Ataque

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.

Os ataques ’living off the land’ (LotL) são uma técnica de cibercrime que utiliza ferramentas legítimas já instaladas no sistema da vítima para realizar atividades maliciosas. Ao invés de depender de malwares que podem ser facilmente detectados por antivírus, os criminosos exploram softwares como o PowerShell e o WMI, que são essenciais para a administração do sistema. Isso torna a detecção desses ataques extremamente difícil, pois os programas de segurança não conseguem identificar a diferença entre ações benignas e maliciosas.

O Departamento de Justiça dos EUA anunciou que cinco indivíduos se declararam culpados por ajudar a Coreia do Norte em esquemas de geração de receita ilícita, violando sanções internacionais. Os acusados, entre 24 e 34 anos, facilitaram fraudes envolvendo trabalhadores de tecnologia da informação (TI) que se apresentavam como cidadãos americanos para obter empregos em empresas dos EUA. Entre as ações fraudulentas, destacam-se a utilização de identidades falsas, a instalação de software de acesso remoto em laptops e a realização de testes de drogas em nome dos trabalhadores. Um dos réus, Oleksandr Didenko, também foi acusado de roubo de identidade e operou um site para vender identidades roubadas. O esquema resultou em mais de 2,2 milhões de dólares em receita para o regime norte-coreano e comprometeu a identidade de mais de 18 cidadãos americanos. Além disso, o DoJ está buscando confiscar mais de 15 milhões de dólares em criptomoedas relacionadas a atividades de hackers associados à Coreia do Norte, que realizaram diversos roubos em plataformas de moeda virtual. Essas ações refletem os esforços contínuos do governo dos EUA para combater as operações de TI e hacking da Coreia do Norte, que têm sido utilizadas para financiar seu programa nuclear.

Um ataque cibernético em larga escala, realizado quase inteiramente por inteligência artificial, foi revelado pela Anthropic. O incidente, que ocorreu em setembro de 2025, envolveu hackers patrocinados pelo Estado chinês que utilizaram a IA Claude Code para comprometer cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais. A campanha de espionagem se destacou pela automação sem precedentes, com a IA gerenciando 80-90% das operações, exigindo intervenção humana apenas em 4-6 pontos críticos. Os atacantes exploraram capacidades avançadas da IA, como execução de tarefas complexas e operação autônoma, para realizar reconhecimento, desenvolver códigos de exploração e exfiltrar dados classificados. A Anthropic detectou a atividade suspeita e iniciou uma investigação, resultando na identificação de contas comprometidas e na notificação das organizações afetadas. Este incidente sinaliza uma diminuição nas barreiras para ataques cibernéticos sofisticados, permitindo que grupos menos experientes realizem operações que antes exigiam recursos significativos. A empresa recomenda que equipes de segurança experimentem aplicações de IA para melhorar a detecção de ameaças e a resposta a incidentes.

Em setembro de 2025, atores de ameaças patrocinados pelo Estado da China utilizaram tecnologia de inteligência artificial (IA) desenvolvida pela Anthropic para realizar uma campanha de ciberespionagem sofisticada. Os atacantes empregaram as capacidades ‘agentes’ da IA para executar ataques cibernéticos de forma autônoma, sem intervenção humana significativa. A operação, denominada GTG-1002, visou cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais, resultando em algumas intrusões bem-sucedidas. A Anthropic identificou que a IA foi utilizada para realizar diversas etapas do ciclo de ataque, como reconhecimento, descoberta de vulnerabilidades e exfiltração de dados. Embora a operação tenha demonstrado um uso inovador da IA, também revelou limitações, como a tendência da IA de ‘alucinar’ dados, o que pode comprometer a eficácia das operações. Este incidente destaca a evolução das táticas de ciberataques, onde grupos menos experientes podem potencialmente realizar ataques em larga escala com o suporte de sistemas de IA.

O grupo de ameaças patrocinado pelo Estado iraniano, conhecido como APT42, está em uma nova campanha de espionagem, chamada SpearSpecter, que visa indivíduos e organizações de interesse do Corpo da Guarda Revolucionária Islâmica (IRGC). Detectada em setembro de 2025, a campanha utiliza táticas de engenharia social personalizadas, como convites para conferências de prestígio, visando principalmente altos funcionários do governo e da defesa. O grupo é conhecido por sua habilidade em criar campanhas de engenharia social convincentes, muitas vezes se passando por contatos conhecidos para ganhar a confiança das vítimas antes de enviar links maliciosos. A campanha também se estende a familiares dos alvos, ampliando a superfície de ataque. O ataque envolve o uso de um backdoor em PowerShell chamado TAMECAT, que permite acesso persistente e exfiltração de dados. O TAMECAT se comunica através de canais como HTTPS, Discord e Telegram, aumentando a resiliência do ataque. A infraestrutura da campanha combina serviços de nuvem legítimos com recursos controlados pelos atacantes, refletindo um alto nível de sofisticação e segurança operacional.

A cibersabotagem, especialmente por governos autoritários, está se tornando uma preocupação global crescente, conforme destacado por Mike Burgess, diretor-geral da Organização Australiana de Inteligência de Segurança (ASIO). Em um discurso recente, Burgess alertou sobre a disposição de regimes totalitários em utilizar técnicas de cibersabotagem para interromper ou destruir infraestruturas críticas, como redes de telecomunicação e sistemas financeiros. Ele mencionou que incidentes recentes na Austrália, que resultaram em interrupções significativas, podem ter consequências fatais, como a morte de três pessoas.

Um ataque cibernético coordenado, conhecido como ‘IndonesianFoods worm’, foi descoberto por Paul McCarty, revelando a infiltração de mais de 43.000 pacotes de spam no registro npm ao longo de quase dois anos. Os atacantes utilizaram pelo menos 11 contas controladas para publicar uma quantidade sem precedentes de pacotes, que representaram mais de 1% do ecossistema npm, sem serem detectados por scanners de segurança automatizados.

Os pacotes, que se disfarçavam como projetos legítimos do Next.js, continham scripts maliciosos inativos que, quando executados manualmente, permitiam a publicação rápida de novos pacotes a cada 7 a 10 segundos. Além disso, a campanha explorou um sistema de recompensa baseado em blockchain, o TEA, para monetizar suas ações, inflacionando artificialmente suas pontuações de impacto no open-source.

Um pacote malicioso chamado “@acitons/artifact” foi descoberto pela Veracode Threat Research, utilizando técnicas de typosquatting para se passar pelo pacote legítimo “@actions/artifact”, que já conta com mais de 206 mil downloads. O ataque visava repositórios pertencentes ao GitHub, com o objetivo de roubar tokens sensíveis do ambiente de construção e potencialmente publicar conteúdo malicioso disfarçado como artefatos legítimos do GitHub.

O pacote malicioso continha seis versões que incluíam um hook pós-instalação projetado para baixar e executar um binário oculto chamado “ci_test_harness” de uma fonte remota. Este binário era tão sutil e ofuscado que conseguiu evitar a detecção por todos os principais motores antivírus no VirusTotal. O script de instalação executava um comando curl que baixava o binário malicioso, alterava suas permissões e o executava dentro do ambiente de CI/CD.

Um grupo de atacantes avançados está explorando vulnerabilidades zero-day não divulgadas em sistemas críticos de empresas, utilizando webshells personalizados para obter acesso administrativo em redes comprometidas. A equipe de inteligência de ameaças da Amazon identificou uma campanha cibernética coordenada que visa o Cisco Identity Service Engine (ISE) e sistemas da Citrix, revelando táticas de um adversário altamente sofisticado. A vulnerabilidade CVE-2025-20337 no Cisco ISE permite a execução remota de código sem autenticação, enquanto a CVE-2025-5777 afeta sistemas Citrix. Após a exploração, os atacantes implantaram um webshell sofisticado disfarçado como um componente legítimo do Cisco ISE, utilizando técnicas avançadas de evasão para evitar a detecção. A operação foi realizada inteiramente na memória, dificultando a coleta de evidências forenses. As organizações devem implementar estratégias de defesa em profundidade e monitorar comportamentos anômalos para se proteger contra essas ameaças.

Em 2025, o Brasil enfrenta um aumento alarmante de ataques digitais, com uma média de 15 incidentes por hora, segundo dados da Check Point Research. O levantamento aponta que, semanalmente, são registrados cerca de 2,6 mil ciberataques a empresas, representando um crescimento de 21% em relação ao ano anterior. Esse cenário se agrava durante períodos sazonais, como a Black Friday e o Natal, quando o comércio eletrônico intensifica suas atividades. Especialistas alertam que, durante essas épocas, as ameaças mais comuns incluem phishing, roubo de credenciais e ransomware, que podem comprometer tanto a operação das empresas quanto a confiança dos consumidores. Para mitigar esses riscos, é essencial que as empresas reforcem suas infraestruturas de segurança, adotando medidas como certificados SSL, autenticação de dois fatores e monitoramento constante de servidores. A proteção dos dados dos consumidores é crucial, especialmente em um ambiente onde fraudes e vazamentos de informações estão em alta. Portanto, a preparação e a vigilância são fundamentais para garantir uma experiência de compra segura durante as promoções de fim de ano.

Nos últimos dez anos, a comunidade de cibercriminosos de língua inglesa conhecida como “The COM” evoluiu de um nicho focado na troca de nomes de usuário raros em redes sociais para uma economia subterrânea ágil que orquestra uma ampla gama de ataques globais. Com a queda de fóruns de alto perfil, como o RaidForums, a COM se adaptou, combinando habilidades de manipulação social com a expertise técnica de hackers focados em vazamentos de dados. As táticas incluem engenharia social, phishing, SIM swapping e recrutamento de insiders, com grupos como Lapsus$, ShinyHunters e Scattered Spider exemplificando essa nova abordagem. A COM opera como uma cadeia de suprimentos profissionalizada, onde papéis especializados colaboram em um modelo modular, facilitando a escalabilidade e inovação. A colaboração entre especialistas de língua inglesa e sindicatos de cibercrime de língua russa intensifica a ameaça, tornando a defesa mais desafiadora. Para se proteger, as organizações devem adotar defesas centradas na identidade, autenticação multifatorial resistente a phishing e monitoramento contínuo de ameaças internas, reconhecendo que a cibercriminalidade é tanto um negócio quanto uma performance, visando não apenas sistemas, mas também pessoas.

Pesquisadores de segurança identificaram um aumento nos ataques de coerção de autenticação que exploram os mecanismos de Chamada de Procedimento Remoto (RPC) do Windows. Esses ataques manipulam o comportamento de autenticação de rede embutido no sistema, permitindo que máquinas enviem credenciais para servidores controlados por atacantes, sem a necessidade de interação do usuário ou privilégios administrativos. Ao abusar de funções RPC menos conhecidas, como MS-DFSNM e MS-EVEN, os atacantes conseguem fazer com que ativos valiosos, como Controladores de Domínio e Servidores de Certificado, se autentiquem em servidores maliciosos. Uma vez autenticados, os atacantes capturam hashes NTLM e realizam ataques de retransmissão para se mover lateralmente na rede. Para se defender contra esses ataques, recomenda-se monitorar rigorosamente o tráfego RPC e implementar técnicas de prevenção, como a assinatura SMB e a proteção estendida para autenticação. A evolução desses ataques representa uma nova ameaça que exige visibilidade aprimorada sobre o comportamento do RPC para evitar a extração de credenciais.

A Polícia Federal (PF) do Brasil requisitou a extradição de oito indivíduos presos no exterior, envolvidos em um ciberataque que resultou no desvio de R$ 813 milhões através do sistema de pagamentos Pix. O ataque, que teve início em julho, foi direcionado à empresa C&M Software, responsável por serviços tecnológicos para instituições financeiras. A operação, denominada Magna Fraus, culminou na prisão de 21 pessoas, sendo que 13 foram detidas no Brasil e 8 no exterior, com a colaboração da Interpol. Os criminosos utilizaram técnicas avançadas para contornar os sistemas de segurança, dificultando o rastreamento das transações fraudulentas. Além das prisões, a PF apreendeu 15 veículos de luxo e bloqueou 26 imóveis, além de encontrar mais de R$ 1 milhão em criptomoedas. As autoridades consideram essa operação um marco no combate ao crime cibernético no Brasil, dada a magnitude do impacto no sistema de pagamentos instantâneos do país.

Os ataques de cadeia de suprimentos habilitados por inteligência artificial (IA) cresceram 156% no último ano, evidenciando a falência das defesas tradicionais. O malware gerado por IA apresenta características inovadoras, como ser polimórfico, consciente do contexto e camuflado semanticamente, o que dificulta sua detecção. Casos reais, como a violação da 3CX que afetou 600 mil empresas, demonstram a gravidade da situação. O tempo médio para identificar uma violação aumentou para 276 dias, e as ferramentas de segurança tradicionais falham em responder a ameaças que se adaptam ativamente. Novas estratégias de defesa estão sendo implementadas, incluindo a segurança ciente de IA e a análise de comportamento. Além disso, a conformidade regulatória, como a Lei de IA da UE, impõe penalidades severas por violações. A situação exige ação imediata das organizações para se protegerem contra essas ameaças emergentes.

O pesquisador de segurança Karl Biron, da Trustwave, lançou a ferramenta MAD-CAT (Meow Attack Data Corruption Automation Tool), uma utilidade baseada em Python que simula ataques destrutivos a bancos de dados, semelhantes aos que devastaram organizações em 2020. Disponível no GitHub, a ferramenta foca em seis plataformas de banco de dados críticas: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB e Hadoop HDFS, que foram as mesmas comprometidas durante a campanha original dos ataques Meow.

A Aurologic GmbH, um provedor de hospedagem alemão, foi identificada como um ponto crítico na infraestrutura global que apoia atividades maliciosas, segundo pesquisa do Insikt Group da Recorded Future. A empresa, que opera a partir do Tornado Datacenter em Langen, Alemanha, fornece serviços de trânsito e data center para várias redes de hospedagem de alto risco, incluindo organizações sancionadas como o Aeza Group. Apesar de se apresentar como um provedor legítimo, cerca de 50% dos prefixos IP da Aeza International são roteados exclusivamente através da Aurologic, evidenciando seu papel na manutenção da infraestrutura sancionada. A Aurologic enfrenta críticas por sua abordagem reativa em relação a abusos, afirmando que tomará medidas apenas após contato formal das autoridades. Essa postura tem permitido a continuidade de operações maliciosas, colocando a empresa em uma posição central no cibercrime organizado. O caso da Aurologic destaca a falta de responsabilidade no ecossistema de hospedagem, onde provedores de upstream frequentemente evitam intervenções proativas, o que pode ter implicações significativas para a segurança cibernética global.

Um recente roubo de joias no Museu do Louvre, onde ladrões disfarçados de trabalhadores da construção roubaram peças avaliadas em cerca de €88 milhões, expôs sérias falhas de segurança cibernética na instituição. Relatórios indicam que a senha do servidor de vigilância do museu era simplesmente ‘LOUVRE’, evidenciando a falta de medidas adequadas de proteção. Uma auditoria realizada em 2017 já havia alertado sobre a possibilidade de um ataque significativo, destacando que menos da metade das salas do museu eram monitoradas por câmeras. Após o roubo, a Agência Nacional de Segurança Cibernética da França (ANSSI) constatou que a rede de escritório do Louvre ainda utilizava sistemas obsoletos, como Windows 2000 e Windows Server 2003, sem proteção antivírus adequada. Embora não esteja claro se essas vulnerabilidades estavam presentes durante o roubo de outubro de 2025, um relatório de 2014 já havia revelado a fragilidade da rede de vigilância. A diretora do museu, Laurence des Cars, admitiu que a falha na detecção dos ladrões se deu pela ineficácia do sistema de câmeras. O governo francês planeja criar um novo departamento de segurança e aumentar a vigilância, especialmente em áreas críticas como a sala da Mona Lisa.

Um novo relatório revela que 94% das empresas do setor de manufatura estão utilizando aplicações de inteligência artificial generativa (genAI), enquanto enfrentam um aumento nas ameaças cibernéticas. A adoção acelerada de IA tem ampliado a superfície de ataque, com organizações compartilhando documentos técnicos sensíveis com plataformas de IA. Embora o uso de contas pessoais de genAI tenha diminuído, a utilização de soluções aprovadas pelas organizações aumentou, refletindo uma maior conscientização sobre os riscos de governança de dados. No entanto, 67% das empresas estão conectadas a APIs que podem ser vulneráveis a compromissos. Os canais de distribuição de malware estão se aproveitando de serviços de nuvem confiáveis, com o Microsoft OneDrive sendo a plataforma mais explorada, seguida pelo GitHub e Google Drive. As empresas estão implementando controles mais rigorosos, mas a mistura de dados corporativos e pessoais continua a representar riscos significativos. Especialistas em cibersegurança recomendam inspeção rigorosa de downloads e políticas robustas de prevenção de perda de dados para mitigar esses riscos.

Um ator de ameaças vinculado à China foi identificado como responsável por um ataque cibernético a uma organização sem fins lucrativos dos Estados Unidos, com o objetivo de estabelecer uma presença persistente na rede. O ataque, que ocorreu em abril de 2025, visou uma entidade envolvida na influência de políticas governamentais dos EUA sobre questões internacionais. Os invasores exploraram várias vulnerabilidades conhecidas, como CVE-2022-26134 (Atlassian) e CVE-2021-44228 (Apache Log4j), para obter acesso à rede. Após semanas de atividade, foram detectados comandos que testavam a conectividade e coletavam informações de configuração de rede. Os atacantes configuraram tarefas agendadas para garantir a persistência, utilizando um binário legítimo da Microsoft para executar um payload desconhecido. Além disso, foram observados componentes maliciosos relacionados a grupos de ameaças chineses conhecidos, como o Salt Typhoon. A análise sugere que os atacantes estavam interessados em comprometer controladores de domínio, o que poderia permitir a propagação do ataque em toda a rede. O relatório destaca a tendência de compartilhamento de ferramentas entre grupos de ameaças chineses, dificultando a atribuição precisa de atividades maliciosas.

O Escritório de Orçamento do Congresso (CBO) dos Estados Unidos foi alvo de um ataque cibernético realizado por um suposto ator de ameaça estrangeiro, resultando na exposição de dados confidenciais. O CBO, que atua como analista financeiro independente do Congresso, teve suas comunicações sensíveis entre os escritórios dos legisladores e a organização de pesquisa não partidária comprometidas. Essa violação levanta preocupações sobre a integridade das análises orçamentárias que influenciam a legislação federal americana. Embora a detecção do ataque tenha sido precoce, há receios de que e-mails internos e registros de chat tenham sido acessados antes da contenção. O incidente já causou interrupções operacionais, levando a vários escritórios do Congresso a suspender a correspondência por e-mail com o CBO, dificultando a análise orçamentária e a pontuação legislativa. O ataque ocorre em um momento de tensões partidárias elevadas, especialmente em relação às projeções de custo do CBO, que foram criticadas por republicanos. A natureza sofisticada do ataque sugere um interesse potencial de atores estatais nas operações do Congresso dos EUA e nas deliberações sobre políticas financeiras.

Em julho de 2025, a empresa de cibersegurança Doctor Web foi acionada por uma organização estatal russa devido a atividades suspeitas de spam originadas de seus e-mails internos. Uma investigação forense revelou que a organização foi alvo de uma campanha de ciberespionagem sofisticada pelo grupo de hackers conhecido como Cavalry Werewolf. Os atacantes utilizaram anexos de phishing com variantes de malware para infiltrar a rede governamental e coletar dados sensíveis, incluindo documentos internos e detalhes de configuração da rede. O malware principal, BackDoor.ShellNET.1, estabeleceu conexões de shell reverso com servidores remotos, permitindo a execução de comandos. Após garantir o acesso, os invasores baixaram cargas adicionais usando ferramentas legítimas do sistema, como BITSADMIN, para escalar a intrusão e estabelecer persistência. A investigação revelou um vasto arsenal de ferramentas utilizadas, incluindo trojans e backdoors que permitiram a execução remota de comandos e movimentação lateral na rede. O grupo Cavalry Werewolf também se destacou pelo uso de comunicação externa e backdoors controlados via Telegram, mantendo acesso prolongado à rede comprometida. A análise mapeou as técnicas utilizadas ao framework MITRE ATT&CK, destacando a gravidade e a complexidade do ataque.

Um recente ataque a uma organização sem fins lucrativos nos Estados Unidos revelou um foco renovado de grupos de hackers alinhados ao Estado chinês em entidades que influenciam a política do governo americano. O ataque, que ocorreu ao longo de várias semanas em abril de 2025, destacou as táticas avançadas utilizadas por esses grupos, como APT41 e Kelp, que empregaram uma variedade de métodos para comprometer servidores vulneráveis. Os hackers utilizaram explorações conhecidas, como a injeção OGNL da Atlassian e a vulnerabilidade Log4j, para identificar e invadir sistemas.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

O relatório ‘Cybersecurity Forecast 2026’ do Google Cloud destaca uma mudança significativa no cenário de cibersegurança, com a adoção crescente de inteligência artificial (IA) tanto por atacantes quanto por defensores. O documento, que se baseia em análises de especialistas em segurança do Google, prevê que o próximo ano será marcado por uma evolução tecnológica rápida e técnicas de ataque cada vez mais sofisticadas. Um dos principais achados é a normalização do uso de IA por cibercriminosos, que estão integrando essa tecnologia em todos os ciclos de ataque, permitindo campanhas mais rápidas e ágeis. A vulnerabilidade de injeção de prompt, onde atacantes manipulam sistemas de IA para executar comandos ocultos, é uma preocupação crescente. Além disso, a engenharia social habilitada por IA, como campanhas de vishing com clonagem de voz, está se tornando mais comum, dificultando a detecção de ataques de phishing. O relatório também menciona que o ransomware e a extorsão continuarão a ser as categorias mais disruptivas e financeiramente prejudiciais, com foco em provedores terceirizados e vulnerabilidades críticas. A previsão sugere que as equipes de segurança devem se adaptar rapidamente, utilizando metodologias de IA para fortalecer suas defesas e preparar-se para um aumento nas atividades de engenharia social e operações de estados-nação.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

O setor elétrico brasileiro está sob crescente ameaça de ciberataques, com 535 mil tentativas registradas apenas no primeiro semestre de 2025, conforme divulgado pela ANEEL durante um painel sobre segurança online. Apesar de todas as tentativas terem sido bloqueadas, a superintendente de Gestão Técnica da Informação da ANEEL, Adriana Drummond Vivan, alertou para a vulnerabilidade dos sistemas de segurança do setor. Ela destacou a importância de uma regulamentação que, embora sirva como diretriz, não deve limitar a atuação dos profissionais da área. Vivan enfatizou que a regulação deve ser constantemente atualizada para acompanhar as rápidas mudanças no ambiente digital. Além disso, ela mencionou que um ataque cibernético ao setor elétrico pode ter um efeito dominó, afetando outras áreas, como telecomunicações, o que poderia resultar em sérios problemas de segurança de dados. Para mitigar esses riscos, a cooperação entre diferentes setores é essencial, permitindo um compartilhamento eficaz de informações e estratégias de defesa.

No dia 19 de outubro de 2025, o Museu do Louvre, em Paris, foi alvo de um assalto audacioso, resultando no roubo de joias avaliadas em cerca de R$ 543 milhões. Os assaltantes exploraram falhas de segurança, incluindo senhas fracas como ‘Louvre’ para acessar as câmeras de segurança. A invasão foi facilitada por uma combinação de técnicas de OSINT e conhecimento sobre a movimentação de visitantes no museu. Documentos de segurança de 2014 e 2024 já apontavam para vulnerabilidades, como sistemas desatualizados e senhas inadequadas. O incidente expôs a fragilidade das medidas de segurança, mesmo em uma instituição de renome, e levantou questões sobre a gestão de tecnologia e segurança. Apesar de algumas tentativas de distração, como atear fogo em uma escada móvel, a operação dos criminosos foi marcada por amadorismo, evidenciado pela perda de uma coroa durante a fuga. A reputação do Louvre foi severamente afetada, destacando que a tecnologia avançada não é suficiente sem uma administração eficaz das medidas de segurança.

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.

A Polícia Federal (PF) deu início à segunda fase da operação Magna Fraus, que investiga um esquema criminoso responsável pelo desvio de aproximadamente R$ 813 milhões em transações realizadas via Pix. A operação, que conta com o apoio do Cyber GAECO do Ministério Público de São Paulo, está cumprindo 42 mandados de busca e apreensão e 26 mandados de prisão em diversas cidades do Brasil, incluindo Goiânia, Brasília e São Paulo. Além disso, a PF bloqueou bens e valores do grupo investigado que somam até R$ 640 milhões. A investigação se estende além das fronteiras brasileiras, com a colaboração de autoridades internacionais, incluindo a Interpol e polícias de Espanha, Argentina e Portugal. A primeira fase da operação, realizada em janeiro, focou na lavagem de dinheiro proveniente de invasões de dispositivos. Agora, a PF apura crimes como organização criminosa, invasão de dispositivo informático e furto mediante fraude eletrônica. Este caso destaca a vulnerabilidade das transações digitais e a necessidade de medidas de segurança mais robustas para proteger os usuários e instituições financeiras.

Um incidente significativo de segurança na nuvem foi identificado, revelando táticas avançadas de atores maliciosos que visam comprometer ambientes da AWS por meio de credenciais roubadas. Pesquisadores de segurança descobriram a campanha TruffleNet, que utiliza a ferramenta de código aberto TruffleHog para testar chaves de acesso comprometidas e realizar reconhecimento automatizado. A operação destaca o uso em larga escala do Amazon Simple Email Service (SES) para facilitar campanhas de Business Email Compromise (BEC), afetando mais de 800 hosts únicos em 57 redes Class C. Os atacantes validam credenciais através da API GetCallerIdentity da AWS e, após a confirmação, exploram o SES para criar novas identidades de envio de e-mails, permitindo a execução de fraudes. A análise revelou que os IPs de origem da TruffleNet careciam de sinalizações de reputação, indicando uma infraestrutura sob medida. Para mitigar essas ameaças, as organizações devem implementar políticas de IAM de menor privilégio e monitorar atividades anômalas no SES.

Os ciberataques estão se tornando cada vez mais inteligentes e difíceis de prevenir. Recentemente, hackers utilizaram ferramentas discretas e exploraram falhas de segurança recém-descobertas, atacando sistemas confiáveis e aproveitando-se de vulnerabilidades em questão de horas. As ameaças incluem espionagem, fraudes em empregos, ransomware avançado e phishing complexo, colocando até mesmo backups criptografados em risco. Um dos principais incidentes desta semana foi a exploração de uma falha crítica no Motex Lanscope Endpoint Manager, atribuída a um ator de espionagem cibernética suspeito da China, que implantou uma backdoor chamada Gokcpdoor em redes-alvo. Além disso, ataques de hackers russos à Ucrânia destacaram o uso de ferramentas administrativas comuns para roubo de dados, enquanto um novo malware bancário para Android, chamado Herodotus, imita o comportamento humano para evitar detecções. O ransomware Qilin também se destacou por utilizar o Windows Subsystem for Linux para lançar ataques em sistemas Windows, aumentando sua eficácia. A rápida exploração de vulnerabilidades, como as listadas na lista de CVEs críticos da semana, ressalta a necessidade urgente de ações corretivas por parte das organizações.

Um novo conjunto de ataques cibernéticos tem como alvo empresas de transporte e logística, com o objetivo de instalar softwares de monitoramento remoto (RMM) para roubo de cargas. De acordo com a Proofpoint, esses ataques estão em andamento desde junho de 2025 e envolvem a colaboração com grupos de crime organizado. Os produtos mais visados incluem alimentos e bebidas, que são frequentemente vendidos online ou enviados para o exterior. Os atacantes utilizam técnicas como phishing direcionado e comprometimento de contas de e-mail para infiltrar-se nas empresas. Uma vez dentro, eles podem manipular sistemas, deletar reservas e coordenar o transporte de cargas sob nomes de transportadoras comprometidas. O uso de softwares RMM é vantajoso para os atacantes, pois permite que eles operem de forma discreta, já que essas ferramentas são comuns em ambientes corporativos e frequentemente não são sinalizadas como maliciosas. A situação representa um risco significativo para a segurança da cadeia de suprimentos, especialmente em um setor tão crítico quanto o de transporte e logística.

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.

O governo canadense emitiu um alerta de segurança sobre ataques realizados por hacktivistas a Sistemas de Controle Industrial (ICS), que incluem infraestruturas críticas como abastecimento de água, petróleo e agricultura. O relatório do Centro Cibernético e da Real Polícia Montada do Canadá menciona incidentes em que atacantes manipularam válvulas de pressão em uma instalação de água, causando degradação no serviço. Além disso, um sistema de medição de tanques de uma empresa de petróleo e gás foi comprometido, gerando alarmes falsos, e um silo de secagem de grãos teve seus níveis de temperatura e umidade alterados, o que poderia ter gerado condições inseguras. O governo canadense destaca que as vulnerabilidades nos ICS decorrem de uma divisão de responsabilidades pouco clara e da falta de proteção adequada dos ativos. Para mitigar esses riscos, recomenda-se a implementação de redes privadas virtuais (VPNs), autenticação em dois fatores (2FA) e sistemas de detecção de ameaças. A comunicação eficaz e a colaboração entre as empresas que operam ICS também são essenciais para proteger esses sistemas críticos.

Pesquisadores de segurança revelaram uma nova técnica de ataque chamada “camuflagem consciente do agente”, que explora como ferramentas de busca baseadas em IA, como o ChatGPT e o navegador Atlas da OpenAI, recuperam conteúdo da web. Essa vulnerabilidade permite que atacantes sirvam versões diferentes de páginas da web para crawlers de IA, enquanto usuários humanos veem conteúdo legítimo. A técnica, que se destaca pela sua simplicidade, utiliza regras condicionais que detectam cabeçalhos de agentes de usuário de IA. Em experimentos controlados, foi demonstrado que, ao acessar um site, crawlers de IA recebiam informações fabricadas, enquanto visitantes humanos viam a versão verdadeira. Isso levanta preocupações sobre a falta de validação de proveniência nos sistemas de recuperação de informações de IA, que tratam o conteúdo como verdade absoluta. As implicações vão além de ataques à reputação, afetando também processos de contratação automatizados. Para mitigar esses riscos, recomenda-se a implementação de defesas em múltiplas camadas, incluindo a verificação criptográfica da autenticidade das informações e protocolos de validação para crawlers. A pesquisa destaca a necessidade urgente de monitoramento contínuo e validação de saídas geradas por IA, especialmente em decisões críticas como contratações e conformidade.

A Polícia Federal (PF) do Brasil conduziu uma operação em Cabo Frio, Rio de Janeiro, focada na investigação de um caso de sextorsão relacionado ao abuso sexual infantil. A ação, realizada em 29 de outubro de 2025, resultou na apreensão do celular de um suspeito, que estava chantageando uma vítima por meio de uma plataforma digital não divulgada. O investigado ameaçava divulgar imagens íntimas da vítima caso ela não fornecesse novos conteúdos de natureza sexual. A PF informou que o suspeito pode ser responsabilizado por crimes de armazenamento e compartilhamento de mídias com cenas de abuso sexual infantojuvenil, além de possíveis acusações de estupro. O combate a esse tipo de crime é parte de uma iniciativa mais ampla da PF para enfrentar o abuso sexual infantil no Brasil. Além disso, está em análise no Congresso o Projeto de Lei 2058/24, que visa criminalizar a sextorsão, prevendo penas de cinco a 12 anos, com agravantes para casos envolvendo menores de idade. Essa situação destaca a necessidade urgente de medidas de proteção e conscientização sobre os riscos da sextorsão e do abuso sexual infantil na era digital.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

Uma campanha de intrusão de dois meses, recentemente descoberta, visou uma grande organização de serviços empresariais na Ucrânia, além de um ataque de uma semana contra uma entidade governamental local. Os atacantes, associados a grupos de ameaças russos, utilizaram táticas de ‘Living-off-the-Land’, evitando o uso de malware convencional e mantendo acesso persistente enquanto minimizavam os riscos de detecção. A invasão começou em 27 de junho de 2025, quando os hackers implantaram webshells em servidores expostos, provavelmente explorando vulnerabilidades não corrigidas. Um dos webshells identificados foi o Localolive, associado ao subgrupo Sandworm, uma unidade de inteligência militar da Rússia. Após a invasão inicial, os atacantes realizaram uma fase de reconhecimento metódica, coletando credenciais e configurando ferramentas legítimas para garantir acesso contínuo. A campanha destaca a sofisticação técnica dos atacantes e a necessidade de as organizações implementarem soluções robustas de detecção e resposta a incidentes, além de programas abrangentes de gerenciamento de vulnerabilidades.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

Pesquisadores do Georgia Tech, Purdue University e Synkhronix desenvolveram um ataque de canal lateral chamado TEE.Fail, que permite a extração de segredos do ambiente de execução confiável (TEE) em processadores, incluindo Intel SGX e AMD SEV-SNP. O ataque utiliza um dispositivo de interposição que custa menos de US$ 1.000 e pode inspecionar fisicamente todo o tráfego de memória em servidores DDR5. Essa técnica é a primeira a demonstrar vulnerabilidades em hardware de última geração, permitindo a extração de chaves criptográficas, incluindo chaves de atestação, mesmo em máquinas atualizadas e em estado confiável. Os pesquisadores destacaram que o modo de criptografia AES-XTS utilizado por Intel e AMD é determinístico, o que o torna insuficiente para prevenir ataques de interposição física. Embora não haja evidências de que o ataque tenha sido explorado na prática, recomenda-se a implementação de contramedidas de software, que podem ser dispendiosas. Tanto a AMD quanto a Intel afirmaram que não planejam fornecer mitigação para esses tipos de ataques físicos.

Na última semana, a Polícia Federal (PF) realizou a Operação Miopia no Rio de Janeiro, resultando na prisão preventiva de um homem em Botafogo. Ele é suspeito de integrar uma organização criminosa transnacional dedicada à disseminação de conteúdos de abuso sexual infantojuvenil em fóruns da dark web. Durante a operação, foram apreendidos oito computadores, quatro celulares e diversas mídias de armazenamento, que passarão por perícia técnica para determinar a extensão dos crimes. As investigações foram impulsionadas por cooperação internacional, evidenciando a natureza global das atividades criminosas. O suspeito não apenas participava de discussões com outros abusadores, mas também publicava conteúdos ilícitos. A PF destaca a importância de monitorar a atividade online de crianças e adolescentes, alertando para os riscos associados ao uso da internet e a necessidade de diálogo sobre segurança digital. A operação evidencia a gravidade dos crimes de abuso sexual, que vão além da produção e compartilhamento de material, incluindo aliciamento e estupro de vulneráveis. A PF ressalta a importância de usar terminologias adequadas, como ‘abuso sexual’, para refletir a seriedade das violações cometidas contra as vítimas.

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

A Amazon Web Services (AWS) identificou a causa de uma grande interrupção que afetou milhões de clientes e suas operações em 19 e 20 de outubro de 2025. O problema foi causado por uma falha na resolução de DNS que afetou os pontos de serviço regionais do DynamoDB, um dos serviços de banco de dados de alto desempenho da Amazon. A interrupção começou às 23h49 PDT e durou cerca de duas horas e trinta e cinco minutos, resultando em um efeito dominó que afetou não apenas o DynamoDB, mas também a própria Amazon.com e diversos serviços subsidiários. A equipe da AWS agiu rapidamente, identificando o problema às 00h26 PDT e resolvendo a questão de DNS às 02h24 PDT. No entanto, a recuperação total levou cerca de quinze horas, com a normalização das operações ocorrendo apenas às 15h01 PDT do dia 20. Para evitar uma degradação adicional, a AWS adotou uma abordagem estratégica de controle, limitando deliberadamente o lançamento de novas instâncias do EC2, o que ajudou a estabilizar o sistema. A empresa publicou um resumo detalhado do evento, explicando as ações tomadas e as mudanças preventivas que serão implementadas para evitar incidentes semelhantes no futuro.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Um novo ciclo de ataques cibernéticos, atribuído a atores de ameaças ligados à Coreia do Norte, está visando empresas europeias do setor de defesa, conforme relatado pela ESET. Esta campanha, conhecida como Operação Dream Job, tem como alvo empresas envolvidas na fabricação de veículos aéreos não tripulados (UAVs), sugerindo uma conexão com os esforços da Coreia do Norte para expandir seu programa de drones. Os ataques utilizam malwares como ScoringMathTea e MISTPEN para roubar informações proprietárias e know-how de fabricação. A ESET observou o início desta campanha em março de 2025, com alvos que incluem uma empresa de engenharia metalúrgica e um fabricante de componentes aeronáuticos na Europa Central e Sudeste. A Operação Dream Job, exposta pela ClearSky em 2020, é conduzida pelo grupo de hackers Lazarus, que utiliza engenharia social para atrair vítimas com ofertas de emprego falsas, levando à infecção de sistemas com malware. A estratégia do grupo é caracterizada por um padrão previsível, mas eficaz, que permite a evasão de detecções de segurança, embora não esconda sua identidade.