China e India rodam campanhas paralelas de espionagem contra a policia do Baloquistao paquistanes
Relatorio da SentinelLabs mostra que dois clusters distintos, chines (TAG-140) e indio (TAG-179), atacaram a Balochistan Police entre 2024 e 2026, chegando a comprometer os mesmos sistemas.
Uma nova pesquisa da SentinelLabs, braco de inteligencia de ameacas da SentinelOne, revelou que grupos ligados a China e India rodaram, entre fevereiro de 2024 e abril de 2026, campanhas de espionagem paralelas contra a Balochistan Police, corporacao responsavel pela seguranca da provincia mais conflagrada do Paquistao. Em alguns casos, os dois adversarios geopoliticos comprometeram os mesmos sistemas, sem coordenacao entre si, colocando em risco registros criminais, dados biometricos e o cadastro nacional de identidade vinculado a hoteis e locacoes.
O que aconteceu
A Balochistan Police concentra dados sensiveis da provincia sudoeste paquistanesa, palco de uma insurgencia separatista de longa data e ponto critico do China-Pakistan Economic Corridor (CPEC). Os pesquisadores da SentinelLabs identificaram dois clusters distintos operando simultaneamente: um vinculado a interesses chineses, rastreado como TAG-140, e outro atribuido com confianca menor a um ator indio, identificado como TAG-179 e sobreposto aos grupos publicamente conhecidos como Bitter e Mysterious Elephant.
Os dados alcancados pelas campanhas incluem cadastros criminais, arquivos de pessoal, registros biometricos e de digitais, dados de locacoes de imoveis, registros de hospedagem hoteleira vinculados a documentos de identidade nacional e o proprio sistema de queixas cidadas da corporacao. O achado importa porque as bases policiais concentram, em um unico ponto de rede, todo o eixo interno de seguranca de um estado.
Segundo a SentinelLabs, o interesse chines gira em torno da protecao de nacionais do pais envolvidos em projetos do CPEC, alvo frequente de ataques de facs oes armadas locais como o Balochistan Liberation Army. Ja o interesse indiano se conecta as disputas historicas entre Nova Deli e Islamabad em torno de Baloquistao e Cashmere, e a suspeita mutua de que grupos armados na regiao operariam como proxies dos governos rivais.
Como o ataque funciona
O caso mais didatico documentado no relatorio envolve o Balochistan Police Complaint Management System, portal usado tanto por policiais atras de login autenticado quanto por cidadaos acompanhando o status de queixas. Um operador ligado a China plantou um malware disfarcado de atualizacao do portal: um executavel que exibia uma mensagem de update complete enquanto infectava silenciosamente o dispositivo do visitante.
O detalhe crucial e o duplo alvo: como o site e usado simultaneamente pela forca policial e pelo publico externo, o portal comprometido virou um watering hole com dois vetores de expansao. De um lado, dispositivos internos da propria policia; do outro, computadores de cidadaos comuns cujos endpoints se tornam pontos de entrada para operacoes futuras. E um modelo hibrido de compromisso que combina espionagem interna e coleta de inteligencia sobre a populacao civil na mesma cadeia.
A medida que o Paquistao centraliza e digitaliza seu policiamento, com apoio parcial de programas europeus de modernizacao, ele continuara a concentrar dados de alto valor que adversarios podem mirar.
SentinelLabs
Quem esta em risco
Ainda que o incidente reportado se restrinja a Balochistan Police, o padrao operacional aponta risco para uma serie de setores que compartilham as mesmas caracteristicas. Estao especialmente expostos:
- Orgaos de seguranca publica que centralizam registros criminais, biometricos e de identidade em portais web unicos
- Sistemas cidadao-facing (queixas, protocolos, agendamentos) que compartilham backend com redes internas
- Governos em fase de modernizacao digital com apoio externo, onde a maturidade de seguranca frequentemente fica atras da velocidade da implantacao
- Provincias e municipios com conflitos armados ou insurgencias, alvos naturais de coleta de intel por atores estatais
- Ambientes que ainda distribuem atualizacoes de software por download direto de portais, sem assinatura de codigo ou canal seguro de entrega
Analise
O caso Balochistan e um exemplo particularmente vivido de um fenomeno crescente na guerra cibernetica: a colisao acidental de operadores estatais em cima do mesmo alvo. Nas ultimas duas decadas, casos como Stuxnet e as operacoes sobrepostas de Turla e APT29 ja mostraram que instituicoes de alto valor tendem a atrair varios adversarios simultaneamente. O que muda aqui e a natureza do alvo. Nao e mais um think tank de politica externa nem uma agencia de inteligencia central, e uma corporacao policial provincial, revelando o quanto os dados de policiamento se tornaram commodity estrategica.
Do ponto de vista brasileiro, ha um paralelo importante. Policias estaduais e sistemas municipais que centralizam identidade civil, biometria e registros de ocorrencia sao, em tese, alvos analogos. A tendencia global de watering hole em portais governamentais (visto em campanhas ligadas a Winnti, Naikon e outros clusters no ultimo lustro) sugere que a exposicao brasileira nao e teorica.
Ha ainda uma leitura importante sobre o TAG-140: a sobreposicao com atividade contra organizacoes tibetanas em Taiwan indica que se trata de um cluster com repertorio consolidado de operacoes contra minorias, dissidentes e servicos publicos em torno da esfera de influencia chinesa. Ja o TAG-179, ligado ao Bitter/Mysterious Elephant, tem historico de campanhas contra o Sul e Sudeste Asiatico, e o uso de iscas tematicas sobre repatriacao de estrangeiros indocumentados reforca o perfil ja atribuido pela comunidade de threat intel.
Recomendacoes praticas
- Nunca distribuir atualizacoes de software por download direto em portal publico sem assinatura de codigo, com verificacao de integridade no cliente
- Segmentar redes administrativas de portais cidadao-facing, evitando compartilhamento de backend e credenciais entre os dois ambientes
- Implantar EDR em endpoints da forca de trabalho de orgaos publicos, com deteccao especifica para downloaders disfarcados de atualizacao
- Monitorar aplicativos e portais governamentais com scanners de integridade continua, capazes de detectar alteracoes nao autorizadas em arquivos executaveis expostos ao publico
- Adotar politicas de application allowlisting em estacoes de trabalho policiais, bloqueando execucao de binarios nao assinados
- Revisar cadeias de suprimento tecnologico ligadas a programas de modernizacao, exigindo comprovacao de threat modeling e testes de intrusao independentes
- Compartilhar indicadores de comprometimento com CERTs regionais, especialmente em periodos de tensao geopolitica ou eleitoral
Fonte: The Record





