O Google desmantelou uma sofisticada operação de espionagem cibernética atribuída ao grupo chinês UNC2814, também conhecido como Gallium, que explorou a API do Google Sheets como canal de comando e controle para roubar informações de operadoras de telecomunicações brasileiras e órgãos governamentais desde 2018. A campanha já resultou em 53 vítimas confirmadas em 42 países.
A investigação indica que o grupo combinou o malware GRIDTIDE com ferramentas legítimas do Google para camuflar suas atividades, demonstrando um alto nível de sofisticação e planejamento.
A abordagem central, descrita como “Living off the Land”, utiliza a própria infraestrutura de Google Sheets como meio de comando e controle, fazendo com que as comunicações pareçam tráfego corporativo legítimo e dificultem a detecção por sistemas de segurança tradicionais.
A operação manteve-se ativa por cerca de seis anos, com atuação em mais de 70 países, tendo como foco infraestrutura crítica de telecomunicações e outras entidades. Essa persistência sugere o uso de recursos substanciais para manter o acesso aos sistemas comprometidos.
No território brasileiro, as investigações apontam que os alvos incluíam pessoas politicamente expostas, como parlamentares, jornalistas e executivos, com o objetivo de capturar metadados de comunicações e, potencialmente, interceptar conversas.
A resposta da Google foi ampla: encerramento de projetos no Google Cloud, desativação de contas vinculadas ao grupo e revogação de APIs utilizadas na operação, em cooperação com autoridades de segurança de várias nações.
Especialistas destacam que este caso evidencia a necessidade de modelos de segurança mais robustos, incluindo abordagens de zero trust e monitoramento comportamental, já que plataformas corporativas amplamente utilizadas podem se tornar vetores de ataque se não forem bem gerenciadas.
