Voltar para o Blog
Corredor principal do supercomputador Tianhe-2 no centro nacional de Guangzhou
Cibersegurança

Supercomputador do NSCC Tianjin invadido, hacker alega 10 PB

Hacker afirma ter extraído 10 petabytes de dados sensíveis do centro de supercomputação de Tianjin. Entenda o que se sabe, o que ainda é alegação e o que isso significa para segurança, pesquisa e defesa.

Danilo Gato

Danilo Gato

Autor

9 de abril de 2026
10 min de leitura

Introdução

O supercomputador do NSCC Tianjin aparece no centro de relatos de uma invasão que, se confirmada, teria resultado na exfiltração de 10 petabytes de dados sensíveis. A palavra-chave aqui é supercomputador NSCC Tianjin, porque o caso envolve um dos polos históricos de computação de alto desempenho da China, associado a projetos científicos e industriais. Diversas publicações secundárias afirmam que a história foi noticiada em 8 de abril de 2026 pela CNN, embora o site esteja inacessível por bloqueio de robôs para consultas externas, e que a autoria teria sido reivindicada por um ator chamado FlamingChina. Os detalhes circulam em reportes derivados e em comunidades de cibersegurança, sempre com a ressalva de que as autoridades chinesas não confirmaram o incidente.

Relatos independentes de blogs, agregadores e fóruns apontam que amostras teriam sido publicadas em fevereiro, com menções a materiais de defesa, aeroespaciais e engenharia avançada, mas a verificação pública completa do conjunto de 10 PB não existe até o momento. O NSCC em Tianjin é conhecido por hospedar o sistema Tianhe-1A, que já liderou o ranking Top500 em 2010, o que ajuda a dimensionar a relevância do alvo na infraestrutura de P&D do país.

O que este artigo cobre

  • O que foi alegado, por quem e quando.
  • Contexto do NSCC Tianjin e da sua importância científica e industrial.
  • Como um roubo de 10 PB pode acontecer do ponto de vista técnico, incluindo gargalos de rede e detecção.
  • Impactos estratégicos prováveis caso as alegações se confirmem.
  • Medidas práticas para operadores de HPC, cloud e datacenters que ajudam a reduzir risco.

Entendendo as alegações do ataque

Fontes secundárias indicam que a alegação pública ganhou tração em 8 de abril de 2026, quando uma reportagem da CNN, citada em outros veículos, descreveu a possível invasão ao NSCC Tianjin e a oferta de dados supostamente militares. Geo.tv, por exemplo, resumiu a matéria da CNN, mencionando 10 PB de dados e amostras anteriores em canais de mensagens. Publicações como Vision Times e hubs de inteligência privados repetiram a cifra de 10 PB e a associação a pesquisas sensíveis. Fóruns no Reddit concentraram discussões técnicas sobre a plausibilidade da exfiltração nesse volume. Tudo isso precisa ser lido com cautela, porque até a data de hoje não há confirmação oficial por parte do centro ou do governo chinês.

Um elemento recorrente nas discussões é o suposto vetor inicial por meio de um domínio de VPN comprometido, o uso de uma botnet interna para movimentação lateral e a extração em janelas longas, possivelmente durante meses. O argumento técnico de quem comenta a favor da plausibilidade é que 10 PB ao longo de seis meses implicariam taxas sustentadas na casa de gigabits por segundo, o que pode se diluir em tráfego normal de supercomputing, desde que os controles de DLP, telemetria de throughput e alertas baseados em comportamento não estejam ajustados ou sejam contornados. Ainda assim, especialistas em comunidade questionam a visibilidade de NOC e SOC num ambiente desse porte.

Quem é o NSCC Tianjin e por que importa

O National Supercomputing Center in Tianjin ganhou notoriedade mundial com o Tianhe-1A, primeiro lugar do Top500 entre outubro de 2010 e junho de 2011, antes de ser superado. Embora Tianhe-2 esteja sediado em Guangzhou, o ecossistema de supercomputação na China se organiza em centros nacionais, com Tianjin desempenhando papel relevante para projetos industriais, acadêmicos e, possivelmente, de defesa. Essa combinação de clientes e workloads explica por que um vazamento, se real, teria implicações além do âmbito acadêmico.

![Sala de supercomputação na China, sistema Tianhe-2]

No mínimo, a alegação expõe a interseção entre HPC e segurança nacional. Supercomputadores processam simulações de dinâmica de fluidos, aerodinâmica, criptografia, materiais, energia e biotecnologia. Em países com estratégia industrial centrada em P&D aplicada, dados, modelos e pipelines de simulação valem tanto quanto código-fonte. O NSCC Tianjin, por abrigar um histórico de capacidade e por atender múltiplos setores, concentra muito valor informacional em um só domínio, um incentivo clássico para atacantes com motivação econômica ou estratégica.

Volume de 10 PB, dá para sair sem ser notado?

A cifra de 10 PB chama atenção. Debates em comunidades técnicas calcularam ordens de grandeza: algo como 55 TB por dia durante cerca de seis meses, equivalentes a pouco mais de 5 Gbit s de vazão média constante. Ambientes de HPC podem sustentar tráfego agregado muito superior internamente, mas o gargalo costuma estar nas saídas WAN ou interdomínios, onde controls de egress, ML de anomalia e amostragem de fluxos deveriam priorizar esse tipo de padrão. Quem defende a plausibilidade menciona extração faseada, compressão seletiva de binários e dados de simulação, e horários de menor atividade para mascarar picos. Céticos lembram que um SOC maduro instrumenta NetFlow, sFlow, IPFIX e marcos de baseline que tornariam difícil esconder semanas de transferência. O ponto é que ambos os lados concordam que seis meses aumentam as chances, especialmente se houver comprometimento de credenciais privilegiadas e segmentação frouxa entre storage, orquestração e fronteiras de saída.

Na ausência de confirmação oficial, a melhor leitura técnica é considerar o cenário possível, porém não verificado: há formas de exfiltrar nessa magnitude, mas exigem paciência operacional, conhecimento do domínio e acesso de alto privilégio. Mesmo assim, logs, quotas e sensores deveriam ter sinalizado desvios, o que abre a hipótese de controles desativados, visibilidade insuficiente ou engenharia social apontada ao time de operações.

O que as fontes dizem, e as lacunas

  • Data e origem da história: menções a uma publicação da CNN em 8 de abril de 2026 repercutida por terceiros. Veículos como Geo.tv e blogs repetiram os principais números, atribuindo a informação à CNN. A reportagem original não pôde ser aberta por bloqueio de acesso automatizado, o que reforça a necessidade de triangulação.
  • Atores e amostras: o nome FlamingChina aparece nas citações, junto com relatos de amostras prévias em fevereiro em fóruns e canais. Hubs como GTAC e Vision Times ecoaram a cifra de 10 PB e a natureza sensível do material. Comunidades de cibersegurança no Reddit adicionaram comentários técnicos e ceticismo saudável sobre TTPs.
  • Confirmação oficial: até agora, nem o NSCC Tianjin nem autoridades chinesas publicaram nota confirmando ou negando tecnicamente ponto a ponto, segundo a amostragem pública consultada. Esse silêncio não prova nem refuta a invasão, apenas amplia a incerteza.

Duas coisas podem ser verdade ao mesmo tempo. Primeiro, que parte do que circula é exagero ou ruído. Segundo, que mesmo um recorte menor do que 10 PB, se for composto por modelos, parâmetros, bancos de teste e cadernos de laboratório digital, já seria suficientemente grave para pesquisa e indústria. Aqui, o foco prático é resiliência, não especulação.

Ilustração do artigo

O que estaria em jogo para indústria e defesa

Se um atacante acessa pipelines de simulação e bancos de dados de P&D, pode reconstruir hipóteses de projeto, curvas de desempenho e limitações de materiais. Para um adversário, isso permite economizar anos de tentativa e erro, replicando ou, pior, adaptando contra-medidas. Em setores como aeroespacial, balístico e energia, simulações são o coração da vantagem competitiva. Por isso, a suposta perda maciça associada ao NSCC Tianjin é tratada por analistas como potencialmente estratégica, mesmo que o número bruto ainda seja contestado.

A perda de confiança interna também é relevante. Clientes que rodam workloads em centros nacionais exigem garantias contratuais, segregação lógica e auditorias periódicas. Um incidente dessas proporções desencadeia revisão de SLAs, endurecimento de políticas de dados e, muitas vezes, migração de cargas mais sensíveis para domínios isolados, com replicação fria e governança de chaves reforçada. Mesmo um falso alarme aprimora controles quando há pressão pública suficiente.

![Sala de servidores de HPC com cabeamento de alta densidade]

Como um atacante quebraria um HPC dessa escala

  • Acesso inicial plausível: comprometimento de VPN corporativa ou de portal de usuários, phishing de credenciais de operadores, exploração de serviços expostos em gerência fora de banda. Publicações derivadas mencionam um domínio de VPN comprometido, hipótese consistente com intrusões recentes em infraestruturas complexas.
  • Movimentação lateral: pivot entre salt servers, orquestração de jobs, fila de batch e servidores de filesystems paralelos como Lustre ou GPFS. A topologia de HPC favorece tráfego leste-oeste intenso, ideal para esconder cópias internas antes do egress.
  • Elevação e persistência: abuso de contas de serviço, tokens de automação e chaves SSH herdadas. Em ambientes de pesquisa, legados convivem com sistemas novos, o que amplia superfície de ataque.
  • Exfiltração: chunking por janelas de tempo, compressão de dados científicos e uso de destinos múltiplos para pulverizar alertas. Debates públicos calcularam vazões compatíveis com 10 PB em meses, algo tecnicamente possível, embora barulhento para SOCs bem instrumentados.

Lições práticas para times de HPC, cloud e datacenters

  • Governança de acesso por projeto. Segregar por tenancy real, não só por pastas. Evitar credenciais compartilhadas de nós de login. Revisar periodicamente a titularidade de contas com privilégios de submissão e orquestração.
  • Telemetria de egress como produto. Tratar exportação de dados como risco operacional, com limites de banda por identidade de serviço, alertas por padrões de transferência e correlação com janelas de manutenção.
  • Inventário de chaves e tokens. Rotacionar chaves SSH, tokens de orquestração e credenciais de storage com política clara. Mapear dependências do tipo bastion, salt, jump e desativar caminhos alternativos pouco auditados.
  • Zero trust aplicado a HPC. Microsegmentar storage de alta performance, separar domínios de compilação de domínios de execução e exigir autenticação forte inclusive para nós de login acadêmico.
  • Segurança em pipelines científicos. Repensar staging de datasets, versionamento de modelos e artefatos. Assinar e verificar conjuntos críticos. Monitorar acessos anômalos por experimento, não só por usuário.
  • Caça-prospecção contínua. Automação para identificar variações não usuais em jobs de longa duração, transferências out-of-hours e padrões de compressão reiterados.

O que observar nas próximas semanas

  • Confirmações independentes: espera-se que laboratórios ou empresas supostamente impactadas se manifestem, positiva ou negativamente, caso clientes ou parceiros detectem material genuíno circulando. Até agora, os relatos são de segunda mão.
  • Indicadores técnicos: surgimento de IOCs, detalhes de TTPs, hashes de amostras e telemetria de rede publicados por equipes de resposta indicariam maior substância às alegações. Comunidades já pediram mais dados verificáveis.
  • Reação regulatória: mesmo sem confirmação, centros nacionais tendem a revisar e publicar diretrizes reforçadas de segurança, o que pode vazar em comunicados setoriais e chamadas de financiamento para hardening.

Contexto, limites e ponderações

É comum que casos de alto valor estratégico tenham confirmação lenta. Quando dados sensíveis envolvem defesa, o silêncio oficial pode ser política. Isso não convalida ou invalida as alegações, apenas indica que o juízo precisa ficar em suspenso, enquanto se consolida a coleta de evidências. Nesse meio tempo, operadores de HPC e times de P&D podem usar o episódio como gatilho para fechar lacunas, ajustar telemetria e apertar governança de dados. O custo de false positive aqui é baixo comparado ao custo de detecção tardia.

Há precedentes de campanhas de intrusão ligadas à região de Tianjin, como a acusação do Departamento de Justiça dos EUA em 2018 contra integrantes do APT10 associados ao Bureau de Segurança do Estado de Tianjin, mas isso não tem relação direta comprovada com o caso atual. Serve como lembrete de que a região já apareceu em dossiês públicos de ciberoperações.

Conclusão

Relatos de que o supercomputador do NSCC Tianjin foi invadido, com 10 PB de dados sensíveis exfiltrados, continuam no campo das alegações não confirmadas, ainda que amplamente repercutidas por veículos e comunidades. O contexto técnico mostra que volumes desse porte podem ser alcançados com paciência, acesso privilegiado e telemetria frágil, mas a ausência de confirmação oficial exige cautela.

Independentemente do desfecho, o episódio já oferece um roteiro de melhoria: segmentação real por projeto, governança de chaves, monitoramento de egress como disciplina, e caça-prospecção focada em padrões de uso de dados científicos. Para quem opera HPC, cloud e datacenters, a oportunidade é clara, transformar uma manchete ruidosa em avanços concretos de resiliência.

Tags

HPCSegurança da InformaçãoChinaAmeaças Avançadas