições por segundo, estabelecendo um novo recorde. O ataque, que ocorreu em 19 de dezembro de 2025, visou principalmente empresas do setor de telecomunicações e foi detectado e mitigado pela Cloudflare. Aisuru já era responsável pelo recorde anterior de 29,7 Tbps. A campanha, chamada de ‘A Noite Antes do Natal’, foi caracterizada como um ‘bombardeio sem precedentes’ e incluiu ataques HTTP DDoS hipervolumétricos e ataques de camada 4. A maioria dos ataques durou entre um e dois minutos, com 90% deles atingindo picos entre 1-5 Tbps. A origem dos ataques foi atribuída a dispositivos Android TV, além de dispositivos IoT e roteadores comprometidos. O relatório da Cloudflare também revelou um aumento de 121% nos ataques DDoS em 2025, com 47,1 milhões de incidentes registrados, destacando a crescente ameaça que esses ataques representam para empresas em todo o mundo.

A Comissão Europeia apresentou uma nova proposta de legislação em cibersegurança que visa a remoção de fornecedores considerados de alto risco das redes de telecomunicações, com o objetivo de fortalecer a proteção contra grupos de cibercrime e ameaças estatais que visam a infraestrutura crítica. Essa iniciativa surge após anos de aplicação desigual da ‘5G Security Toolbox’, que incentivava os Estados-membros a reduzirem a dependência de fornecedores de alto risco, como empresas de tecnologia chinesas. O novo pacote de cibersegurança permitirá que a Comissão organize avaliações de risco em toda a UE e apoie restrições ou proibições de equipamentos utilizados em infraestruturas sensíveis. Além disso, a proposta inclui uma revisão da Lei de Cibersegurança, que facilitará os procedimentos de certificação para empresas e permitirá que a Agência da UE para a Cibersegurança (ENISA) emita alertas de ameaças e ajude na resposta a ataques de ransomware. A nova legislação entrará em vigor imediatamente após a aprovação pelo Parlamento Europeu e pelo Conselho da UE, com um ano para que os Estados-membros implementem as alterações em suas legislações nacionais.

Os ataques de negação de serviço distribuído (DDoS) evoluíram drasticamente em 2025, tornando-se uma ocorrência diária para provedores de telecomunicações. O artigo destaca que, enquanto em 2024 cerca de 44% das campanhas DDoS terminavam em cinco minutos, esse número saltou para 78% em 2025, com mais de um terço dos ataques concluídos em menos de dois minutos. Essa aceleração se deve à automação dos ataques, que agora são orquestrados por algoritmos que adaptam suas estratégias em tempo real, dificultando a resposta das defesas tradicionais. Além disso, a origem do tráfego de ataque mudou, com redes de proxies residenciais, que podem incluir de 100 a 200 milhões de dispositivos, agora sendo utilizadas para retransmitir tráfego malicioso. Essa nova infraestrutura de ataque é invisível e muito mais difícil de ser detectada, representando uma ameaça significativa. Para se defender, as organizações precisam adotar sistemas automatizados e escaláveis que integrem inteligência para identificar tráfego malicioso entre usuários legítimos. O artigo conclui que as defesas DDoS tradicionais não são mais suficientes e que é crucial uma evolução para arquiteturas de defesa proativas.

A Agência Nacional de Telecomunicações (Anatel) anunciou novas medidas para combater fraudes telefônicas, especialmente o spoofing, que consiste na adulteração do número de origem das chamadas. O Despacho Decisório nº 978/2025/COGE/SCO, que entra em vigor em 1º de janeiro de 2026, aprimora as diretrizes já estabelecidas em 2024, visando modernizar as legislações e aumentar a eficácia no combate a esse tipo de crime. Entre as principais determinações estão o bloqueio de chamadas irregulares, a exigência de registros detalhados das chamadas e a proibição de revenda irregular de números. A Anatel também poderá bloquear interconexões de prestadoras que não cumprirem as normas, com penalidades que podem chegar a um mês de suspensão em casos de reincidência. Essas ações visam aumentar a rastreabilidade das chamadas e melhorar a comunicação entre prestadoras e a agência, além de fortalecer a responsabilização por fraudes. Com a implementação dessas medidas, a Anatel espera reduzir significativamente o número de fraudes telefônicas no Brasil.

A Coreia do Sul está implementando um novo sistema de registro de cartões SIM que inclui reconhecimento facial, como resposta ao aumento de fraudes e vazamentos de dados. A medida visa dificultar a criação de contas móveis fraudulentas, que têm proliferado devido ao acesso fácil a dados pessoais roubados. Com a nova política, os usuários deverão apresentar documentos de identidade oficiais e realizar uma verificação facial por meio de aplicativos de operadoras. O Ministério da Ciência e TIC do país argumenta que a simples apresentação de dados pessoais não é mais suficiente para ativar uma linha telefônica, especialmente após uma série de incidentes de vazamento de dados que afetaram mais da metade da população sul-coreana. As operadoras de telecomunicações enfrentaram críticas por falhas de segurança, levando a multas e exigências de compensação aos consumidores. Embora a verificação biométrica possa aumentar a segurança, ela também levanta preocupações sobre a proteção e armazenamento dos dados biométricos. A nova política pode complicar o processo de aquisição de linhas telefônicas, especialmente para usuários temporários ou pré-pagos, mas as autoridades acreditam que é um passo necessário para combater fraudes e proteger os consumidores.

O governo da Coreia do Sul anunciou, em 19 de dezembro de 2025, a implementação de um sistema de verificação facial obrigatório para todas as operadoras de telefonia ao vender novos chips de celular. Esta medida, proposta pelo Ministério da Ciência e Tecnologias da Informação e Comunicação, visa combater o aumento de fraudes, especialmente os golpes de phishing por voz, conhecidos como vishing. A nova exigência inclui a apresentação de documentos de identidade durante a venda, o que deve dificultar a criação de contas fraudulentas. As principais operadoras do país, SK Telecom, LG Uplus e Korea Telecom, já oferecem um aplicativo chamado PASS, que armazenará informações biométricas dos usuários. A Coreia do Sul já enfrentou sérios problemas de segurança, com incidentes de vazamento de dados que afetaram milhões de cidadãos. Em 2024, a Coupang teve 30 milhões de registros expostos, e a SK Telecom também sofreu um vazamento significativo, resultando em multas e compensações financeiras. A medida é uma resposta a um cenário em que operadoras virtuais, que não possuem infraestrutura própria, foram responsáveis por 92% dos números falsos detectados no último ano.

O Departamento de Telecomunicações da Índia (DoT) estabeleceu novas diretrizes para provedores de serviços de comunicação baseados em aplicativos, exigindo que plataformas como WhatsApp, Telegram e Signal utilizem um cartão SIM ativo vinculado ao número de telefone do usuário. Essa medida, parte da emenda às Regras de Cibersegurança das Telecomunicações de 2024, visa combater fraudes cibernéticas, phishing e garantir a segurança das telecomunicações. O DoT destacou que a remoção ou desativação do SIM não deve permitir que contas continuem ativas, o que tem sido explorado por criminosos para realizar fraudes. As novas regras incluem a necessidade de reautenticação periódica a cada seis horas e a vinculação contínua ao SIM, dificultando o controle remoto de contas por fraudadores. Além disso, um novo sistema de Validação de Números Móveis (MNV) será implementado para verificar a autenticidade dos números utilizados em serviços financeiros e digitais. Essas mudanças visam aumentar a segurança e a confiança nas transações digitais, permitindo que as autoridades rastreiem números envolvidos em atividades fraudulentas.

O Ministério das Telecomunicações da Índia determinou que fabricantes de dispositivos móveis instalem obrigatoriamente o aplicativo Sanchar Saathi em todos os novos smartphones dentro de um prazo de 90 dias. Este aplicativo, que não pode ser desinstalado ou desativado, permite que os usuários relatem fraudes, spam e links maliciosos, além de bloquear aparelhos roubados e verificar conexões móveis em seu nome. Uma das funcionalidades principais é a possibilidade de reportar chamadas internacionais fraudulentas que se disfarçam como chamadas nacionais. Desde seu lançamento em maio de 2023, o Sanchar Saathi já foi instalado mais de 11,4 milhões de vezes e ajudou a bloquear 4,2 milhões de dispositivos perdidos. A medida visa combater ameaças à cibersegurança nas telecomunicações, como o uso de números IMEI falsificados. A iniciativa coloca a Índia ao lado de países como a Rússia, que também impôs a pré-instalação de aplicativos governamentais em dispositivos móveis, levantando preocupações sobre privacidade e vigilância.

A Comissão Federal de Comunicações dos EUA (FCC) decidiu revogar regulamentações de cibersegurança que foram implementadas após os ataques do grupo de ameaças cibernéticas conhecido como Salt Typhoon, que infiltrou redes de telecomunicações americanas por mais de um ano. As regras exigiam que as empresas de telecomunicações adotassem controles básicos de segurança e colaborassem para proteger consumidores e a segurança nacional. A FCC argumentou que as regulamentações eram ineficazes e impunham um ônus legal desnecessário, já que as empresas estariam voluntariamente fortalecendo suas defesas cibernéticas. A decisão reflete uma tendência da administração Trump de desregulamentar o setor tecnológico, priorizando a liberdade das empresas em detrimento de proteções robustas contra ameaças cibernéticas. A revogação das regras pode aumentar a vulnerabilidade das redes de telecomunicações, especialmente em um cenário onde ataques cibernéticos estão se tornando cada vez mais sofisticados e frequentes.

Um novo projeto de cabos submarinos, conhecido como Kardesa, está programado para iniciar a construção em 2027 e promete conectar Bulgária, Geórgia, Turquia e Ucrânia, evitando as águas russas. Este projeto visa criar um corredor digital independente entre a Europa e a Ásia, em resposta a preocupações com a segurança das infraestruturas de telecomunicações, especialmente após incidentes recentes no Mar Vermelho que mostraram a fragilidade das redes submarinas. Atualmente, apenas um cabo atravessa o Mar Negro, o que torna a nova rota uma alternativa estratégica. A diversificação de rotas é vista como uma prioridade, com países investindo em sistemas para detectar e prevenir sabotagens. No entanto, a ideia de que evitar a Rússia tornará automaticamente a internet mais segura é questionável, já que a Ucrânia, onde parte do cabo passará, ainda é uma zona de incerteza. Além disso, a proteção física não elimina o risco de intrusões cibernéticas. Se bem-sucedido, o Kardesa pode mudar a percepção da Europa sobre a independência digital.

Um grupo de ciberespionagem vinculado à China, conhecido como Salt Typhoon, atacou uma organização de telecomunicações na Europa na primeira semana de julho de 2025. Os invasores exploraram uma vulnerabilidade em um dispositivo Citrix NetScaler Gateway para obter acesso inicial. Salt Typhoon, ativo desde 2019, é conhecido por suas táticas de persistência e exfiltração de dados sensíveis em mais de 80 países, incluindo os EUA. Durante o ataque, os hackers utilizaram o Citrix Virtual Delivery Agent (VDA) para se mover lateralmente na rede da vítima, além de empregar o SoftEther VPN para ocultar suas origens. Um dos malwares utilizados foi o Snappybee, que se aproveita de uma técnica chamada DLL side-loading, onde arquivos DLL maliciosos são carregados junto a executáveis legítimos de software antivírus. A atividade maliciosa foi identificada e mitigada antes que pudesse causar danos maiores. A natureza furtiva e a capacidade de reutilizar ferramentas confiáveis tornam o Salt Typhoon um adversário desafiador para as defesas cibernéticas.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Recentemente, os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha de ciberataques que distribui uma nova variante do malware PlugX, também conhecido como Korplug ou SOGU. Pesquisadores da Cisco Talos identificaram que essa nova variante compartilha características com os backdoors RainyDay e Turian, incluindo o uso de aplicações legítimas para o carregamento de DLLs maliciosas. A configuração do PlugX, que normalmente segue um formato específico, foi alterada para se assemelhar à estrutura utilizada pelo RainyDay, um backdoor associado ao grupo de ameaças Lotus Panda, vinculado à China. Além disso, o PlugX é um Trojan de Acesso Remoto (RAT) amplamente utilizado por grupos de hackers alinhados à China, como o Mustang Panda. As evidências sugerem uma possível conexão entre os grupos Lotus Panda e BackdoorDiplomacy, ambos focados em telecomunicações e países da Ásia do Sul. Os ataques geralmente envolvem o abuso de executáveis legítimos para carregar DLLs maliciosas que, por sua vez, executam os payloads do PlugX. A análise também destaca o malware Bookworm, utilizado pelo Mustang Panda, que permite controle extenso sobre sistemas comprometidos e se disfarça em tráfego de rede normal. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente no contexto de conformidade com a LGPD no Brasil.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O Serviço Secreto dos EUA anunciou a desarticulação de uma rede de dispositivos eletrônicos na área metropolitana de Nova York, que eram utilizados para ameaçar oficiais do governo e representavam um risco iminente à segurança nacional. A investigação revelou mais de 300 servidores SIM e 100.000 cartões SIM distribuídos em várias localidades, concentrados em um raio de 56 km da Assembleia Geral da ONU. Os dispositivos não apenas emitiram ameaças anônimas, mas também poderiam ser utilizados para atacar a infraestrutura de telecomunicações, desativando torres de celular e facilitando comunicações criptografadas entre potenciais ameaçadores e organizações criminosas. A investigação, conduzida pela Unidade de Interdição de Ameaças Avançadas do Serviço Secreto, também indicou comunicações celulares entre atores de ameaças de estados-nação e indivíduos conhecidos pelas autoridades federais. Embora os detalhes sobre os oficiais ameaçados e as nações envolvidas não tenham sido divulgados, a situação destaca a vulnerabilidade das telecomunicações e a necessidade de vigilância constante. O diretor do Serviço Secreto enfatizou a importância da prevenção e a determinação da agência em neutralizar ameaças iminentes.

Em uma operação coordenada na área metropolitana de Nova York, o Serviço Secreto dos EUA desmantelou uma rede clandestina composta por mais de 300 servidores SIM e mais de 100.000 cartões SIM. Esses dispositivos eram utilizados para realizar ameaças anônimas a altos funcionários do governo e representavam um risco iminente à infraestrutura crítica de telecomunicações, incluindo a capacidade de desativar torres de celular e lançar ataques de negação de serviço. A investigação, que começou como um esforço de inteligência protetiva, revelou que os servidores e cartões estavam estrategicamente posicionados a 35 milhas de Nova York, coincidindo com a Assembleia Geral das Nações Unidas. A análise forense inicial sugere que a operação utilizou técnicas sofisticadas de spoofing de SIM e gerenciamento remoto de clusters de servidores para ocultar identidades e localizações dos usuários. A resposta rápida da Unidade de Interdição de Ameaças Avançadas do Serviço Secreto resultou em uma série de operações simultâneas, destacando a importância da inteligência protetiva e da cooperação interagencial na defesa dos sistemas de comunicação nacionais.

Um grupo de espionagem cibernética vinculado ao Irã, conhecido como UNC1549, está por trás de uma nova campanha que visa empresas de telecomunicações na Europa. A empresa suíça de cibersegurança PRODAFT identificou que o grupo infiltrou 34 dispositivos em 11 organizações localizadas em países como Canadá, França, Emirados Árabes Unidos, Reino Unido e Estados Unidos. Os atacantes se disfarçam como representantes de recursos humanos em plataformas como o LinkedIn, utilizando uma abordagem de recrutamento falsa para enganar funcionários e instalar um backdoor chamado MINIBIKE. Este malware permite a coleta de dados sensíveis, como credenciais do Outlook e informações de navegação. A campanha é caracterizada por um planejamento meticuloso, onde os atacantes realizam reconhecimento extensivo para identificar alvos com acesso elevado a sistemas críticos. Além disso, a operação é apoiada por técnicas avançadas de ofuscação e comunicação, utilizando serviços legítimos de nuvem para evitar detecções. O grupo UNC1549, ativo desde pelo menos junho de 2022, é associado à Guarda Revolucionária Islâmica do Irã e tem como objetivo a coleta de dados estratégicos para espionagem de longo prazo.

Pesquisadores de segurança cibernética identificaram um conjunto de 45 domínios associados a grupos de ameaças ligados à China, como Salt Typhoon e UNC4841, com registros que datam de maio de 2020. A análise, realizada pela Silent Push, revela que esses domínios compartilham infraestrutura com atividades anteriores, incluindo a exploração de uma vulnerabilidade crítica (CVE-2023-2868) em dispositivos Barracuda Email Security Gateway. Salt Typhoon, ativo desde 2019, ganhou notoriedade por atacar provedores de telecomunicações nos EUA e é supostamente operado pelo Ministério da Segurança do Estado da China. A pesquisa também destacou o uso de endereços de e-mail Proton Mail para registrar domínios com informações falsas. A recomendação é que organizações que possam estar em risco de espionagem chinesa verifiquem seus logs DNS dos últimos cinco anos em busca desses domínios e seus subdomínios. O alerta é especialmente relevante considerando a crescente preocupação com a cibersegurança em um cenário global cada vez mais complexo.

O grupo de ameaças persistentes avançadas (APT) conhecido como Salt Typhoon, vinculado à China, tem intensificado seus ataques a redes em todo o mundo, incluindo setores críticos como telecomunicações, governo, transporte, hospedagem e infraestrutura militar. Segundo um alerta conjunto de autoridades de 13 países, o grupo tem como alvo roteadores de grandes provedores de telecomunicações, utilizando dispositivos comprometidos para acessar outras redes. As atividades maliciosas estão associadas a três empresas chinesas que fornecem produtos e serviços cibernéticos para os serviços de inteligência da China. Desde 2019, o Salt Typhoon tem se envolvido em uma campanha de espionagem, visando violar normas de privacidade e segurança global. Recentemente, o grupo ampliou seu foco para outros setores, atacando mais de 600 organizações em 80 países, incluindo 200 nos Estados Unidos. Os atacantes exploram vulnerabilidades em dispositivos de rede, como roteadores da Cisco e Ivanti, para obter acesso inicial e manter controle persistente sobre as redes. O uso de protocolos de autenticação, como TACACS+, permite que os invasores se movam lateralmente dentro das redes comprometidas, capturando dados sensíveis e credenciais. A familiaridade do grupo com sistemas de telecomunicações proporciona uma vantagem significativa na evasão de defesas.