# Setor de Defesa e Militar > [!warning] Setor de Alto Risco > O setor de defesa e militar é o mais visado por atores patrocinados por estados nacionais. Espionagem de propriedade intelectual, comprometimento de sistemas de armas e exfiltração de comúnicações classificadas são objetivos primários de grupos como **APT28**, **Lazarus Group**, **Turla** e **Gamaredon**. > [!latam] Relevância LATAM > No Brasil e LATAM, o setor de defesa inclui a **Embraer Defence & Security**, o **IMBEL** e institutos de pesquisa militares - todos com histórico de interesse por atores de espionagem industrial estrangeiros. O **ComDCiber** (Comando de Defesa Cibernética do Exército Brasileiro) foi criado precisamente para responder a essa ameaça. Em 2025, o grupo **Aquatic Panda** (China, vinculado ao i-Soon) direcionou ataques documentados a entidades militares no **Peru e Brasil**, além de redes governamentais em toda a região. Países como Argentina, Chile e Colômbia - com programas de modernização em andamento - também atraem atenção de atores APT interessados em sistemas de armas e plataformas de vigilância. ## Visão Geral O setor de defesa e militar abrange tanto a indústria de defesa (contratistas, fornecedores aeroespaciais, institutos de pesquisa) quanto as forças armadas, ministérios de defesa, serviços de inteligência e infraestrutura de comando e controle militar. A combinação de propriedade intelectual sensível, contratos governamentais classificados e acesso privilegiado a sistemas militares torna este setor um dos alvos mais visados por atores de ameaça patrocinados por estados nacionais. Três motivações principais impulsionam ataques ao setor: espionagem de programas de armas e tecnologia dual-use (civil/militar), vigilância de funcionários e oficiais militares para fins de inteligência humana, e sabotagem de infraestrutura de comando e controle em contextos de conflito. O grupo russo [[g0007-apt28|APT28]] (GRU) e o norte-coreano [[g0032-lazarus-group|Lazarus Group]] são os atores mais ativos globalmente neste setor, com campanhas documentadas na América Latina a partir de 2025. ## Mapa de Ameaças ```mermaid graph TB DEF["Setor de Defesa e Militar"] --> APT28["APT28"] DEF --> LAZ["Lazarus Group"] DEF --> TURLA["Turla"] DEF --> GAM["Gamaredon"] APT28 -->|Espionagem militar e política| ESP["Exfiltração de Inteligência<br/>Classificada"] LAZ -->|Fake recruiter - defesa e aero| ESP TURLA -->|Implantes de longa duração| ESP GAM -->|Campanhas persistentes contra FA| ESP ESP --> IMP["Comprometimento de Programas<br/>de Armas e Segurança Nacional"] ``` ## Panorama de Ameaças ### Espionagem contra Forças Armadas e Governos O grupo russo [[g0007-apt28|APT28]], vinculado à inteligência militar russa (GRU), conduz campanhas sistemáticas de espionagem contra forças armadas ocidentais e aliados da OTAN. A Operation Pawn Storm documenta anos de atividade do APT28 contra ministérios de defesa, academias militares e funcionários de alto escalão em mais de 25 países. O grupo é especialista em comprometimento de infraestrutura de e-mail militar e roubo de comúnicações classificadas. O grupo [[g0047-gamaredon|Gamaredon]], também com nexo russo e foco específico na Ucrânia, opera campanhas de espionagem persistente contra forças armadas ucranianas, utilizando malware customizado e técnicas de atualização frequente para evadir detecção. O grupo representa o nível mais alto de atividade cibernética diretamente vinculada a um conflito armado convencional ativo. O grupo [[g0010-turla|Turla]] (FSB russo) opera com sofisticação técnica extrema, plantando implantes de longa duração em redes militares e diplomáticas. O grupo é notório pela capacidade de hijacking de outros grupos de malware para operação disfarçada. ### Espionagem Industrial - Contratistas de Defesa O grupo norte-coreano [[g0032-lazarus-group|Lazarus Group]] conduz ataques sistemáticos ao setor de defesa, onde operativos se passam por recrutadores de empresas como Lockheed Martin e Boeing para entregar payloads maliciosos disfarçados de propostas de emprego. A operação tem vitimado contratistas de defesa na Europa, EUA e, crescentemente, no Brasil e LATAM. O ator russo [[g0007-apt28|APT28]] emprega campanhas de spear-phishing sofisticadas contra ministérios de defesa e forças armadas da OTAN e de países aliados. A técnica primária, [[t1566-phishing|T1566 - Phishing]], é combinada com exploração de vulnerabilidades em VPNs e sistemas de acesso remoto utilizados por contratistas. O grupo [[g0138-andariel|Andariel]], subunidade do Lazarus Group, tem foco específico em organizações do setor de defesa e nuclear, com histórico documentado de comprometimento de empreiteiras de defesa na Coreia do Sul e Estados Unidos. ### Ameaças Emergentes na LATAM Segundo o Intel 471 (2026), a China - específicamente o grupo Aquatic Panda (vinculado ao contratista i-Soon) - **direcionou ataques a entidades militares no Peru e Brasil**, além de redes governamentais e de telecomúnicações em toda a região LATAM em 2025. A dimensão político-militar também é relevante: atores interessados em influenciar processos eleitorais e decisões de política externa na LATAM têm histórico de operações de hacktivismo e desinformação combinadas com espionagem convencional. ## Contexto LATAM e Brasil No Brasil, o setor de defesa nacional abrange a Embraer Defence & Security, o IMBEL e múltiplos institutos de pesquisa vinculados ao Exército e Marinha. A proximidade com tecnologia aeronáutica dual-use (civil e militar) torna a Embraer alvo recorrente de campanhas de espionagem industrial. As forças armadas brasileiras - Exército, Marinha e Aeronáutica - conduzem programas de modernização que incluem sistemas de armas, drones e ciberdefesa. O Comando de Defesa Cibernética (ComDCiber) foi criado precisamente para responder a ameaças neste domínio, reconhecendo a vulnerabilidade das redes militares a ataques sofisticados. Países como Argentina, Chile e Colômbia - com programas de defesa em modernização - também atraem aténção de grupos APT interessados em propriedade intelectual de sistemas de armas e plataformas de vigilância. ## Vetores de Ataque Comuns - Spear-phishing contra oficiais militares e funcionários de defesa ([[t1566-phishing|T1566 - Phishing]]) - Spear-phishing com documentos de proposta de emprego (Operation DreamJob) - Comprometimento de servidores de e-mail de ministérios de defesa ([[t1114-email-collection|T1114 - Email Collection]]) - Exploração de portais de intranet militar e sistemas de gestão de pessoal - Comprometimento de fornecedores e supply chain de software ([[t1195-002-supply-chain-compromise|T1195.002]]) - Exploração de portais de licitação e procurement de defesa - Ataques a VPNs corporativas e sistemas de acesso remoto ([[t1133-external-remote-services|T1133]]) - Operações de influência combinadas com espionagem (hack-and-leak) - Comprometimento de redes de comunicação tática via dispositivos pessoais ## TTPs Observados - [[t1566-phishing|T1566 - Phishing]] - vetor principal contra oficiais militares e contratistas - [[t1114-email-collection|T1114 - Email Collection]] - exfiltração de comúnicações classificadas - [[t1133-external-remote-services|T1133 - External Remote Services]] - exploração de VPNs e RDP de contratistas - [[t1055-process-injection|T1055 - Process Injection]] - implantes de longa duração em redes militares (Turla) - [[t1547-boot-logon-autostart-execution|T1547 - Boot/Logon Autostart Execution]] - persistência em redes de FA (Gamaredon) - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - coleta de inteligência sobre alvos - [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] - comprometimento de cadeia de fornecedores ## Notas Relacionadas - [[g0007-apt28|APT28]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0138-andariel|Andariel]] - [[g0047-gamaredon|Gamaredon]] - [[g0010-turla|Turla]] - [[g0016-apt29|APT29]] - [[t1566-phishing|T1566 - Phishing]] - [[t1114-email-collection|T1114 - Email Collection]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1547-boot-logon-autostart-execution|T1547 - Boot/Logon Autostart Execution]] - [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] ## Referências - CISA Advisory: North Korean Cyber Actors Targeting Defense Sector - Mandiant: APT28 Operations Against NATO and Allied Nations - Unit 42: Operation DreamJob Campaign Analysis - Trend Micro: Operation Pawn Storm - Espionage Campaign Against Military and Government Targets - CrowdStrike: FANCY BEAR - Russia's Military Cyber Unit - CERT-UA Advisories: Gamaredon Persistent Campaigns Against Ukrainian Military - Intel 471: Latin América Cyber Threat Landscape 2025 - Aquatic Panda targeting Peru and Brazil (fev/2026)