João Miguel Mesquita
O relatório, designado Shadow Campaigns, descreve a atividade do grupo identificado como TGR-STA-1030, que esteve ativo à escala global e conseguiu comprometer entidades públicas em 37 países ao longo do último ano. Na prática, quase um em cada cinco países do mundo sofreu uma intrusão crítica atribuída a este ator, segundo a análise da Unit 42.
Na Europa, a investigação confirma incidentes em vários Estados-membros e países vizinhos. Portugal surge entre os países afetados, a par de Alemanha, Itália, Polónia, Grécia, Chipre e outros, com impactos em ministérios, forças de segurança, entidades financeiras e departamentos governamentais considerados estratégicos. No final de agosto, o grupo tentou ainda aceder a infraestruturas da própria União Europeia, procurando ligações a mais de 600 endereços IP associados a domínios europa.eu.
O alcance das intrusões é significativo. Entre as entidades comprometidas contam-se cinco agências nacionais de polícia e controlo fronteiriço, três ministérios das finanças e vários ministérios e departamentos ligados à administração interna, negócios estrangeiros, economia, energia, imigração e recursos naturais. A campanha incluiu também infraestruturas críticas, como telecomunicações e transportes, e envolveu, pelo menos num caso, o parlamento de um país e um alto responsável político eleito noutro Estado.
A ambição do grupo vai além das intrusões confirmadas. Durante novembro e dezembro de 2025, a Unit 42 detetou atividades de reconhecimento ativo contra infraestruturas governamentais em 155 países, um sinal claro da dimensão global e da natureza estratégica desta operação de espionagem.
Ao contrário de campanhas massivas e automatizadas, o TGR-STA-1030 privilegia a precisão. O objetivo não é o volume de ataques, mas o acesso persistente a informação sensível com elevado valor estratégico. Para isso, o grupo combina várias técnicas: campanhas de phishing altamente personalizadas, exploração de vulnerabilidades conhecidas e ferramentas desenvolvidas especificamente para estas operações.
As campanhas de phishing são desenhadas à medida de cada alvo, simulando comunicações internas credíveis, adaptadas à língua, terminologia e contexto institucional de cada país. Este método é complementado pela exploração rápida de vulnerabilidades já conhecidas, as chamadas vulnerabilidades N-day, em tecnologias amplamente utilizadas pelo setor público, como Microsoft Exchange, SAP, Atlassian e soluções de correio eletrónico e gestão. A investigação não encontrou indícios de utilização de vulnerabilidades zero-day, ou seja, falhas até então desconhecidas dos fabricantes.
Depois de comprometidos os sistemas, o grupo mantém um perfil baixo. É utilizado um loader leve, concebido para contornar mecanismos tradicionais de defesa e reduzir a probabilidade de deteção, que permite instalar ferramentas avançadas de comando e controlo, facilitando a movimentação lateral dentro das redes e a persistência a longo prazo. Um dos elementos mais relevantes é o uso exclusivo do ShadowGuard, um rootkit para sistemas Linux baseado em eBPF, que opera ao nível do núcleo do sistema operativo, dificultando ainda mais a sua identificação.
Toda a operação assenta numa infraestrutura global pensada para ocultar a origem dos ataques. Os operadores recorrem a servidores alojados em fornecedores legítimos, bem como a relés, túneis cifrados e serviços de anonimização, o que complica a atribuição técnica e a resposta por parte das entidades afetadas.
