Malware

Organizações do setor de defesa e alinhadas ao governo indiano têm sido alvo de diversas campanhas de espionagem cibernética, que visam comprometer ambientes Windows e Linux por meio de trojans de acesso remoto. Os ataques utilizam famílias de malware como Geta RAT, Ares RAT e DeskRAT, frequentemente atribuídos a grupos de ameaças alinhados ao Paquistão, como SideCopy e APT36. Essas campanhas se caracterizam pelo uso de e-mails de phishing com anexos maliciosos ou links de download que direcionam as vítimas a infraestruturas controladas pelos atacantes. Uma das cadeias de ataque envolve um arquivo LNK malicioso que executa um arquivo HTA para baixar e instalar o malware. O Geta RAT, por exemplo, permite acesso remoto persistente e coleta de dados sensíveis, enquanto o Ares RAT é uma variante para Linux que também executa comandos para roubar informações. A utilização do DeskRAT, entregue via um complemento PowerPoint malicioso, demonstra a evolução das táticas de espionagem, focando em setores estratégicos como defesa, pesquisa e infraestrutura crítica. Essas atividades ressaltam a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

O grupo de ameaças conhecido como UNC1069, vinculado à Coreia do Norte, tem se concentrado em atacar o setor de criptomoedas, visando roubar dados sensíveis de sistemas Windows e macOS para facilitar o furto financeiro. A intrusão utiliza uma sofisticada engenharia social, que envolve uma conta do Telegram comprometida, reuniões falsas no Zoom, e vetores de infecção como ClickFix. Pesquisadores da Google Mandiant relataram que o grupo tem utilizado ferramentas de inteligência artificial, como o Gemini, para criar materiais de isca e mensagens relacionadas a criptomoedas. Desde 2023, UNC1069 tem mudado seu foco de técnicas de spear-phishing tradicionais para a indústria Web3, atacando exchanges centralizadas, desenvolvedores de software e empresas de capital de risco. A última campanha documentada revelou o uso de até sete famílias únicas de malware, incluindo SILENCELIFT e DEEPBREATH, que são projetados para roubar credenciais e dados de navegadores. O ataque começa com uma abordagem no Telegram, onde o ator se passa por investidores, e leva a vítima a um site falso do Zoom, onde um vídeo enganoso é apresentado. A complexidade e a variedade de ferramentas utilizadas indicam um esforço determinado para coletar dados e facilitar o roubo financeiro.

A botnet SSHStalker, recentemente documentada, utiliza o protocolo IRC (Internet Relay Chat) para suas operações de comando e controle (C2). Embora o IRC tenha sido criado em 1988 e tenha alcançado seu auge nos anos 90, ele ainda é valorizado por sua simplicidade e baixo consumo de banda. A SSHStalker adota mecânicas clássicas do IRC, como múltiplos bots e redundância de servidores e canais, priorizando resiliência e baixo custo em vez de furtividade. A botnet consegue acesso inicial por meio de varreduras automatizadas de SSH e força bruta, utilizando um binário em Go que se disfarça como o utilitário de descoberta de rede nmap. Após infectar um host, a botnet baixa ferramentas para compilar cargas úteis, permitindo uma melhor portabilidade. A persistência é garantida por meio de cron jobs que verificam a execução do processo principal a cada 60 segundos. A SSHStalker também inclui capacidades de mineração de criptomoedas e coleta de chaves AWS, embora ainda não tenha sido observada a realização de ataques DDoS. A empresa de inteligência de ameaças Flare sugere que as organizações implementem soluções de monitoramento e restrinjam a autenticação por senha SSH para mitigar os riscos associados a essa botnet.

Um site falso do 7-Zip está distribuindo um instalador trojanizado da popular ferramenta de compactação, transformando computadores de usuários em nós de proxy residencial. Esses proxies são utilizados para contornar bloqueios e realizar atividades maliciosas, como phishing e distribuição de malware. A campanha ganhou notoriedade após um usuário relatar o download do instalador malicioso ao seguir um tutorial no YouTube. O site 7zip[.]com, que imita o legítimo 7-zip.org, ainda está ativo. O instalador, analisado pela Malwarebytes, contém arquivos maliciosos que criam um serviço no Windows para gerenciar o proxy. O malware coleta informações do sistema e se comunica com servidores de comando e controle (C2) utilizando técnicas de ofuscação. Além do 7-Zip, a campanha também utiliza instaladores trojanizados de outros softwares populares. Os pesquisadores alertam os usuários a evitarem links de download de vídeos do YouTube e recomendam que salvem os sites oficiais dos softwares que utilizam frequentemente.

Hackers da Coreia do Norte estão realizando campanhas direcionadas utilizando vídeos gerados por IA e a técnica ClickFix para distribuir malware em sistemas macOS e Windows, visando alvos no setor de criptomoedas. O objetivo financeiro das ações foi evidenciado em um ataque a uma empresa fintech, conforme investigado pela Mandiant, que identificou sete famílias distintas de malware para macOS atribuídas ao grupo UNC1069, ativo desde 2018.

O ataque começou com engenharia social, onde a vítima foi contatada via Telegram por uma conta comprometida de um executivo de uma empresa de criptomoedas. Após estabelecer um relacionamento, os hackers enviaram um link para uma reunião falsa no Zoom, onde apresentaram um vídeo deepfake de um CEO de outra empresa do setor. Durante a ‘reunião’, os hackers induziram a vítima a executar comandos que iniciaram a cadeia de infecção.

Recentemente, trabalhadores de TI associados à Coreia do Norte têm utilizado contas reais do LinkedIn de indivíduos que estão imitando para se candidatar a vagas remotas, representando uma escalada nas fraudes. Esses perfis frequentemente possuem e-mails de trabalho verificados e crachás de identidade, o que torna as aplicações fraudulentas mais convincentes. O objetivo é gerar receita para financiar programas de armamento e realizar espionagem ao roubar dados sensíveis. A empresa de cibersegurança Silent Push descreveu o programa de trabalhadores remotos da Coreia do Norte como uma ‘máquina de receita de alto volume’. Os trabalhadores transferem criptomoedas através de técnicas de lavagem de dinheiro, como a troca de tokens, para ocultar a origem dos fundos. Para se proteger, indivíduos que suspeitam de roubo de identidade devem alertar suas redes sociais e validar contas de candidatos. A Polícia de Segurança da Noruega também emitiu um alerta sobre casos em que empresas norueguesas foram enganadas a contratar esses trabalhadores. Além disso, uma campanha de engenharia social chamada ‘Contagious Interview’ tem sido usada para atrair alvos para entrevistas falsas, levando à execução de código malicioso. O cenário é alarmante, pois a Coreia do Norte continua a desenvolver suas capacidades cibernéticas e a explorar vulnerabilidades em empresas ocidentais.

Uma nova plataforma de spyware móvel chamada ZeroDayRAT está sendo promovida em canais de cibercrime, como o Telegram, oferecendo controle remoto total sobre dispositivos Android e iOS comprometidos. O malware, que suporta versões do Android de 5 a 16 e iOS até a versão 26, não apenas rouba dados, mas também permite vigilância em tempo real e roubo financeiro. O painel de controle do ZeroDayRAT fornece informações detalhadas sobre os dispositivos infectados, como modelo, versão do sistema operacional, status da bateria e localização. Além do registro passivo de dados, o malware pode ativar câmeras e microfones, capturar senhas e até contornar autenticações de dois fatores (2FA) ao interceptar senhas temporárias. Um módulo específico para roubo de criptomoedas busca aplicativos como MetaMask e Binance, enquanto outro foca em aplicativos bancários. A entrega do malware não foi detalhada, mas especialistas alertam que um dispositivo comprometido pode resultar em brechas significativas para empresas. Para se proteger, recomenda-se que os usuários confiem apenas em lojas de aplicativos oficiais e considerem ativar modos de proteção avançados em seus dispositivos.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Pesquisadores da Cisco Talos revelaram a existência do DKnife, um spyware ativo desde 2019 que tem como alvo roteadores, permitindo que cibercriminosos monitorem e manipulem dados de dispositivos conectados à rede. O DKnife utiliza a técnica adversary-in-the-middle (AitM) para interceptar atualizações legítimas de aplicativos, substituindo-as por versões maliciosas. Entre suas funcionalidades, destacam-se a capacidade de ler dados trafegados, enviar informações roubadas aos hackers, atualizar arquivos maliciosos em dispositivos Android e desencriptar comunicações seguras para roubar senhas. O malware também consegue monitorar aplicativos de mensagens, como WeChat e Signal, e se oculta de antivírus para evitar detecções. Embora os principais alvos sejam usuários na China, a evolução do DKnife indica uma colaboração com outras ameaças, como a WizardNet, que se espalhou por diversos países. Para mitigar os riscos, recomenda-se atualizar o firmware dos roteadores e desabilitar o gerenciamento remoto, fechando portas de invasão.

O grupo de cibercriminosos conhecido como Bloody Wolf está vinculado a uma campanha de ataques direcionados a sistemas na Rússia e no Uzbequistão, utilizando um trojan de acesso remoto chamado NetSupport RAT. A empresa de cibersegurança Kaspersky, que monitora a atividade sob o nome de Stan Ghouls, relata que o grupo tem atuado desde pelo menos 2023, realizando ataques de spear-phishing em setores como manufatura, finanças e TI. Estima-se que cerca de 50 vítimas tenham sido registradas no Uzbequistão, além de 10 dispositivos na Rússia e outras infecções em países como Cazaquistão, Turquia, Sérvia e Bielorrússia. Os ataques são realizados através de e-mails de phishing que contêm PDFs maliciosos, levando à instalação do NetSupport RAT e à configuração de scripts para garantir a persistência do malware. Além disso, a Kaspersky identificou que o grupo pode estar ampliando seu arsenal para incluir payloads da botnet Mirai, visando dispositivos IoT. A campanha destaca a capacidade do grupo em realizar ataques sofisticados e bem-orquestrados, levantando preocupações sobre a segurança cibernética na região.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

O DKnife é um novo toolkit de cibersegurança, descoberto por pesquisadores da Cisco Talos, que tem sido utilizado desde 2019 para sequestrar tráfego em dispositivos de borda e entregar malware em campanhas de espionagem. Este framework atua como uma plataforma pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM), interceptando e manipulando dados destinados a dispositivos finais, como computadores, dispositivos móveis e IoTs.

Composto por sete módulos baseados em Linux, o DKnife é projetado para inspeção profunda de pacotes (DPI), manipulação de tráfego e coleta de credenciais. Os pesquisadores identificaram que o malware possui artefatos em chinês simplificado e visa especificamente serviços chineses, como provedores de e-mail e aplicativos móveis. Embora não tenham conseguido determinar como os equipamentos de rede são comprometidos, o DKnife interage com backdoors conhecidos, como ShadowPad e DarkNimbus, ambos associados a atores de ameaças da China.

Pesquisadores da Koi Security descobriram que duas extensões do Visual Studio Code, chamadas ChatGPT - 中文版 e ChatMoss (CodeMoss), coletam dados de 1,5 milhão de desenvolvedores. Embora funcionem como assistentes de programação, essas ferramentas maliciosas têm acesso irrestrito aos arquivos abertos pelos usuários, registrando todas as edições e enviando essas informações para servidores na China. O spyware embutido nas extensões lê todo o documento assim que o arquivo é aberto, sem necessidade de interação do usuário. Além disso, uma backdoor permite que os atacantes coletem até 50 arquivos com um único comando, dependendo do valor da vítima. Para decidir se vale a pena roubar os arquivos, as extensões utilizam SDKs de analytics que monitoram o comportamento do programador e fazem um perfil detalhado do dispositivo. A situação destaca a necessidade de uma verificação mais rigorosa das ferramentas utilizadas por desenvolvedores, especialmente em um cenário onde as extensões maliciosas podem ter avaliações positivas e serem aprovadas em marketplaces.

Pesquisadores de cibersegurança revelaram a existência do DKnife, um framework de monitoramento de gateways e ataque do tipo adversário no meio (AitM), operado por atores de ameaça com vínculos à China desde 2019. O DKnife é composto por sete implantes baseados em Linux, projetados para realizar inspeção profunda de pacotes, manipular tráfego e entregar malware através de roteadores e dispositivos de borda. Os principais alvos são usuários de língua chinesa, evidenciado pela presença de páginas de phishing para serviços de e-mail chineses e módulos de exfiltração para aplicativos populares como o WeChat. O framework é capaz de interceptar downloads e atualizações de aplicativos Android, além de monitorar atividades de usuários em tempo real. A Cisco Talos, que identificou o DKnife, destaca que a infraestrutura do framework está conectada a outras atividades de ameaças, como o grupo Earth Minotaur. A descoberta do DKnife ressalta as capacidades avançadas das ameaças AitM modernas, que combinam inspeção profunda de pacotes, manipulação de tráfego e entrega personalizada de malware em uma ampla gama de dispositivos.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos que comprometeu pacotes legítimos nos repositórios npm e Python Package Index (PyPI). As versões comprometidas dos pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) foram utilizadas para roubo de credenciais de carteiras e execução remota de código. Os atacantes, que aparentemente obtiveram acesso às credenciais de publicação legítimas, introduziram códigos maliciosos que visam operações sensíveis de criptomoedas. O pacote npm contém um ladrão de carteiras que coleta frases-semente e informações do dispositivo, enquanto a versão do PyPI inclui um trojan de acesso remoto (RAT) que se conecta a um servidor externo para executar comandos. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante. Após a divulgação responsável do ataque, a dYdX alertou os usuários para isolarem máquinas afetadas e moverem fundos para novas carteiras. Este não é o primeiro ataque à dYdX, que já enfrentou incidentes semelhantes no passado, evidenciando um padrão persistente de ameaças direcionadas a ativos relacionados à plataforma.

A Microsoft identificou um aumento alarmante de ataques de infostealers direcionados ao sistema operacional macOS, uma prática que antes se concentrava principalmente em usuários do Windows. Desde o final de 2025, hackers têm utilizado uma combinação de engenharia social, correções falsas e arquivos DMG maliciosos para disseminar malware. O infostealer, que opera em conjunto com ferramentas como DigitStealer, MacSync e Atomic Stealer, é capaz de contornar as barreiras de segurança do macOS e roubar informações sensíveis, como senhas e dados bancários. Os ataques são frequentemente facilitados por meio de sites falsos promovidos em anúncios do Google e e-mails de phishing que induzem as vítimas a instalar o software malicioso. Além disso, a linguagem de programação Python tem sido utilizada para desenvolver esses malwares, aumentando a eficácia dos ataques. A situação é preocupante, pois os criminosos não apenas coletam dados, mas também apagam rastros digitais, dificultando a detecção de suas atividades. Essa nova onda de ataques representa um risco significativo para usuários de macOS, que historicamente se consideravam menos vulneráveis a esse tipo de ameaça.

O grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, tem aprimorado suas táticas para ocultar suas atividades maliciosas. Após um apagão de internet imposto pelo governo iraniano em janeiro de 2026, o grupo interrompeu a manutenção de seus servidores de comando e controle (C2) pela primeira vez em anos. No entanto, a atividade foi retomada em 26 de janeiro, com a configuração de novos servidores C2, indicando que o grupo está se adaptando rapidamente às mudanças no ambiente digital. O Infy, ativo desde 2004, é um dos grupos patrocinados pelo estado iraniano que realiza operações de espionagem e sabotagem. Recentemente, foram identificadas novas versões de suas ferramentas de ataque, como Foudre e Tonnerre, que agora utilizam um bot do Telegram para comunicação. A análise revelou que o grupo também explorou uma vulnerabilidade no WinRAR para implantar seu malware. O uso de técnicas como a geração de nomes de domínio por meio de algoritmos DGA e a desofuscação de dados em blockchain demonstra a sofisticação das operações do Infy, que continua a ser uma ameaça significativa no cenário de cibersegurança.

Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova campanha de malware chamada DEAD#VAX, que utiliza uma combinação de técnicas sofisticadas para contornar mecanismos tradicionais de detecção. O ataque utiliza arquivos de disco virtual (VHD) hospedados na rede descentralizada InterPlanetary Filesystem (IPFS), disfarçados como arquivos PDF, para enganar as vítimas. O malware AsyncRAT, um trojan de acesso remoto, é injetado diretamente em processos confiáveis do Windows, operando totalmente na memória e evitando a criação de artefatos forenses no disco. A campanha é iniciada por meio de um e-mail de phishing que entrega o arquivo VHD. Uma vez montado, um script WSF é executado, que verifica as condições do ambiente antes de liberar o AsyncRAT. Essa abordagem de execução em memória e o uso de scripts ofuscados dificultam a detecção e a resposta a incidentes, tornando a campanha altamente eficaz. Os pesquisadores alertam que a evolução das campanhas de malware, que agora dependem de formatos de arquivo confiáveis e execução residente na memória, representa um desafio significativo para a segurança cibernética.

Pesquisadores de cibersegurança identificaram uma campanha que utiliza extensões maliciosas do Chrome para sequestrar links de afiliados, visando roubar dados de usuários. Uma das extensões detectadas, chamada Amazon Ads Blocker, finge ser uma ferramenta de bloqueio de anúncios, mas na verdade injeta um código de afiliado do próprio desenvolvedor em links de produtos da Amazon. Isso resulta na substituição de códigos de afiliados legítimos, prejudicando influenciadores e criadores de conteúdo que dependem dessas comissões. A análise revelou que o Amazon Ads Blocker é apenas uma entre 29 extensões maliciosas que atacam diversas plataformas de e-commerce, incluindo AliExpress, Shein e Walmart. As extensões violam as políticas da Chrome Web Store, que proíbem a substituição de códigos afiliados sem divulgação. O problema é alarmante, pois os usuários não precisam realizar ações adicionais para que suas comissões sejam desviadas, tornando a situação ainda mais crítica.

A Microsoft emitiu um alerta sobre a crescente ameaça de malware infostealer que agora se expande além das campanhas tradicionais focadas em Windows, atingindo também dispositivos macOS. Segundo um relatório da empresa, os cibercriminosos estão utilizando técnicas de engenharia social e anúncios maliciosos para distribuir instaladores DMG que contêm variantes como DigitStealer, MacSync e AMOS (Atomic macOS Stealer). Esses malwares visam roubar dados sensíveis, incluindo sessões de navegador, credenciais de desenvolvedor e tokens de nuvem, facilitando ataques como sequestro de contas e ransomware.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.

Em 2025, um novo conjunto de campanhas de espionagem cibernética, atribuído a atores de ameaças ligados à China, foi identificado, visando agências governamentais e de segurança na região do Sudeste Asiático. O grupo, denominado Amaranth-Dragon, está associado ao ecossistema APT 41 e tem como alvos países como Camboja, Tailândia, Laos, Indonésia, Cingapura e Filipinas. As campanhas foram estrategicamente sincronizadas com eventos políticos e de segurança locais, aumentando a probabilidade de que as vítimas interagissem com o conteúdo malicioso. Os ataques, que demonstram um alto grau de furtividade, exploraram uma vulnerabilidade específica (CVE-2025-8088) no WinRAR, permitindo a execução de código arbitrário. Os invasores utilizaram arquivos RAR maliciosos distribuídos via e-mails de spear-phishing, hospedados em plataformas de nuvem conhecidas para evitar detecções. O Amaranth Loader, um componente central dos ataques, foi projetado para estabelecer uma comunicação com servidores externos e executar cargas úteis de forma discreta. A infraestrutura de comando e controle (C2) é protegida e configurada para aceitar tráfego apenas de IPs dos países-alvo, evidenciando a sofisticação dos atacantes. Este cenário destaca a necessidade de vigilância contínua e de ações proativas por parte das organizações na região.

A Microsoft alertou que ataques de roubo de informações estão se expandindo rapidamente para ambientes macOS, utilizando linguagens de programação multiplataforma como Python e explorando plataformas confiáveis para distribuição em larga escala. Desde o final de 2025, campanhas de infostealers direcionadas ao macOS têm utilizado técnicas de engenharia social, como o ClickFix, para distribuir instaladores maliciosos que implantam famílias de malware como Atomic macOS Stealer (AMOS) e DigitStealer. Esses ataques frequentemente começam com anúncios maliciosos, muitas vezes veiculados pelo Google Ads, que redirecionam usuários em busca de ferramentas populares para sites falsos, levando-os a infectar suas próprias máquinas. Os atacantes têm utilizado execução sem arquivos e automação via AppleScript para facilitar o roubo de dados, incluindo credenciais de navegadores e informações financeiras. A Microsoft identificou campanhas específicas, como a do PXA Stealer, que coleta dados sensíveis através de e-mails de phishing. Para mitigar esses riscos, as organizações devem educar seus usuários sobre ataques de engenharia social e monitorar atividades suspeitas.

Pesquisadores da ESET identificaram uma nova campanha de spyware no Android, que se disfarça como um aplicativo de relacionamento chamado GhostChat. Este malware, que não está disponível na Google Play Store, é distribuído clandestinamente e se apresenta como uma plataforma de chat de relacionamento sem custos. O golpe utiliza perfis falsos de mulheres, que ficam ‘bloqueados’ até que a vítima forneça um código, gerando uma sensação de exclusividade. Durante a interação, o GhostChat opera em segundo plano, roubando documentos, fotos, contatos e informações do dispositivo da vítima. Além disso, o malware utiliza uma técnica chamada ClickFix, que simula falhas para enganar o usuário a interagir e permitir acesso a mais dados. Os pesquisadores alertam que o ataque é sofisticado e utiliza engenharia social, QR Codes e spoofing de autoridades para aumentar sua eficácia. A campanha tem como alvo principal usuários no Paquistão, mas a técnica pode ser replicada em outros contextos, incluindo o Brasil, onde aplicativos de relacionamento são populares.

O Notepad++, popular editor de texto e código, enfrentou uma grave falha de segurança que permitiu a hackers redirecionar atualizações do aplicativo para distribuir malware a usuários. Segundo Don Ho, um dos desenvolvedores, a vulnerabilidade não estava no código do Notepad++, mas sim na infraestrutura do provedor de serviços que hospeda as atualizações. O ataque, que começou em junho de 2025, foi descoberto apenas em setembro do mesmo ano, e envolveu hackers chineses que conseguiram interceptar o tráfego do atualizador WinGUp, redirecionando-o para domínios maliciosos. Apesar de o aplicativo verificar a autenticidade dos arquivos baixados, os cibercriminosos conseguiram enganar essa verificação, resultando em downloads de arquivos binários não oficiais. A falha foi corrigida na versão 8.8.9 do Notepad++, lançada em agosto de 2025, mas os hackers mantiveram acesso até dezembro do mesmo ano. Este incidente destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante em relação a possíveis vulnerabilidades em provedores de serviços.

Recentemente, mais de 230 pacotes maliciosos foram publicados no registro oficial do assistente de IA OpenClaw, anteriormente conhecido como Moltbot e ClawdBot. Esses pacotes, chamados de ‘skills’, se disfarçam como ferramentas legítimas, mas têm como objetivo injetar malware que rouba dados sensíveis, como chaves de API, credenciais de SSH e senhas de navegadores. O projeto, que é um assistente de IA de código aberto projetado para rodar localmente, apresenta riscos de segurança se não for configurado corretamente. Pesquisadores de segurança alertaram que muitas interfaces administrativas do OpenClaw estão mal configuradas e expostas na web pública. A infecção ocorre quando os usuários seguem instruções enganosas contidas na documentação dos pacotes, que incluem um mecanismo de entrega de malware disfarçado de uma ferramenta chamada ‘AuthTool’. O malware, identificado como uma variante do NovaStealer, é capaz de contornar proteções do sistema e roubar informações críticas. A situação é agravada por uma campanha em larga escala que visa usuários do OpenClaw, com a necessidade urgente de os usuários verificarem a segurança dos pacotes antes da instalação.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

Uma auditoria de segurança realizada pela Koi Security identificou 341 habilidades maliciosas em um total de 2.857 no ClawHub, um marketplace para usuários do assistente de inteligência artificial OpenClaw. A análise, que contou com a ajuda de um bot do OpenClaw, revelou que 335 dessas habilidades utilizam pré-requisitos falsos para instalar um malware chamado Atomic Stealer (AMOS), que rouba dados sensíveis de sistemas macOS e Windows. Os usuários são induzidos a baixar arquivos ou scripts que, uma vez executados, permitem que os atacantes capturem chaves de API, credenciais e outras informações confidenciais. As habilidades maliciosas se disfarçam como ferramentas de criptomoeda, utilitários do YouTube e atualizadores automáticos, entre outros. A Koi Security também observou que as habilidades compartilham a mesma infraestrutura de comando e controle, o que indica uma campanha coordenada. Em resposta, o criador do OpenClaw implementou uma nova funcionalidade de denúncia para que os usuários possam sinalizar habilidades suspeitas. Este incidente destaca os riscos associados a ecossistemas de código aberto, que continuam a ser explorados por atores maliciosos, especialmente em um contexto onde a popularidade do OpenClaw está crescendo rapidamente.

Um grupo de hackers vinculado à China, conhecido como Lotus Blossom, foi associado com confiança média ao recente comprometimento da infraestrutura que hospeda o Notepad++. A invasão permitiu que o grupo, patrocinado pelo estado, entregasse um backdoor inédito, codinome Chrysalis, aos usuários do editor de código aberto. Segundo a Rapid7, a falha ocorreu devido a um comprometimento no nível do provedor de hospedagem, que permitiu que os atacantes sequestrassem o tráfego de atualização a partir de junho de 2025, redirecionando solicitações de certos usuários para servidores maliciosos. A vulnerabilidade foi corrigida em dezembro de 2025 com o lançamento da versão 8.8.9 do Notepad++. A análise da Rapid7 não encontrou evidências de que o mecanismo de atualização foi explorado para distribuir malware, mas um processo suspeito foi identificado, que baixou um instalador malicioso. O Chrysalis é um implante sofisticado que coleta informações do sistema e se comunica com um servidor externo para receber comandos adicionais. O grupo Lotus Blossom demonstrou uma evolução em suas técnicas, utilizando ferramentas personalizadas e frameworks conhecidos como Metasploit e Cobalt Strike, o que indica uma adaptação contínua para evitar detecções.

Um novo alerta de cibersegurança destaca os riscos associados ao uso de softwares piratas e add-ons para jogos, especialmente entre crianças e adolescentes. O jogo Roblox, popular entre esse público, se tornou um alvo atrativo para ataques de malware, como infostealers. Esses malwares são frequentemente disseminados por meio de mods que prometem melhorar o desempenho do jogo, mas que, na verdade, podem roubar informações sensíveis do computador do usuário. Pesquisas indicam que mais de 40% das invasões cibernéticas são realizadas através de arquivos relacionados a jogos, sendo que muitos jovens desabilitam antivírus para instalar esses mods. O artigo enfatiza a importância da educação digital, alertando pais e responsáveis sobre os perigos de confiar em aplicativos de terceiros e a necessidade de manter medidas de segurança, como antivírus ativos. O uso de plataformas legítimas, como NexusMod, também pode apresentar riscos, pois mods não confiáveis podem ser facilmente ignorados pelos usuários. A coleta de dados pessoais, como senhas e credenciais, pode levar a golpes de engenharia social e ameaças financeiras significativas.

Pesquisadores da MacKeeper identificaram uma nova campanha de cibercriminosos que visa usuários de Mac, utilizando anúncios maliciosos no Google. Quando os usuários buscam por ’limpeza de Mac’, eles podem ser direcionados a uma página falsa que imita o site de suporte da Apple. Ao clicar no link, a vítima é induzida a executar um comando malicioso no Terminal do macOS, ofuscado em Base64. Esse comando instala um script remoto que permite o controle total do sistema pelos hackers. Em vez de realizar uma limpeza, o malware rouba dados sensíveis, extrai chaves SSH e até minera criptomoedas. Os anúncios maliciosos são veiculados por contas verificadas do Google, que parecem ter sido comprometidas. Essa situação representa um risco significativo para a segurança dos usuários de macOS, especialmente considerando a popularidade dos dispositivos Apple no Brasil.

A infraestrutura de atualização do eScan, um antivírus da MicroWorld Technologies, foi comprometida por atacantes desconhecidos, resultando na distribuição de malware em sistemas empresariais e de consumidores em todo o mundo. O ataque ocorreu em 20 de janeiro de 2026, quando uma atualização maliciosa foi enviada a clientes durante um intervalo de duas horas. A empresa isolou os servidores afetados e lançou um patch para reverter as alterações. O malware, identificado como ‘Reload.exe’, interfere na funcionalidade do eScan, impedindo a detecção de componentes maliciosos e bloqueando atualizações remotas. O arquivo malicioso modifica o arquivo HOSTS e utiliza técnicas para contornar a interface de varredura do Windows, permitindo a execução de scripts PowerShell que podem instalar mais malware. A análise da Kaspersky revelou que centenas de máquinas, principalmente na Índia e em países vizinhos, foram afetadas. Este incidente destaca a vulnerabilidade das soluções de segurança e a necessidade de vigilância constante em relação a ataques à cadeia de suprimentos.

O desenvolvedor do Notepad++, Don Ho, revelou que um ataque patrocinado por um Estado comprometeu o mecanismo de atualização do software, redirecionando o tráfego de atualizações para servidores maliciosos. A falha ocorreu em nível de infraestrutura, no provedor de hospedagem, e não por vulnerabilidades no código do Notepad++. O problema foi identificado após a versão 8.8.9 do software, que já havia corrigido um redirecionamento ocasional de tráfego para domínios maliciosos, resultando no download de executáveis comprometidos. Acredita-se que o ataque tenha sido altamente direcionado, afetando apenas usuários específicos, e começou em junho de 2025, antes de ser descoberto em janeiro de 2026. Pesquisadores de segurança independentes identificaram que atores de ameaças na China estavam explorando essa falha para enganar alvos e instalar malware. Em resposta, o site do Notepad++ foi migrado para um novo provedor de hospedagem, após o antigo ter sido comprometido até setembro de 2025, com credenciais mantidas até dezembro do mesmo ano.

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

O ‘Golpe da Mão Fantasma’ é um ataque cibernético que utiliza trojans de acesso remoto (RAT) para controlar dispositivos móveis à distância. Os hackers exploram vulnerabilidades no sistema operacional e na interação do usuário, frequentemente utilizando táticas de phishing e engenharia social para induzir a instalação de malwares. Esses RATs não danificam arquivos, mas criam uma backdoor que permite ao invasor visualizar a tela do dispositivo, simular toques e interceptar mensagens SMS, comprometendo a segurança financeira da vítima. Um método comum de infecção é o phishing, onde mensagens enganosas levam o usuário a clicar em links maliciosos. Para se proteger, é crucial realizar auditorias de acessibilidade nos dispositivos, desativar permissões suspeitas e evitar a instalação de aplicativos de fontes desconhecidas. Caso o celular comece a agir de forma estranha, recomenda-se desconectá-lo da internet e contatar o banco imediatamente. Embora iPhones tenham medidas de segurança mais rigorosas, ainda estão suscetíveis a esse tipo de golpe. A melhor defesa continua sendo a cautela e o ceticismo em relação a ofertas e mensagens recebidas.

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Pesquisadores de cibersegurança da Cisco Talos identificaram uma nova campanha de ciberespionagem atribuída ao ator de ameaças UAT-8099, vinculado à China, que ocorreu entre o final de 2025 e o início de 2026. A campanha tem como alvo servidores vulneráveis do Internet Information Services (IIS) na Ásia, com foco específico em Tailândia e Vietnã. O grupo utiliza shells web e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, permitindo acesso remoto aos servidores comprometidos.

Pesquisadores de cibersegurança descobriram extensões maliciosas do Google Chrome que têm a capacidade de sequestrar links de afiliados, roubar dados e coletar tokens de autenticação do OpenAI ChatGPT. Uma das extensões, chamada Amazon Ads Blocker, foi publicada na Chrome Web Store por um desenvolvedor identificado como ‘10Xprofit’ e promete bloquear anúncios na Amazon. No entanto, sua verdadeira função é injetar um código de afiliado do desenvolvedor em todos os links de produtos da Amazon, substituindo os códigos de afiliados de criadores de conteúdo. Essa prática prejudica os criadores que perdem comissões quando os usuários clicam em links alterados. Além disso, a extensão faz parte de um grupo maior de 29 complementos que visam várias plataformas de e-commerce, como AliExpress e Walmart. As extensões também foram encontradas coletando dados de produtos e enviando-os para um servidor remoto. A situação é agravada por outras extensões que roubam tokens de autenticação do ChatGPT, totalizando cerca de 900 downloads. A pesquisa destaca a necessidade de cautela ao instalar extensões, mesmo aquelas de fontes aparentemente confiáveis.

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.

O artigo destaca o crescente problema de infostealers, um tipo de malware que se infiltra em dispositivos através de downloads de mods e cheats de jogos, como Roblox e Minecraft. Muitas vezes, as crianças, em busca de melhorar a performance de seus jogos, baixam arquivos aparentemente inofensivos que, na verdade, contêm malware. Esse infostealer pode roubar dados sensíveis, como senhas de navegadores, tokens de autenticação e credenciais de VPN, comprometendo não apenas a segurança pessoal, mas também a segurança corporativa quando esses dispositivos são usados para acessar redes de trabalho. A pesquisa revela que mais de 40% das infecções por infostealers estão relacionadas a arquivos de jogos. O comportamento dos jovens gamers, que frequentemente desativam antivírus e confiam em links de terceiros, torna-os alvos ideais para esses ataques. O artigo alerta que a infecção pode ocorrer em casa, mas as consequências podem ser sentidas nas empresas, uma vez que as credenciais corporativas podem ser acessadas através de dispositivos infectados. Portanto, é crucial que pais e empresas estejam cientes desse risco e adotem medidas de proteção adequadas.

Recentemente, o Google Threat Intelligence Group (GTIG), em colaboração com parceiros da indústria, desmantelou a IPIDEA, uma das maiores redes de proxies residenciais utilizadas por cibercriminosos. A operação incluiu a remoção de domínios associados aos serviços da IPIDEA, que afirmava oferecer serviços de VPN para 6,7 milhões de usuários em todo o mundo. A rede utilizava endereços IP de usuários residenciais e pequenas empresas, comprometendo dispositivos através de aplicativos maliciosos. O Google revelou que mais de 550 grupos de ameaças, incluindo atores de países como China, Irã, Rússia e Coreia do Norte, utilizaram os nós de saída da IPIDEA em uma única semana. As atividades maliciosas observadas incluíram acesso a plataformas SaaS, controle de botnets e ataques de força bruta. A infraestrutura da IPIDEA era composta por cerca de 7.400 servidores que gerenciavam tarefas de proxy. Embora a ação do GTIG tenha impactado significativamente as operações da IPIDEA, os operadores podem tentar reconstruir sua infraestrutura. O Google recomenda cautela ao usar aplicativos que oferecem serviços de VPN gratuitos ou que pagam por largura de banda, especialmente aqueles de desenvolvedores não confiáveis.

Pesquisadores da LayerX Security identificaram 16 extensões de navegador maliciosas que se disfarçam como ferramentas de produtividade para o ChatGPT, mas que têm como objetivo roubar informações e credenciais dos usuários. Essas extensões não atacam diretamente o chatbot, mas aproveitam-se do login do usuário para capturar suas credenciais. Todas as extensões foram criadas pelo mesmo autor, que as publicou em plataformas como a Chrome Web Store, onde uma delas chegou a receber o selo ‘Em Destaque’, conferindo-lhe uma aparência de legitimidade. Apesar de terem sido baixadas apenas cerca de 900 vezes, a preocupação reside na confiança que os usuários depositam em ferramentas desse tipo. Os hackers utilizam tokens de sessão, que são chaves temporárias que permitem ao navegador reconhecer um usuário logado, para se passar por eles e acessar dados sensíveis, incluindo conversas com o chatbot e informações corporativas em plataformas como Slack e Google Drive. Os pesquisadores alertam para a necessidade de tratar qualquer extensão relacionada a IA como um aplicativo de alto risco e recomendam a remoção de ferramentas não reconhecidas.

Um novo serviço de malware, operado por hackers russos sob o pseudônimo ‘Stenli’, está comercializando uma extensão falsa do Google Chrome com o objetivo de roubar informações sensíveis dos usuários. Este malware é projetado para enganar as vítimas, falsificando sites legítimos e coletando dados confidenciais, como informações bancárias. A extensão maliciosa consegue burlar o sistema de moderação da Chrome Web Store, permitindo que ela seja instalada diretamente no navegador. O preço para adquirir essa ferramenta varia entre US$ 2 mil e US$ 6 mil. A análise da Varonis revelou que a extensão utiliza um iframe para sobrepor sites legítimos com conteúdo de phishing, enquanto mantém o endereço original visível, aumentando a credibilidade do golpe. Além disso, a extensão pode enviar notificações push que parecem vir do próprio Chrome, o que dificulta a identificação do ataque. Especialistas alertam que os usuários devem verificar regularmente as extensões instaladas e estar atentos às permissões solicitadas por elas, a fim de evitar serem vítimas desse tipo de golpe.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

A MicroWorld Technologies, fabricante do antivírus eScan, confirmou que um de seus servidores de atualização foi comprometido, resultando na distribuição de um arquivo malicioso para um pequeno grupo de clientes em 20 de janeiro de 2026. O ataque ocorreu durante uma janela de duas horas, afetando apenas aqueles que baixaram atualizações de um cluster regional específico. A empresa isolou e reconstruiu a infraestrutura afetada, rotacionou credenciais de autenticação e disponibilizou remediações para os clientes impactados. A empresa de segurança Morphisec publicou um relatório técnico associando a atividade maliciosa observada em endpoints de clientes às atualizações entregues durante o mesmo período. O arquivo malicioso, uma versão modificada do componente de atualização ‘Reload.exe’, foi assinado com um certificado de assinatura de código do eScan, mas a assinatura foi considerada inválida. O malware implantado permitiu a persistência, execução de comandos e modificação do arquivo HOSTS do Windows, impedindo atualizações remotas. A MicroWorld Technologies enfatizou que o incidente não envolveu uma vulnerabilidade no produto eScan em si, e que apenas os clientes que atualizaram a partir do cluster afetado foram impactados. A empresa recomenda que os clientes bloqueiem os servidores de comando e controle identificados para aumentar a segurança.

Pesquisadores de cibersegurança alertaram sobre uma nova extensão maliciosa do Microsoft Visual Studio Code (VS Code) chamada “ClawdBot Agent - AI Coding Assistant”. Publicada em 27 de janeiro de 2026, a extensão se disfarça como um assistente de codificação baseado em inteligência artificial, mas na verdade instala um payload malicioso nos sistemas dos usuários. A extensão foi rapidamente removida pela Microsoft após a identificação do problema.

O malware, vinculado ao projeto Moltbot, permite que atacantes obtenham acesso remoto persistente aos dispositivos comprometidos. Ao ser instalada, a extensão executa automaticamente um arquivo que baixa um programa legítimo de acesso remoto, o ConnectWise ScreenConnect, permitindo que os invasores controlem o sistema da vítima. Além disso, a extensão possui mecanismos de fallback que garantem a entrega do payload mesmo se a infraestrutura de comando e controle for desativada.

Uma pesquisa da ISH Tecnologia revelou que o WinRAR, uma ferramenta amplamente utilizada para compressão de arquivos, está sendo explorada por hackers para distribuir malwares, como infostealers e trojans, que visam roubar credenciais e realizar fraudes bancárias. Os criminosos disfarçam esses malwares como arquivos comuns, como currículos e documentos corporativos, o que aumenta o risco de infecção. Além disso, grupos estatais de espionagem digital, como o russo Sandworm e o chinês APT40, também estão utilizando essas vulnerabilidades para infiltração e roubo de dados em setores críticos, como energia e defesa. A ISH recomenda que os usuários atualizem o WinRAR ou considerem a substituição por alternativas que ofereçam atualizações automáticas. É importante também evitar abrir anexos suspeitos e monitorar atividades estranhas após a extração de arquivos. A falta de um sistema de atualização automática no WinRAR pode expor usuários a riscos sérios, mesmo após a liberação de correções para vulnerabilidades.

Um grupo de cibercriminosos com vínculos à China, conhecido como Mustang Panda, tem utilizado uma versão atualizada de um backdoor chamado COOLCLIENT em ataques de espionagem cibernética. Esses ataques, que ocorreram em 2025, visaram principalmente entidades governamentais em países como Mianmar, Mongólia, Malásia e Rússia, resultando em um roubo abrangente de dados de endpoints infectados. O malware é frequentemente implantado como um backdoor secundário, em conjunto com outras infecções como PlugX e LuminousMoth. O COOLCLIENT é entregue por meio de arquivos carregadores criptografados e utiliza técnicas de DLL side-loading, o que exige um executável legítimo para carregar a DLL maliciosa. O malware é capaz de coletar informações do sistema e do usuário, como pressionamentos de tecla, conteúdos da área de transferência e credenciais de proxy HTTP. Além disso, o grupo tem explorado softwares legítimos para facilitar suas operações, incluindo produtos da Sangfor. As campanhas de Mustang Panda também incluem o uso de programas de roubo de credenciais para navegadores populares, ampliando suas atividades de pós-exploração. Com capacidades que vão além da simples espionagem, como monitoramento ativo de usuários, os ataques representam uma ameaça significativa para a segurança cibernética.

O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.

Uma nova acusação de um grande júri federal em Nebraska resultou na imputação de 31 indivíduos por envolvimento em uma operação de jackpotting em caixas eletrônicos, supostamente orquestrada pela gangue venezuelana Tren de Aragua. As acusações se seguem a duas outras denúncias anteriores, que totalizam 87 membros da gangue processados nos últimos seis meses. Os réus são acusados de usar malware Ploutus para roubar milhões de dólares de caixas eletrônicos em todo os Estados Unidos. O malware foi instalado em caixas eletrônicos após a abertura de suas carcaças, permitindo que os criminosos eliminassem evidências e forçassem os dispositivos a liberar dinheiro. A gangue, que evoluiu de uma organização criminosa local para uma designada como organização terrorista estrangeira pelo Departamento do Tesouro dos EUA, representa uma ameaça significativa à segurança financeira. Se condenados, os réus enfrentam penas de prisão que variam de 20 a 335 anos. O caso destaca a crescente complexidade e sofisticação das ameaças cibernéticas, exigindo atenção redobrada das instituições financeiras e autoridades de segurança.