Espionagem cibernética Salt Typhoon contra infraestrutura crítica de telecom

Em agosto de 2024, o Washington Post revelou que hackers ligados ao governo chinês haviam comprometido pelo menos duas grandes operadoras de telecom nos Estados Unidos. Dezoito meses depois, essa descoberta deixou de ser um incidente isolado para se tornar o retrato de uma campanha permanente: em fevereiro de 2026, Noruega e Cingapura confirmaram, em intervalo de quatro dias, que a mesma família de operações de espionagem chinesa continua ativa contra suas redes de telecomunicações. Para quem gerencia risco em operadoras, ISPs e infraestrutura crítica, a pergunta em 2026 não é mais se o Salt Typhoon é uma ameaça real, é o que muda quando um adversário estatal trata roteadores de borda como alvo permanente de coleta de inteligência.

Este artigo assume que você já conhece os fundamentos de ameaça persistente avançada (APT) e foca no que efetivamente mudou entre a descoberta de 2024 e as confirmações de 2026: a escala geográfica, as técnicas usadas contra dispositivos de borda e o que isso implica para operadoras de telecom e ISPs fora dos Estados Unidos, incluindo o Brasil.

80+ países
é a extensão geográfica da campanha Salt Typhoon segundo o FBI, que classificou a ameaça em fevereiro de 2026 como "ainda muito, muito ativa" contra o setor de telecomunicações.

De Incidente Isolado a Padrão Global: o Que Aconteceu Desde 2021

As intrusões atribuídas ao Salt Typhoon começaram por volta de 2021, mas só se tornaram públicas em 27 de agosto de 2024, quando o Washington Post revelou a compromissão de operadoras americanas. Nos meses seguintes, a lista de vítimas confirmadas cresceu para pelo menos nove operadoras de telecomunicações, incluindo Verizon, AT&T, T-Mobile, Charter Communications, Lumen Technologies, Consolidated Communications e Windstream, segundo relatos que se acumularam entre outubro e dezembro de 2024. Anne Neuberger, então vice-conselheira de segurança nacional dos EUA, declarou que os atacantes comprometeram uma conta de administrador que dava acesso a mais de 100 mil roteadores, permitindo geolocalizar milhões de pessoas e, em tese, gravar chamadas telefônicas à vontade.

O detalhe que elevou o caso de violação de dados para crise de segurança nacional foi o alvo: sistemas usados para atender pedidos judiciais de interceptação legal, o equivalente americano ao arcabouço da Communications Assistance for Law Enforcement Act (CALEA). Ao comprometer essas plataformas, os atacantes obtiveram acesso a metadados de chamadas e mensagens (data, hora, IPs de origem e destino, números de telefone) de mais de um milhão de usuários, além de uma lista quase completa de números sob escuta judicial nos EUA, informação que revela quais agentes de inteligência estrangeiros já haviam sido identificados pelas autoridades americanas.

Em 27 de agosto de 2025, CISA, NSA, FBI e mais de uma dezena de agências parceiras internacionais publicaram o advisory conjunto AA25-239A, consolidando a atribuição técnica: a atividade rastreada como Salt Typhoon se sobrepõe a clusters também chamados de OPERATOR PANDA, RedMike, UNC5807 e GhostEmperor, e o advisory nomeou três empresas chinesas (Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology) como fornecedoras de capacidades ofensivas para o Ministério da Segurança do Estado (MSS) e unidades do Exército de Libertação Popular. O documento descreve o padrão técnico central da campanha: exploração de vulnerabilidades em grandes roteadores de backbone, com foco específico em roteadores provider edge e customer edge, seguida de modificação de firmware e configurações para evadir detecção e manter persistência de longo prazo. Em abril de 2025, o FBI e o Departamento de Estado americano ofereceram recompensa de até US$ 10 milhões por informações que levassem à identificação dos responsáveis.

As Confirmações de 2026: Noruega e Cingapura Mudam o Cálculo de Risco

Até o início de 2026, a narrativa pública do Salt Typhoon ainda podia ser lida, com alguma boa vontade, como um problema concentrado nos Estados Unidos. Duas divulgações governamentais em fevereiro de 2026, separadas por poucos dias, encerraram essa leitura.

Noruega: Dispositivos de Rede Vulneráveis na Mira

Em 6 de fevereiro de 2026, o Serviço de Segurança da Polícia da Noruega (PST) publicou sua avaliação anual de ameaças confirmando que o Salt Typhoon comprometeu dispositivos de rede em organizações norueguesas ao explorar equipamentos vulneráveis. A diretora-geral do PST, Beate Gangås, classificou o momento como a situação de segurança mais grave do país desde a Segunda Guerra Mundial, atribuindo à China a principal ameaça de inteligência no domínio cibernético contra a Noruega. O relatório reforça um padrão já visto nos EUA: o vetor de entrada não foi uma vulnerabilidade exótica de dia zero, mas equipamento de rede desatualizado ou mal configurado, exposto na borda da infraestrutura.

Cingapura: Zero-Days, Rootkits e Onze Meses de Persistência

Quatro dias depois, em 10 de fevereiro de 2026, o governo de Cingapura revelou que um grupo rastreado como UNC3886, uma campanha distinta mas amplamente descrita por analistas como parte do mesmo guarda-chuva de espionagem chinesa em telecom que inclui o Salt Typhoon, havia penetrado nas redes das quatro maiores operadoras do país (Singtel, StarHub, M1 e Simba Telecom), que juntas atendem praticamente toda a base de clientes móveis e de internet da nação. Os atacantes exploraram múltiplas vulnerabilidades de dia zero em produtos Fortinet e VMware, além de rootkits Linux avançados, para obter acesso e persistência. A intrusão durou cerca de onze meses antes da detecção e erradicação completa, um esforço que o governo batizou de Operação Cyber Guardian e descreveu como a maior resposta coordenada a um incidente cibernético já realizada no país, mobilizando mais de 100 profissionais entre governo, forças armadas, inteligência e setor privado. Segundo as autoridades, os invasores obtiveram acesso limitado a sistemas críticos, mas não chegaram a interromper serviços nem a roubar dados de clientes.

O padrão que emerge das duas divulgações é o mesmo: adversários estatais chineses tratando a infraestrutura de telecom de aliados americanos, não apenas dos EUA, como alvo de coleta de inteligência de longo prazo, com tempo de permanência medido em meses, não em dias.

Por Que Roteadores de Borda e Sistemas CALEA Viraram Alvo Prioritário

Três fatores explicam por que a infraestrutura de rede, e não estações de trabalho de usuários finais, se tornou o alvo preferencial dessa campanha. Primeiro, roteadores provider edge e customer edge historicamente recebem muito menos instrumentação de segurança do que servidores e endpoints: poucas organizações rodam EDR ou logging centralizado nesses dispositivos, o que os torna um ponto cego natural para times de detecção. Segundo, ao modificar firmware e configurações diretamente no equipamento de rede, o atacante estabelece persistência que sobrevive a reinicializações e trocas de credenciais, e que raramente aparece em ferramentas de segurança voltadas para sistemas operacionais convencionais. Terceiro, sistemas de interceptação legal como os regidos pela CALEA são, por definição, um agregador centralizado de metadados de comunicação de alto valor: comprometer um único sistema desses rende acesso a dados que, de outra forma, exigiriam comprometer milhares de assinantes individualmente.

Esse padrão de ataque é consistente com o que o FBI reforçou publicamente em fevereiro de 2026: segundo o subdiretor assistente do FBI para inteligência cibernética, Michael Machtinger, a maior parte do acesso obtido pelo Salt Typhoon não veio de vulnerabilidades de dia zero sofisticadas, mas de falhas básicas de segurança, senha padrão, ausência de segmentação, falta de princípio de menor privilégio no plano de gerência de rede. A conclusão prática para operadoras é desconfortável: o problema não é apenas manter-se atualizado contra a próxima vulnerabilidade crítica, é garantir que a arquitetura de gerenciamento de rede não dependa de controles de acesso frágeis para proteger o equipamento que carrega o tráfego de milhões de assinantes.

O Brasil Está no Radar? O Que Se Sabe e o Que Não Se Sabe

Em março de 2026, reportagens que consolidam pesquisas de múltiplos fornecedores de threat intelligence sobre o alcance geográfico do Salt Typhoon citaram a Trend Micro afirmando ter observado atividade da campanha no Brasil, ao lado de outros países da América Latina como Argentina e México. É importante ser preciso sobre o que essa afirmação significa: trata-se de uma observação de uma única empresa de segurança, sem confirmação oficial de órgão governamental brasileiro e sem detalhamento público de quais organizações ou setores especificamente teriam sido afetados no país. Diferente das confirmações da Noruega e de Cingapura, que vieram de autoridades governamentais com detalhes técnicos e cronológicos, a menção ao Brasil até o momento não passou desse estágio inicial de observação por um fornecedor privado.

Isso não torna a exposição brasileira irrelevante, torna a discussão diferente. Independentemente de uma confirmação formal, o Brasil compartilha exatamente os fatores estruturais que tornaram operadoras nos EUA, na Noruega e em Cingapura alvos atrativos: dependência de roteadores de borda dos mesmos fabricantes globais (incluindo Fortinet e outros fornecedores citados nos relatórios de 2026), expansão acelerada de infraestrutura 5G com prazos de implantação que historicamente pressionam times de segurança, e sistemas de interceptação legal regidos pela legislação brasileira que, em termos de valor como alvo, cumprem função equivalente à dos sistemas CALEA americanos. Tratar a menção da Trend Micro como um alerta de exposição estrutural, e não como uma violação confirmada, é a leitura mais honesta disponível até que surja evidência mais forte.

O Que Muda na Gestão de Risco para Operadoras e ISPs Brasileiros

As confirmações de 2026 devem mudar quatro práticas concretas em programas de segurança de operadoras de telecom e ISPs de médio e grande porte no Brasil, independentemente de uma confirmação formal de comprometimento local.

Cadência de gestão de vulnerabilidades específica para equipamento de borda

Roteadores provider edge, customer edge e appliances de VPN/firewall precisam de um ciclo de patch e verificação de integridade de firmware separado do ciclo de servidores e endpoints, com prioridade elevada para os fabricantes citados nos advisories de 2025 e 2026. Nosso guia completo de gestão de vulnerabilidades detalha como estruturar esse processo com SLAs por criticidade de ativo.

Segmentação e monitoramento do plano de gerência de rede

O advisory AA25-239A recomenda explicitamente isolar interfaces de gerenciamento (SSH, SNMP, Telnet) de redes de produção e desabilitar protocolos legados sempre que possível. Auditar quem e o que tem acesso ao plano de gerência dos roteadores de borda deve ser tratado como controle crítico, não como item de checklist anual.

Threat hunting orientado a indicadores publicados

CISA, NSA e parceiros publicaram indicadores de comprometimento e táticas específicas associadas ao Salt Typhoon no advisory de 2025. Operacionalizar esses indicadores dentro de um programa de threat intelligence operacional, em vez de arquivá-los como PDF lido uma vez, é o que diferencia detecção em semanas de detecção em meses.

Auditoria de sistemas de interceptação legal e retenção de metadados

Sistemas que processam pedidos judiciais de interceptação concentram, por natureza, dados sensíveis de múltiplos assinantes em um único ponto. Esses sistemas merecem segmentação de rede dedicada, autenticação multifator obrigatória e logging de acesso independente da equipe operacional regular, exatamente o tipo de controle cuja ausência permitiu ao Salt Typhoon acessar listas de alvos de escuta judicial nos EUA.

Nenhuma dessas quatro ações depende de uma confirmação oficial de que uma operadora brasileira específica foi comprometida. Elas são justificadas pelo padrão técnico já documentado em três continentes diferentes contra a mesma categoria de infraestrutura.

Sua operadora ou ISP está preparado para uma ameaça persistente contra infraestrutura de borda?

Ajudamos operadoras de telecom e provedores de internet a avaliar exposição de roteadores de borda, revisar segmentação do plano de gerência e estruturar um programa de threat hunting orientado a indicadores de comprometimento de campanhas como o Salt Typhoon.

Falar com Especialista

Perguntas Frequentes

O Brasil já foi oficialmente confirmado como alvo da campanha Salt Typhoon?

Não há confirmação oficial de governo brasileiro. Reportagens de março de 2026 citam a empresa de segurança Trend Micro afirmando ter observado atividade da campanha no Brasil, ao lado de outros países latino-americanos, mas sem detalhamento de organizações ou setores específicos afetados. É uma observação de um único fornecedor privado, um nível de evidência bem mais fraco que as confirmações governamentais formais feitas por Noruega e Cingapura em fevereiro de 2026.

Por que sistemas CALEA de interceptação legal se tornaram alvo prioritário dos atacantes?

Sistemas de interceptação legal concentram metadados de comunicação de múltiplos assinantes em um único ponto centralizado, incluindo, no caso americano, a lista de números sob escuta judicial. Comprometer um desses sistemas rende, de uma só vez, acesso a informações que exigiriam comprometer milhares de assinantes individualmente, além de revelar ao atacante quais alvos de inteligência já haviam sido identificados pelas autoridades locais.

O que muda para operadoras brasileiras depois das confirmações de Noruega e Cingapura em 2026?

As confirmações mostram que a campanha não está limitada aos Estados Unidos e segue o mesmo padrão técnico contra roteadores de borda em qualquer país com infraestrutura de telecom moderna. Operadoras brasileiras deveriam tratar isso como justificativa para acelerar gestão de vulnerabilidades em equipamento de borda, segmentação do plano de gerência e threat hunting orientado a indicadores publicados, independentemente de confirmação local de comprometimento.

Quais vulnerabilidades ou más configurações permitiram a entrada inicial dos atacantes?

O padrão documentado inclui exploração de vulnerabilidades conhecidas em roteadores de borda, equipamento de rede desatualizado ou mal configurado (caso da Noruega) e vulnerabilidades de dia zero em produtos Fortinet e VMware combinadas com rootkits Linux (caso de Cingapura). O FBI destacou publicamente em fevereiro de 2026 que a maior parte do acesso obtido veio de falhas básicas de segurança, não de exploits sofisticados.

O que o advisory conjunto da CISA recomenda e o que se aplica a ISPs de médio porte no Brasil?

O advisory AA25-239A recomenda isolar interfaces de gerenciamento de rede (SSH, SNMP, Telnet) das redes de produção, desabilitar protocolos legados sempre que possível, aplicar patches com prioridade em equipamento de borda e monitorar integridade de firmware. Essas recomendações são aplicáveis a qualquer operador de rede, independentemente do porte, e não exigem investimento em ferramentas exclusivas de grandes operadoras.

Conclusao

O Salt Typhoon deixou de ser, em 2026, um incidente que aconteceu com operadoras americanas em 2024. As confirmações de Noruega e Cingapura, feitas por autoridades governamentais com poucos dias de diferença, mostram uma campanha de espionagem chinesa contra infraestrutura crítica de telecom que opera em pelo menos 80 países, segundo o próprio FBI, tratando roteadores de borda e sistemas de interceptação legal como alvos permanentes, não como oportunidades pontuais.

A menção ao Brasil na cobertura de março de 2026, ainda que baseada em observação de um único fornecedor de threat intelligence e sem confirmação oficial, não deveria ser descartada nem superestimada. Ela deveria ser lida pelo que estruturalmente é: um lembrete de que operadoras brasileiras compartilham a mesma superfície de exposição, os mesmos fabricantes de equipamento de borda, a mesma pressão de expansão de 5G e os mesmos sistemas de interceptação legal de alto valor, que tornaram operadoras em três continentes diferentes alvos da mesma campanha. Gestão de vulnerabilidades de borda, segmentação do plano de gerência e threat hunting orientado a indicadores publicados não são reações a uma violação confirmada, são pré-condições para não ser a próxima confirmação.

Inteligencia Brasil

Roberto Lima

Especialista em Seguranca Ofensiva, Threat Intelligence e Detection Engineering na Inteligencia Brasil.