Grupos chineses ampliam ataques cibernéticos a governos da América Latina enquanto campanha russa se intensifica na Europa

Palcos diferentes, mesma preocupação: a segurança digital de estados inteiros. Entre abril e setembro de 2025, um levantamento sobre Ameaças Persistentes Avançadas identificou movimentos paralelos de atores chineses e russos em frentes geográficas distintas. Na América Latina, o destaque ficou para as investidas do grupo chinês FamousSparrow contra órgãos governamentais. No mesmo período, coletivos ligados à Rússia intensificaram operações na Europa, com foco especial na Ucrânia. O quadro reforça que as manobras cibernéticas seguem atreladas a objetivos estratégicos e geopolíticos.

Quem está por trás dos ataques na América Latina

O principal responsável pelos incidentes registrados na região foi o grupo FamousSparrow. Especialistas analisaram que suas atividades se concentraram entre junho e setembro de 2025, tendo como alvo órgãos públicos da Argentina, Equador, Guatemala, Honduras e Panamá. Todos esses países, ainda de acordo com a investigação, vêm aprofundando relações diplomáticas e comerciais com os Estados Unidos, o que teria motivado uma tentativa de pressioná-los a reavaliar laços com Beijing.

O que motivou as ofensivas

Fontes da comunidade de cibersegurança apontam para dois eixos de motivação. Primeiro, uma retaliação ao fortalecimento de vínculos desses governos latino-americanos com Washington. Segundo, um esforço de reaproximação política por parte de Pequim, que busca restabelecer influência em países que, em outros momentos, mantiveram cooperação mais próxima com a China. Embora não exista confirmação oficial de vínculos estatais, o padrão das ações indica alinhamento a interesses geopolíticos chineses.

Quando e onde os ataques ocorreram

A janela de ataque declarada vai de junho a setembro de 2025. Durante esses quatro meses, o grupo percorreu diferentes redes governamentais, priorizando sistemas internos, servidores de e-mail e plataformas de colaboração. Conforme o relatório, houve registros de movimentações em:

• Argentina – infraestruturas de comunicação governamental.
• Equador – sistemas de autenticação de usuários internos.
• Guatemala – serviços de hospedagem de dados sensíveis.
• Honduras e Panamá – portais de serviços ao cidadão e bases de dados de identidade.

Como a técnica adversary-in-the-middle facilitou invasões

O relatório destaca que coletivos chineses adotaram cada vez mais o método adversary-in-the-middle (AiTM) tanto para obter acesso inicial quanto para se deslocar lateralmente dentro das redes comprometidas.

Nessa abordagem, o invasor se posiciona entre duas pontas que acreditam estar se comunicando diretamente. Ao interceptar o tráfego, ele lê, grava e altera informações em tempo real sem levantar suspeitas. O sucesso depende de três etapas:

1. Interposição do tráfego – por meio de spoofing de DNS, sequestro de sessão ou comprometimento de certificados.
2. Captura de credenciais – o agente malicioso coleta senhas, tokens de autenticação e cookies.
3. Manipulação de dados – com controle do canal, pode-se introduzir malware adicional, redirecionar usuários ou exfiltrar documentos sigilosos.

A evolução tática reside no uso da mesma técnica para movimentação lateral. Depois de assumir o controle de um ponto da rede, o atacante replica sessões para alcançar outros serviços internos sem disparar alarmes de login suspeito.

Consequências diretas para os países afetados

Ainda que detalhes sobre danos concretos não tenham sido divulgados, incidentes desse porte costumam gerar:

• Exposição de dados – informações sobre cidadãos, contratos ou comunicações diplomáticas podem ter sido copiadas.
• Interferência operacional – paralisação temporária de portais de serviço público causa atraso em rotinas administrativas.
• Risco de espionagem de longo prazo – backdoors inseridos permanecem ativos, abrindo espaço para novas incursões futuras.

Panorama europeu: a escalada russa

Enquanto os ataques chineses avançavam na América Latina, grupos russos concentravam esforços na Europa. A Ucrânia continuou no epicentro das atenções, mas alvos da União Europeia também foram atingidos.

Gamaredon liderou atividades de espionagem, aumentando ritmo e alcance contra entidades ucranianas. Já o Sandworm focou em operações destrutivas, mirando agências governamentais, infraestrutura energética, logística e setor de grãos, em clara tentativa de enfraquecer a economia do país.

Mesmo quando instituições de outros países eram comprometidas, investigações revelaram conexões estratégicas ou operacionais com Kiev. O objetivo declarado dos atacantes permaneceu o de obter inteligência militar e econômica favorável à Rússia.

Vulnerabilidades exploradas nas campanhas russas

Entre abril e setembro, o grupo RomCom utilizou uma falha zero-day no WinRAR para instalar backdoors em organizações dos setores financeiro, de manufatura, defesa e logística em membros da UE e no Canadá. Zero-days são falhas desconhecidas pelas equipes de desenvolvimento de software, o que impede a existência de um patch imediato e aumenta a efetividade do ataque.

Outro coletivo, o FrostyNeighbor, alinhado à Belarus, tirou proveito de uma vulnerabilidade XSS no cliente de e-mail Roundcube. E-mails de phishing, disfarçados de comunicações legítimas de empresas polonesas, foram enviados a alvos na Polônia e Lituânia. Chamou atenção o uso de bullet points e emojis em formato sugestivo de conteúdo gerado por inteligência artificial, sinalizando que as ferramentas de IA começam a ser integradas às estratégias de engenharia social.

Impersonação de fornecedores de segurança

A sofisticação dos ataques não se limitou às vulnerabilidades técnicas. O grupo russo InedibleOchotense forjou uma campanha de phishing em que se passava pela própria empresa que divulgou o relatório de ameaças. E-mails e mensagens via Signal continham um instalador adulterado: a vítima recebia um produto legítimo da companhia de segurança, mas também instalava o backdoor Kalambur. O episódio ilustra o nível de ousadia dos agentes, capazes de explorar a confiança em marcas consolidadas.

Possível uso de inteligência artificial pelos atacantes

Analistas encontraram indícios de que conteúdo criado ou refinado por IA já serve para tornar mensagens de phishing mais convincentes. O caso do FrostyNeighbor, com suas listas numeradas e emojis, sugere uma tentativa de humanizar a comunicação aparentemente automatizada, aumentando taxas de clique e comprometimento.

Relevância estratégica das campanhas paralelas

A simultaneidade das ofensivas chinesas e russas reforça um padrão de ciberatividades alinhadas a interesses estatais. A América Latina torna-se palco de disputas de influência entre grandes potências, e a Europa segue em estado de alerta permanente por causa do conflito no Leste Europeu. Países que figuram como alvo precisam:

• Fortalecer autenticação multifator – impedindo a reutilização de tokens capturados em técnicas AiTM.
• Manter atualização de softwares – reduzindo janelas de exploração de vulnerabilidades zero-day.
• Capacitar usuários contra phishing – principalmente quando campanhas simulam comunicações de parceiros de confiança.
• Monitorar movimentação lateral – identificando tráfego anômalo que possa sinalizar presença de backdoors.

Implicações para o cenário latino-americano

Os ataques conduzidos pelo FamousSparrow reiteram que governos latino-americanos estão cada vez mais inseridos em tramas cibernéticas de cunho geopolítico. A depender da evolução das alianças regionais, as tentativas de coerção ou coleta de inteligência podem persistir. A autoridade dos Estados para proteger dados de cidadãos e manter serviços digitais ativos passa, obrigatoriamente, pela adoção de políticas robustas de segurança e pela cooperação internacional em investigação de incidentes.