Ministério de Minas e Energia foi alvo de espionagem digital por grupo hacker asiático
Campanha de espionagem cibernética associada a Estado estrangeiro mirou setores estratégicos e atingiu governos em ao menos 37 países, segundo relatório técnico
- Ataque cibernético mirou sistemas estratégicos do MME.
- Campanha está associada a grupo hacker com possível vínculo estatal.
- Ações similares já atingiram dezenas de países.
Por Rolando Esswein Bürgel CEO da Ruah Publitech
Fonte: Palo Alto Networks (Unit 42), World Economic Forum, MITRE ATT&CK
Crédito: Ruah Publitech — imagem gerada com apoio de Inteligência Artificial
Sistemas ligados ao Ministério de Minas e Energia (MME) estiveram no radar de uma ampla campanha internacional de espionagem digital atribuída a um grupo hacker com características de atuação estatal. A informação consta em um relatório técnico divulgado pela divisão de inteligência Unit 42, da empresa americana Palo Alto Networks, especializada em cibersegurança e análise de ameaças avançadas.
Batizada de Shadow Campaigns, a operação fez parte de uma ofensiva cibernética silenciosa que atingiu governos, órgãos públicos e infraestruturas críticas em ao menos 37 países ao longo de 2025, com foco especial em setores considerados estratégicos para disputas geopolíticas de longo prazo, como energia, mineração, comércio exterior e cadeias de suprimento.
Foco em energia e minerais críticos
De acordo com Pete Renals, diretor de Programas de Segurança Nacional da Unit 42, os ataques identificados no Brasil concentraram-se em ambientes digitais ligados à energia e à mineração — áreas que ganharam relevância estratégica diante da crescente demanda global por minerais críticos utilizados na fabricação de semicondutores, baterias e tecnologias avançadas.
“A escala, a persistência e o nível técnico das atividades indicam um grupo com recursos significativos. O padrão observado é consistente com operações de espionagem patrocinadas por Estados, voltadas exclusivamente à coleta de inteligência, e não a ganhos financeiros”, afirmou Renals.
O relatório aponta que o grupo responsável, identificado como TGR-STA-1030, realizou sondagens e tentativas de acesso em redes governamentais relacionadas a fronteiras, diplomacia, energia e recursos naturais em até 155 países, com atenção especial à América Latina e ao Sudeste Asiático.
Por que o Brasil entrou no radar
A escolha do Brasil não foi aleatória. O país detém a segunda maior reserva conhecida de terras raras do mundo e registrou, em 2025, um crescimento expressivo nas exportações desses minerais. No mesmo período em que ocorreram as atividades suspeitas, os Estados Unidos anunciaram US$ 465 milhões em investimentos em uma produtora brasileira de minerais estratégicos, em uma tentativa declarada de reduzir a dependência de fornecedores asiáticos.
Segundo a Unit 42, os invasores buscavam acesso a informações sobre negociações comerciais, políticas industriais, cadeias globais de suprimento e decisões estratégicas de longo prazo, dados considerados altamente valiosos em disputas geopolíticas contemporâneas.
Entre os ambientes potencialmente visados estão redes de escritórios regionais, sistemas utilizados por fornecedores e prestadores de serviço, acessos remotos de funcionários e ambientes de testes ou homologação, tradicionalmente menos protegidos do que sistemas centrais.
Um modelo de espionagem silenciosa
Diferentemente de grupos criminosos focados em extorsão ou ransomware, o TGR-STA-1030 opera de forma discreta e persistente. O relatório descreve o uso combinado de campanhas sofisticadas de phishing e da exploração de falhas conhecidas em softwares corporativos amplamente utilizados por governos, como Microsoft Exchange e SAP.
Entre as ferramentas técnicas citadas está o ShadowGuard, um rootkit projetado para ambientes Linux, capaz de se ocultar profundamente no sistema operacional e dificultar significativamente sua detecção por soluções tradicionais de segurança.
Outro ponto destacado é o uso de servidores intermediários localizados em países com legislações rigorosas de privacidade, como Estados Unidos e Reino Unido, estratégia que ajuda a mascarar a origem real do tráfego e a dificultar a atribuição direta do ataque.
Por que o relatório não atribui um país específico
Embora o relatório descreva a campanha como apoiada por um governo asiático, não há atribuição formal a um país específico. Segundo especialistas, essa ausência não representa omissão, mas sim cautela metodológica.
Em investigações de ciberespionagem, a atribuição direta a um Estado exige um conjunto extremamente robusto de evidências técnicas, operacionais e de inteligência — informações que, na maioria dos casos, não são tornadas públicas. Assim, empresas de cibersegurança optam por indicar padrões compatíveis com apoio estatal, sem extrapolar os dados disponíveis.
Alerta para governos e infraestruturas críticas
O caso expõe fragilidades estruturais recorrentes em sistemas públicos, especialmente em países com relevância econômica e mineral. O relatório aponta riscos como uso prolongado de sistemas legados, baixa padronização tecnológica e atrasos na aplicação de correções de segurança.
Dados do World Economic Forum – Global Cybersecurity Outlook 2026 indicam que 23% das organizações do setor público global relatam ter resiliência cibernética insuficiente, cenário que amplia a superfície de ataque para operações de espionagem de longo prazo.
Posicionamento oficial
Em nota, o Ministério de Minas e Energia informou que não identificou tráfego anormal ou tentativas suspeitas de invasão em seus sistemas, plataformas ou conexões digitais. A pasta afirmou realizar monitoramento contínuo, utilizar tecnologias de segurança atualizadas e seguir normas nacionais e internacionais de proteção da informação.
O ministério destacou ainda que sua Política de Segurança da Informação está alinhada à Política Nacional de Segurança da Informação e que, mesmo na hipótese de um acesso indevido, não haveria comprometimento de dados classificados, sensíveis ou estratégicos. Ainda assim, informou ter acionado instâncias governamentais competentes como medida adicional de reforço preventivo.
O que esse episódio sinaliza
Mais do que um incidente isolado, o episódio reforça uma tendência global: a cibersegurança tornou-se um tema de soberania nacional e competitividade econômica. Em um cenário de disputa por recursos estratégicos, dados e decisões governamentais passaram a ser ativos tão valiosos quanto infraestruturas físicas.
Para governos e organizações que operam setores críticos, o caso evidencia a necessidade de arquiteturas modernas de defesa digital, políticas de segurança contínuas e integração entre tecnologia, governança e inteligência estratégica.
