Logo TecMundo
Segurança

GRIDTIDE: como espiões chineses usaram o Google Sheets para invadir 42 países

O malware GRIDTIDE disfarçou tráfego espião como planilhas do Google para invadir telecomunicações em mais de 40 países sem ser detectado.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule27/01/2026, às 16:15

updateAtualizado em 27/02/2026, às 13:57

Em algum momento entre 2017 e fevereiro de 2025, servidores de operadoras de telecomunicações em dezenas de países começaram a fazer algo aparentemente inofensivo: acessar uma planilha do Google Sheets

Para qualquer sistema de segurança de rede, aquilo era tráfego completamente normal. Para os invasores do outro lado, era uma linha direta para dentro da rede de suas vítimas. Esse era o funcionamento do GRIDTIDE, um malware desenvolvido por um grupo hacker denominado UNC2814, suspeito de ter ligações com o governo da China. 

smart_display

Nossos vídeos em destaque

A campanha foi descoberta e desmantelada pelo Google em fevereiro deste ano, após uma investigação conduzida pela sua empresa subsidiária de cibersegurança Mandiant. Ao todo, foram confirmadas invasões em 42 países em quatro continentes, com suspeitas de comprometimento em pelo menos 20 outros, incluindo o Brasil.

Como o Google Sheets virou um canal de espionagem

O GRIDTIDE, malware desenvolvido especificamente para essa campanha, foi criado na linguagem de programação C, conhecida por gerar softwares leves e difíceis de detectar. Ele é capaz de executar comandos remotamente, enviar arquivos para o sistema invadido e roubar arquivos do sistema da vítima.

Leia Mais
EUA usaram Claude IA para atacar Irã mesmo com Anthropic banida

O detalhe que separa o GRIDTIDE da maioria dos malwares é o canal de comunicação que ele usa. Normalmente, sistemas de segurança monitoram conexões suspeitas para identificar quando um malware está "ligando para casa", ou seja, se comunicando com os servidores dos invasores. O GRIDTIDE contorna isso se comunicando pelo Google Sheets.

mapa_google_gridtide.png
Google mapeou os países afetados pela operação, espalhados por diversos continentes. Imagem: Google Threat Intelligence.

Após ser instalado no computador da vítima, o malware acessa uma planilha do Google controlada pelos invasores e usa as células da planilha como caixa de correio. A célula A1 funciona como uma caixa de entrada, o malware fica verificando aquela célula constantemente, aguardando ordens. Quando um comando aparece, o GRIDTIDE o executa e substitui o conteúdo da célula pela resposta.

Para um sistema de segurança de rede, esse tráfego é praticamente invisível. Do ponto de vista de um firewall, o sistema que monitora o tráfego de rede, o computador da vítima está simplesmente acessando o Google.

O que os invasores conseguiam fazer

Com o acesso estabelecido, o GRIDTIDE dava ao UNC2814 três capacidades principais, incluindo executar comandos no computador da vítima à distância, como se estivessem fisicamente na frente da máquina; fazer upload de arquivos para o sistema invadido, incluindo outras ferramentas e malwares; e baixar arquivos do computador da vítima diretamente para a planilha, em fragmentos de 45 KB por vez.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

Logo após ser instalado, o malware também coletava informações básicas sobre o sistema, incluindo nome do usuário, nome do computador, sistema operacional, endereço IP, fuso horário e diretório de trabalho. Esses dados são enviados para a célula V1 da planilha, funcionando como uma "ficha de identificação" da vítima.

Como o malware entrava e se mantinha no sistema

O ponto de entrada exato da campanha ainda não foi determinado, mas historicamente o UNC2814 invade sistemas explorando servidores web e sistemas de borda, computadores que ficam na fronteira entre a internet pública e a rede interna de uma empresa, como roteadores e servidores de acesso remoto.

Após entrar, o grupo usava uma técnica chamada LotL (Living off the Land), que em português seria algo como "viver da terra". A ideia é usar ferramentas que já existem legitimamente no sistema operacional para realizar ações maliciosas, sem instalar nada novo que pudesse chamar atenção de um antivírus.

Para garantir persistência, ou seja, para continuar ativo mesmo após reinicializações do servidor, o grupo registrava o GRIDTIDE como um serviço do sistema. No Linux, o sistema operacional usado em grande parte dos servidores corporativos, um serviço é um programa que o sistema inicia automaticamente toda vez que o computador liga.

Leia Mais
Vídeo mostra 'túnel de drones' do Irã preparados para ataque

Ao se registrar dessa forma, o malware garantia sua própria sobrevivência sem precisar de intervenção dos invasores.

Além disso, o grupo instalava o SoftEther VPN Bridge, um software de VPN, rede privada virtual, para manter um canal de comunicação criptografado com servidores externos. As evidências indicam que essa infraestrutura estava ativa desde julho de 2018.

O que os invasores buscavam

O GRIDTIDE foi instalado em servidores que continham dados de identificação pessoal (PII) de usuários das operadoras de telecomunicações invadidas. Entre os dados coletados estavam nome completo, número de telefone, data de nascimento, local de nascimento, número do título de eleitor e número de identidade nacional.

O objetivo não era financeiro. Em campanhas semelhantes conduzidas por grupos ligados à China, o alvo é a vigilância de pessoas de interesse, como dissidentes políticos, ativistas, jornalistas e alvos de espionagem tradicional. O tipo de dado coletado pelo UNC2814 permite identificar, rastrear e monitorar indivíduos através de suas comunicações.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília

Campanhas anteriores com perfil similar resultaram no roubo de registros de chamadas, mensagens SMS não criptografadas e até no comprometimento dos sistemas de escuta legal das operadoras, aqueles que as empresas são obrigadas por lei a manter para que autoridades possam interceptar comunicações com autorização judicial.

Quando esses sistemas caem nas mãos erradas, o invasor passa a ter o mesmo nível de acesso que uma agência de inteligência governamental.

O Google confirmou que as Américas estão entre as regiões afetadas. Com operadoras como Claro, Vivo, TIM e Oi atendendo a mais de 250 milhões de linhas ativas no Brasil, e com o país sendo uma das maiores democracias do mundo – com movimentos sociais ativos, imprensa livre e disputas políticas acirradas –, o Brasil pode representar o tipo de alvo de interesse para uma operação de espionagem dessa natureza.

Como o Google desmantelou a operação

Ao confirmar a extensão da campanha, o GTIG (Google Threat Intelligence Group) coordenou uma série de ações em parceria com a Mandiant e outras organizações:

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas
  • Todos os projetos no Google Cloud controlados pelos invasores foram encerrados, cortando o acesso ao GRIDTIDE;
  • As contas dos atacantes foram desativadas e o acesso à API do Google Sheets foi revogado, destruindo o canal de comando;
  • Os domínios usados pelo grupo foram submetidos a sinkholing, uma técnica em que domínios maliciosos são redirecionados para servidores dos investigadores, impedindo que o malware continue se comunicando com seus controladores;
  • As organizações afetadas foram notificadas formalmente;
  • O Google publicou indicadores de comprometimento (IOCs), uma espécie de "impressão digital" da atividade maliciosa, com endereços IP e domínios usados pelo grupo, para que outras organizações possam verificar se também foram afetadas.

A detecção inicial foi feita pelo sistema Google Security Operations (SecOps), que identificou um comportamento suspeito em um servidor Linux. 

A denúncia foi um arquivo chamado “xapt”, nomeado para se passar pela ferramenta legítima de gerenciamento de pacotes “apt”, iniciou um terminal com privilégios de root, o nível mais alto de acesso em sistemas Linux, equivalente a ser o administrador total da máquina.

Para ficar por dentro de notícias de cibersegurança e aprender a se proteger de golpes, acompanhe o TecMundo nas redes sociais e YouTube, e se inscreva em nossa newsletter.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 19 horas
Fritadeira Air Fryer Oven Philco PFR2200P, 12L
5% off

Aproveite!

Fritadeira Air Fryer Oven Philco PFR2200P, 12L

R$ 407,55

Eletro shopee.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA