Relatório aponta monitoramento estatal sobre infraestruturas críticas e recursos minerais; setor elétrico entra no radar de ameaças persistentes avançadas
O Brasil passou a integrar o núcleo de uma campanha global de ciberespionagem de natureza estatal voltada ao monitoramento de infraestruturas críticas, setores de energia e recursos minerais estratégicos, segundo relatório divulgado pela ISH Tecnologia. A ofensiva, atribuída ao grupo de ameaça persistente avançada TGR-STA-1030 (UNC6619), reforça o alerta sobre o crescente uso do ciberespaço como instrumento de disputa geopolítica em meio à transição energética e à corrida por minerais críticos.
De acordo com a unidade de inteligência Heimdall, da ISH, a operação já identificou atividades de reconhecimento e monitoramento em 37 países, com foco na coleta de informações estratégicas de longo prazo. O Brasil aparece entre os alvos prioritários, em função do peso do país nos mercados globais de energia, mineração e matérias-primas essenciais para tecnologias de baixo carbono.
Espionagem estratégica, não crime financeiro
Diferentemente de ataques cibernéticos associados a ransomware ou fraudes financeiras, a campanha analisada tem como objetivo central a obtenção de inteligência soberana, antecipando decisões governamentais, políticas públicas e acordos comerciais sensíveis.
Hugo Santos, diretor de Inteligência de Ameaças da ISH Tecnologia, avalia que o padrão observado indica um movimento estruturado e persistente. “Estamos diante de um ator que busca vantagem competitiva e soberana, monitorando de perto setores que sustentam a economia nacional, como energia e a exploração de minerais estratégicos”, afirma.
O relatório destaca que energia elétrica, mineração, com ênfase em terras raras, telecomunicações e aviação figuram entre os segmentos de maior interesse do grupo, refletindo a centralidade dessas cadeias na nova geopolítica da transição energética.
Energia, minerais críticos e decisões de Estado no radar
A investigação conduzida pela Heimdall aponta que o grupo realizou atividades de reconhecimento em infraestruturas localizadas em 155 países, evidenciando uma malha de espionagem orientada à antecipação de decisões estatais de alto nível.
No Brasil, os pesquisadores identificaram evidências de comprometimento associadas ao Ministério de Minas e Energia (MME), além de interesse em outras pastas estratégicas, como Fazenda, Relações Exteriores e Justiça. O foco estaria em decisores políticos e técnicos com acesso a informações sensíveis sobre planejamento energético, cadeias de suprimento e recursos naturais estratégicos.
A exposição desses dados representa risco direto não apenas à segurança institucional, mas também à estabilidade do setor elétrico e à formulação de políticas de longo prazo para a transição energética.
Persistência silenciosa e técnicas avançadas
Para manter acesso prolongado sem levantar alertas, o grupo TGR-STA-1030 emprega técnicas conhecidas como living-off-the-land, utilizando ferramentas legítimas dos próprios sistemas comprometidos para ocultar atividades maliciosas. O acesso inicial ocorre por meio de spear-phishing altamente direcionado e exploração de vulnerabilidades conhecidas, classificadas como N-day.
“O arsenal técnico inclui o rootkit ShadowGuard, capaz de esconder processos no nível do sistema operacional, e o loader customizado DiaoYu.exe. Essas ferramentas permitem que os atacantes mantenham o comando e controle das redes invadidas por meses, utilizando frameworks como Cobalt Strike e Sliver para exfiltrar dados de forma silenciosa”, explica Santos.
Esse tipo de persistência amplia o risco para operadores de infraestrutura crítica, uma vez que a presença do atacante pode permanecer ativa por longos períodos sem detecção.
Defesa cibernética como pilar da segurança energética
Diante do avanço de ameaças estatais no ambiente digital, a ISH Tecnologia avalia que a segurança cibernética passa a ser um componente indissociável da segurança energética nacional. Medidas tradicionais já não são suficientes frente a atores com alto nível técnico e recursos praticamente ilimitados.
Entre as recomendações estão o monitoramento comportamental avançado, a gestão rigorosa de vulnerabilidades, a aplicação imediata de patches de segurança e a adoção de autenticação multifator (MFA) em sistemas críticos. Essas ações elevam a barreira de entrada e dificultam a permanência silenciosa dos atacantes em ambientes governamentais e de infraestrutura essencial.
O relatório reforça que, em um cenário de transição energética, digitalização acelerada e crescente dependência de dados, proteger o setor elétrico e os recursos estratégicos tornou-se uma questão de soberania nacional.
