Um sofisticado grupo de espionagem cibernética ligado à China tem mirado organizações governamentais na América do Sul e no Sudeste da Europa usando uma coleção crescente de malwares personalizados e técnicas de intrusão focadas em furtividade, segundo novas pesquisas de Cisco Talos .
O cluster de ameaças, rastreado como UAT-8302, está supostamente ativo na América do Sul desde pelo menos o final de 2024 e expandiu suas operações para partes da Europa durante 2025. Pesquisadores afirmam que a campanha reflete o aumento da coordenação entre múltiplos grupos de ameaça alinhados à China e ecossistemas de malware.
Pesquisadores da Cisco Talos observaram os atacantes implantando várias famílias de malwares previamente associadas a operações avançadas de ameaça persistente chinesas conhecidas. Entre eles está o NetDraft, também conhecido como NosyDoor, um . Backdoor baseado em NET projetado para fornecer acesso remoto persistente dentro de ambientes comprometidos.
O malware está ligado a uma família mais ampla conhecida como FinalDraft ou SquidDoor, que anteriormente foi ligada a atores de ameaça com o nexo da China rastreados sob nomes como Jewelbug, REF7707, CL-STA-0049 e LongNosedGoblin.
Pesquisadores também identificaram uma variante atualizada do backdoor CloudSorcerer, outra cepa de malware focada em espionagem já observada em ataques contra entidades governamentais russas em 2024. A reutilização de ferramentas entre campanhas sugere sobreposição operacional ou colaboração entre múltiplos clusters chineses de ciberespionagem.
Segundo Talos, os atacantes focaram principalmente em instituições governamentais, embora os pesquisadores não tenham identificado publicamente os países ou agências afetadas. A campanha parece centrada na coleta de inteligência de longo prazo, em vez de crimes cibernéticos motivados financeiramente.
A operação reflete uma tendência mais ampla de atividade cibernética ligada ao Estado chinês. Pesquisadores de segurança e agências de inteligência alertaram repetidamente que atores ameaçadores alinhados à China estão expandindo campanhas de espionagem globalmente, visando cada vez mais agências governamentais, infraestrutura de telecomunicações, contratados de defesa e operadores de infraestrutura crítica.
Ao contrário dos grupos de ransomware que priorizam a interrupção e a extorsão, grupos avançados de ameaças persistentes geralmente focam em furtividade e persistência. Essas operações geralmente são projetadas para permanecer indetectadas dentro das redes por longos períodos enquanto coletam comunicações sensíveis, credenciais, inteligência estratégica ou informações geopolíticas.
A Cisco Talos observou que o UAT-8302 utiliza malware personalizado combinado com táticas em evolução para evitar a detecção. Os atacantes dependem de ferramentas modulares capazes de se adaptar a diferentes ambientes e requisitos operacionais.
Pesquisadores também apontaram semelhanças na infraestrutura e no malware que ligam a campanha a vários grupos de espionagem chineses previamente documentados. Esse tipo de sobreposição é comum em operações cibernéticas vinculadas a estados, onde famílias de malware, componentes de infraestrutura e técnicas operacionais são frequentemente compartilhados entre equipes relacionadas.
O ataque a entidades governamentais sul-americanas é particularmente notável porque grande parte das reportagens públicas sobre espionagem cibernética chinesa historicamente se concentrou na América do Norte, Europa e regiões Ásia-Pacífico. Analistas dizem que a atividade sugere a ampliação das prioridades de inteligência geopolítica e esforços internacionais mais amplos de coleta.
Ao mesmo tempo, o Sudeste da Europa tornou-se uma região cada vez mais ativa para operações de espionagem cibernética envolvendo múltiplos atores ligados a Estados. Governos da região frequentemente ocupam posições estratégicas em relação à OTAN, política da União Europeia, infraestrutura de telecomunicações e desenvolvimentos políticos regionais.
A campanha também destaca como as operações cibernéticas chinesas continuam evoluindo tecnicamente. Relatórios recentes documentaram grupos de ameaça chineses usando serviços em nuvem, dispositivos de consumo sequestrados, botnets focados em furtividade e compromissos na cadeia de suprimentos para reduzir riscos de detecção e manter acesso de longo prazo aos alvos.
Pesquisadores de segurança alertam que campanhas modernas de espionagem estão cada vez mais difíceis de detectar porque os atacantes dependem fortemente de ferramentas legítimas, comunicações criptografadas e infraestrutura de nuvem confiável. Em muitos casos, as organizações podem permanecer comprometidas por meses antes que a atividade seja identificada.
O surgimento do UAT-8302 se soma a uma lista crescente de grupos de ameaça persistente avançada ligados à China ativos mundialmente, incluindo Volt Typhoon, Hafnium e APT41, todos anteriormente ligados a campanhas de espionagem direcionadas a governos e setores críticos.
Pesquisadores da Cisco Talos disseram que a operação permanece ativa, com monitoramento contínuo focado na identificação de vítimas adicionais, infraestrutura e variantes de malware associadas à campanha.