Redazione RHC:10 Novembro 2025 08:51
Apenas a bandeira muda, mas o resultado é sempre o mesmo.
Em 2017, WikiLeaks Publicado Cofre 7 , um vazamento que expôs o arsenal da CIA: kits de ferramentas para penetrar smartphones, TVs inteligentes e sistemas operacionais, infraestrutura de comando e controle e estruturas para ofuscar código. Ferramentas como Anjo Chorando (que transformou TVs em microfones), COLMEIA (C2 para centenas de implantes) e o Estrutura de mármore (para mascarar e atribuir falsamente malware) demonstrou que a inteligência ofensiva era uma prática comum até mesmo para as potências ocidentais.
Hoje, com o Knownsec vazamento, o O mesmo cenário está sendo repetido sob uma bandeira diferente: Em vez de julgar quem é “pior”, é a confirmação de que Na área cinzenta do ciberespaço, todos agem por interesse próprio e oportunismo. O Vault 7 foi a prova de que as armas digitais existem e estão sendo usadas sistematicamente, e agora é a vez da China mostrar essa mesma realidade.
Vazamento de dados Knownsec
Hackers lançaram o maior vazamento de dados da história da segurança cibernética chinesa, dos arquivos de Knownsec , uma empresa com laços estreitos com agências governamentais chinesas.
O publicado materiais , consistindo em mais de 12.000 documentos classificados, revelou detalhes sobre o programa de ciberinteligência do país, ferramentas de ataque interno e listas de alvos globais cobrindo mais de 20 países. Este evento provocou uma reação furiosa da comunidade internacional de especialistas, como marcou a primeira vez que os contornos internos da infraestrutura de operações de rede da China foram expostos em uma escala tão grande.
O vazamento de dados foi notado pela primeira vez em 2 de novembro de 2025. Os arquivos apareceram no GitHub, onde foram posteriormente removidos pela administração da plataforma por violar os termos de serviço. No entanto, cópias já haviam se espalhado por fóruns de pesquisa e arquivos privados de especialistas em segurança cibernética. De acordo com materiais publicados, os arquivos comprometidos incluíam relatórios internos, o código-fonte de programas especializados e planilhas que documentam as interações da empresa com agências governamentais chinesas . Os documentos incluem descrições de operações de rede conduzidas contra alvos estrangeiros, bem como credenciais internas e registros de cobrança, indicando que os invasores tiveram acesso à infraestrutura corporativa da Knownsec.
Do monitoramento de nuvem à zona cinzenta
A empresa foi fundada em 2007 e recebeu um investimento significativo da Tencent em 2015. Antes do incidente, empregava mais de 900 pessoas, com escritórios regionais operando em todo o país. Knownsec é conhecido como pioneira em monitoramento de nuvem e conceitos de segurança distribuída na China. Seus clientes incluem instituições financeiras, organizações governamentais e principais plataformas online. Essa posição dentro do ecossistema de segurança cibernética chinês torna o incidente particularmente significativo: afetou não apenas um único contratado, mas também todo o modelo de interação do contratante privado com projetos de ciberinteligência do governo.
O conteúdo dos arquivos vazados indica que não são materiais comerciais, mas infraestrutura estratégica. A seção mais notável é uma planilha listando metas globais, identificando ativos no Japão, Vietnã, Índia, Indonésia, Nigéria, Reino Unido e outros países . Uma planilha lista 80 alvos estrangeiros contra o qual, segundo os autores do arquivo, as operações foram conduzidas com sucesso. Os exemplos incluem 95 gigabytes de dados de migração roubados da Índia, 3 terabytes de registros telefônicos da operadora móvel sul-coreana LG U Plus e 459 gigabytes de documentos de viagem obtidos de Taiwan. Juntos, esses materiais demonstram os laços inextricáveis da Knownsec com as operações de coleta de inteligência fora da China.
Ferramentas personalizadas para vigilância
Além dos dados do alvo, o arquivo também continha descrições das ferramentas técnicas usadas nos ataques. A empresa possuía um conjunto de multifuncionais Trojans de acesso remoto (RATs) projetado para se infiltrar Linux, Windows, macOS, iOS e Android Sistemas. Digno de nota foi um componente móvel para Android capaz de extrair o histórico de mensagens de aplicativos de mensagens chineses e do Telegram. Dignas de nota foram as referências a dispositivos de hardware usados em operações de campo: por exemplo, Um Power Bank modificado que carrega dados secretamente para o servidor dos invasores quando conectado ao computador da vítima. Essas informações sugerem que a Knownsec participou não apenas dos aspectos analíticos, mas também práticos das operações ofensivas.
Os dados vazados confirmam a existência de um sistema proprietário de inteligência de e-mail, o Un-Mail, projetado para extrair e analisar correspondência por e-mail. Os materiais anexos também mencionam serviços internos de contabilidade de funcionários, relatórios de transações financeiras e planos de colaboração com várias divisões de agências de segurança chinesas. Para os pesquisadores, isso apóia diretamente a hipótese de que fornecedores chineses de segurança cibernética conhecidos podem estar simultaneamente envolvidos em atividades de segurança cibernética patrocinadas pelo Estado.
A área cinzenta: onde as associações são sempre uma dúvida
Um porta-voz do Ministério das Relações Exteriores da China disse Mrxn que eles não tinham conhecimento de qualquer vazamento de dados da Knownsec e enfatizaram que A China se opõe a qualquer forma de ataque cibernético. Esta formulação é evasiva e deixa espaço para interpretação, como Não nega o possível envolvimento de empreiteiros privados em operações controladas pelo Estado . No contexto da atual situação internacional, essa resposta é percebida como uma demonstração da posição da China: considera que As operações cibernéticas não são um crime, mas uma ferramenta de segurança nacional não sujeita a discussão pública.
À luz desse incidente, os analistas observam que o vazamento pode representar a revelação mais significativa sobre a arquitetura interna das operações cibernéticas chinesas nos últimos anos, superando as publicações sobre estruturas semelhantes do grupo APT. Especialistas internacionais já estão estudando os arquivos para refinar os métodos de ataque e identificar pontos em comum com campanhas conhecidas, incluindo aquelas que visam a infraestrutura na Ásia e na Europa. Se a autenticidade de todos os arquivos for confirmada, o incidente pode mudar nossa compreensão de como o sistema de inteligência cibernética estatal da China é construído e operado.
Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.