Sistemas ligados ao Ministério de Minas e Energia foram alvo de uma campanha de espionagem digital apoiada por um governo estrangeiro, segundo relatório da Palo Alto Networks. A operação, batizada de Shadow Campaigns, faz parte de uma ofensiva cibernética que atingiu governos e infraestruturas críticas em ao menos 37 países ao longo de 2025.

De acordo com Pete Renals, diretor de Programas de Segurança Nacional da Unit 42, divisão de inteligência da empresa americana de cibersegurança, os ataques no Brasil tiveram foco em sistemas relacionados a energia e mineração — setores considerados estratégicos em um momento de crescente disputa global por minerais críticos para fabricação de chips.

"A escala e a sofisticação das atividades indicam um grupo com muitos recursos. Da mesma forma, as técnicas utilizadas e o foco restrito na coleta de inteligência estão alinhados ao que normalmente observamos em grupos de espionagem patrocinados por Estados", afirma Renals.

O grupo responsável, identificado como TGR-STA-1030, também realizou sondagens em redes governamentais ligadas a fronteiras, diplomacia e recursos naturais em até 155 países, com atenção especial à América Latina e ao Sudeste Asiático.

A escolha do Brasil não é casual. O país detém a segunda maior reserva conhecida de terras raras do mundo e, em 2025, viu as exportações desses minerais triplicarem no primeiro semestre. No mesmo período da incursão espiã, os Estados Unidos anunciaram investimentos de US$ 465 milhões em uma produtora brasileira de minerais estratégicos, em uma tentativa explícita de reduzir a dependência de fornecedores asiáticos.

Segundo a Unit 42, os invasores buscavam inteligência sobre negociações comerciais, políticas industriais e cadeias globais de suprimento, informações valiosas em disputas geopolíticas de longo prazo. E entre o que pode ter sido comprometido estão redes de escritórios regionais, redes usadas por fornecedores ou prestadores de serviço, redes de acesso remoto para funcionários e ambientes de testes ou homologação.

Além do Brasil, foram identificadas intrusões em sistemas governamentais da Bolívia — com foco no setor de mineração —, Panamá, México e Venezuela. Neste último caso, os ataques ocorreram logo após a operação dos Estados Unidos contra Nicolás Maduro, no início de 2026.

Espionagem silenciosa

O relatório aponta que o TGR-STA-1030 não atua como grupos criminosos tradicionais, que buscam extorsão ou visibilidade. Em vez disso, opera de forma discreta, com alvos cuidadosamente selecionados e ferramentas personalizadas.

A ofensiva combinou campanhas sofisticadas de phishing com a exploração de falhas conhecidas em softwares corporativos amplamente utilizados por governos, como Microsoft Exchange e SAP. Entre as vítimas globais estão ministérios da Fazenda, Relações Exteriores, Energia, Comércio e até o parlamento de um país, cujo nome não foi divulgado.

Um dos recursos técnicos citados é o uso do ShadowGuard, um rootkit capaz de se esconder profundamente em sistemas Linux, tornando-se difícil de detectar. Os atacantes também usaram servidores intermediários localizados em países com legislações rígidas de privacidade, como Estados Unidos e Reino Unido, para camuflar a origem do tráfego de dados.

Outro ponto relevante é o timing. Em diversos casos, as invasões começaram poucos dias após anúncios públicos sobre acordos comerciais, tarifas ou visitas diplomáticas, reforçando o caráter de espionagem econômica e política.

Por que o relatório não aponta um país de origem

Embora descreva o grupo como apoiado por um governo asiático, o relatório evita atribuir formalmente a operação a um país específico. Essa ausência não é uma omissão, mas uma escolha metodológica.

Em investigações desse tipo, a atribuição direta a um Estado só ocorre quando há um conjunto extremamente robusto de evidências técnicas, operacionais e de inteligência, algo que raramente é tornado público. Na prática, empresas de cibersegurança optam por indicar padrões compatíveis com apoio estatal sem nomear um país, para não extrapolar os dados disponíveis.

O que sustenta a avaliação de apoio governamental são sinais como persistência de longo prazo, ausência de motivação financeira, foco em alvos estratégicos e alinhamento com eventos geopolíticos.

Alerta para governos

O caso expõe fragilidades estruturais em sistemas públicos, especialmente em países com grande relevância econômica e mineral. No Brasil, o relatório cita riscos como a falta de padronização tecnológica, o uso prolongado de sistemas legados e a demora na aplicação de correções de segurança.

A presença do país entre os alvos reforça a necessidade de revisar políticas públicas de cibersegurança e acelerar a adoção de arquiteturas modernas de defesa digital.

"Dados recentes do World Economic Forum Global Cybersecurity Outlook 2026 indicam que 23% das organizações do setor público relatam ter resiliência cibernética insuficiente", diz Renals.

O relatório completo foi publicado oficialmente nesta quinta-feira, 5 de fevereiro, e já foi compartilhado com governos, empresas e organismos internacionais.

Em nota, o Ministério de Minas e Energia afirmou que não identificou tráfego anormal nem tentativas suspeitas de invasão em seus sistemas, conexões ou plataformas digitais. A pasta informou que realiza monitoramento contínuo de segurança, utiliza tecnologias de ponta e segue normas nacionais e internacionais de proteção da informação.

O ministério destacou ainda que sua Política de Segurança da Informação foi atualizada e está em conformidade com a Política Nacional de Segurança da Informação, além de adotar medidas previstas no Programa de Privacidade e Segurança da Informação da administração pública federal. Segundo o MME, mesmo na hipótese de um acesso indevido, não haveria comprometimento de informações classificadas, sensíveis ou estratégicas.

Apesar de não ter registrado incidentes, a pasta informou que acionou instâncias governamentais competentes como medida adicional de reforço da segurança e reiterou seu compromisso com a transparência e a proteção de dados públicos.