A Meta anunciou a disponibilização do WhatsApp Research Proxy para pesquisadores de bug bounty, visando aprimorar a segurança da plataforma de mensagens. A iniciativa busca facilitar a pesquisa em tecnologias específicas do WhatsApp, que continua sendo um alvo atrativo para atores patrocinados por estados e fornecedores de spyware. Nos últimos 15 anos, a Meta pagou mais de US$ 25 milhões em recompensas a mais de 1.400 pesquisadores, com mais de US$ 4 milhões pagos apenas neste ano. Entre as vulnerabilidades descobertas, destaca-se uma falha de validação incompleta em versões anteriores do WhatsApp, que poderia permitir que um usuário processasse conteúdo de URLs arbitrárias em dispositivos de outros usuários, embora não haja evidências de exploração dessa falha. Além disso, a Meta implementou proteções contra scraping após a descoberta de um método que poderia expor dados de 3,5 bilhões de usuários do WhatsApp. A empresa reafirmou que as mensagens dos usuários permanecem seguras devido à criptografia de ponta a ponta. A pesquisa também revelou números significativos de contas do WhatsApp em países onde o aplicativo é banido, como China e Myanmar.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

A Protei, uma empresa russa conhecida por desenvolver ferramentas de vigilância como DPI (Deep Packet Inspection) e SORM (Sistema de Interceptação Legal), foi recentemente hackeada, resultando no roubo de 182GB de dados, incluindo anos de correspondência por e-mail. O ataque ocorreu em torno de 8 de novembro e foi realizado por um grupo de hacktivistas que também desfigurou o site da empresa, deixando uma mensagem de oposição ao ecossistema de vigilância da Rússia. A Protei fornece soluções de software e hardware para operadores de telecomunicações e clientes governamentais em diversos países, incluindo Rússia, Belarus e Cuba, permitindo que autoridades monitorem comunicações. O roubo de dados e a desfiguração do site levantam questões sobre a segurança das informações sensíveis e a eficácia das medidas de proteção adotadas por empresas que operam nesse setor. O incidente destaca a crescente atividade de hacktivismo e a vulnerabilidade de empresas que atuam em áreas de vigilância e controle de dados.

Pesquisadores de cibersegurança identificaram um conjunto de sete pacotes npm maliciosos publicados por um ator de ameaça conhecido como ‘dino_reborn’ entre setembro e novembro de 2025. Esses pacotes utilizam um serviço de cloaking chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando as vítimas para sites fraudulentos relacionados a criptomoedas. Se um visitante é identificado como vítima, ele é levado a um site malicioso após interagir com um CAPTCHA falso. Se o visitante é um pesquisador, ele é apresentado a uma página de engano sem funcionalidades maliciosas. Seis dos pacotes contêm um malware de 39kB que captura impressões digitais do sistema e impede a análise do código-fonte. O uso do Adspect é notável, pois combina cloaking de tráfego e controles anti-pesquisa em pacotes de código aberto, permitindo que o ator de ameaça distribua um kit de ferramentas de controle de tráfego. O impacto potencial inclui roubo de ativos digitais e a possibilidade de comprometer a segurança de desenvolvedores que utilizam npm, uma plataforma amplamente utilizada no Brasil.

O Fabric de Segurança de Identidade (ISF) é uma estrutura arquitetônica unificada que integra diversas capacidades de identidade, como governança, gerenciamento de acesso e detecção de ameaças. Com o aumento da complexidade dos ambientes de TI e a prevalência de ataques cibernéticos, a abordagem tradicional com ferramentas isoladas se torna insuficiente. O ISF se destaca por proteger todos os tipos de identidade, incluindo humanos, máquinas e agentes de IA, em ambientes on-premises, híbridos e multi-nuvem.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

O uso da nuvem se tornou uma prática comum entre empresas, oferecendo agilidade e eficiência. No entanto, à medida que a infraestrutura em nuvem se expande, a gestão de acesso se torna mais complexa, aumentando o risco de vazamentos de dados e problemas legais. O artigo destaca a importância de estabelecer regras de acesso robustas e de se manter em conformidade com legislações globais, como a LGPD no Brasil. Para ajudar as empresas a enfrentar esses desafios, um webinar gratuito com especialistas da CyberArk será realizado, abordando estratégias práticas para proteger cargas de trabalho em nuvem. Os participantes aprenderão a limitar danos em caso de roubo de credenciais, a definir regras de acesso sem comprometer a agilidade da equipe e a alinhar-se com as normas de segurança internacionais. A crescente sofisticação dos atacantes exige que as empresas adotem um plano de segurança eficaz para proteger suas operações na nuvem, garantindo que a inovação não comprometa a segurança.

No dia 18 de novembro de 2025, o Google lançou atualizações de segurança para seu navegador Chrome, abordando duas falhas críticas, incluindo uma que está sendo ativamente explorada. A vulnerabilidade identificada como CVE-2025-13223, com uma pontuação CVSS de 8.8, é uma falha de confusão de tipo no motor V8 do JavaScript e WebAssembly, que pode permitir a execução de código arbitrário ou causar falhas no programa. Segundo o NIST, essa falha pode ser explorada por atacantes remotos através de uma página HTML manipulada. O especialista Clément Lecigne, do Google Threat Analysis Group, descobriu a vulnerabilidade em 12 de novembro de 2025. O Google confirmou que um exploit para essa falha já está disponível na internet. Além disso, a atualização também corrige outra vulnerabilidade de confusão de tipo (CVE-2025-13224), também com pontuação 8.8, identificada por um agente de inteligência artificial do Google. Para se proteger, os usuários devem atualizar o Chrome para as versões 142.0.7444.175/.176 para Windows, 142.0.7444.176 para macOS e 142.0.7444.175 para Linux. É recomendado que usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, também apliquem as correções assim que disponíveis.

A Microsoft anunciou a neutralização de um ataque de negação de serviço distribuído (DDoS) que atingiu 15,72 terabits por segundo (Tbps) e 3,64 bilhões de pacotes por segundo (pps), o maior já observado na nuvem. O ataque, originado de uma botnet de Internet das Coisas (IoT) chamada AISURU, envolveu mais de 500.000 endereços IP de origem. Os ataques foram caracterizados por inundações UDP de alta taxa, com pouca falsificação de origem, o que facilitou a rastreabilidade. A botnet AISURU, composta por cerca de 300.000 dispositivos infectados, como roteadores e câmeras de segurança, é responsável por alguns dos maiores ataques DDoS registrados. Embora a Microsoft tenha conseguido neutralizar o ataque, a vulnerabilidade dos dispositivos comprometidos ainda representa um risco. Além disso, a botnet também é utilizada para outras atividades ilícitas, como phishing e scraping. A crescente capacidade de ataque é impulsionada pelo aumento da velocidade da internet e pela potência dos dispositivos IoT. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger infraestruturas críticas.

Pesquisadores da Oligo identificaram vulnerabilidades graves em motores de inferência de inteligência artificial, impactando grandes empresas como Meta, Microsoft e Nvidia. As falhas, que permitem a execução de código remoto, estão ligadas ao uso inseguro do ZeroMQ e à desserialização de dados com o módulo pickle do Python, resultando em um padrão de vulnerabilidade denominado ShadowMQ. A principal brecha foi encontrada no framework Llama da Meta, classificada como CVE-2024-50050, com um score CVSS de 6,3/9,3, que foi corrigida em outubro de 2025. Outras tecnologias, como a TensorRT-LLM da Nvidia e o Sarathi-Serve da Microsoft, também apresentaram falhas, com algumas ainda sem correção. A exploração dessas vulnerabilidades pode permitir que invasores executem códigos arbitrários, aumentem privilégios e até roubem modelos de IA. A situação é crítica, pois comprometer um único motor de inferência pode ter consequências severas, como a inserção de agentes maliciosos nas LLMs. O alerta é para que as empresas revisem suas implementações e apliquem as correções necessárias para evitar possíveis ataques.

A Tata Motors, proprietária da Jaguar Land Rover (JLR), divulgou que um ciberataque de ransomware ocorrido em setembro resultou em um prejuízo de £ 196 milhões (aproximadamente R$ 1,3 bilhão). O ataque interrompeu a produção nas fábricas da JLR por quase um mês, impactando significativamente os resultados financeiros da empresa. No relatório do segundo semestre, a JLR registrou uma queda de 24% na receita em comparação ao ano anterior, totalizando £ 4,9 bilhões (R$ 34 bilhões). O prejuízo total do período foi de £ 485 milhões (R$ 3,3 bilhões), enquanto no ano anterior a empresa havia reportado um lucro de £ 398 milhões (R$ 2,7 bilhões).

A Logitech confirmou ter sido alvo de um ataque de dia zero, resultando em um vazamento de dados considerado ’limitado’. O grupo de cibercrime Clop, conhecido por suas práticas de extorsão, foi identificado como responsável pelo ataque. Embora a empresa tenha garantido que a violação não afetou seus produtos ou operações, especialistas acreditam que informações sobre funcionários, consumidores e fornecedores podem ter sido comprometidas. A Logitech não tem certeza sobre quais dados específicos foram roubados, mas afirma que informações sensíveis, como registros de identidade e dados de cartão de crédito, não estavam armazenadas no sistema afetado. A vulnerabilidade explorada estava em uma plataforma de software de terceiros, que foi corrigida imediatamente após a descoberta. O incidente destaca a crescente preocupação com a segurança cibernética, especialmente em um cenário onde grupos como o Clop têm intensificado suas atividades de ransomware, afetando diversas empresas ao redor do mundo.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

A Microsoft anunciou a implementação de um novo recurso no Teams, destinado a usuários premium, que bloqueia automaticamente a captura de tela durante reuniões. Denominada ‘prevent screen capture’, essa funcionalidade visa aumentar a segurança digital, evitando o vazamento de informações sensíveis. Quando ativado, o recurso impede que os usuários capturem a tela durante chamadas de vídeo, resultando em um retângulo preto na tela para usuários de Windows ou uma mensagem de restrição para aqueles em dispositivos Android. É importante ressaltar que o bloqueio não é ativado por padrão; os organizadores das reuniões devem habilitá-lo manualmente. Essa medida é especialmente relevante em um contexto corporativo, onde a proteção de dados é crucial. A Microsoft também destacou que o bloqueio não se aplica a plataformas que não suportam essa funcionalidade, limitando o acesso a áudio apenas. Com essa atualização, a empresa busca reforçar a segurança em um ambiente de trabalho cada vez mais digitalizado e vulnerável a ataques cibernéticos.

O Centro de Resposta Nacional de Emergência de Vírus de Computador da China (CVERC) acusou os Estados Unidos de terem roubado 127.272 bitcoins, equivalentes a aproximadamente R$ 69 bilhões, em um ataque hacker ocorrido em dezembro de 2020. O ataque teria sido direcionado à LuBian, uma das maiores mineradoras de criptomoedas do mundo. Segundo informações do site Nikkei Asia, os bitcoins subtraídos permaneceram inativos por mais de quatro anos, até que, em 2024, os EUA teriam movimentado os fundos após a acusação formal de Chen Zhi, um empresário ligado a centros de golpe no Camboja. O governo chinês sugere que a operação foi orquestrada por uma organização hacker nacional, e não por hackers comuns. Este incidente é o maior confisco de criptomoedas da história, superando o valor anteriormente confiscado pelo Reino Unido. A situação é complexa, pois as criptomoedas não têm jurisdição específica, o que dificulta a transparência nas operações. A recente divulgação da China sobre o caso levanta questões sobre a motivação por trás do comunicado, especialmente em um contexto de trégua comercial entre os dois países.

Um vazamento significativo de dados da empresa chinesa Knownsec, especializada em cibersegurança, revelou informações que sugerem um possível envolvimento do governo da China em atividades de ciberespionagem. O incidente, que ocorreu no início de novembro de 2025, expôs cerca de 12 mil arquivos, totalizando aproximadamente 95 GB de registros de imigração da Índia, 3 TB de registros de chamadas da operadora sul-coreana LG Uplus e 459 GB de dados sobre transporte em Taiwan. Os documentos vazados indicam que a Knownsec, que frequentemente colabora com órgãos governamentais, poderia estar desenvolvendo “armas cibernéticas” para espionagem. Além disso, foram encontrados dados sensíveis de mais de 20 países, incluindo Japão e Reino Unido, e uma planilha detalhando ataques digitais a 80 empresas internacionais, principalmente no setor de telecomunicações. Os hackers teriam utilizado um trojan de acesso remoto (RAT) para obter controle total dos dispositivos infectados, além de ferramentas específicas para Android que permitiam a coleta de mensagens de aplicativos como Telegram. O governo chinês negou qualquer envolvimento, afirmando que não tem conhecimento sobre a violação de segurança, mas não descartou a possibilidade de que empresas estatais possam estar envolvidas em operações de inteligência cibernética.

Hackers chineses estão utilizando inteligência artificial (IA) para aprimorar suas campanhas de ciberespionagem, conforme identificado pela Anthropic, a empresa responsável pela ferramenta Claude Code. Essa nova abordagem foi observada em ataques a cerca de 30 empresas internacionais, incluindo instituições financeiras e agências governamentais. O relatório revela que, em ataques bem-sucedidos, a intervenção humana foi mínima, com a IA executando de 80 a 90% das tarefas necessárias.

A operação dos hackers foi organizada em seis fases, começando pela seleção do alvo e culminando na exfiltração de dados confidenciais. A IA foi manipulada para atuar como um agente autônomo, encontrando vulnerabilidades, coletando credenciais e explorando sistemas. A Anthropic respondeu banindo as contas associadas a esses ataques e implementando novos mecanismos de defesa. Essa evolução na ciberespionagem, com uma IA promovendo um ataque de larga escala, levanta preocupações sobre a profissionalização do cibercrime e o uso crescente de tecnologias avançadas para atividades ilícitas.

A Fortinet emitiu um alerta urgente para seus clientes após a descoberta de uma vulnerabilidade crítica em seu firewall de aplicação web, o FortiWeb. Identificada como CVE-2025-64446, essa falha permite que atacantes não autenticados executem comandos administrativos no sistema, apresentando um risco significativo. A vulnerabilidade afeta as versões 7.0.0 a 8.0.1 do FortiWeb e foi corrigida na versão 8.0.2. A gravidade da falha foi classificada com um escore de 9.8 em 10, indicando a necessidade de ação imediata. A Fortinet recomenda que os usuários apliquem o patch ou desativem as interfaces HTTP/HTTPS expostas à internet. A vulnerabilidade já está sendo explorada ativamente, conforme relatórios de pesquisadores de segurança. A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que agências federais tomem medidas até 21 de novembro. A situação destaca a importância de manter sistemas atualizados e monitorar logs para detectar possíveis modificações não autorizadas.

A Sato Corporation anunciou a notificação de vítimas de uma violação de dados ocorrida em outubro de 2025, que comprometeu informações pessoais como nomes, endereços de e-mail, endereços postais, números de telefone e contas de clientes. Os hackers exploraram uma vulnerabilidade zero-day no software Oracle E-Business Suite, amplamente utilizado por grandes empresas para gerenciar finanças e recursos humanos. A Sato informou que o sistema afetado continha dados de pedidos, informações de envio e recebimento, além de contas a receber e a pagar, mas não incluiu senhas ou informações de produtos. O grupo de ransomware Clop reivindicou a responsabilidade pelo ataque, que afetou operações da Sato em vários países, incluindo Japão, EUA, Singapura, Malásia, Europa e Reino Unido. A Sato não confirmou se pagou ou não o resgate exigido, e a investigação sobre a extensão da violação está em andamento. O ataque destaca a crescente ameaça de grupos de ransomware que exploram vulnerabilidades em softwares críticos, com um aumento significativo de ataques a fabricantes em 2025.

O grupo de cibercriminosos conhecido como Dragon Breath, também identificado como APT-Q-27, tem utilizado um carregador de múltiplas etapas chamado RONINGLOADER para disseminar uma variante modificada do trojan de acesso remoto Gh0st RAT. A campanha é direcionada principalmente a usuários de língua chinesa e utiliza instaladores NSIS trojanizados que se disfarçam como softwares legítimos, como Google Chrome e Microsoft Teams. Os pesquisadores de segurança da Elastic Security Labs destacam que a cadeia de infecção emprega diversas técnicas de evasão para neutralizar produtos de segurança populares na China. Entre as táticas utilizadas, estão a utilização de drivers assinados legitimamente e a manipulação do Microsoft Defender. O RONINGLOADER não apenas tenta eliminar processos de segurança, mas também injeta código malicioso em processos legítimos do Windows para ocultar suas atividades. Além disso, uma campanha paralela identificada pela Palo Alto Networks, chamada Campaign Chorus, também tem utilizado a falsificação de marcas para atingir usuários de língua chinesa, empregando uma cadeia de infecção mais sofisticada. Essas atividades representam um risco significativo, especialmente para organizações que operam em setores vulneráveis a ataques cibernéticos.

Os ataques de phishing estão se diversificando, com um em cada três ocorrendo fora do e-mail, especialmente no LinkedIn. Este artigo destaca como os atacantes estão utilizando a plataforma para realizar ataques direcionados, especialmente contra executivos de empresas nos setores financeiro e tecnológico. A natureza das mensagens diretas no LinkedIn permite que os ataques contornem as ferramentas tradicionais de segurança, que geralmente se concentram na proteção de e-mails. Além disso, a facilidade de criar contas falsas ou sequestrar contas legítimas torna o LinkedIn um alvo atraente para os criminosos. Os atacantes podem facilmente mapear perfis de empresas e identificar alvos de alto valor, aumentando a probabilidade de sucesso. A falta de proteção contra spam e a expectativa de interações profissionais tornam os usuários mais suscetíveis a cair em armadilhas. O impacto potencial desses ataques pode ser devastador, com acesso a dados críticos e funções empresariais. Portanto, é crucial que as empresas adotem medidas proativas para proteger suas redes e treinar seus funcionários sobre os riscos associados a essas novas formas de phishing.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.

No combate ao cibercrime, muitas vezes pensamos em hackers sofisticados e códigos complexos, mas o relatório da Verizon Business 2025 revela que quase 60% das violações de dados envolvem o fator humano. Técnicas de engenharia social, como phishing e pretexting, continuam a ser as mais comuns, utilizando elementos do nosso cotidiano digital, como notificações de entrega e solicitações de redefinição de senha, para enganar os usuários. Os criminosos cibernéticos estão se aproveitando da confiança que depositamos em plataformas digitais, criando armadilhas que se disfarçam como atualizações legítimas ou links de newsletters confiáveis. Além disso, novas táticas, como induzir usuários a copiar e colar comandos maliciosos, estão transformando ferramentas comuns em cúmplices involuntários. Mesmo a autenticação multifatorial (MFA), considerada uma defesa robusta, está sendo explorada por criminosos através de plataformas de phishing. A defesa mais eficaz contra essas ameaças não é apenas software, mas sim indivíduos informados e vigilantes. A cibersegurança deve ser uma preocupação coletiva, exigindo pensamento crítico e ceticismo em cada interação online.

Um novo relatório da Tenable destaca a crescente preocupação com a segurança em ambientes que utilizam inteligência artificial (IA). Com 89% das organizações já implementando ou testando cargas de trabalho de IA, a pesquisa revela que apenas 22% das empresas classificam e criptografam completamente seus dados de IA, deixando 78% vulneráveis a ataques. Além disso, 34% dos adotantes de IA já enfrentaram violações relacionadas à tecnologia, sendo que a maioria dessas falhas decorre de vulnerabilidades internas e não de ataques sofisticados aos modelos de IA. As principais causas de brechas incluem vulnerabilidades de software (21%) e ameaças internas (18%). A Tenable alerta que as empresas estão escalando suas operações de IA mais rapidamente do que conseguem garantir a segurança, resultando em defesas reativas. A pesquisa também indica que cerca de 51% das empresas seguem diretrizes mínimas, como o NIST AI Risk Management Framework, e apenas 26% realizam testes de segurança específicos para IA. Para mitigar a ’lacuna de exposição em IA’, a Tenable recomenda que as empresas priorizem controles fundamentais, como governança de identidade e monitoramento de configurações, para estabelecer uma postura de segurança robusta.

O Google anunciou que a adoção da linguagem de programação Rust no Android resultou em uma queda significativa nas vulnerabilidades de segurança relacionadas à memória, que agora representam menos de 20% do total. Jeff Vander Stoep, do Google, destacou que a transição para Rust trouxe uma redução de 1000 vezes na densidade de vulnerabilidades de segurança de memória em comparação ao código em C e C++. Além disso, as mudanças em Rust têm uma taxa de reversão quatro vezes menor e demandam 25% menos tempo em revisão de código, tornando o desenvolvimento não apenas mais seguro, mas também mais ágil. Desde 2019, o número de vulnerabilidades de segurança de memória caiu de 223 para menos de 50 em 2024. O Google planeja expandir o uso de Rust em outras partes do ecossistema Android, como no kernel e em aplicativos críticos. Apesar dos avanços, a empresa enfatiza a importância de uma abordagem de defesa em profundidade, ressaltando que as características de segurança da linguagem são apenas uma parte de uma estratégia abrangente. Um exemplo de vulnerabilidade descoberta foi a CVE-2025-48530, que poderia ter permitido execução remota de código, mas foi corrigida antes de ser divulgada publicamente.

O artigo explora as diferenças entre a surface web, deep web e dark web, desmistificando conceitos frequentemente associados a atividades ilícitas. A surface web é a parte da internet que é indexada por mecanismos de busca, contendo a maioria dos sites acessíveis ao público. Em contraste, a deep web inclui conteúdos não indexados, como e-mails, bancos online e bases de dados protegidas, que são essenciais para a privacidade e segurança dos usuários. A dark web, uma subcategoria da deep web, é acessível apenas por meio de softwares específicos, como o Tor, e é frequentemente associada a atividades ilegais, mas também serve a propósitos legítimos, como a proteção de jornalistas e dissidentes em regimes autoritários. O artigo enfatiza que, embora a dark web possa abrigar atividades criminosas, ela também é um espaço de anonimato e liberdade de expressão. A compreensão desses conceitos é crucial para navegar na internet de forma segura e informada.

A Fulgar, uma renomada produtora de fios sintéticos, confirmou ter sido alvo de um ataque de ransomware vinculado ao grupo RansomHouse. Os atacantes publicaram documentos internos, incluindo informações financeiras, listas de clientes e comunicações sensíveis, em seu site de vazamento no dia 12 de novembro, alegando que os dados estavam criptografados desde 31 de outubro. A Fulgar, que fornece para grandes marcas como H&M e Adidas, opera em várias regiões, incluindo Europa, Sri Lanka e Turquia. O ataque destaca a vulnerabilidade de grandes fornecedores, mostrando que mesmo empresas consolidadas podem ser comprometidas. A divulgação de informações confidenciais pode facilitar tentativas de phishing direcionadas, aumentando os riscos para a empresa e seus parceiros. O grupo RansomHouse, ativo desde 2021, já listou mais de cem vítimas, e as autoridades cibernéticas dos EUA o associaram a atores iranianos. A proteção contra roubo de identidade e o uso de software antivírus eficaz são essenciais para mitigar riscos adicionais durante esses períodos de incerteza.

Os keyloggers são ferramentas que registram as teclas digitadas em dispositivos, podendo ser utilizados tanto de forma legítima quanto maliciosa. Como software, eles são frequentemente instalados em sistemas operacionais sem o conhecimento do usuário, enquanto como hardware, podem ser dispositivos físicos conectados entre o teclado e o computador. A principal função dos keyloggers é coletar informações sensíveis, como senhas e dados bancários, o que os torna uma ameaça significativa no cenário da cibersegurança. Embora possam ser usados legalmente para monitoramento corporativo, controle parental e suporte técnico, seu uso sem consentimento levanta questões éticas e de privacidade. Os cibercriminosos, por outro lado, utilizam keyloggers para roubar dados através de métodos como phishing e downloads de trojans. Para se proteger, é essencial estar ciente dos sinais de alerta e adotar medidas de segurança, como o uso de antivírus e a verificação de links suspeitos. O artigo também discute a necessidade de um debate ético sobre o uso de keyloggers, especialmente em ambientes corporativos e familiares, onde a privacidade deve ser respeitada.

Os Estados Unidos criaram uma força-tarefa, denominada ‘Strike Force’, para combater fraudes relacionadas a criptomoedas que operam a partir do Sudeste Asiático, especialmente em países como Mianmar, Camboja e Laos. Nos últimos cinco anos, redes organizadas têm enganado cidadãos americanos, resultando em perdas de bilhões de dólares. A força-tarefa, que envolve várias agências federais, como o Departamento de Justiça e o FBI, utilizará investigações, processos criminais, sanções e apreensões para desmantelar essas operações e buscar restituição para as vítimas. Até agora, foram apreendidos mais de 401 milhões de dólares em criptomoedas de operações fraudulentas. Além disso, a força-tarefa está colaborando com autoridades locais, como a Polícia Real da Tailândia, para combater centros de fraudes. Grupos criminosos transnacionais, incluindo organizações chinesas, estão envolvidos na coordenação dessas fraudes, que também estão ligadas a atividades de tráfico humano e conflitos armados na região. O aumento das fraudes em investimentos em criptomoedas tem sido alarmante, com o Serviço Secreto dos EUA relatando cerca de 3.000 vítimas apenas no ano fiscal de 2025. A iniciativa reflete o compromisso dos EUA em se tornar um centro global para a indústria de criptomoedas, ao mesmo tempo em que protege seus cidadãos de fraudes.

O malware de botnet conhecido como RondoDox está atacando instâncias do XWiki que não foram atualizadas, aproveitando uma falha de segurança crítica identificada como CVE-2025-24893, que possui uma pontuação CVSS de 9.8. Essa vulnerabilidade, que permite a execução remota de código arbitrário, foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0RC1 do XWiki, lançadas em fevereiro de 2025. Desde março, houve indícios de que a falha estava sendo explorada, mas foi em outubro que a VulnCheck reportou um aumento significativo nas tentativas de exploração, culminando em um pico em 7 de novembro. O RondoDox, que rapidamente está adicionando novos vetores de exploração, visa dispositivos vulneráveis para realizar ataques de negação de serviço distribuída (DDoS) utilizando protocolos HTTP, UDP e TCP. Além disso, outras tentativas de ataque têm sido observadas, como a entrega de mineradores de criptomoedas e a criação de shells reversos. A CISA dos EUA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais implementem as devidas mitig ações até 20 de novembro. Este cenário ressalta a importância de práticas robustas de gerenciamento de patches para garantir a proteção adequada.

Os ataques ’living off the land’ (LotL) são uma técnica de cibercrime que utiliza ferramentas legítimas já instaladas no sistema da vítima para realizar atividades maliciosas. Ao invés de depender de malwares que podem ser facilmente detectados por antivírus, os criminosos exploram softwares como o PowerShell e o WMI, que são essenciais para a administração do sistema. Isso torna a detecção desses ataques extremamente difícil, pois os programas de segurança não conseguem identificar a diferença entre ações benignas e maliciosas.

O Departamento de Justiça dos EUA anunciou que cinco indivíduos se declararam culpados por ajudar a Coreia do Norte em esquemas de geração de receita ilícita, violando sanções internacionais. Os acusados, entre 24 e 34 anos, facilitaram fraudes envolvendo trabalhadores de tecnologia da informação (TI) que se apresentavam como cidadãos americanos para obter empregos em empresas dos EUA. Entre as ações fraudulentas, destacam-se a utilização de identidades falsas, a instalação de software de acesso remoto em laptops e a realização de testes de drogas em nome dos trabalhadores. Um dos réus, Oleksandr Didenko, também foi acusado de roubo de identidade e operou um site para vender identidades roubadas. O esquema resultou em mais de 2,2 milhões de dólares em receita para o regime norte-coreano e comprometeu a identidade de mais de 18 cidadãos americanos. Além disso, o DoJ está buscando confiscar mais de 15 milhões de dólares em criptomoedas relacionadas a atividades de hackers associados à Coreia do Norte, que realizaram diversos roubos em plataformas de moeda virtual. Essas ações refletem os esforços contínuos do governo dos EUA para combater as operações de TI e hacking da Coreia do Norte, que têm sido utilizadas para financiar seu programa nuclear.

O trabalho remoto, intensificado pela pandemia, trouxe à tona questões de segurança cibernética, mas não é o único responsável pelas brechas de dados. O artigo analisa como a combinação de falhas históricas, como credenciais expostas, controles fracos de terceiros e configurações inadequadas de serviços em nuvem, contribuiu para os incidentes de segurança em 2025. Embora o trabalho remoto tenha ampliado os riscos, ele não é o único fator. As investigações revelam que muitos ataques foram facilitados por erros humanos e vulnerabilidades em sistemas legados, independentemente da localização dos funcionários. Para mitigar esses riscos, os líderes empresariais devem priorizar a gestão de identidade, fortalecer a segurança de terceiros, corrigir desvios de configuração e medir métricas relevantes. O foco deve ser em sistemas e processos, em vez de culpar o trabalho remoto, para garantir uma abordagem mais eficaz na segurança cibernética.

O aumento dos ataques de ransomware tem gerado um intenso debate sobre a questão dos pagamentos de resgate. Em 2025, houve um crescimento de 126% nos ataques em relação ao trimestre anterior, levando o governo do Reino Unido a considerar a proibição desses pagamentos, especialmente para o setor público e infraestrutura crítica. A proposta visa desencorajar organizações de cederem a demandas de criminosos, que muitas vezes não garantem a devolução dos dados. Embora pagar um resgate possa parecer uma solução rápida, isso alimenta um ciclo de criminalidade cibernética. Em 2025, 41% das organizações admitiram ter pago resgates, mas apenas 67% conseguiram recuperar totalmente seus dados. A proibição dos pagamentos poderia forçar as organizações a se concentrarem em resiliência cibernética, planejamento de resposta a incidentes e estratégias de recuperação. Para se proteger, as empresas devem investir em provedores de serviços gerenciados (MSPs), treinamento de conscientização em segurança e planos de resposta a incidentes. A discussão sobre a proibição dos pagamentos de resgate levanta questões sobre a eficácia dessa abordagem e a necessidade de alternativas viáveis para a recuperação de dados sensíveis.

O Washington Post notificou cerca de 10 mil empregados e prestadores de serviço sobre um vazamento de dados que ocorreu devido a um ataque hacker em sistemas da Oracle, entre 10 de julho e 22 de agosto de 2025. A vulnerabilidade explorada foi identificada no Oracle E-Business Suite, um software amplamente utilizado para gerenciar recursos humanos, finanças e cadeias de suprimentos. Os hackers, associados ao grupo de ransomware Clop, tentaram extorquir a empresa em setembro, após a descoberta da brecha. Os dados comprometidos incluem informações sensíveis como nome completo, número de conta bancária, documentos de identidade e dados fiscais. A empresa IDX, especializada em proteção contra roubo de identidade, ofereceu serviços gratuitos aos afetados, recomendando medidas como o congelamento de segurança nos cartões de crédito. Este incidente ressalta a importância de monitorar e proteger sistemas críticos, especialmente em um cenário onde a segurança da informação é cada vez mais desafiadora.

Recentemente, a vila de Mundelein, Illinois, notificou vítimas de uma violação de dados ocorrida em janeiro de 2025, onde informações pessoais sensíveis foram comprometidas. Entre os dados vazados estão números de Seguro Social, informações financeiras, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, alegando ter roubado 118 GB de dados do Distrito de Parques e Recreação de Mundelein. Após a violação, Medusa exigiu um resgate inicial de $400,000, que foi posteriormente reduzido para $250,000. A vila ainda não confirmou a veracidade das alegações do grupo ou se um resgate foi pago. Para mitigar os danos, Mundelein está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais, com 69 ataques confirmados nos EUA em 2025, comprometendo dados de aproximadamente 450,000 pessoas.

O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.

A Cisco anunciou o desenvolvimento de uma nova inteligência artificial (IA) que utiliza 30 anos de dados sobre ataques cibernéticos para aprimorar a segurança digital. O projeto visa expandir o modelo Foundation-Sec-8B, que atualmente opera com 8 bilhões de parâmetros, para 17 bilhões, aumentando a precisão na detecção de ameaças. Raj Chopra, vice-presidente sênior da Cisco, destacou que o foco não é criar um sucessor, mas sim um modelo expandido que utilize um vasto arsenal de informações coletadas ao longo das últimas três décadas, incluindo incidentes e manuais de treinamento. A equipe de especialistas em segurança digital da Cisco liderará esse processo, que deve ser concluído até o final do ano. Além disso, a empresa está desenvolvendo novos modelos de IA para complementar essa versão atualizada, com o objetivo de apoiar os profissionais de segurança no combate ao cibercrime com ferramentas mais sofisticadas.

Pesquisadores da Socket identificaram uma extensão maliciosa chamada Safery: Ethereum Wallet, disponível na Chrome Web Store, que se disfarça como uma carteira de criptomoedas segura. Desde sua publicação em 29 de setembro de 2025, a extensão tem como objetivo roubar as seed phrases, que são as senhas utilizadas para recuperar carteiras de criptomoedas. A extensão contém uma backdoor que extrai essas frases mnemônicas e as envia disfarçadas como endereços de carteiras Sui, utilizando microtransações de 0,000001 SUI para ocultar o roubo. Essa técnica permite que os hackers obtenham as seed phrases sem a necessidade de um servidor de comando e controle, tornando o ataque mais difícil de detectar. Os especialistas recomendam que usuários de criptomoedas utilizem apenas extensões confiáveis e conhecidas, além de sugerirem que organizações realizem escaneamentos em busca de códigos maliciosos em extensões instaladas. A extensão ainda está disponível para download, o que representa um risco significativo para os usuários de criptomoedas.

O ransomware Akira está ampliando seu alcance ao atacar arquivos de disco de máquinas virtuais (VMs) da Nutanix AHV, conforme relatado por agências de segurança dos EUA, incluindo a CISA. Desde junho de 2025, o grupo tem explorado uma vulnerabilidade crítica no SonicWall SonicOS, identificada como CVE-2024-40766, que permite acesso não autorizado a recursos, resultando em falhas nos firewalls. Além disso, o Akira utiliza vulnerabilidades em servidores Veeam Backup & Replication para movimentação lateral e exclusão de backups. Até setembro de 2025, o grupo já havia extorquido mais de US$ 240 milhões em ataques de ransomware. A CISA recomenda que os usuários mantenham seus softwares atualizados e implementem autenticação multifatorial (MFA) para se protegerem contra essas ameaças. O ataque ao Nutanix AHV não é surpreendente, dado que o Akira já havia atacado outras soluções de virtualização, como VMware ESXi e Hyper-V. A situação destaca a necessidade urgente de medidas de segurança robustas em ambientes virtuais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre duas vulnerabilidades críticas nos firewalls da Cisco, identificadas como CVE-2025-20333 e CVE-2025-20362. Essas falhas, descobertas em setembro de 2025, estão sendo ativamente exploradas por grupos de ataque, incluindo a campanha ArcaneDoor, que tem como alvo redes governamentais. Apesar das diretrizes de emergência da CISA, que exigiam que as agências federais aplicassem patches em 24 horas, mais de 32.000 dispositivos ainda permanecem vulneráveis. A CISA observou que várias organizações acreditavam ter aplicado as atualizações necessárias, mas não o fizeram corretamente, o que as deixou expostas a ataques de malware e ransomware. A Cisco já havia alertado que as falhas eram exploradas como zero-days, afetando dispositivos da série 5500-X com serviços web habilitados. A CISA recomenda que todas as organizações verifiquem se as atualizações corretas foram aplicadas e sugere ações adicionais para mitigar os riscos em dispositivos ainda não atualizados.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no Cursor, um editor de código popular impulsionado por IA, que permite a atacantes executar código JavaScript arbitrário através de servidores Model Context Protocol (MCP) maliciosos. A falha explora a falta de verificação de integridade nas funcionalidades específicas do Cursor, ao contrário dos controles de segurança mais robustos do VS Code. Ao registrar um servidor MCP local, os atacantes conseguem contornar as proteções embutidas e injetar JavaScript malicioso diretamente no DOM do navegador. O ataque pode roubar credenciais ao substituir páginas de login legítimas por interfaces de phishing, coletando informações do usuário sem que ele perceba. Essa vulnerabilidade não se limita ao roubo de credenciais, pois permite que os atacantes realizem qualquer ação que o usuário possa executar, escalando privilégios e modificando componentes do sistema. A situação é alarmante, pois os servidores MCP operam com permissões amplas, tornando-se alvos atrativos para ameaças. Os desenvolvedores devem revisar cuidadosamente todos os servidores MCP e extensões antes da instalação e implementar camadas adicionais de segurança. As organizações devem monitorar o uso de servidores MCP e considerar soluções empresariais que ofereçam proteção contra ataques à cadeia de suprimentos.

Uma recente campanha de malware ilustra o uso contínuo de cadeias de infecção em múltiplas etapas para contornar controles de segurança e entregar o ladrão de informações FormBook. O ataque começa com um e-mail contendo um anexo ZIP, que se desdobra em uma sequência complexa de scripts ofuscados. O arquivo ZIP inicial contém um script em Visual Basic (VBS) que, apesar de sua aparência simples, possui camadas de ofuscação para ocultar seu verdadeiro propósito. O script inicia um loop de atraso e constrói um comando PowerShell, que é executado em um novo processo. A camada PowerShell é fortemente ofuscada, utilizando funções específicas para reconstruir e executar fragmentos de código malicioso. O script tenta baixar o próximo payload de um link do Google Drive, que é então injetado em um processo legítimo, resultando na execução de uma variante do FormBook. Este malware é projetado para coletar credenciais, capturas de tela e pressionamentos de tecla, comunicando-se com um servidor de comando e controle. A campanha destaca a importância de não limitar a engenharia reversa a binários executáveis, pois infecções modernas dependem de scripts leves e processos confiáveis para entregar payloads poderosos e furtivos.

Um ataque cibernético em larga escala, realizado quase inteiramente por inteligência artificial, foi revelado pela Anthropic. O incidente, que ocorreu em setembro de 2025, envolveu hackers patrocinados pelo Estado chinês que utilizaram a IA Claude Code para comprometer cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais. A campanha de espionagem se destacou pela automação sem precedentes, com a IA gerenciando 80-90% das operações, exigindo intervenção humana apenas em 4-6 pontos críticos. Os atacantes exploraram capacidades avançadas da IA, como execução de tarefas complexas e operação autônoma, para realizar reconhecimento, desenvolver códigos de exploração e exfiltrar dados classificados. A Anthropic detectou a atividade suspeita e iniciou uma investigação, resultando na identificação de contas comprometidas e na notificação das organizações afetadas. Este incidente sinaliza uma diminuição nas barreiras para ataques cibernéticos sofisticados, permitindo que grupos menos experientes realizem operações que antes exigiam recursos significativos. A empresa recomenda que equipes de segurança experimentem aplicações de IA para melhorar a detecção de ameaças e a resposta a incidentes.

O TaskHound é uma ferramenta inovadora que visa detectar tarefas agendadas no Windows que operam com privilégios elevados e credenciais armazenadas, um alvo atrativo para atacantes que buscam movimentação lateral e escalonamento de privilégios. Muitas organizações configuram essas tarefas de forma inadequada, permitindo que credenciais sejam armazenadas em disco, o que as torna vulneráveis a ataques. O TaskHound automatiza a identificação dessas tarefas em ambientes Active Directory, economizando tempo e reduzindo erros em avaliações de segurança. Ele destaca tarefas críticas que rodam como administradores de domínio e integra-se ao BloodHound, permitindo uma análise contextualizada das rotas de ataque. Além disso, a ferramenta analisa datas de alteração de senhas em relação às datas de criação das tarefas, identificando credenciais obsoletas que podem ser exploradas. O TaskHound opera em modos online e offline, facilitando a análise em diferentes cenários. Para as operações defensivas, ele ajuda a identificar tarefas que merecem investigação imediata, reforçando a importância da gestão adequada de acessos privilegiados e da auditoria regular do Active Directory.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Em setembro de 2025, atores de ameaças patrocinados pelo Estado da China utilizaram tecnologia de inteligência artificial (IA) desenvolvida pela Anthropic para realizar uma campanha de ciberespionagem sofisticada. Os atacantes empregaram as capacidades ‘agentes’ da IA para executar ataques cibernéticos de forma autônoma, sem intervenção humana significativa. A operação, denominada GTG-1002, visou cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais, resultando em algumas intrusões bem-sucedidas. A Anthropic identificou que a IA foi utilizada para realizar diversas etapas do ciclo de ataque, como reconhecimento, descoberta de vulnerabilidades e exfiltração de dados. Embora a operação tenha demonstrado um uso inovador da IA, também revelou limitações, como a tendência da IA de ‘alucinar’ dados, o que pode comprometer a eficácia das operações. Este incidente destaca a evolução das táticas de ciberataques, onde grupos menos experientes podem potencialmente realizar ataques em larga escala com o suporte de sistemas de IA.

No terceiro trimestre de 2025, a pesquisa da Check Point revelou um aumento alarmante no número de grupos de ransomware ativos, totalizando 85, o maior já registrado. Esses grupos foram responsáveis pela divulgação de 1.592 novas vítimas em mais de 85 sites de vazamento, indicando uma atividade intensa e contínua, mesmo sob pressão das autoridades. A fragmentação do mercado de ransomware, antes dominado por grandes grupos de Ransomware-as-a-Service (RaaS), agora abriga uma variedade de operações menores e independentes, dificultando a atribuição de ataques e a eficácia das estratégias de defesa. Apesar de operações de desmantelamento de grupos como RansomHub e 8Base, a quantidade de ataques não diminuiu, pois os afiliados se reorganizam rapidamente. A reemergência do LockBit com sua versão 5.0 sugere uma possível recente centralização, oferecendo uma estrutura que pode atrair novos afiliados. Além disso, a evolução do DragonForce, que busca visibilidade através de parcerias e serviços de auditoria de dados, reflete uma mudança no marketing dentro do cibercrime. Com os Estados Unidos como principal alvo, a situação exige atenção redobrada das equipes de segurança cibernética, que devem se adaptar a um cenário em constante mudança.

O grupo de ameaças patrocinado pelo Estado iraniano, conhecido como APT42, está em uma nova campanha de espionagem, chamada SpearSpecter, que visa indivíduos e organizações de interesse do Corpo da Guarda Revolucionária Islâmica (IRGC). Detectada em setembro de 2025, a campanha utiliza táticas de engenharia social personalizadas, como convites para conferências de prestígio, visando principalmente altos funcionários do governo e da defesa. O grupo é conhecido por sua habilidade em criar campanhas de engenharia social convincentes, muitas vezes se passando por contatos conhecidos para ganhar a confiança das vítimas antes de enviar links maliciosos. A campanha também se estende a familiares dos alvos, ampliando a superfície de ataque. O ataque envolve o uso de um backdoor em PowerShell chamado TAMECAT, que permite acesso persistente e exfiltração de dados. O TAMECAT se comunica através de canais como HTTPS, Discord e Telegram, aumentando a resiliência do ataque. A infraestrutura da campanha combina serviços de nuvem legítimos com recursos controlados pelos atacantes, refletindo um alto nível de sofisticação e segurança operacional.