Google desmonta rede ligada à China que espionava operadoras no Brasil usando planilhas como comando

Google desmantelou uma operação ligada à China que atuava no Brasil desde pelo menos 2018 usando o Google Planilhas como canal secreto de comando.

Identificada como GRIDTIDE, a campanha atingiu 53 organizações em 42 países e teve como principais alvos operadoras de telecomunicações e entidades governamentais. No Brasil, mais de uma empresa foi afetada.

Os invasores coletavam dados sensíveis como CPF, telefone, endereço e informações eleitorais, ampliando a capacidade de vigilância estratégica sobre pessoas de interesse.

Grupo hacker chinês Brasil: como a operação de espionagem funcionava

Durante anos, um grupo com ligações à China manteve uma operação de espionagem digital quase invisível. A campanha, chamada GRIDTIDE, mirava principalmente operadoras de telecomunicações e órgãos governamentais em diversos países.

No Brasil, a atuação ocorre desde pelo menos 2018, segundo a equipe de segurança do Google.

Especial Segurança Digital

Notícias sobre ataques hackers, golpes virtuais, proteção de dados, privacidade online e riscos cibernéticos que impactam empresas e usuários no Brasil.

Acompanhar cobertura completa →

Estrutura técnica da invasão

A operação seguia um padrão claro:

• Invasão inicial em servidores corporativos
• Instalação do malware GRIDTIDE como backdoor
• Comunicação com os invasores via Google Planilhas
• Execução remota de comandos ocultos
• Coleta silenciosa de dados sensíveis

O diferencial era o uso de ferramentas legítimas. Ao utilizar o Google Planilhas como canal de comando, o tráfego malicioso se misturava ao uso normal de serviços em nuvem, dificultando a detecção.

O malware funcionava como uma porta de entrada oculta, permitindo acesso contínuo aos sistemas invadidos.

Dentro das redes, os hackers coletavam dados detalhados de clientes, incluindo:

• Nome completo
• CPF
• Telefone
• Data de nascimento
• Endereço
• Número de título de eleitor

A estratégia combinava discrição técnica e persistência, o que explica como a campanha permaneceu ativa por anos.

O que os hackers queriam com os dados das operadoras brasileiras

O objetivo principal não era roubo financeiro imediato. A campanha buscava inteligência e capacidade de vigilância sobre pessoas de interesse.

No setor de telecomunicações, determinados dados permitem mais do que simples consulta de cadastro. Eles podem viabilizar:

• Rastreamento de localização por sinal de celular
• Monitoramento de registros de chamadas
• Identificação de redes de contato
• Potencial interceptação de mensagens SMS

Ou seja, o acesso às operadoras amplia a capacidade de vigilância estratégica.

Quem poderia ser monitorado

Segundo análises divulgadas pelo Google, os alvos de maior interesse nesse tipo de operação costumam incluir:

• Parlamentares e assessores
• Jornalistas investigativos
• Executivos de empresas estratégicas
• Pesquisadores de tecnologia e defesa

O foco recai principalmente sobre pessoas politicamente expostas ou ligadas a setores sensíveis da economia e da segurança nacional.

Mais do que acessar um banco de dados cadastral, o controle sobre redes de telecomunicações pode permitir monitoramento sistemático de indivíduos específicos.

O Google informou que não encontrou evidências diretas de interceptação de comunicações durante a campanha. No entanto, a análise do código do malware GRIDTIDE indicou que essa funcionalidade estava tecnicamente disponível.

Isso significa que a extensão real do impacto pode ser maior do que o que foi possível comprovar documentalmente.

Como o Google identificou e desmantelou a operação GRIDTIDE

A investigação começou com o Grupo de Inteligência de Ameaças do Google, o GTIG, responsável por monitorar atividades cibernéticas de origem estatal e grupos organizados.

A equipe detectou padrões suspeitos no uso da API do Google Planilhas que não correspondiam ao comportamento normal de usuários corporativos.

A apuração foi conduzida em conjunto com a Mandiant, empresa de cibersegurança adquirida pelo Google em 2022.

Linha do tempo da operação

• 2018 – Início das atividades no Brasil
• 2019 a 2024 – Expansão internacional silenciosa
• 2025 – Monitoramento intensificado pelo Google
• 2026 – Identificação pública e encerramento da operação

A investigação mapeou a infraestrutura do grupo, identificando projetos no Google Cloud e contas utilizadas como canais de comando.

Após o rastreamento completo, o Google agiu de forma coordenada:

• Encerramento das contas controladas pelos invasores
• Desativação dos servidores vinculados à campanha
• Divulgação de Indicadores de Comprometimento para a comunidade global de segurança

Esses indicadores permitem que outras organizações verifiquem se foram afetadas.

O Google ressaltou que não houve falha técnica em seus produtos. O grupo explorou uma funcionalidade legítima do Google Planilhas de maneira abusiva.

A vulnerabilidade, portanto, não estava no software, mas no uso malicioso de uma integração válida. Isso indica que a técnica pode ser replicada por outros atores, já que não depende de uma brecha tradicional de segurança.

A escala global da campanha e o impacto no Brasil

A operação GRIDTIDE teve alcance internacional. Ao todo, 53 organizações foram afetadas em 42 países distribuídos por quatro continentes, com indícios de atividade em mais de 20 outros.

Os principais alvos foram operadoras de telecomunicações e entidades governamentais, setores com acesso a grandes volumes de dados sensíveis.

No Brasil, o Google confirmou que mais de uma empresa foi atingida. As principais operadoras foram procuradas, mas não se manifestaram até a publicação.

A ausência de posicionamento é comum em cenários de crise cibernética, mas deixa consumidores sem clareza sobre a eventual exposição de seus dados ao longo dos anos em que a campanha esteve ativa.

O que pode acontecer agora

O caso pode gerar desdobramentos regulatórios no Brasil, incluindo:

• Investigação pela Autoridade Nacional de Proteção de Dados
• Notificação formal aos titulares, se houver risco relevante
• Auditorias internas nas operadoras
• Revisão de protocolos de segurança

John Hultquist, analista-chefe do GTIG, classificou a campanha como parte de um aparato mais amplo de vigilância global.

Segundo essa avaliação, a GRIDTIDE não seria um episódio isolado de crime digital, mas parte de uma estratégia estruturada de coleta de inteligência.

O desmantelamento remove uma peça da operação, mas não elimina a possibilidade de novas tentativas usando métodos semelhantes.

Como se proteger de campanhas de espionagem cibernética

Para empresas de telecomunicações e organizações que lidam com dados sensíveis, o caso GRIDTIDE reforça a necessidade de ampliar o monitoramento de segurança. Não basta observar apenas o tráfego externo que entra nas redes. É igualmente importante analisar o tráfego de saída gerado pelos próprios sistemas internos.

Comunicações aparentemente legítimas com serviços em nuvem podem ocultar canais de comando de malware sofisticado. A análise comportamental do tráfego de rede, capaz de identificar padrões anômalos mesmo quando o destino parece seguro, torna-se uma ferramenta essencial.

Medidas técnicas que ganham prioridade

• Monitoramento contínuo de tráfego interno
• Análise comportamental de conexões com APIs
• Auditoria de integrações com serviços em nuvem
• Revisão periódica de permissões administrativas

Para usuários comuns, a exposição direta é mais limitada, já que os alvos primários são as infraestruturas das empresas. Ainda assim, o risco está na possível coleta prolongada de bases cadastrais estratégicas, que concentram dados como CPF, telefone e endereço.

Quando combinadas, essas informações podem facilitar fraudes direcionadas, tentativas de engenharia social ou monitoramento indevido de perfis específicos.

Como clientes podem reduzir riscos

• Monitorar movimentações associadas ao CPF
• Desconfiar de contatos que já possuam seus dados corretos
• Evitar fornecer informações adicionais por telefone
• Acompanhar comunicados oficiais da operadora

O episódio também reforça um ponto regulatório importante. A Lei Geral de Proteção de Dados, em vigor no Brasil desde 2020, estabelece obrigações claras de proteção e notificação de incidentes. Empresas que tratam dados pessoais precisam demonstrar medidas técnicas efetivas e contínuas.

Campanhas como a GRIDTIDE evidenciam que conformidade regulatória não pode ser apenas formal. Ela exige investimento real, monitoramento constante e capacidade de resposta rápida diante de ameaças sofisticadas.

O uso de plataformas legítimas como infraestrutura de comando indica uma tendência crescente em operações de espionagem digital, exigindo vigilância contínua tanto de empresas quanto de autoridades regulatórias.

Dúvidas comuns sobre segurança e espionagem GRIDTIDE