Uma investigação conduzida pelo Office of Inspector General da NASA revelou um sofisticado esquema de spear phishing que enganou funcionários e parceiros da agência ao longo de vários anos, resultando no vazamento de softwares sensíveis com possível aplicação militar e aeroespacial.
Segundo o relatório, um cidadão chinês identificado como Song Wu teria se passado por engenheiros e pesquisadores dos Estados Unidos para convencer as vítimas a compartilharem códigos e ferramentas proprietárias. A operação ocorreu entre 2017 e 2021 e teve como alvo não apenas a NASA, mas também organizações como a Força Aérea, Marinha, Exército dos EUA, Administração Federal de Aviação, além de universidades e empresas privadas.
O ataque foi baseado em técnicas avançadas de engenharia social. Inicialmente, os responsáveis realizavam um mapeamento detalhado das vítimas, identificando profissionais com acesso a sistemas críticos. Em seguida, criavam perfis falsos, muitas vezes se passando por colegas ou parceiros acadêmicos, e estabeleciam contato por e-mail de forma gradual e convincente.
Após conquistar a confiança dos alvos, os criminosos solicitavam acesso a softwares especializados utilizados em projetos aeroespaciais e militares. Em diversos casos, os profissionais compartilharam essas ferramentas sem perceber que estavam infringindo leis de controle de exportação dos Estados Unidos, enviando dados diretamente para contas controladas pelos invasores.
De acordo com o Departamento de Justiça dos EUA, Song Wu atuava como engenheiro na Aviation Industry Corporation of China, uma estatal do setor de defesa e aeroespacial. O objetivo da operação seria obter tecnologias capazes de contribuir para o desenvolvimento de sistemas militares, como mísseis avançados e soluções aerodinâmicas para armamentos.
A campanha obteve sucesso em diferentes situações, reforçando como ataques direcionados continuam sendo uma ameaça relevante mesmo em ambientes altamente protegidos. Ao contrário de campanhas em massa, o spear phishing utiliza contexto, relacionamento e credibilidade para enganar as vítimas, tornando sua identificação muito mais complexa.
As investigações resultaram na acusação formal de Song Wu por fraude eletrônica e roubo de identidade agravado. Ele pode enfrentar penas de até 20 anos de prisão por cada acusação, além de sanções adicionais. O FBI incluiu o suspeito em sua lista de procurados, mas ele ainda não foi localizado.
O caso também evidencia padrões comuns nesse tipo de ataque, como solicitações recorrentes do mesmo software, justificativas inconsistentes, mudanças inesperadas em formas de pagamento e uso de canais alternativos para envio de arquivos — sinais típicos de tentativas de burlar controles de segurança.
Sob uma perspectiva estratégica, o episódio reforça uma tendência crescente no cenário de cibersegurança: o uso de engenharia social como principal vetor de ataque. Em vez de explorar falhas técnicas, os criminosos focam em vulnerabilidades humanas, especialmente em ambientes colaborativos como universidades e centros de pesquisa.
