A recente atividade cibernética em Moscou destaca o uso de ataques adversários-no-meio (AiTM) por ciberespiões russos, conhecidos como Secret Blizzard, para comprometer redes de provedores de internet locais e atingir embaixadas estrangeiras. Esses ataques sofisticados utilizam o malware ApolloShadow e levantam preocupações sobre a colaboração entre ISPs e atores de ameaças. A Microsoft não divulgou o número de organizações afetadas. Em 2025, a segurança na nuvem está passando por transformações rápidas, com ferramentas de IA como Sysdig Sage™ reduzindo o tempo de resposta em 76%. Relatórios indicam que a segurança em tempo de execução e ferramentas de código aberto estão redefinindo as defesas na nuvem. A ligação entre hackers do grupo Hafnium e empresas que registraram patentes para tecnologias de coleta de dados intrusivas revela a complexidade do ecossistema ofensivo privado da China. Atribuições imprecisas e a relação com o Shanghai State Security Bureau levantam questões sobre o acesso a falhas de segurança não divulgadas.

Organizações de telecomunicações no Sudeste Asiático foram alvo de um grupo de ameaças patrocinado por um estado, conhecido como CL-STA-0969, que busca controle remoto sobre redes comprometidas. A Palo Alto Networks Unit 42 identificou múltiplos incidentes, incluindo ataques a infraestruturas críticas de telecomunicações entre fevereiro e novembro de 2024, utilizando ferramentas para acesso remoto e coleta de dados de localização de dispositivos móveis, sem evidências de exfiltração de dados.

O grupo CL-STA-0969, associado ao Liminal Panda, um grupo de espionagem com conexões na China, empregou técnicas avançadas de evasão para evitar detecção. Em um caso, ataques de força bruta contra mecanismos de autenticação SSH foram usados para comprometer sistemas, permitindo a instalação de malwares como AuthDoor e GTPDOOR, visando redes de telecomunicações e coleta de inteligência.

Uma vulnerabilidade zero-day no SonicWall foi explorada pelo grupo Akira, destacando a importância de medidas robustas de segurança cibernética. Este incidente ressalta a necessidade de atualizações constantes e monitoramento proativo para proteger infraestruturas críticas contra ataques sofisticados. Além disso, o sistema de assistência jurídica do Reino Unido foi alvo de um ataque cibernético, comprometendo dados sensíveis e interrompendo serviços essenciais. Em Luxemburgo, a infraestrutura 5G também sofreu um ataque, levantando preocupações sobre a segurança das redes de telecomunicações modernas.

Uma nova série de falhas de segurança no Triton Inference Server da NVIDIA, uma plataforma de código aberto para execução de modelos de inteligência artificial em larga escala, foi divulgada. Essas vulnerabilidades podem ser exploradas para assumir o controle de servidores vulneráveis, permitindo a execução remota de código por um invasor não autenticado. As falhas, identificadas como CVE-2025-23319, CVE-2025-23320 e CVE-2025-23334, afetam o backend Python e podem resultar em divulgação de informações, execução remota de código e negação de serviço.

Ataques cibernéticos devastadores muitas vezes não dependem de força bruta, mas sim de abordagens furtivas, como os ataques man-in-the-middle (MITM). Esses ataques exploram falhas em protocolos de comunicação para se posicionar silenciosamente entre duas partes desavisadas, capturando dados sensíveis como números de cartão de crédito e credenciais de login. Exemplos notáveis incluem a violação de dados da Equifax e o escândalo Lenovo Superfish, que destacam o impacto devastador quando os controles de segurança falham.

Pesquisadores de cibersegurança destacaram uma nova onda de campanhas que distribuem um ladrão de informações baseado em Python chamado PXA Stealer. A atividade maliciosa é atribuída a cibercriminosos de língua vietnamita que monetizam os dados roubados através de um ecossistema subterrâneo baseado em assinaturas, utilizando APIs do Telegram para revenda e reutilização automatizadas. Esta descoberta representa um avanço nas técnicas de comércio, incorporando técnicas anti-análise mais sofisticadas, conteúdo de isca não malicioso e um pipeline de comando e controle reforçado que dificulta a triagem e tenta atrasar a detecção.

Pesquisadores de cibersegurança identificaram um backdoor inédito em sistemas Linux, chamado Plague, que conseguiu evitar a detecção por um ano. Este implante malicioso é construído como um Módulo de Autenticação Plugável (PAM), permitindo que invasores contornem silenciosamente a autenticação do sistema e obtenham acesso SSH persistente. Desde 29 de julho de 2024, múltiplos artefatos do Plague foram carregados no VirusTotal sem serem detectados como maliciosos por motores antimalware.

O Plague possui quatro características principais: credenciais estáticas para acesso encoberto, resistência à análise e engenharia reversa através de anti-depuração e ofuscação de strings, e furtividade aprimorada ao apagar evidências de sessões SSH. Isso é alcançado desconfigurando variáveis de ambiente como SSH_CONNECTION e SSH_CLIENT, e redirecionando o HISTFILE para /dev/null para evitar o registro de comandos no shell.

Nesta semana, foram discutidas as vulnerabilidades críticas encontradas em câmeras de vigilância, que podem ser exploradas por atacantes para acessar redes internas. A segurança desses dispositivos é essencial para proteger dados sensíveis e evitar invasões. Além disso, a questão da soberania de dados continua a ser um desafio, com países buscando maneiras de proteger suas informações contra acessos não autorizados. Outro destaque foi o ciberataque a um submarino francês, que levantou preocupações sobre a segurança cibernética em sistemas militares. Este incidente ressalta a importância de fortalecer as defesas cibernéticas em infraestruturas críticas para evitar compromissos de segurança nacional.