Ataque

Homem de Glendale é condenado por tráfico de drogas na dark web

Davit Avalyan, um homem de 36 anos de Glendale, foi condenado a quase cinco anos de prisão federal por seu envolvimento em uma operação de tráfico de drogas na dark web, que vendia substâncias como cocaína, metanfetamina, MDMA e cetamina para clientes em todo os Estados Unidos. Avalyan recebeu uma sentença de 57 meses do juiz federal Percy Anderson, após se declarar culpado em outubro de 2025 por conspiração para distribuir narcóticos. Ele foi o último dos quatro réus a ser sentenciado, com seus cúmplices recebendo penas que variam de 24 a 10 anos. A operação, que funcionou de setembro de 2018 a fevereiro de 2025, utilizava uma extensa rede de contas de vendedores na dark web, incluindo nomes como JoyInc e PlanetHollywood, e enviava drogas através do Serviço Postal dos EUA. O FBI, em colaboração com outras agências, liderou a investigação, que destaca a crescente preocupação com o tráfico de drogas online e a utilização de criptomoedas para transações ilícitas. Este caso é um exemplo da eficácia das forças de segurança em desmantelar redes criminosas que operam na dark web.

Ataques na Nuvem Resposta Rápida é Crucial

Os ataques em ambientes de nuvem estão se tornando cada vez mais rápidos e complexos, superando a capacidade de resposta das equipes de incidentes. Ao contrário dos data centers tradicionais, onde as investigações podem levar dias, na nuvem, instâncias comprometidas podem desaparecer em minutos, e a coleta de evidências se torna um desafio crítico. O artigo destaca que a resposta a incidentes na nuvem falha frequentemente devido à falta de contexto nas alertas, dificultando a identificação do caminho completo do ataque. Para uma investigação eficaz, são necessárias três capacidades essenciais: visibilidade em nível de host, mapeamento de contexto e captura automatizada de evidências. A abordagem moderna de forense em nuvem permite a reconstrução de incidentes em minutos, utilizando sinais correlacionados, como telemetria de carga de trabalho e atividades de identidade. Isso resulta em uma visibilidade clara sobre como a intrusão ocorreu, permitindo decisões de remediação mais confiantes e rápidas. A consolidação de sinais em uma camada investigativa unificada é fundamental para evitar a fragmentação das ferramentas e a perda de evidências.

Empresas manipulam chatbots de IA com técnica de envenenamento

Uma nova pesquisa da Microsoft revelou que empresas estão explorando a funcionalidade de chatbots de inteligência artificial (IA) por meio de um botão chamado ‘Resumir com IA’, que se assemelha a técnicas clássicas de envenenamento de mecanismos de busca. Denominada ‘Envenenamento de Recomendações de IA’, essa técnica envolve a inserção de comandos ocultos em URLs que, ao serem clicados, induzem o assistente de IA a lembrar de uma empresa como uma fonte confiável. A Microsoft identificou mais de 50 prompts únicos de 31 empresas em 14 setores em um período de 60 dias, levantando preocupações sobre a transparência e a confiabilidade das recomendações geradas por IA. O ataque utiliza URLs especialmente elaboradas que injetam comandos de manipulação de memória no assistente de IA. Isso pode resultar em recomendações tendenciosas em áreas críticas, como saúde e finanças, sem que o usuário tenha conhecimento. Para mitigar os riscos, recomenda-se que os usuários auditem periodicamente a memória do assistente e evitem clicar em links de fontes não confiáveis. As organizações também devem monitorar URLs que apontam para domínios de assistentes de IA com palavras-chave específicas relacionadas ao envenenamento de memória.

O que é um ataque à cadeia de suprimento?

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

Grupo hacker APT28 ciberespionagem e suas implicações globais

O grupo hacker APT28, também conhecido como Fancy Bear, é uma entidade de ciberespionagem russa associada ao GRU, o serviço de inteligência militar da Rússia. Desde sua formação em 2004, o APT28 tem se destacado por suas campanhas de espionagem e sabotagem, visando organizações governamentais e infraestruturas críticas em diversos países. O grupo é notório por suas táticas sofisticadas, que incluem spear-phishing e exploração de vulnerabilidades de dia zero, como evidenciado em um ataque recente que explorou uma falha no Microsoft Office para atingir instituições ucranianas.

Hackers utilizam Gemini para criar e monitorar ciberataques

Grupos de cibercriminosos estão explorando ferramentas do Gemini para realizar ciberataques sofisticados, conforme revela uma análise do Google. Os hackers, que operam com apoio de governos como os da China, Irã, Coreia do Norte e Rússia, utilizam o Gemini para criar iscas de phishing, traduzir textos, programar e testar vulnerabilidades. Um caso notável envolveu o sequestro do perfil de um especialista em cibersegurança, que foi usado para automatizar análises de vulnerabilidades e desenvolver estratégias de ataque. Além disso, hackers iranianos têm utilizado o Gemini para criar ferramentas maliciosas personalizadas rapidamente. A automação de ataques e a personalização de malware são preocupações crescentes, pois permitem que os criminosos ampliem o alcance de suas campanhas, como as que induzem vítimas a executar comandos maliciosos através de anúncios. Embora o Gemini em si não represente uma ameaça direta, a utilização de suas ferramentas por hackers evidencia a evolução das táticas de cibercrime e a necessidade de vigilância constante por parte de usuários e empresas.

Ameaças cibernéticas ataques se intensificam e evoluem

A atividade de ameaças cibernéticas nesta semana revela um padrão preocupante: os atacantes estão se concentrando em métodos já conhecidos, utilizando ferramentas confiáveis e explorando vulnerabilidades negligenciadas. A entrada inicial em sistemas está se tornando mais simples, enquanto as atividades pós-comprometimento estão mais estruturadas e persistentes, com o objetivo de permanecer infiltrado e extrair valor. Um exemplo é a falha de injeção de comando no Notepad da Microsoft (CVE-2026-20841), que permite a execução remota de código. Além disso, Taiwan se tornou um alvo frequente de ataques APT, com 173 operações registradas em 2025, refletindo sua importância geopolítica. Novos malwares, como LTX Stealer e Marco Stealer, estão sendo usados para roubo de credenciais e dados sensíveis. Uma campanha de engenharia social também está em andamento, visando contas do Telegram através do abuso de fluxos de autenticação. Por fim, a Discord anunciou um novo sistema de verificação de idade, levantando preocupações sobre a privacidade dos usuários após um incidente anterior que resultou no vazamento de dados de 70 mil usuários. Esses eventos destacam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Ministério de Minas e Energia do Brasil sofre ataque de espionagem

O Ministério de Minas e Energia do Brasil foi alvo de uma campanha de espionagem global conhecida como Shadow Campaign, que afetou redes governamentais e infraestrutura crítica em 37 países. A pesquisa da Unit 42, da Palo Alto Networks, revelou que os hackers, identificados como TGR-STA-1030/UNC6619, realizaram reconhecimento dos sistemas internos do ministério e roubaram informações sensíveis. Desde janeiro de 2024, os cibercriminosos têm atacado entidades governamentais em 155 países, com foco em ministérios, polícias e setores financeiros. As ações dos hackers coincidiram com eventos significativos, como eleições e crises políticas. No Brasil, o ataque ocorreu após conversas entre o ministério e o governo dos EUA sobre investimentos em mineração. Os hackers utilizaram técnicas de phishing, enviando e-mails maliciosos que continham um loader de malware chamado Diaoyu e um arquivo de imagem que baixava o malware Cobalt Strike. A Palo Alto Networks lançou um guia para ajudar as vítimas a identificar e bloquear ataques. Este incidente destaca a vulnerabilidade das instituições governamentais e a necessidade de medidas de segurança robustas.

União Europeia sofre ciberataque e vaza dados de funcionários

A Comissão Europeia foi alvo de um ciberataque que comprometeu a infraestrutura de gestão de dispositivos móveis da organização. O ataque, identificado no final de janeiro de 2026, resultou no vazamento de dados sensíveis de alguns funcionários, incluindo nomes e números de telefone. Apesar da gravidade do incidente, a Comissão afirmou que a invasão foi rapidamente contida, evitando danos maiores. Uma varredura completa do sistema foi realizada em aproximadamente 9 horas, e não foram encontrados indícios de que os dispositivos tivessem sido totalmente comprometidos.

Grupo de hackers chinês invade operadoras de telecomunicações em Cingapura

O grupo de hackers chinês conhecido como UNC3886 comprometeu as quatro maiores operadoras de telecomunicações de Cingapura - Singtel, StarHub, M1 e Simba - pelo menos uma vez no último ano. Embora os invasores tenham conseguido acesso limitado a sistemas críticos, não houve interrupções nos serviços. Em resposta, Cingapura lançou a ‘Operação Cyber Guardian’ para conter a atividade do grupo nas redes das operadoras. A Agência de Cibersegurança de Cingapura (CSA) revelou que os atacantes utilizaram um exploit de zero-day para contornar firewalls e roubar dados técnicos. Além disso, foi identificado o uso de rootkits para manter a furtividade e persistência durante o ataque. Apesar da confirmação de comprometimento, as autoridades não encontraram evidências de acesso ou roubo de dados sensíveis de clientes. A CSA e a Autoridade de Desenvolvimento de Mídia e Telecomunicações (IMDA) mobilizaram mais de cem investigadores de seis agências governamentais para investigar a situação. O Ministro do Desenvolvimento Digital e Informação de Cingapura, Josephine Teo, destacou que, embora o ataque não tenha causado danos significativos, é um lembrete da importância do trabalho dos defensores cibernéticos.

Senhas Tensão entre usabilidade e segurança na cibersegurança

As senhas continuam sendo um ponto crítico na interseção entre usabilidade e segurança. Embora controles de autenticação sejam implementados para fortalecer a segurança, eles frequentemente introduzem complexidade, levando os usuários a optarem por padrões familiares em vez de credenciais verdadeiramente imprevisíveis. Isso resulta em senhas que muitas vezes derivam da linguagem específica da organização. Os atacantes têm explorado esse comportamento, utilizando ferramentas como o CeWL, que coleta palavras de sites para criar listas de senhas altamente direcionadas. O NIST SP 800-63B recomenda evitar palavras específicas do contexto, mas a implementação dessa orientação exige compreensão sobre como os atacantes operam. A análise de mais de seis bilhões de senhas comprometidas revela que muitas senhas geradas ainda atendem aos requisitos de complexidade, mas permanecem fracas devido à sua construção a partir de termos organizacionais familiares. Para mitigar esses ataques, é essencial bloquear senhas derivadas de contextos conhecidos, exigir frases de senha longas e implementar autenticação multifator (MFA). Essas medidas não apenas melhoram a segurança, mas também refletem a realidade dos ataques a senhas.

Ameaças cibernéticas modernas abuso de confiança e novos vetores de ataque

As ameaças cibernéticas atuais não se limitam mais a malware ou exploits, mas estão se infiltrando nas ferramentas e plataformas que as organizações utilizam diariamente. Com a crescente interconexão de aplicativos de IA, nuvem e sistemas de comunicação, os atacantes estão explorando esses mesmos caminhos. Um padrão alarmante observado é o abuso de confiança em atualizações, marketplaces e aplicativos considerados seguros. A parceria entre a OpenClaw e o VirusTotal, por exemplo, visa melhorar a segurança de um ecossistema de IA, após a descoberta de habilidades maliciosas em sua plataforma. Além disso, um alerta conjunto das agências de segurança da Alemanha destaca campanhas de phishing direcionadas a alvos de alto nível, utilizando o aplicativo Signal. Outro ponto crítico é a botnet AISURU, que foi responsável por um ataque DDoS recorde de 31,4 Tbps. A vulnerabilidade no assistente de IA da Docker, chamada DockerDash, permite a execução remota de código, evidenciando a necessidade de um modelo de segurança baseado em Zero Trust. A Microsoft também desenvolveu um scanner para detectar backdoors em modelos de IA, ressaltando a importância de monitorar e mitigar riscos em ambientes de IA. Esses eventos demonstram que a segurança cibernética precisa evoluir para enfrentar ameaças cada vez mais sofisticadas.

Grupo de espionagem cibernética UNC3886 ataca telecomunicações de Cingapura

A Agência de Cibersegurança de Cingapura (CSA) revelou que o grupo de espionagem cibernética vinculado à China, conhecido como UNC3886, lançou uma campanha direcionada contra o setor de telecomunicações do país. Todos os quatro principais operadores de telecomunicações de Cingapura – M1, SIMBA Telecom, Singtel e StarHub – foram alvos dos ataques. O grupo, ativo desde pelo menos 2022, utiliza dispositivos de borda e tecnologias de virtualização para obter acesso inicial. Em um incidente, UNC3886 empregou um exploit de zero-day para contornar um firewall e extrair dados técnicos. Além disso, o grupo utilizou rootkits para garantir acesso persistente e ocultar suas atividades. Apesar das invasões, a CSA afirmou que não houve evidências de exfiltração de dados pessoais dos clientes e que as operações de telecomunicações não foram severamente afetadas. Para mitigar a ameaça, a CSA lançou a operação CYBER GUARDIAN, que resultou na implementação de medidas de remediação e no fechamento de pontos de acesso do grupo. A situação destaca a crescente preocupação com a segurança cibernética em setores críticos e a necessidade de vigilância contínua.

Campanha massiva ataca ambientes nativos de nuvem com infraestrutura maliciosa

Pesquisadores em cibersegurança alertaram sobre uma campanha massiva que tem como alvo ambientes nativos de nuvem, estabelecendo infraestrutura maliciosa para exploração subsequente. Observada em 25 de dezembro de 2025, a atividade, descrita como ‘dirigida por worms’, explorou APIs Docker expostas, clusters Kubernetes, painéis Ray e servidores Redis, além da vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0). A campanha foi atribuída ao grupo de ameaças conhecido como TeamPCP, ativo desde pelo menos novembro de 2025. O objetivo da operação é construir uma infraestrutura de proxy distribuído e escalável, comprometendo servidores para exfiltração de dados, implantação de ransomware e mineração de criptomoedas. O TeamPCP utiliza técnicas de ataque já conhecidas, aproveitando vulnerabilidades e configurações inadequadas para criar um ecossistema criminoso autossustentável. A exploração bem-sucedida permite a implantação de cargas úteis adicionais, como scripts em shell e Python, que buscam novos alvos. Os ataques são principalmente direcionados a ambientes da Amazon Web Services (AWS) e Microsoft Azure, afetando organizações que operam essa infraestrutura, tornando-as vítimas colaterais. A campanha PCPcat exemplifica um ciclo completo de exploração e monetização, destacando a necessidade de vigilância e mitigação em ambientes de nuvem.

Grupo patrocinado por Estado compromete redes em 37 países

Um grupo de ameaças patrocinado por um Estado comprometeu redes de entidades governamentais e de infraestrutura crítica em 37 países, em operações globais conhecidas como ‘Shadow Campaigns’. Entre novembro e dezembro do ano passado, o grupo realizou atividades de reconhecimento direcionadas a entidades governamentais em 155 países. De acordo com a divisão Unit 42 da Palo Alto Networks, o grupo está ativo desde pelo menos janeiro de 2024 e acredita-se que opere a partir da Ásia. As atividades do ‘Shadow Campaigns’ focam principalmente em ministérios governamentais, agências de segurança, finanças e infraestrutura crítica. O grupo comprometeu pelo menos 70 organizações, incluindo ministérios no Brasil, Bolívia, México e Taiwan. As táticas incluem e-mails de phishing altamente personalizados e a exploração de vulnerabilidades conhecidas em sistemas como SAP e Microsoft Exchange. Além disso, foi identificado um rootkit Linux personalizado chamado ‘ShadowGuard’, que opera de forma discreta no espaço do kernel, dificultando a detecção. A pesquisa destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança nacional.

Espionagem chinesa grupo usa falha no WinRAR para atacar países asiáticos

Em 2025, grupos hackers associados à China, especialmente o Amaranth-Dragon, realizaram campanhas de espionagem em agências governamentais no sudoeste da Ásia, incluindo Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Pesquisadores da Check Point Research identificaram que esses ataques foram planejados para coincidir com eventos políticos sensíveis, aumentando a probabilidade de que as vítimas interagissem com conteúdos maliciosos. O grupo utiliza a vulnerabilidade CVE-2025-8088 do WinRAR, que permite a execução remota de códigos, e embora já tenha sido corrigida, muitos usuários ainda não atualizaram o software, mantendo a falha em potencial. O vetor de ataque inicial é desconhecido, mas acredita-se que o grupo utilize spear-phishing e plataformas de nuvem como Dropbox para disfarçar suas atividades. O malware, denominado Amaranth Loader, realiza carregamento lateral e se conecta a servidores externos para receber chaves de encriptação, permitindo a execução de um trojan de acesso remoto. A infraestrutura dos hackers é cuidadosamente controlada, aceitando tráfego apenas de IPs de países-alvo, o que demonstra um nível elevado de sofisticação nas técnicas empregadas.

Agentes de IA quase capazes de realizar ciberataques sozinhos

O segundo Relatório Internacional de Segurança da IA revela que, embora agentes de inteligência artificial ainda não consigam conduzir ciberataques de forma autônoma, eles têm se tornado ferramentas valiosas para cibercriminosos. O estudo, liderado pelo cientista da computação Yoshua Bengio, analisou a evolução da IA em relação ao ano anterior, destacando sua capacidade de automatizar ataques e identificar vulnerabilidades em softwares. Um exemplo alarmante é o uso da ferramenta Claude Code AI por espiões chineses para automatizar ataques em empresas e órgãos governamentais. Os cibercriminosos utilizam a IA para escanear softwares em busca de falhas e para desenvolver códigos maliciosos, como evidenciado pelo uso da HexStrike AI em ataques a dispositivos Citrix NetScaler. Apesar de os agentes de IA ainda precisarem de intervenção humana para realizar ataques complexos, a evolução contínua da tecnologia levanta preocupações sobre a possibilidade de que, em breve, esses sistemas possam operar de forma independente. O relatório sugere que a preparação para essa eventualidade é crucial, especialmente considerando o aumento da automação em ciberataques.

A crescente ameaça de ataques no navegador e a segurança empresarial

O artigo destaca que, atualmente, a maior parte do trabalho nas empresas ocorre no navegador, com aplicações SaaS e ferramentas de IA se tornando interfaces primárias para acesso a dados. No entanto, a segurança cibernética ainda não integra adequadamente o navegador em suas arquiteturas, resultando em uma lacuna significativa na detecção de ameaças. Os ataques baseados em navegador, como engenharia social, extensões maliciosas e ataques Man-in-the-Browser, estão se tornando comuns e difíceis de rastrear, pois muitas vezes não deixam evidências tradicionais. Ferramentas de segurança, como EDR e SASE, não conseguem monitorar interações dentro do navegador, o que limita a eficácia na prevenção e resposta a incidentes. A pesquisa da Keep Aware revela que, embora existam políticas de segurança, falta visibilidade sobre o comportamento real dos usuários. Com o aumento do uso de ferramentas de IA, essa lacuna se amplia, tornando a detecção e prevenção de riscos ainda mais desafiadoras. O artigo conclui que a observabilidade das interações no navegador é crucial para melhorar a segurança e a resposta a incidentes, permitindo que as equipes de segurança ajustem suas políticas com base em dados reais.

Ciberataque suspeito de origem russa atinge Olimpíadas de Inverno

O governo italiano anunciou a prevenção de uma série de ciberataques, supostamente de origem russa, que visavam as Olimpíadas de Inverno de 2026, em Milano Cortina. O Ministro das Relações Exteriores, Antonio Tajani, informou que os ataques afetaram cerca de 120 alvos, incluindo escritórios do ministério das Relações Exteriores dos EUA e consulados em várias cidades, além da Universidade La Sapienza, em Roma. A universidade, uma das maiores da Europa, foi alvo de um ataque que parece ter sido um ransomware, levando à suspensão de seus sistemas para garantir a segurança dos dados. O grupo hacker pro-russo NoName057(16) reivindicou a responsabilidade pelos ataques, alegando que eram uma retaliação à política pró-Ucrânia da Itália. Apesar da gravidade da situação, o governo italiano afirmou que não houve interrupções significativas nos serviços. A situação destaca a crescente preocupação com a segurança cibernética em eventos internacionais e a necessidade de vigilância constante contra ameaças cibernéticas, especialmente em contextos de tensões geopolíticas.

Ministério da Ciência da Espanha sofre ataque cibernético e fecha sistemas

O Ministério da Ciência, Inovação e Universidades da Espanha anunciou o fechamento parcial de seus sistemas de TI devido a um ‘incidente técnico’, que, segundo fontes da mídia, está relacionado a um ataque cibernético. O ataque foi reivindicado por um ator de ameaças que se identifica como ‘GordonFreeman’, que alegou ter explorado uma vulnerabilidade crítica chamada Insecure Direct Object Reference (IDOR) para obter acesso administrativo completo aos sistemas do ministério. Dados supostamente roubados, incluindo registros pessoais, endereços de e-mail e documentos oficiais, foram divulgados em fóruns clandestinos. O ministério suspendeu todos os procedimentos administrativos e estendeu os prazos para minimizar o impacto sobre os cidadãos e empresas afetadas. Embora o fórum onde os dados foram publicados esteja offline, a autenticidade das informações ainda não foi confirmada. O incidente destaca a vulnerabilidade de instituições governamentais a ataques cibernéticos e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

Botnet AISURUKimwolf causa ataque DDoS recorde de 31,4 Tbps

A botnet AISURU/Kimwolf foi responsável por um ataque de negação de serviço distribuído (DDoS) que atingiu a marca recorde de 31,4 Terabits por segundo (Tbps) em novembro de 2025, durando apenas 35 segundos. A Cloudflare, que detectou e mitigou automaticamente a atividade, relatou um aumento significativo de ataques DDoS hipervolumétricos, com um crescimento de 121% em 2025, totalizando 47,1 milhões de ataques. Durante a campanha conhecida como ‘The Night Before Christmas’, que começou em 19 de dezembro de 2025, a média dos ataques foi de 4 Tbps, com picos de até 24 Tbps. A botnet comprometeu mais de 2 milhões de dispositivos Android, principalmente TVs Android de marcas não reconhecidas, utilizando redes de proxy residenciais para controlar esses dispositivos. Além disso, a Cloudflare observou que o setor de telecomunicações foi o mais atacado, com países como China, Brasil e EUA figurando entre os mais afetados. O aumento na sofisticação e no tamanho dos ataques representa um desafio crescente para as organizações, que devem reavaliar suas estratégias de defesa.

Hackers chineses atacam o Notepad com nova backdoor

Pesquisadores da Rapid7 identificaram que o grupo de hackers conhecido como Lotus Blossom, vinculado ao governo chinês, é o responsável pelo ataque ao editor de códigos Notepad++. O ataque, que ocorreu no início de fevereiro de 2026, comprometeu o sistema de atualização do software, permitindo que downloads maliciosos fossem entregues aos usuários. A nova backdoor, chamada Chrysalis, foi utilizada para garantir acesso permanente ao sistema, sendo mais sofisticada do que um vírus comum. Embora não haja confirmação do número de vítimas, a Rapid7 publicou indicadores de possíveis infecções. O desenvolvedor do Notepad++, Don Ho, expressou confiança na análise da Rapid7, embora não tenha certeza sobre a origem do ataque. O método de ataque envolveu o uso de trojans através do instalador NSIS, uma técnica frequentemente utilizada por grupos maliciosos chineses. A análise também revelou semelhanças com ataques anteriores, mas não há certeza absoluta sobre os responsáveis. Este incidente destaca a crescente ameaça de ciberespionagem em setores críticos, como governo e telecomunicações, especialmente em regiões como o sudeste asiático e América Central.

Sinais de cibersegurança novas táticas e ameaças emergentes

Nesta semana, diversos pequenos sinais indicam mudanças nas táticas de ataque cibernético. Pesquisadores observaram intrusões que começam em locais comuns, como fluxos de trabalho de desenvolvedores e ferramentas remotas, tornando a entrada menos visível e o impacto mais escalável. O grupo APT36, alinhado ao Paquistão, expandiu suas operações para o ecossistema de startups da Índia, utilizando e-mails de spear-phishing com arquivos ISO maliciosos para implantar o Crimson RAT, permitindo vigilância e exfiltração de dados. Além disso, o grupo ShadowSyndicate tem utilizado uma infraestrutura compartilhada para realizar uma variedade de atividades maliciosas, enquanto a CISA identificou 59 CVEs exploradas em ataques de ransomware, incluindo vulnerabilidades da Microsoft e Fortinet. Por outro lado, a operação Rublevka Team tem se destacado na drenagem de criptomoedas, gerando mais de $10 milhões através de campanhas de engenharia social. Essas tendências mostram como os ataques estão se tornando mais sofisticados e organizados, exigindo atenção redobrada das empresas.

Campanha ativa de sequestro de tráfego web afeta instalações NGINX

Pesquisadores de cibersegurança revelaram uma campanha ativa de sequestro de tráfego web que visa instalações do NGINX e painéis de gerenciamento como o Baota (BT). A Datadog Security Labs identificou que atores de ameaças estão explorando a vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0) utilizando configurações maliciosas do NGINX para redirecionar o tráfego legítimo através de servidores controlados pelos atacantes. A campanha foca em domínios de nível superior (TLDs) asiáticos e infraestrutura de hospedagem chinesa, além de TLDs governamentais e educacionais. Os atacantes utilizam scripts em shell para injetar configurações maliciosas no NGINX, capturando requisições em URLs específicas e redirecionando-as. O toolkit utilizado inclui scripts que orquestram a execução de etapas subsequentes, visando persistência e criação de arquivos de configuração maliciosos. Dados recentes indicam que dois endereços IP representam 56% das tentativas de exploração observadas, com um total de 1.083 IPs únicos envolvidos em um curto período. A situação é preocupante, pois sugere um interesse em acesso interativo, além da extração automatizada de recursos.

Campanha maliciosa compromete servidores NGINX e redireciona tráfego

Pesquisadores do DataDog Security Labs descobriram uma campanha de ciberataques que compromete servidores NGINX, redirecionando o tráfego de usuários por meio da infraestrutura do atacante. O NGINX, um software de gerenciamento de tráfego web amplamente utilizado, é alvo de modificações em seus arquivos de configuração, onde blocos maliciosos são injetados. Esses blocos capturam requisições em URLs selecionadas e as redirecionam para domínios controlados pelos atacantes, utilizando a diretiva ‘proxy_pass’, que normalmente é usada para balanceamento de carga e, portanto, não aciona alertas de segurança.

Botnet Aisuru realiza maior ataque DDoS da história com 31,4 Tbps

A botnet Aisuru estabeleceu um novo recorde ao realizar um ataque de Negação de Serviço Distribuída (DDoS) que alcançou 31,4 Tbps, com 200 milhões de solicitações por segundo. Este ataque, que ocorreu em fevereiro de 2026, foi direcionado principalmente a empresas do setor de telecomunicações e foi detectado pela Cloudflare, que classificou o incidente como um ‘bombardeio sem precedentes’. Aisuru já havia registrado um ataque anterior de 29,7 Tbps, mas a nova campanha se destacou pela intensidade e pela utilização de dispositivos IoT, incluindo TVs Android hackeadas, para amplificar o ataque. O aumento de 121% nos ataques DDoS no último trimestre de 2025, totalizando 47,1 milhões de incidentes, destaca a crescente preocupação com a segurança cibernética, especialmente em setores como telecomunicações, TI e apostas esportivas, que são os mais visados. O cenário é alarmante, pois a botnet Aisuru se alimenta de dispositivos comprometidos, o que representa um risco significativo para a infraestrutura digital global.

Brasil é um dos países com mais servidores de IA expostos a hackers

Uma pesquisa realizada pela SentinelLABS e Censys, da SentinelOne, revelou que o Brasil é um dos países mais afetados pela exposição de servidores de Inteligência Artificial (IA) a hackers. A análise abrangeu 175.000 hosts Ollama em 130 países, com a maioria das instâncias expostas localizadas na China. No entanto, o Brasil se destaca entre os países com maior número de servidores vulneráveis, ao lado de nações como Alemanha, Coreia do Sul e Estados Unidos. A Ollama, um framework de código aberto, permite que usuários gerenciem modelos de linguagem localmente, mas a configuração inadequada pode expor esses servidores à internet, aumentando o risco de ataques. Aproximadamente 48% dos hosts analisados possuem capacidades que permitem a execução de código e interação com sistemas externos, o que pode ser explorado por hackers para realizar atividades maliciosas, como spam em massa e campanhas de desinformação. A pesquisa também identificou a campanha Operation Bizarre Bazaar, que monetiza o acesso a essa infraestrutura de IA clandestina. Para mitigar esses riscos, é essencial que as organizações tratem os LLMs com as mesmas medidas de segurança aplicadas a qualquer infraestrutura acessível externamente.

Grupo Amaranth Dragon explora vulnerabilidade do WinRAR em ataques de espionagem

Um novo ator de ameaças, denominado Amaranth Dragon, vinculado a operações patrocinadas pelo estado chinês APT41, tem explorado a vulnerabilidade CVE-2025-8088 no WinRAR para realizar ataques de espionagem direcionados a agências governamentais e de segurança. Os hackers utilizam ferramentas legítimas combinadas com um carregador personalizado, o Amaranth Loader, para entregar cargas úteis criptografadas a partir de servidores de comando e controle (C2) protegidos pela infraestrutura da Cloudflare, aumentando a precisão e a furtividade dos ataques. Pesquisadores da Check Point identificaram que o grupo tem como alvo organizações em países do Sudeste Asiático, como Cingapura, Tailândia e Filipinas. A vulnerabilidade permite que arquivos maliciosos sejam escritos em locais arbitrários no Windows, e desde meados de 2025, diversos grupos têm explorado essa falha em ataques zero-day. O Amaranth Dragon começou a explorar a falha em 18 de agosto de 2025, utilizando arquivos ZIP com scripts maliciosos e, posteriormente, aproveitando a vulnerabilidade para inserir scripts na pasta de inicialização do Windows. O grupo também implementou um novo RAT, o TGAmaranth, que utiliza um bot do Telegram para suas atividades de C2 e possui capacidades avançadas de evasão de detecção. Dada a exploração ativa da CVE-2025-8088, recomenda-se que as organizações atualizem para a versão mais recente do WinRAR para mitigar os riscos associados.

Campanha de Reconhecimento Alvo da Infraestrutura Citrix NetScaler

Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.

Step Finance perde US 40 milhões em ataque cibernético

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

América Latina se torna o novo alvo preferido de hackers

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

Grupo patrocinado pelo Estado Chinês compromete atualizações do Notepad

O Notepad++, um editor de texto amplamente utilizado, sofreu um ataque cibernético que comprometeu seu tráfego de atualizações por quase seis meses. De acordo com o desenvolvedor, o ataque, que começou em junho de 2025, foi realizado por atores de ameaças patrocinados pelo Estado Chinês, que interceptaram e redirecionaram seletivamente solicitações de atualização para servidores maliciosos. Os atacantes exploraram uma vulnerabilidade nas verificações de atualização do Notepad++, permitindo que manifestos de atualização adulterados fossem servidos a usuários específicos. Após a detecção da violação em dezembro de 2025, o Notepad++ migrou para um novo provedor de hospedagem com segurança reforçada e implementou melhorias significativas, incluindo a verificação de certificados e assinaturas de instaladores. Os usuários são aconselhados a alterar credenciais e atualizar suas instalações para proteger seus sistemas. A situação destaca a importância de manter práticas de segurança robustas, especialmente em softwares amplamente utilizados como o Notepad++.

Google desmantela rede de proxy residencial IPIDEA

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

Ataques cibernéticos a usinas de energia na Polônia

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

Spotify enfrenta desafios legais contra repositório clandestino

O Spotify está em uma batalha judicial contra o Anna’s Archive, um repositório virtual que alega ter obtido ilegalmente uma vasta biblioteca de músicas da plataforma. Nos Estados Unidos, decisões judiciais resultaram na suspensão dos domínios .org, .in e .se, mas a aplicação dessas ordens enfrenta resistência em outros países. Para se proteger, o Anna’s Archive migrou seus servidores para Njalla, um domínio que prioriza a privacidade e a proteção contra ordens judiciais. A corte americana emitiu uma liminar para cobrir todos os domínios do Anna’s Archive, mas a resposta de instituições em outros países, como a Suécia e a França, tem sido de não acatar automaticamente as decisões dos EUA, exigindo ordens locais. Enquanto isso, o site desabilitou downloads de torrents de música, possivelmente como uma medida para mitigar a pressão legal. A situação continua a evoluir, e o futuro do Anna’s Archive permanece incerto, com a expectativa de novos desdobramentos na disputa legal.

Polícia italiana desmantela serviços ilegais de IPTV em operação global

Uma recente operação global de combate à pirataria, coordenada por Europol, Eurojust e Interpol, resultou na apreensão de três serviços ilegais de IPTV em larga escala. A ação, liderada pela Promotoria do Distrito de Catania e pela Polícia Estatal Italiana, abrangeu 11 cidades em 14 países, com foco especial na Itália, que se prepara para sediar as Olimpíadas de Inverno em Milão em fevereiro de 2026. Durante a operação, 31 indivíduos foram identificados como suspeitos de pertencer a um grupo criminoso organizado transnacional, acusado de violar direitos autorais e realizar fraudes computacionais. Os serviços de IPTV, como IPTVItalia, migliorIPTV e DarkTV, eram responsáveis por retransmitir ilegalmente conteúdos de plataformas como Sky, DAZN e Netflix, atingindo milhões de usuários. Além disso, a operação resultou na identificação de 250 revendedores e 100.000 assinantes apenas na Itália. Embora as autoridades tenham tomado medidas para desmantelar a infraestrutura, alguns sites ainda estavam ativos no momento da reportagem. A operação também se estendeu a serviços piratas na Bulgária, onde três domínios populares foram desativados, afetando a distribuição de obras protegidas por direitos autorais.

Hackers criam plataforma com IA para checar cartões roubados

Uma nova plataforma ilegal chamada ‘E-Fraud’ foi descoberta pela empresa de cibersegurança Swarmy, operando no Brasil e utilizando inteligência artificial para verificar cartões de crédito obtidos de forma ilícita. Localizada em um servidor nos Estados Unidos, a plataforma funciona como um hub de crime digital, oferecendo serviços que incluem a validação de cartões roubados. Os usuários podem adquirir créditos para acessar os serviços, com pacotes que variam de R$ 100 a R$ 4 mil. A interface sofisticada sugere um uso avançado de IA, com dashboards que facilitam a integração de sistemas e pagamentos. Além disso, a plataforma utiliza estratégias de marketing que imitam empresas legítimas, criando uma falsa sensação de segurança para os usuários. O E-Fraud também permite transações via QR Codes e oferece bônus em depósitos, dificultando a rastreabilidade financeira. Este cenário evidencia a crescente sofisticação do crime organizado online e a necessidade de medidas de segurança mais robustas para proteger dados financeiros dos brasileiros.

Botnet AisuruKimwolf realiza ataque DDoS recorde de 31,4 Tbps

A botnet Aisuru/Kimwolf lançou um ataque DDoS massivo que atingiu picos de 31,4 Tbps e 200 milhões de requisições por segundo, estabelecendo um novo recorde. O ataque, que ocorreu em 19 de dezembro de 2025, visou principalmente empresas do setor de telecomunicações e foi detectado e mitigado pela Cloudflare. Aisuru já era responsável pelo recorde anterior de 29,7 Tbps. A campanha, chamada de ‘A Noite Antes do Natal’, foi caracterizada como um ‘bombardeio sem precedentes’ e incluiu ataques HTTP DDoS hipervolumétricos e ataques de camada 4. A maioria dos ataques durou entre um e dois minutos, com 90% deles atingindo picos entre 1-5 Tbps. A origem dos ataques foi atribuída a dispositivos Android TV, além de dispositivos IoT e roteadores comprometidos. O relatório da Cloudflare também revelou um aumento de 121% nos ataques DDoS em 2025, com 47,1 milhões de incidentes registrados, destacando a crescente ameaça que esses ataques representam para empresas em todo o mundo.

Ataque coordenado à rede elétrica da Polônia revela vulnerabilidades

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Banco do Nordeste suspende Pix após ataque hacker

O Banco do Nordeste (BNB) anunciou a suspensão temporária das transações via Pix após detectar um ataque hacker em seus sistemas na noite de segunda-feira, 26 de janeiro de 2026. A violação afetou a infraestrutura do sistema de pagamento instantâneo, levando a instituição a acionar protocolos de segurança imediatamente. Em comunicado, o BNB afirmou que está em contato com o Banco Central para avaliar a extensão do incidente e restaurar as operações de forma segura. A suspensão do Pix foi uma medida preventiva para garantir a segurança das transações e evitar possíveis desdobramentos maliciosos. Importante destacar que, até o momento, não foram identificados vazamentos de dados dos clientes ou prejuízos nas contas. O Banco do Nordeste reafirmou seu compromisso com a segurança da informação e a transparência, prometendo manter o mercado informado sobre quaisquer desdobramentos relacionados ao incidente.

Homem da Virgínia se declara culpado por operar mercado ilegal na dark web

Raheim Hamilton, co-criador do Empire Market, um dos maiores mercados da dark web, se declarou culpado de conspiração federal por tráfico de drogas, facilitando transações ilegais que totalizaram cerca de $430 milhões entre 2018 e 2020. O Empire Market, acessível apenas via navegadores TOR, foi descrito como um clone do AlphaBay, fechado em 2017. No auge, em agosto de 2020, o site contava com 1,68 milhão de usuários registrados, incluindo 360 mil compradores e mais de 5 mil vendedores. Embora o mercado também oferecesse credenciais de contas roubadas e ferramentas de hacking, as vendas de drogas representaram a maior parte das transações, totalizando quase $375 milhões. Hamilton, que operou o site com Thomas Pavey, admitiu ter projetado o Empire Market para ajudar os usuários a evitar a detecção pelas autoridades e lavar dinheiro, utilizando criptomoedas para garantir anonimato. Durante a investigação, agentes de segurança realizaram compras encobertas, adquirindo substâncias como heroína e metanfetamina. A Justiça dos EUA já apreendeu $75 milhões em criptomoedas e Hamilton concordou em entregar 1.230 bitcoins e propriedades no processo. Ele enfrenta uma pena mínima de 10 anos e máxima de prisão perpétua.

Ataque cibernético coordenado afeta rede elétrica da Polônia

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Nacional eslovaco admite envolvimento em mercado darknet de drogas

Alan Bill, um cidadão eslovaco de 33 anos, se declarou culpado por ajudar a operar o Kingdom Market, um mercado na darknet que comercializava drogas, ferramentas de cibercrime, documentos de identidade falsificados e informações pessoais roubadas. A operação do Kingdom Market ocorreu de março de 2021 até dezembro de 2023, quando foi desmantelada pelas autoridades. A investigação começou em julho de 2022, quando agentes federais realizaram compras de substâncias como metanfetamina e fentanil, além de um passaporte falso. Em dezembro de 2023, o Federal Criminal Police Office da Alemanha apreendeu o domínio e a infraestrutura do mercado, que contava com 42.000 itens à venda e centenas de vendedores registrados. Bill foi preso no Aeroporto Internacional de Newark, onde foram encontrados dispositivos que o ligavam diretamente ao mercado. Ele admitiu ter um papel de administrador e moderador na comunidade do Reddit do Kingdom Market. Sob um acordo de confissão, Bill concordou em entregar os domínios do mercado e a perder criptomoedas de sua carteira digital. Ele enfrenta uma pena de cinco a 40 anos de prisão por conspiração para distribuir substâncias controladas.

Campanha maliciosa ataca serviços de IA expostos para acesso não autorizado

Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.

Campanhas de Ciberespionagem Alvo de Entidades Governamentais Indianas

Entidades do governo indiano foram alvo de duas campanhas de ciberespionagem, conhecidas como Gopher Strike e Sheet Attack, atribuídas a um ator de ameaças baseado no Paquistão. As campanhas foram identificadas pela Zscaler ThreatLabz em setembro de 2025 e utilizam técnicas de ataque inovadoras. O Sheet Attack utiliza serviços legítimos como Google Sheets e Firebase para controle de comando e controle (C2), enquanto o Gopher Strike inicia com e-mails de phishing que induzem os usuários a baixar um arquivo ISO malicioso disfarçado de atualização do Adobe Acrobat Reader DC.

Vazamento de Rota BGP da Cloudflare afeta tráfego IPv6

A Cloudflare divulgou detalhes sobre um vazamento de rota do Protocolo de Gateway de Fronteira (BGP) que ocorreu em 22 de janeiro, afetando o tráfego IPv6. O incidente, que durou 25 minutos, resultou em congestionamento, perda de pacotes e cerca de 12 Gbps de tráfego descartado. O vazamento foi causado por uma configuração de política acidental em um roteador, que permitiu a redistribuição inadequada de rotas entre redes autônomas. Segundo a Cloudflare, o problema ocorreu quando rotas de pares foram redistribuídas em Miami, violando as regras de roteamento ‘valley-free’. Isso resultou em tráfego sendo enviado por caminhos não intencionais, causando congestionamento e, em alguns casos, descarte total do tráfego. Embora o incidente tenha sido rapidamente mitigado, a empresa reconheceu que eventos semelhantes ocorreram anteriormente e listou medidas para evitar recorrências, incluindo a implementação de salvaguardas mais rigorosas e validações de políticas. O incidente destaca a importância da configuração correta de políticas BGP, não apenas para a confiabilidade, mas também para a segurança da rede.

A evolução das ameaças cibernéticas com inteligência artificial

O cenário da cibersegurança está passando por uma transformação significativa devido ao uso crescente de inteligência artificial (IA) por atacantes. Um relatório do Google Threat Intelligence Group destaca como adversários estão utilizando Modelos de Linguagem Grande (LLMs) para ocultar códigos e gerar scripts maliciosos em tempo real, dificultando a detecção por defesas convencionais. Em novembro de 2025, a Anthropic revelou a primeira campanha de espionagem cibernética orquestrada por IA, onde o ataque foi realizado de forma quase autônoma. Além disso, técnicas de esteganografia estão sendo empregadas para esconder malware em arquivos de imagem, enganando usuários e permitindo a instalação de trojans de acesso remoto (RATs) e outros malwares.

Ataques zero clique ameaçam WhatsApp e Telegram

Ataques digitais sofisticados estão colocando em risco a segurança de aplicativos de mensagens como WhatsApp e Telegram, utilizados por milhões de brasileiros. Esses ataques, conhecidos como ‘zero clique’, não requerem que o usuário clique em links suspeitos ou interaja com arquivos, explorando vulnerabilidades invisíveis nos aplicativos. Segundo Paulo Trindade, especialista em inteligência de ameaças, os invasores utilizam falhas de software para instalar códigos maliciosos que comprometem o dispositivo de forma silenciosa, muitas vezes apenas com o recebimento de um conteúdo malicioso. A identificação desses ataques é complexa, pois os sinais de comprometimento são sutis, podendo se manifestar como lentidão momentânea no aparelho. Para mitigar os riscos, Trindade recomenda práticas preventivas, como evitar grupos desconhecidos e manter os aplicativos atualizados, uma vez que as atualizações corrigem brechas de segurança. O artigo destaca a importância de estar ciente dessas ameaças, especialmente em um cenário onde a comunicação digital é essencial para a vida cotidiana.

Grupo de hackers russo ataca rede elétrica da Polônia com malware

Um ciberataque direcionado à rede elétrica da Polônia, ocorrido entre 29 e 30 de dezembro de 2025, foi atribuído ao grupo de hackers Sandworm, supostamente patrocinado pelo Estado russo. Durante o ataque, o grupo tentou implantar um novo malware destrutivo chamado DynoWiper, que tem a capacidade de apagar dados de forma irreversível. O ataque visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável, resultando em um impacto significativo na infraestrutura elétrica do país. O malware DynoWiper, identificado como Win32/KillFiles.NMO, apaga arquivos do sistema, tornando-o inutilizável. O primeiro-ministro polonês, Donald Tusk, afirmou que as evidências indicam que o ataque foi preparado por grupos ligados aos serviços russos. Embora detalhes técnicos sobre o DynoWiper sejam escassos, a ESET, empresa de segurança cibernética, está monitorando a situação. Este ataque é parte de uma série de ações do Sandworm, que anteriormente já havia realizado ataques semelhantes na Ucrânia, afetando setores críticos como energia e educação. A situação destaca a crescente ameaça de ciberataques a infraestruturas críticas na Europa, especialmente em um contexto geopolítico tenso.

Grupo de hackers russo Sandworm tenta atacar infraestrutura energética da Polônia

O grupo de hackers de nação estatal russo, conhecido como Sandworm, foi responsabilizado por um dos maiores ataques cibernéticos direcionados ao sistema de energia da Polônia na última semana de dezembro de 2025. Embora o ataque tenha sido classificado como o mais forte em anos, o ministro da energia polonês, Milosz Motyka, afirmou que não houve sucesso na tentativa de desestabilização. O ataque, que ocorreu em 29 e 30 de dezembro, visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável. A ESET, empresa de cibersegurança, identificou o uso de um malware destrutivo inédito, denominado DynoWiper, vinculado a atividades anteriores do Sandworm, especialmente após a invasão da Ucrânia pela Rússia em 2022. O primeiro-ministro polonês, Donald Tusk, indicou que as investigações apontam para a responsabilidade de grupos associados aos serviços russos, e o governo está implementando medidas de segurança adicionais, incluindo uma nova legislação de cibersegurança. Este ataque coincide com o décimo aniversário do ataque de Sandworm à rede elétrica da Ucrânia em 2015, que resultou em apagões significativos. O Sandworm tem um histórico de ataques cibernéticos disruptivos, especialmente contra a infraestrutura crítica da Ucrânia.