--- title: "O espião que veio do mapa: Hackers chineses usaram software de geoprocessamento como backdoor por mais de um ano" author: "Ignácio Afonso" date: "2025-10-15 14:37:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/15/o-espiao-que-veio-do-mapa-hackers-chineses-usaram-software-de-geoprocessamento-como-backdoor-por-mais-de-um-ano/md" --- # O Espião que Veio do Mapa No mundo da cibersegurança, costumamos imaginar ataques como uma invasão barulhenta, um arrombamento digital. Mas a operação mais recente atribuída ao grupo chinês Flax Typhoon parece mais com uma infiltração de um espião clássico: silenciosa, paciente e usando a própria estrutura do alvo como esconderijo. De acordo com pesquisadores da empresa de cibersegurança ReliaQuest, os hackers passaram mais de um ano dentro da rede de uma vítima sem serem detectados, transformando uma ferramenta confiável de geoprocessamento, o ArcGIS, em um backdoor persistente. O ArcGIS, desenvolvido pela Esri, é um sistema quase onipresente em setores que dependem de dados geográficos, como prefeituras, operadores de infraestrutura e agências ambientais. É o tipo de software robusto, quase uma peça de mobília digital, que ninguém suspeitaria. E foi exatamente por isso que funcionou tão bem como um cavalo de Troia. ## O Mapa do Tesouro (do Inimigo) A genialidade do ataque, se é que podemos chamar assim, está em sua simplicidade e abuso da confiança. Segundo o relatório da ReliaQuest, os agentes do Flax Typhoon não usaram malwares tradicionais, que poderiam ser detectados por assinaturas. Em vez disso, eles exploraram um recurso legítimo do software: as Extensões de Objeto de Servidor (SOE), que servem para estender as funcionalidades básicas do sistema. Os invasores usaram credenciais de administrador válidas para acessar um servidor ArcGIS público e, a partir dele, carregar uma extensão Java SOE maliciosa em um servidor interno. Essa extensão modificada agia como um 'web shell', uma espécie de terminal de comando secreto. Ela era capaz de receber comandos codificados em base64 através de um parâmetro de API REST, executando-os no servidor como se fossem operações de rotina. Para garantir exclusividade, a comunicação era protegida por uma chave secreta embutida no código, impedindo que qualquer outra pessoa usasse a porta dos fundos. ## Vivendo da Terra e do Backup Contaminado Esta abordagem se alinha perfeitamente com o modus operandi do Flax Typhoon, já observado pela Microsoft: a tática de 'viver da terra' (living off the land). Ao usar ferramentas e credenciais legítimas, os rastros da atividade maliciosa se misturam ao ruído normal das operações de TI, tornando a detecção um verdadeiro pesadelo. Mas o detalhe mais assustador da campanha foi a forma como os hackers garantiram sua permanência. Segundo a ReliaQuest, ao incorporar a extensão maliciosa no sistema, eles garantiram que ela fosse incluída nos backups de rotina da organização. O resultado? Quando a vítima tentava se recuperar de algum problema restaurando um backup, ela estava, na verdade, se reinfectando. Sabe qual a semelhança entre um plano de recuperação e uma armadilha? Neste caso, nenhuma. A armadilha era o próprio plano. Isso transforma a rede de segurança da empresa em um passaporte para a persistência do invasor. ## De Backdoor a Ponte VPN Permanente Com o acesso garantido, o Flax Typhoon não perdeu tempo. Usando o web shell, eles baixaram e instalaram o software SoftEther VPN Bridge, registrando-o como um serviço do Windows configurado para iniciar automaticamente. A partir daí, o sistema infectado estabelecia um túnel HTTPS de saída para um servidor controlado pelos hackers no endereço 172.86.113[.]142. Como a comunicação usava a porta 443, a mesma do tráfego web seguro, ela se camuflava perfeitamente na rede. Com essa ponte estabelecida, os atacantes podiam agir livremente na rede interna, mesmo que o web shell original no ArcGIS fosse descoberto e removido. A ReliaQuest observou tentativas claras de escalada de privilégios, como a extração do banco de dados do Gerenciador de Contas de Segurança (SAM) e de segredos do LSA de estações de trabalho da equipe de TI, indicando um esforço ativo para se aprofundar ainda mais no ambiente comprometido. A Esri, desenvolvedora do ArcGIS, confirmou que esta é a primeira vez que observam uma extensão SOE sendo usada dessa forma e afirmou que atualizará sua documentação para alertar os usuários sobre o risco. Este incidente, ligado pelo FBI a campanhas mais amplas como a do botnet 'Raptor Train', serve como um lembrete. No jogo de espionagem digital, às vezes a ameaça não vem de uma arma exótica, mas de uma ferramenta que você usa e confia todos os dias, transformada silenciosamente em um inimigo interno.