Brasil foi atacado por hackativistas da Coreia do Sul, Rússia e China, afirma relatório

O grupo hackativista Dark Engine, também conhecido como Infrastructure Destruction Squad (IDS), realizou ataques cibernéticos contra a infraestrutura do Brasil durante o mês de fevereiro. As ações buscaram fragilizar sistemas SCADA do agronegócio, que são plataformas de software e hardware que automatizam processos e realizam monitoramentos em tempo real. 

As informações foram descobertas e entregues pela empresa de cibersegurança ZenoX ao TecMundo. O documento detalha a trajetória do Dark Engine, que transitou de uma identidade pró-russa para uma reivindicação de afiliação chinesa — e apresenta descobertas que indicam a participação de operadores vinculados à Coreia do Sul em sua estrutura. 

A equipe de inteligência da empresa identificou ataques contra o setor agroindustrial e de saúde brasileiro, incluindo o comprometimento de um sistema SCADA de agricultura industrial em ambiente controlado e a intrusão em servidores de uma instituição hospitalar.

Não são claros os motivos de o Brasil ter sido alvo do Dark Engine. Contudo, grupos hackativistas se valem de contextos geopolíticos para selecionar alvos: o presidente Luís Inácio Lula da Silva visitou a Coreia do Sul na última segunda-feira (23), uma movimentação de aproximação dos países que poderia ser acompanhada pelo grupo. 

“O Brasil figura pela primeira vez como alvo concreto de uma das campanhas hacktivistas mais ativas contra sistemas de controle industrial no mundo, com comprometimento de SCADA agrícola e servidor hospitalar”, diz a empresa.

Hackativismo e cibercrime 

O grupo hackativista Dark Engine utiliza canais no Telegram para disseminar informações, revelar ataques e espalhar mensagens políticas. A diferença entre um grupo hackativista e um grupo cibercriminoso é apenas a motivação — e, muitas vezes, essa linha tênue é derrubada.

O hackativismo é cimentado em manifestações políticas. Diversos grupos utilizam a internet como palco de reivindicações, entre eles, está o Anonymous, bem conhecido popularmente. 

A linha é cruzada com o cibercrime quando táticas de reivindicações envolvem crimes cibernéticos, normalmente, alterações de páginas e exposição de dados de alvos. No caso exposto, o crime é ainda mais sofisticado — e grave. O grupo hackativista em questão invade sistemas, rouba informações, infecta vítimas e tem a capacidade de roubar transferências bancárias. 

Modus operandi contra o Brasil e mundo 

Ao TecMundo, a equipe de inteligência da ZenoX compartilhou telas e mensagens do Dark Engine, revelando que o grupo se comunica em três idiomas: russo, coreano e chinês. “O grupo, que acumula dezenas de intrusões em ambientes SCADA e HMI em múltiplos continentes ao longo de 2025, direcionou operações contra infraestrutura brasileira nos setores de agricultura industrial e saúde nas últimas semanas”, explica o ZenoX. 

“Os ataques, publicados nos canais do grupo no Telegram com capturas de tela detalhadas e descrições técnicas em chinês, evidenciam acesso a sistemas operacionais reais e levantam alertas sobre a exposição de tecnologia operacional no país”. 

• O que é SCADA: sistema usado para monitorar e analisar dados e controlar processos industriais. 

Foi em 2025 que o hackativismo do Dark Engine focou na “Aliança Oriental”, como eles próprios dizem, que reúne integrantes da Rússia, China e, agora, Coreia do Sul. A mudança ficou clara após um ataque operações industriais no Vietnã, onde o grupo justificou a intrusão em um sistema SCADA que controlava um forno de alta temperatura como retaliação contra nações percebidas como hostis à China. 

A ZenoX identificou indicadores de ambiente operacional associados à Coreia do Sul. “Capturas de tela divulgadas pelo grupo em seus canais contêm elementos de interface de navegador que incluem favoritos do portal NAVER, um serviço de buscas e conteúdo utilizado quase exclusivamente por usuários sul-coreanos, além de texto em hangul (escrita coreana) na barra de favoritos e na interface de serviços de e-mail”, explica. 

Em vez de alterações de sites com mensagens, o Dark Engine tem um modus operandi de ataque sofisticado: o grupo prioriza a exposição pública de interfaces de controle industrial como instrumentos de pressão psicológica e propaganda. 

“O foco principal do grupo recai sobre sistemas SCADA (Supervisory Control and Data Acquisition) e interfaces HMI (Human-Machine Interface), com atenção particular a ambientes de tecnologia operacional expostos à internet. As publicações seguem um formato recorrente: capturas de tela dos painéis de controle comprometidos, sobrepostas com a marca d’água ‘Infrastructure Destruction Squad’ como assinatura visual, acompanhadas de textos explicativos que descrevem a função do sistema acessado, seus componentes técnicos e o potencial de dano associado à intrusão”, detalha. 

As reivindicações envolvendo o Brasil são diversas. Elas vão desde sistemas de semáforos invadidos em pequenos municípios até servidores de saúde. Um deles, segundo o grupo, envolveria a invasão de um sistema no Hospital do Olho Lagos LTDA, no Rio de Janeiro. 

Ataque ao agro brasileiro 

Por meio de vídeos e imagens divulgados, o Dark Engine revelou ter invadido uma operação de estufas industriais (greenhouse farming) — a empresa envolvida ainda não foi revelada ao TecMundo. É possível acompanhar uma matriz de monitoramento em tempo real com múltiplas zonas de cultivo designadas por códigos alfanuméricos (E1-A, E1-B, E2, E3-A, E3-B, E4, E5, E6, E7), cada uma com leituras individualizadas de temperatura ambiente em graus Celsius, umidade relativa percentual, intensidade de radiação fotossinteticamente ativa medida em micromoles, vazão de água em metros cúbicos por hora e status operacional dos equipamentos de climatização. 

“A medição de radiação PAR (Photosynthetically Active Radiation) em µMol é um indicador técnico significativo. Essa métrica, expressa em µmol/m²/s, quantifica a porção do espectro luminoso efetivamente utilizada pelas plantas no processo de fotossíntese e é empregada quase exclusivamente em operações de agricultura de ambiente controlado de alta tecnologia”, explica a ZenoX. 

Também é possível considerar, agora, que o Brasil é um alvo concreto de ataques cibernéticos. “A extensão da ameaça ao setor agroindustrial brasileiro, particularmente em operações de alto valor que dependem de controle ambiental preciso, representa um vetor de risco até então pouco considerado na matriz de ameaças cibernéticas do agronegócio nacional”. 

É um ataque político? 

Não é possível afirmar que a invasão ao setor do agronegócio por agentes maliciosos do Dark Engine tem correlação causal direta com a movimentação diplomática entre Brasil e Coreia do Sul. Por exemplo, até agora, o grupo não fez uma publicação de reivindicação política.

Porém, a presença de integrantes da Coreia do Sul no Dark Engine, que ataca a infraestrutura agrícola brasileira no momento em que os dois países aprofundam cooperação no setor, “constitui elemento que merece acompanhamento continuado, ainda que não permita conclusões definitivas neste estágio”, explica a empresa. 

Empresas que lidam com sistemas SCADA e HMI devem elevar o nível de alerta, principalmente aqueles com acesso remoto. O TecMundo busca mais detalhes sobre o caso, não revelados pela empresa até o momento.