A Rússia estaria patrocinando um agente de ameaças cibernéticas (hacker) que se passa por membro do Departamento de Estado dos EUA para invadir contas de críticos ao governo. Parece sinopse de filme hollywoodiano, mas não é.

Em parceria com entidades internacionais, o Google Threat Intelligence Group (GTIG) identificou uma campanha que visou acadêmicos e “críticos proeminentes” da Rússia entre abril e junho deste ano. 

O provável agente cibernético utiliza estratégias de construção de relacionamento e iscas personalizadas para convencer o alvo a configurar senhas específicas de aplicativo (ASPs, na sigla em inglês), garantindo acesso dos invasores ao e-mail da vítima.

Esquema hacker complexo

• Um dos alvos foi o britânico Keir Giles, especialista acadêmico em combate às operações de informação e influência russas. Ele é associado sênior do programa sobre Rússia na Chatham House, instituto de políticas sediado no Reino Unido;
• Após ser contatado pelo agente, Giles buscou o Citizen Lab para obter assistência com o ataque;
• O laboratório interdisciplinar sediado na Munk School of Global Affairs da Universidade de Toronto (Canadá) é reconhecido pelo trabalho com segurança digital. Um relatório da entidade relata como se deu o esquema:

Em 22 de maio de 2025, um remetente que se passou por “Claudie S. Weber“, funcionário do Departamento de Estado dos EUA, enviou um e-mail ao Sr. Giles. A mensagem supostamente seria um convite para uma consulta, algo que ele receberia com frequência.

Quatro e-mails em @state.gov também estão incluídos na linha CC (Com Cópia), incluindo um endereço de e-mail @state.gov de “Claudie S. Weber”. Isso reforça a credibilidade e a segurança percebidas na troca de e-mails.

O Sr. Giles respondeu à mensagem demonstrando interesse, mas observou que a data poderia não ser adequada para ele. O invasor respondeu, introduzindo o golpe principal: convidando-o a participar da plataforma “MS DoS Guest Tenant” do Departamento de Estado.

Leia mais:

Aí que mora o perigo…

Após pelo menos dez trocas de mensagens, o invasor enviou um arquivo PDF com instruções para registrar uma conta “MS DoS Guest Tenant”. Ele orienta o alvo na criação de uma senha específica do aplicativo (ASPs) em uma conta de e-mail do Google.

ASPs são senhas de 16 caracteres geradas aleatoriamente que permitem que aplicativos de terceiros acessem sua Conta do Google, destinadas a aplicativos e dispositivos que não oferecem suporte a recursos, como a verificação em duas etapas.

Os hackers enviaram um ASP como se estivessem criando e compartilhando um código para obter acesso a um aplicativo mantido pelo Departamento de Estado. Na realidade, o ASP lhes daria acesso completo e persistente às contas de Giles.

“O Sr. Giles foi submetido a uma engenharia social bem-sucedida, criando e fornecendo ao invasor vários ASPs em diversas contas. Posteriormente, o Google identificou o ataque, bloqueou as contas afetadas e desativou o e-mail do invasor”, explica o relatório.

O Google recomenda o Programa de Proteção Avançada (APP, na sigla em inglês) para indivíduos com alto risco de ataques direcionados e exposição a ameaças graves. O recurso impede que uma conta crie um ASP devido aos requisitos de segurança mais rigorosos do programa.