FSB acusa serviços estrangeiros de operação de spyware contra autoridades russas — sem evidências técnicas

Em comunicado divulgado nesta terça-feira (3/jun/2026), o FSB acusou agências de inteligência estrangeiras de uma “operação de larga escala” para infectar dispositivos móveis de altos funcionários russos com spyware capaz de exfiltrar dados, interceptar comunicações e ligar microfones e câmeras. A agência cita supostas conexões com infraestrutura da Cloudflare e Fastly, mas não apresenta evidências técnicas nem nomeia o malware.

O que aconteceu

O Serviço Federal de Segurança da Rússia (FSB) afirmou ter identificado uma campanha de espionagem em que serviços de inteligência estrangeiros teriam usado capacidades técnicas de grandes corporações internacionais de TI e operadoras de telefonia móvel para coletar informações governamentais sensíveis. Segundo o comunicado, o software malicioso foi instalado em telefones de autoridades de alto escalão e permitiu acesso a correspondências, chamadas, geolocalização, lista de contatos e captação remota de áudio e vídeo.

O FSB diz ter aberto investigação criminal para identificar os responsáveis, mapear a infraestrutura usada e neutralizar a ameaça. A agência ainda apresentou um vídeo distribuído à imprensa russa — segundo a TASS, com imagens de escritórios de empresas como Cloudflare e Fastly, embora nenhuma das duas tenha sido formalmente acusada de participar da operação.

Algumas das autoridades supostamente alvos da campanha apareceram posteriormente em listas de sanções dos Estados Unidos e da União Europeia, o que, segundo o FSB, sugere que a inteligência coletada teria alimentado campanhas de pressão contra eles.

Como o ataque teria funcionado

O FSB não nomeia o spyware envolvido, não detalha o vetor de infecção dos dispositivos e não apresenta artefatos técnicos publicamente. O comunicado descreve apenas o tipo de dados capturados e a alegação de que a infraestrutura de empresas internacionais de CDN e cibersegurança teria sido aproveitada na operação. Cloudflare e Fastly não foram acusadas diretamente, mas tiveram suas marcas associadas ao caso pelo material distribuído pelo serviço de inteligência russo.

“A Kaspersky não tem conhecimento do caso descrito pelo FSB e não dispõe de informações sobre os detalhes técnicos do incidente reportado. A empresa não contribuiu para esta investigação”, afirmou a Kaspersky após a publicação.

O cenário ecoa diretamente a chamada Operation Triangulation, divulgada em 2023 pela Kaspersky e atribuída pelo FSB a serviços de inteligência dos Estados Unidos. Naquele caso, milhares de iPhones de diplomatas e funcionários russos teriam sido comprometidos via iMessages maliciosas. A Apple, na ocasião, negou veementemente qualquer cooperação para inserir backdoors em seus produtos. O FSB, contudo, não vinculou explicitamente a nova alegação à Triangulation.

Riscos e implicações geopolíticas

• Possível escalada retórica de Moscou contra empresas ocidentais de tecnologia, com pressão regulatória e bloqueios adicionais a serviços como Cloudflare e Fastly em território russo;
• Risco de uso da narrativa para justificar maior soberania digital, instalação de software de Estado em dispositivos de funcionários e ampliação de poderes do FSB sobre operadoras móveis;
• Aumento da desconfiança recíproca em torno de fornecedores globais de CDN e segurança, com impacto direto sobre operações multinacionais em economias sensíveis;
• Sinalização para grupos APT estatais — russos e adversários — de que campanhas de coleta contra autoridades de alto escalão continuam sendo aceitas como expediente diplomático.

Análise

A divulgação de hoje segue um roteiro reconhecível: comunicação oficial sem indicadores de comprometimento, sem hash de malware, sem timeline técnica, mas com forte componente narrativo geopolítico. Para um analista de ameaças, é importante separar o conteúdo factualmente verificável — que neste caso é praticamente nulo — da operação informacional embutida. O movimento se encaixa no histórico do FSB de transformar incidentes técnicos em alavanca diplomática.

Ainda assim, não é razoável descartar a hipótese de uma operação real de espionagem. O ambiente móvel — particularmente iOS e Android sob ataques zero-click ao estilo Pegasus, Predator e Triangulation — comprovadamente permite comprometimento silencioso de alvos políticos. O que falta para qualquer atribuição confiável é exatamente a evidência técnica que a publicação não traz: amostras, IoCs, análise forense independente e validação por pesquisadores fora do ecossistema russo.

A menção indireta a Cloudflare e Fastly merece atenção. Ambas operam camadas de infraestrutura usadas por incontáveis serviços. Sugerir que essas plataformas serviram como vetor — sem detalhar como — abre espaço para qualquer interpretação, incluindo a politicamente conveniente para Moscou. É um padrão a observar com atenção em futuras comunicações estatais sobre incidentes de spyware.

Recomendações práticas

• Para autoridades e equipes de alto risco, manter Lockdown Mode no iOS e perfis de segurança reforçados no Android, com reboot diário e MDM corporativo configurado;
• Adotar comunicação sensível via canais com criptografia ponta-a-ponta auditados, segregando-os de dispositivos pessoais e contas de e-mail corporativas;
• Implementar Mobile Threat Defense (MTD) e monitorar indicadores de spyware mercenário em dispositivos de executivos, diplomatas e jornalistas;
• Tratar comunicados oficiais de inteligência estatal como dado contextual — nunca como fonte única — e cruzar com análises de Citizen Lab, Amnesty Tech e fornecedores independentes;
• Revisar exposição organizacional a serviços com presença em jurisdições onde tensões geopolíticas podem se traduzir em restrições rápidas de infraestrutura.

Fonte: The Record