Hospitais e serviços de emergência da Ucrânia se tornaram o mais recente alvo de uma sofisticada campanha de ciberespionagem baseada em um novo malware batizado de AgingFly. A ofensiva, que também mira órgãos governamentais locais e integrantes das forças de defesa, reforça o papel da guerra cibernética como frente estratégica em meio ao conflito geopolítico na região.
De acordo com o CERT-UA, time nacional de resposta a incidentes de segurança, os ataques são atribuídos ao grupo UAC-0247, que vem intensificando suas operações nas últimas semanas. A quadrilha tem utilizado um arsenal de ferramentas maliciosas, entre elas o AgingFly, peça central da campanha, além de outros módulos voltados à furtividade, persistência e roubo de dados.
O objetivo principal da operação é a coleta de informações sensíveis de instituições críticas, como hospitais e serviços de emergência. Esses dados podem incluir prontuários médicos, detalhes de infraestrutura, planos de contingência, rotinas de resposta a crises e credenciais de acesso a sistemas. Em paralelo, os operadores do ataque também buscam monetizar o acesso comprometido ao utilizar ferramentas de mineração de criptomoedas, o que transforma a campanha em um híbrido entre espionagem estatal e cibercrime com fins financeiros.
A cadeia de ataque começa com uma etapa clássica de engenharia social: campanhas de phishing altamente direcionadas. Os criminosos enviam e-mails que simulam discussões e propostas de ajuda humanitária, explorando um tema especialmente sensível em um país em guerra. O conteúdo é cuidadosamente elaborado para parecer legítimo, aumentando a chance de que profissionais de saúde, funcionários públicos ou militares cliquem nos links fornecidos.
Ao clicar, a vítima é direcionada para o download de arquivos compactados contendo as cargas maliciosas. Para dar credibilidade à fraude, os atacantes chegam a criar páginas falsas de organizações que supostamente estariam oferecendo apoio humanitário ou atualizações de software. Em alguns casos, sites legítimos são comprometidos e passam a hospedar scripts maliciosos, o que torna o golpe ainda mais difícil de detectar. Há indícios de que tecnologias de inteligência artificial sejam usadas para produzir textos e layouts convincentes, reduzindo erros de linguagem e aumentando a sofisticação dos golpes.
Uma vez executado o arquivo malicioso, inicia-se a fase de instalação de múltiplos componentes. O AgingFly funciona como o principal Remote Access Trojan (RAT) da operação, permitindo que os invasores assumam controle remoto das máquinas comprometidas. Com ele, é possível executar comandos no sistema, realizar capturas de tela em tempo real, registrar tudo o que é digitado pelo usuário (keylogging) e baixar novos arquivos maliciosos para expandir a intrusão.
Além do AgingFly, outros módulos especializados entram em ação. O SilentLoop é usado para manter a comunicação com os servidores de comando e controle (C2). Um ponto de destaque é o uso de canais de Telegram para obter dinamicamente os endereços desses servidores, o que dificulta o bloqueio definitivo da infraestrutura de controle. Já o ChromeElevator tem como foco a extração de credenciais salvas em navegadores, como logins de webmail, portais governamentais, sistemas hospitalares e serviços em nuvem.
Outro componente identificado é o ZapixDesk, voltado à coleta de dados relacionados a contas de WhatsApp. Isso pode incluir metadados de conversas, contatos e, em alguns cenários, conteúdo acessível pelo dispositivo comprometido. Para um operador de espionagem, esse tipo de acesso representa uma fonte riquíssima de inteligência, capaz de revelar conversas entre equipes médicas, coordenadores de emergência, gestores públicos e até contatos internacionais.
Essa arquitetura modular revela uma estratégia profissionalizada: em vez de um único malware “faz-tudo”, o grupo distribui as funções em ferramentas diferentes, cada uma especializada em uma etapa do ataque. Isso torna a operação mais resiliente, facilita atualizações parciais e permite que os invasores adaptem seu kit de ferramentas ao perfil do alvo, instalando apenas o que é estritamente necessário para cada missão.
Após o comprometimento inicial, o foco dos atacantes passa a ser a coleta sistemática de dados. Entre os itens de interesse estão credenciais armazenadas em navegadores, informações locais como documentos, planilhas e arquivos de configuração, além de dados de aplicativos de comunicação. Paralelamente, o monitoramento contínuo da atividade do usuário – por meio de captura de tela e keylogging – possibilita entender o fluxo de trabalho da vítima, mapear sistemas internos e identificar outros pontos estratégicos dentro da rede.
Em diversos incidentes analisados, também foi detectado o uso do XMRig, um software legítimo de mineração de criptomoedas. Ao operar essa ferramenta de forma clandestina nas máquinas das vítimas, os atacantes desviam recursos computacionais – CPU e energia elétrica – para gerar moedas digitais, criando uma fonte adicional de lucro. Essa prática pode degradar o desempenho de sistemas críticos, especialmente em hospitais que dependem de alta disponibilidade para manter equipamentos e plataformas de atendimento funcionando adequadamente.
A campanha extrapola a esfera civil e alcança diretamente o ambiente militar. O CERT-UA alertou que membros das forças de defesa ucranianas também aparecem entre os alvos potenciais. Um caso emblemático envolve o envio de um suposto pacote de atualização de software para operadores de drones por meio do mensageiro Signal. O arquivo, apresentado como uma melhoria ou correção para ferramentas de controle de drones, na verdade carregava o AgingFly, abrindo uma porta para o comprometimento de operações militares e obtendo acesso a informações táticas de alto valor.
Em paralelo a esta ofensiva, outra campanha de espionagem digital foi atribuída ao grupo APT28, conhecido pelos codinomes Fancy Bear, BlueDelta e Forest Blizzard. Nessa operação, mais de 170 contas de e-mail pertencentes a promotores, investigadores e alvos em países da OTAN e dos Bálcãs foram comprometidas. De acordo com análises independentes, a motivação pode incluir o monitoramento de investigações relacionadas à espionagem russa, além da coleta de dados confidenciais sobre autoridades ucranianas e suas interações internacionais.
Esse quadro revela uma tendência consolidada: múltiplos grupos de ameaça atuando de forma paralela, frequentemente com motivações e patrocinadores semelhantes, coordenando campanhas de ciberespionagem em larga escala. Os ataques combinam técnicas de engenharia social, ferramentas de malware personalizadas, uso criativo de plataformas legítimas (como Telegram e Signal) e exploração de temas sensíveis para aumentar a eficácia da infiltração.
O episódio também ilustra de forma clara a evolução da guerra híbrida. Não se trata apenas de tanques, drones e artilharia, mas de um ecossistema integrado em que operações cibernéticas funcionam como extensão direta do conflito físico. Ao mirar hospitais, serviços de emergência e órgãos públicos, os atacantes não buscam somente dados: tentam afetar a capacidade de resposta a crises, gerar caos na gestão de recursos médicos, atrasar atendimentos e, em última instância, impactar a moral da população e dos profissionais da linha de frente.
O uso de narrativas de ajuda humanitária e de ferramentas militares, como supostos softwares de controle de drones, mostra um elevado grau de adaptação ao contexto local. Os atacantes estudam a realidade do país, os fluxos de comunicação, os temas em destaque no noticiário e o nível de exaustão das equipes, ajustando seus golpes para parecerem plausíveis nesse cenário. Isso explica, em parte, a elevada taxa de sucesso inicial de algumas dessas campanhas.
Para o setor de saúde, os riscos vão além da exposição de dados pessoais ou violações de privacidade. Sistemas hospitalares comprometidos podem ter prontuários alterados, exames manipulados ou agendas de cirurgias interrompidas. Embora não haja, neste caso específico, evidências públicas de sabotagem direta de equipamentos médicos, a simples possibilidade levanta preocupações adicionais sobre segurança de pacientes, integridade de diagnósticos e continuidade dos serviços.
Do ponto de vista de cibersegurança, o incidente reforça a necessidade de que hospitais, órgãos de emergência e estruturas governamentais tratem a proteção digital como parte essencial da resiliência operacional. Isso inclui capacitação contínua das equipes para reconhecer phishing sofisticado, adoção de autenticação multifator, segmentação de redes, monitoramento constante de atividades suspeitas e planos de resposta a incidentes que contemplem cenários de espionagem, não apenas de ransomware.
Outra lição importante é o papel crescente de aplicativos de mensagens e plataformas legítimas como vetores de ataque. O uso de Signal para enviar pacotes maliciosos a operadores de drones demonstra que não basta proteger apenas o e-mail corporativo. Canais alternativos, muitas vezes considerados “mais seguros” pelo usuário comum, também podem ser explorados pelos atacantes quando há confiança prévia ou contexto adequado para o golpe.
Para governos e forças armadas, esse tipo de operação indica que a fronteira entre alvos civis e militares está cada vez mais difusa no ciberespaço. Hospitais que atendem feridos de guerra, centros de coordenação de emergência e autoridades locais podem abrigar dados valiosos sobre logística, deslocamento de tropas, vulnerabilidades de infraestrutura e percepções da população – transformando essas instituições em alvos prioritários de inteligência.
No contexto global, campanhas como a do AgingFly e as ações atribuídas ao APT28 reforçam que países envolvidos em tensões geopolíticas precisam revisar constantemente sua postura de segurança digital. O foco não deve recair apenas em ministérios da defesa ou serviços de inteligência, mas se estender a toda a cadeia de serviços críticos, incluindo saúde, energia, transporte, telecomunicações e sistemas judiciais.
A tendência é que essas campanhas se tornem cada vez mais discretas, persistentes e integradas a operações de influência e desinformação. A combinação de espionagem técnica, coleta de dados estratégicos e eventual vazamento seletivo de informações pode ser usada para pressionar diplomatas, desacreditar autoridades, semear desconfiança entre aliados e interferir em processos investigativos e judiciais.
Em síntese, o caso da campanha conduzida pelo grupo UAC-0247 com o uso do AgingFly mostra como a ciberespionagem moderna é moldada por três elementos centrais: contexto geopolítico, alta especialização técnica e exploração cirúrgica de fraquezas humanas. Em um cenário em que hospitais, serviços de emergência e autoridades públicas estão sobrecarregados e sob tensão, a capacidade de reconhecer e bloquear essas ameaças torna-se tão estratégica quanto qualquer medida de defesa física.