Uma apuração realizada pelo NASA Office of Inspector General revelou a existência de uma campanha de spear phishing altamente sofisticada que conseguiu enganar funcionários da NASA e parceiros institucionais durante anos. O resultado foi o vazamento de softwares sensíveis, com possíveis aplicações nas áreas militar e aeroespacial.
Segundo o relatório, um cidadão chinês identificado como Song Wu teria se passado por engenheiros e pesquisadores dos Estados Unidos para convencer as vítimas a compartilharem códigos e ferramentas proprietárias. As atividades ocorreram entre 2017 e 2021 e não se limitaram à NASA, atingindo também organizações como a Força Aérea, Marinha e Exército dos EUA, além da Administração Federal de Aviação, universidades e empresas privadas.
A estratégia utilizada pelos invasores foi baseada em engenharia social avançada. Inicialmente, era feito um mapeamento detalhado das vítimas, com foco em profissionais que possuíam acesso a softwares críticos. Em seguida, os atacantes criavam perfis falsos — frequentemente simulando colegas de trabalho ou parceiros acadêmicos — e iniciavam trocas de e-mails que aparentavam ser legítimas ao longo do tempo.
Após estabelecer confiança, os criminosos solicitavam acesso a softwares de modelagem avançada utilizados no desenvolvimento de tecnologias aeroespaciais e militares. Em diversas situações, as vítimas compartilhavam esses recursos sem perceber que estavam infringindo leis de controle de exportação dos Estados Unidos, enviando informações diretamente para contas controladas pelos fraudadores.
De acordo com o Departamento de Justiça dos EUA, Song Wu trabalhava como engenheiro na Aviation Industry Corporation of China, um conglomerado estatal do setor de defesa e aeroespacial. O objetivo da operação era obter ferramentas que pudessem contribuir para o avanço de tecnologias militares, incluindo sistemas de mísseis táticos e soluções aerodinâmicas aplicadas a armamentos.
A operação teve êxito em vários casos, reforçando que ataques de phishing direcionados continuam entre as principais ameaças para ambientes de alta segurança. Diferentemente de campanhas em larga escala, o spear phishing se apoia em confiança, contexto e relações profissionais, o que dificulta significativamente sua identificação.
As investigações resultaram na acusação formal de Song Wu por crimes como fraude eletrônica e roubo de identidade agravado. Ele pode enfrentar penas de até 20 anos de prisão por cada acusação de fraude, além de sanções adicionais relacionadas ao uso indevido de identidade. O FBI incluiu o suspeito em sua lista de mais procurados, mas ele segue foragido.
O caso também evidencia padrões comuns nesse tipo de golpe: solicitações recorrentes do mesmo software, justificativas inconsistentes, alterações inesperadas em formas de pagamento e uso de canais alternativos para envio de arquivos — todos sinais típicos de tentativas de burlar controles de segurança e regulamentações de exportação.
Sob uma perspectiva estratégica, o incidente destaca uma tendência crescente no cenário de cibersegurança: o uso da engenharia social como meio de contornar barreiras técnicas e acessar propriedade intelectual sensível. Em vez de explorar falhas em sistemas, os atacantes exploram vulnerabilidades humanas, especialmente em ambientes colaborativos como universidades e centros de pesquisa.
