EXCLUSIVO-Fontes dizem que Palo Alto optou por não associar a China à campanha de hackers por medo de represálias de Pequim.

Por Raphael Satter e AJ Vicens

WASHINGTON, 12 Fev (Reuters) - A Palo Alto Networks PANW.O optou por não vincular a China a uma campanha global de ciberespionagem que a empresa expôs na semana passada, devido a preocupações de que a empresa de cibersegurança ou seus clientes pudessem sofrer represálias de Pequim, de acordo com duas pessoas familiarizadas com o assunto.

As fontes disseram que as conclusões de Palo Alto sobre o envolvimento da China na onda de ataques cibernéticos foram atenuadas após as notícias do mês passado, divulgadas inicialmente pela Reuters (link) de que a Palo Alto era uma das cerca de 15 empresas de cibersegurança norte-americanas e israelenses cujo software havia sido banido pelas autoridades chinesas por motivos de segurança nacional.

Uma versão preliminar do relatório da Unit 42, braço de inteligência de ameaças da Palo Alto Networks, afirmava que os prolíficos hackers — apelidados de “TGR-STA-1030” em um relatório publicado na quinta-feira da semana passada — tinham ligações com Pequim, disseram as duas fontes. O relatório final, por sua vez, descreveu o grupo de hackers de forma mais vaga como um “grupo alinhado ao Estado que opera na Ásia”.

Atribuir ataques cibernéticos sofisticados é notoriamente difícil, e debates sobre a melhor forma de atribuir a culpa por intrusões digitais são comuns entre pesquisadores de segurança cibernética. Mas Palo Alto já atribuiu ataques à China no passado, inclusive recentemente, em setembro passado, (link) e as fontes disseram à Reuters que os pesquisadores da Unit 42 estavam confiantes, com base em uma série de indícios forenses, de que a campanha de hackers recém-descoberta também estava ligada à China.

Segundo as fontes, a mudança foi ordenada por executivos da Palo Alto devido à preocupação com a proibição do software e ao receio de represálias das autoridades chinesas, tanto contra os funcionários da empresa na China quanto contra seus clientes em outros países.

As fontes não identificaram quais executivos tomaram a decisão de suavizar as conclusões do relatório, nem forneceram a redação exata que constava no relatório antes da alteração. Elas falaram sob condição de anonimato, pois não estavam autorizadas a discutir o assunto.

Questionada sobre a suposta suavização da linguagem, Palo Alto emitiu um comunicado à Reuters que dizia, em parte: "A atribuição é irrelevante".

A vice-presidente de comunicações globais da Palo Alto, Nicole Hockin, afirmou em emails subsequentes à Reuters que a declaração visava comunicar que a falta de atribuição no relatório da Palo Alto não estava relacionada com "regulamentações de compras na China" e que qualquer sugestão em contrário era "especulativa e falsa". Ela disse que a escolha da linguagem no relatório da Palo Alto refletia "a melhor forma de informar e proteger os governos sobre essa campanha generalizada".

A Embaixada da China em Washington declarou opor-se a “todas as formas de ciberataques”. Acrescentou que atribuir a autoria de ataques cibernéticos é “uma questão técnica complexa” e que espera que “as partes envolvidas adotem uma postura profissional e responsável, baseando a sua caracterização de incidentes cibernéticos em provas suficientes, em vez de especulações e acusações infundadas”.

'AS CAMPANHAS SOMBRIAS'

Palo Alto detectou pela primeira vez o grupo de hackers TGR-STA-1030 no início de 2025, de acordo com o relatório (link). Em um esforço abrangente que Palo Alto apelidou de "As Campanhas Sombrias", os espiões supostamente realizaram reconhecimento contra quase todos os países do mundo e conseguiram invadir organizações governamentais e de infraestrutura crítica em 37 países.

Embora a China não tenha sido mencionada nominalmente, leitores atentos do relatório de Palo Alto podem chegar à conclusão de que Pequim estava envolvida. Por exemplo, os pesquisadores observaram que a atividade dos hackers coincidiu com o fuso horário GMT+8, que inclui a China, e que os hackers pareciam se concentrar na infraestrutura do governo tcheco após um encontro, em agosto, entre o presidente da República Tcheca e o Dalai Lama, líder espiritual do Tibete, que Pequim há muito considera um obstáculo. O relatório também observou que os hackers atacaram a Tailândia em 5 de novembro, antes de uma "visita" diplomática. Os detalhes da viagem não foram fornecidos no relatório, mas a semana seguinte marcou a primeira visita de Estado do rei reinante da Tailândia a Pequim, (link).

Pesquisadores externos que analisaram o relatório de Palo Alto disseram ter observado atividades semelhantes, que atribuíram a operações de espionagem patrocinadas pelo Estado chinês.

“Nossa avaliação é que isso faz parte de um padrão mais amplo de campanhas globais ligadas à China que buscam informações e acesso interno persistente a organizações de interesse de Pequim”, disse Tom Hegel, pesquisador sênior de ameaças da SentinelOne.

A Palo Alto Networks afirma em seu site que possui cinco escritórios na China, incluindo unidades em Pequim, Xangai e Guangzhou. A rede social profissional LinkedIn lista mais de 70 funcionários da Palo Alto Networks na China, incluindo engenheiros e gerentes de contas.

Um acadêmico afirmou que o incidente ilustra os dilemas que as empresas de cibersegurança – especialmente aquelas com presença global – frequentemente enfrentam ao considerarem se devem ou não denunciar campanhas de ciberespionagem patrocinadas por Estados. Por um lado, expor espiões estrangeiros pode render elogios da indústria e publicidade positiva. Por outro lado, entrar em conflito com um serviço de inteligência estrangeiro pode desencadear represálias.

“As pessoas sempre correram riscos ao delatar nomes”, disse Thomas Rid, professor da Universidade Johns Hopkins que estudou a história da atribuição de responsabilidades cibernéticas. “Sempre foi desagradável e, se você tem pessoas no local, como grandes empresas têm, isso é uma consideração adicional. Você está colocando seus próprios funcionários — sua equipe local — em risco?”