Uma operação de phishing de vários anos direcionada aos setores aeroespacial e de defesa dos EUA revelou como atacantes manipularam com sucesso relações de confiança para obter softwares sensíveis, inclusive de funcionários ligados à NASA.
Segundo conclusões do Escritório do Inspetor-Geral da NASA, um cidadão chinês orquestrou uma campanha sofisticada de engenharia social ao se passar por pesquisadores e engenheiros baseados nos EUA. O atacante usou e-mails cuidadosamente elaborados e identidades falsas para convencer as vítimas de que estavam se comunicando com colegas legítimos.
O programa ocorreu de 2017 a 2021 e teve como alvo uma ampla gama de organizações, incluindo a NASA, as Forças Armadas dos EUA, agências federais, universidades e empresas privadas. As vítimas foram abordadas com pedidos de acesso a softwares aeroespaciais proprietários e código-fonte, muitas vezes sob o pretexto de colaboração ou troca acadêmica.
Os investigadores descobriram que, em vários casos, os alvos cumpriram sem saber, enviando dados controlados ou restritos sem perceber que o destinatário fazia parte de uma operação ligada à inteligência estrangeira. Acredita-se que o software roubado tenha aplicações em modelagem aerodinâmica e desenvolvimento avançado de armas, levantando preocupações de segurança nacional.
O indivíduo por trás da campanha foi identificado como Song Wu, um engenheiro associado a uma empresa estatal chinesa de aeroespacial e defesa. As autoridades dos EUA o acusaram em 2024 de fraude eletrônica e roubo de identidade agravado. Ele continua foragido e está listado entre os suspeitos procurados.
A operação dependia fortemente de engenharia social em vez de exploits técnicos. Os atacantes investiram tempo em pesquisar alvos, construir personas críveis e manter comunicação de longo prazo para estabelecer confiança. Em alguns casos, solicitações repetidas de software e métodos irregulares de pagamento ou transferência foram usados, que os investigadores posteriormente destacaram como sinais de alerta.
Autoridades enfatizaram que o caso demonstra como até organizações altamente técnicas continuam vulneráveis a ataques focados em humanos. Ao contornar os controles tradicionais de segurança e explorar relações profissionais, a campanha conseguiu extrair informações sensíveis sem despertar suspeitas imediatas.
O incidente reflete um padrão mais amplo de ciberespionagem, onde atores ameaçadores priorizam roubo de credenciais, personificação e manipulação de confiança em vez de comprometimento direto do sistema. Especialistas em segurança continuam enfatizando a importância da conscientização dos funcionários e procedimentos rigorosos de manuseio de tecnologias controladas para exportação para reduzir a exposição a ataques semelhantes.