O grupo de ransomware PEAR reivindicou um ataque cibernético ao município de West Chester Township, em Ohio, ocorrido em agosto de 2025. Em 12 de agosto, as autoridades do município informaram que isolaram e contiveram uma violação de segurança cibernética. Três dias depois, PEAR afirmou ter roubado 2 TB de dados e listou o município em seu site de vazamento de dados. Até o momento, West Chester Township não confirmou a reivindicação do grupo, e não se sabe se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Em 26 de agosto, o município sofreu um segundo ataque, desta vez ao seu servidor de e-mail central, levando ao fechamento de serviços de e-mail, telefone e website. Funcionários relataram ter recebido notas de resgate, mas nenhum grupo assumiu a responsabilidade por esse segundo ataque. As investigações estão em andamento com a ajuda de analistas do FBI, e os dados comprometidos ainda não foram divulgados. O grupo PEAR, que se concentra em roubo de dados e extorsão sem criptografar informações, já reivindicou 22 ataques, sendo apenas dois confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer sistemas críticos e a privacidade de cidadãos e funcionários.

A empresa de cibersegurança ESET revelou a descoberta de um novo ransomware chamado PromptLock, que utiliza inteligência artificial para gerar scripts maliciosos em tempo real. Escrito em Golang, o PromptLock emprega o modelo gpt-oss:20b da OpenAI através da API Ollama para criar scripts em Lua que podem enumerar sistemas de arquivos, inspecionar arquivos-alvo, exfiltrar dados e criptografar informações. Este ransomware é compatível com Windows, Linux e macOS, e é capaz de gerar notas personalizadas para as vítimas, dependendo dos arquivos afetados. Embora ainda não se saiba quem está por trás do malware, a ESET identificou que artefatos do PromptLock foram enviados ao VirusTotal a partir dos Estados Unidos em 25 de agosto de 2025. A natureza do ransomware, que é considerada uma prova de conceito, utiliza o algoritmo de criptografia SPECK de 128 bits. A ESET alerta que a variabilidade dos indicadores de comprometimento (IoCs) torna a detecção mais desafiadora, complicando as tarefas de defesa. O surgimento do PromptLock destaca como a IA pode facilitar a criação de campanhas de malware, mesmo para criminosos com pouca experiência técnica.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

Recentemente, a Tencent Cloud, um dos maiores provedores de nuvem da Ásia, enfrentou uma grave violação de segurança que expôs credenciais de login e código-fonte interno. Pesquisadores de segurança da Cybernews identificaram ‘severas desconfigurações’ em dois sites da Tencent, que permitiram o acesso público a arquivos sensíveis, incluindo credenciais codificadas e um diretório .git que continha todo o histórico de um projeto de software. A investigação revelou que esses dados estavam acessíveis por meses, desde abril de 2025, levantando preocupações sobre o uso malicioso das informações. As credenciais expostas eram fracas e vulneráveis a ataques de dicionário, aumentando o risco de acesso não autorizado a sistemas internos da Tencent Cloud. Embora a empresa tenha corrigido a falha após ser notificada, a extensão do acesso anterior levanta questões sobre a segurança de dados de seus clientes. Especialistas alertam que a situação pode ter permitido que bots de scraping acessassem dados críticos, potencialmente comprometendo a infraestrutura de backend da Tencent.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

Uma nova vulnerabilidade, identificada como CVE-2025-50975, afeta a versão 2.29 do IPFire, um firewall amplamente utilizado. Essa falha permite que usuários autenticados com altos privilégios realizem ataques de cross-site scripting (XSS) persistente através da interface web do firewall. A vulnerabilidade se origina na falta de validação de entrada e sanitização em vários parâmetros de regras do firewall, como PROT, SRC_PORT e TGT_PORT. Isso possibilita que um atacante injete código JavaScript malicioso que será executado sempre que outro administrador acessar a página de regras do firewall. As consequências incluem roubo de cookies de autenticação, alterações não autorizadas nas regras do firewall e potencial acesso a sistemas internos. A exploração é considerada de baixa complexidade, exigindo apenas acesso à interface gráfica do usuário. Para mitigar os riscos, os administradores devem atualizar para a versão corrigida do IPFire imediatamente e implementar medidas temporárias, como restringir o acesso à interface e monitorar logs em busca de atividades suspeitas.

A Nagios Enterprises anunciou a atualização do Nagios XI para a versão 2024R2.1, que inclui melhorias significativas de segurança e novas funcionalidades de gerenciamento SNMP. Um dos principais destaques é a correção de uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade Graph Explorer, que poderia permitir a injeção de scripts maliciosos através de parâmetros de URL. O pesquisador de segurança Marius Lihet foi reconhecido por divulgar a falha de forma responsável. Além disso, a atualização introduz novos níveis de licença, permitindo um controle mais granular sobre permissões de usuários e acesso a recursos em grandes implantações empresariais. A versão também removeu o suporte ao Ubuntu 20.04, exigindo que os administradores planejem migrações para manter a segurança da plataforma. A nova página de ‘SNMP Walk Jobs’ melhora a escalabilidade e confiabilidade em auditorias de dispositivos, enquanto a integração com o Nagios Mod-Gearman ajuda a manter o desempenho sob cargas pesadas. Com foco em segurança e flexibilidade, esta atualização é essencial para empresas que monitoram ambientes de rede complexos.

O Spotify introduziu uma nova funcionalidade de mensagens diretas que permite aos usuários compartilhar músicas, podcasts e audiolivros diretamente no aplicativo. Disponível para usuários a partir de 16 anos em mercados selecionados, essa ferramenta visa centralizar as recomendações de conteúdo e aumentar o engajamento entre os usuários. Através de chats um-a-um, os usuários podem compartilhar faixas e reagir com emojis, facilitando a interação. Além disso, o Spotify implementou controles de privacidade, permitindo que os usuários aceitem ou rejeitem solicitações de mensagens e bloqueiem contatos indesejados.

A NVIDIA divulgou uma atualização crítica para o NVIDIA® NeMo Curator, visando corrigir uma vulnerabilidade de injeção de código de alta severidade, identificada como CVE-2025-23307. Essa falha afeta todas as plataformas suportadas pelo Curator e permite que um atacante, ao manipular um arquivo malicioso, consiga executar código remotamente, escalar privilégios, divulgar informações sensíveis ou adulterar dados. A vulnerabilidade é resultado de uma validação insuficiente das entradas fornecidas pelo usuário antes da avaliação dinâmica do código. Com uma pontuação base de 7.8 no CVSS v3.1, a falha apresenta um alto impacto em termos de confidencialidade, integridade e disponibilidade, com um vetor de ataque que requer baixa interação do usuário. A NVIDIA recomenda que todos os usuários atualizem para a versão 25.07 do Curator, que inclui controles de avaliação mais rigorosos e sanitização de entradas. As versões anteriores, em Windows, Linux e macOS, permanecem vulneráveis, e a urgência da atualização deve ser avaliada conforme as configurações e modelos de ameaça específicos de cada ambiente.

O uso de Inteligência Artificial (IA) nas empresas está crescendo rapidamente, com colaboradores utilizando-a para redigir e-mails, analisar dados e transformar o ambiente de trabalho. No entanto, a adoção acelerada da IA traz desafios significativos em termos de segurança, especialmente pela falta de controle e salvaguardas adequadas. Para os Chief Information Security Officers (CISOs), a prioridade é garantir que a inovação não comprometa a segurança. O artigo apresenta cinco regras essenciais para uma adoção segura da IA: 1) Visibilidade e descoberta da IA, que exige monitoramento contínuo do uso de ferramentas de IA; 2) Avaliação de risco contextual, que considera o nível de risco associado a diferentes aplicações de IA; 3) Proteção de dados, estabelecendo limites sobre quais informações podem ser compartilhadas com ferramentas de IA; 4) Controles de acesso e diretrizes, que garantem que o uso da IA esteja dentro de políticas de segurança definidas; e 5) Supervisão contínua, para adaptar as medidas de segurança conforme as aplicações evoluem. A adoção segura da IA não deve ser vista como uma barreira, mas como uma oportunidade de inovar de forma responsável, garantindo a proteção dos dados e a conformidade com regulamentações como a LGPD.

Um novo grupo de ciberataques, conhecido como ShadowSilk, tem como alvo entidades governamentais na Ásia Central e na região Ásia-Pacífico. De acordo com a Group-IB, cerca de trinta vítimas foram identificadas, com as intrusões focadas principalmente na exfiltração de dados. O grupo compartilha ferramentas e infraestrutura com outros grupos de ameaças, como YoroTrooper e Silent Lynx. As vítimas incluem organizações governamentais de países como Uzbequistão, Quirguistão e Paquistão, além de setores como energia e transporte.

Em julho de 2025, a Anthropic revelou ter desmantelado uma operação sofisticada que utilizava seu chatbot Claude, alimentado por inteligência artificial, para realizar roubo e extorsão em larga escala de dados pessoais. O ataque visou pelo menos 17 organizações, incluindo instituições de saúde, serviços de emergência e órgãos governamentais, com os criminosos ameaçando expor publicamente as informações roubadas para forçar o pagamento de resgates que ultrapassavam $500.000. Utilizando o Claude Code em uma plataforma Kali Linux, o ator desconhecido automatizou várias fases do ciclo de ataque, desde a coleta de credenciais até a penetração de redes. O uso de IA permitiu que o atacante tomasse decisões táticas e estratégicas, selecionando quais dados exfiltrar e elaborando demandas de extorsão personalizadas com base em análises financeiras. A Anthropic desenvolveu um classificador personalizado para detectar comportamentos semelhantes e compartilhou indicadores técnicos com parceiros estratégicos. O caso destaca como ferramentas de IA estão sendo mal utilizadas para facilitar operações cibernéticas complexas, tornando a defesa mais desafiadora.

O cenário de ataques DDoS (Distributed Denial of Service) evoluiu drasticamente, com mais de oito milhões de incidentes registrados globalmente na primeira metade de 2025, segundo pesquisa da NetScout. Esses ataques, que antes eram considerados anomalias raras, agora ocorrem em uma escala quase rotineira, com picos de até 3,12 Tbps na Holanda e 1,5 Gbps nos Estados Unidos. A crescente automação e o uso de botnets, que frequentemente exploram dispositivos comprometidos, como roteadores e dispositivos IoT, têm facilitado a execução desses ataques. A pesquisa destaca que disputas políticas, como as entre Índia e Paquistão e entre Irã e Israel, têm sido catalisadores significativos para essas campanhas de agressão digital. O grupo hacktivista NoName057(16) se destaca, realizando mais de 475 ataques em março de 2025, principalmente contra portais governamentais. A utilização de modelos de linguagem de IA por atacantes tem reduzido as barreiras para novos invasores, permitindo ataques de alta capacidade com conhecimento técnico mínimo. A situação exige que as organizações reavaliem suas defesas tradicionais, que já não são suficientes diante da evolução das táticas de ataque.

A Cloud Software Group emitiu um alerta de segurança urgente sobre três vulnerabilidades críticas que afetam os produtos NetScaler ADC e NetScaler Gateway. A mais grave, identificada como CVE-2025-7775, possui um escore CVSS de 9.2 e permite a execução remota de código ou negação de serviço devido a condições de overflow de memória. Explorações dessa vulnerabilidade já foram observadas em dispositivos não mitigados, tornando a aplicação de patches uma prioridade imediata. As outras duas vulnerabilidades, CVE-2025-7776 e CVE-2025-8424, também apresentam riscos significativos, com escores de 8.8 e 8.7, respectivamente. A primeira está relacionada a configurações do NetScaler Gateway que podem levar a negação de serviço, enquanto a segunda envolve uma falha de controle de acesso na interface de gerenciamento do NetScaler, permitindo acesso administrativo não autorizado. A empresa recomenda a atualização para versões corrigidas, destacando a importância de agir rapidamente para proteger a infraestrutura de rede e dados sensíveis das organizações.

Um alerta foi emitido para organizações em todo o mundo após a divulgação de uma campanha de exfiltração de dados em larga escala, atribuída ao grupo de hackers UNC6395. O ataque, que começou em 8 de agosto de 2025, explorou tokens OAuth comprometidos do aplicativo Salesloft Drift para acessar e extrair informações sensíveis de instâncias do Salesforce. Os hackers conseguiram exportar grandes volumes de dados, incluindo informações de contas, usuários e oportunidades, além de buscar segredos valiosos como chaves de acesso da Amazon Web Services (AWS) e senhas em texto claro. A Salesloft confirmou que apenas clientes que integraram o Drift com o Salesforce foram afetados. Em resposta, a empresa revogou todos os tokens de acesso e a Salesforce removeu o aplicativo do AppExchange. As organizações afetadas foram notificadas diretamente. Especialistas recomendam que as empresas revisem seus ambientes Salesforce, revoguem e rotacionem chaves descobertas e ajustem as configurações de segurança para mitigar riscos futuros.

Em 26 de agosto de 2025, o Google lançou uma atualização para o Chrome Desktop, corrigindo uma vulnerabilidade crítica identificada como CVE-2025-9478, que afeta a biblioteca gráfica ANGLE. Essa falha de uso após a liberação (use-after-free) pode permitir a execução remota de código malicioso através de comandos específicos enviados por uma página web comprometida. A atualização está sendo distribuída gradualmente para as versões do Chrome em Windows, Mac e Linux, e é recomendada a todos os usuários que mantenham seus navegadores atualizados. O Google agradeceu à equipe de pesquisa externa, Google Big Sleep, por relatar a vulnerabilidade de forma responsável. A empresa reforça a importância de atualizações frequentes para garantir a segurança dos usuários e prevenir a exploração de falhas antes que a maioria esteja protegida.

Um alerta de um denunciante revelou que uma cópia não monitorada dos dados de Segurança Social dos Estados Unidos está armazenada em um ambiente de nuvem inseguro, colocando mais de 300 milhões de americanos em risco de roubo de identidade e perda de benefícios essenciais. Charles Borges, Diretor de Dados da Administração da Segurança Social (SSA), apresentou a denúncia em 26 de agosto de 2025, alegando que funcionários do Departamento de Eficiência Governamental (DOGE) criaram uma cópia ao vivo dos dados sem a devida supervisão. A denúncia aponta que o acesso não autorizado a esses dados poderia permitir que agentes maliciosos roubassem números de Segurança Social, interrompessem o acesso a programas de assistência e forçassem o governo a reemitir números de Segurança Social em larga escala. A situação gerou uma resposta interna da SSA, que agora enfrenta um intenso escrutínio de legisladores e órgãos de supervisão, com audiências programadas para setembro de 2025. Os cidadãos são aconselhados a monitorar seus relatórios de crédito e a considerar alertas de fraude, enquanto as agências federais devem alinhar iniciativas de detecção de fraudes com uma governança de dados robusta.

O ataque de engano de cache é uma técnica sofisticada que permite que atacantes manipulem regras de cache para expor conteúdos sensíveis. Ao explorar inconsistências entre uma rede de entrega de conteúdo (CDN) e o servidor web de origem, os invasores conseguem enganar o cache, armazenando endpoints privados sob regras de ativos estáticos e, posteriormente, recuperando essas informações.

As CDNs geralmente diferenciam entre ativos estáticos (como imagens e arquivos CSS) e páginas dinâmicas, aplicando cabeçalhos permissivos a arquivos estáticos e restrições a páginas dinâmicas. No entanto, quando um caminho de URL imita um recurso estático, a CDN pode armazená-lo, enquanto o servidor de origem o trata como uma página dinâmica. Técnicas de exploração incluem confusão de extensão, discrepâncias de delimitadores e confusão de travessia de caminho, permitindo que os atacantes acessem conteúdos que deveriam ser privados.

Pesquisadores de cibersegurança identificaram cinco grupos de atividades associados ao ator de ameaça persistente conhecido como Blind Eagle, que operou entre maio de 2024 e julho de 2025, principalmente visando entidades do governo colombiano. A empresa Recorded Future Insikt Group, que monitora essas atividades sob a designação TAG-144, observou que os ataques utilizam técnicas como trojans de acesso remoto (RATs) e engenharia social via phishing. Os alvos incluem autoridades judiciais e fiscais, além de setores como finanças, energia e saúde. Os ataques frequentemente utilizam e-mails fraudulentos que imitam agências governamentais locais, levando as vítimas a abrir documentos maliciosos. A infraestrutura de comando e controle do grupo é complexa, utilizando endereços IP de provedores colombianos e serviços de DNS dinâmico para ocultar suas operações. Recentemente, o grupo tem utilizado scripts em PowerShell para implantar RATs como Lime RAT e AsyncRAT. A análise indica que cerca de 60% das atividades do Blind Eagle focaram no setor governamental, levantando questões sobre suas motivações, que podem incluir espionagem estatal além de objetivos financeiros.

Uma campanha de roubo de dados em larga escala comprometeu a plataforma de automação de vendas Salesloft, permitindo que hackers acessassem tokens OAuth e de atualização associados ao agente de chat de inteligência artificial Drift. A atividade, atribuída ao grupo de ameaças UNC6395, ocorreu entre 8 e 18 de agosto de 2025, visando instâncias de clientes do Salesforce através de tokens OAuth comprometidos. Os atacantes exportaram grandes volumes de dados, possivelmente para coletar credenciais que poderiam ser usadas para comprometer ambientes das vítimas, incluindo chaves de acesso da Amazon Web Services (AWS) e tokens de acesso relacionados ao Snowflake. A Salesloft identificou a questão de segurança e revogou proativamente as conexões entre Drift e Salesforce, enquanto a Salesforce confirmou que um número restrito de clientes foi impactado. Especialistas destacam a disciplina operacional dos atacantes, que deletaram registros de consultas para cobrir seus rastros, sugerindo uma estratégia de ataque mais ampla que poderia afetar a cadeia de suprimentos de tecnologia. As organizações são aconselhadas a revisar logs, revogar chaves de API e realizar investigações adicionais para determinar a extensão da violação.

Um grave incidente de segurança na Intel resultou no vazamento de dados de mais de 270 mil funcionários devido a falhas em sistemas de login. O pesquisador de segurança Eaton Z descobriu que um portal de cartões de visita da empresa possuía um sistema de autenticação vulnerável, permitindo acesso não autorizado a informações sensíveis. Ao manipular a verificação de usuários, Eaton conseguiu baixar um arquivo de quase um gigabyte contendo dados pessoais, como nomes, cargos, endereços e números de telefone. Além do portal inicial, outras três plataformas internas da Intel apresentaram vulnerabilidades semelhantes, com credenciais codificadas que poderiam ser facilmente decifradas. A Intel foi notificada sobre as falhas em outubro de 2024 e corrigiu os problemas até fevereiro de 2025, mas o pesquisador não recebeu compensação por seu trabalho, levantando questões sobre a seriedade da resposta da empresa. Este incidente destaca que, mesmo com medidas de segurança em vigor, falhas simples de design podem expor sistemas críticos, aumentando o risco de roubo de identidade e ataques de engenharia social.

A Koi Security, empresa especializada em segurança digital, revelou que a VPN gratuita FreeVPN.One está comprometendo a privacidade de seus usuários ao capturar prints de tela de cada página visitada no navegador Chrome, sem o consentimento dos mesmos. A extensão da VPN, que deveria proteger a privacidade online, na verdade, aguarda o carregamento completo das páginas para garantir que as capturas sejam completas. Segundo a empresa, a justificativa apresentada pela FreeVPN.One para essa prática é a detecção de ameaças através de inteligência artificial, mas isso levanta sérias questões sobre a invasão de privacidade, uma vez que o simples envio do URL da página seria suficiente para identificar potenciais riscos. Além disso, a VPN também registra a localização do usuário por meio do endereço IP, acessando todos os sites visitados. O desenvolvedor da extensão, que se manteve anônimo, alegou que as capturas não são armazenadas permanentemente nem compartilhadas, mas não apresentou provas concretas para respaldar suas afirmações. Essa situação destaca os riscos associados ao uso de VPNs gratuitas, que frequentemente comprometem a segurança e a privacidade dos usuários em troca de serviços aparentemente benéficos.

Pesquisadores de segurança da Zscaler ThreatLabs identificaram 77 aplicativos maliciosos na Google Play Store, que foram baixados mais de 19 milhões de vezes. A maioria desses aplicativos, cerca de 25%, estava associada ao malware Joker, que pode enviar mensagens de texto, capturar telas, fazer chamadas telefônicas e roubar informações sensíveis dos usuários. Além do Joker, variantes como Harly e o trojan bancário Anatsa também foram detectados, sendo que este último pode roubar credenciais de login de mais de 800 aplicativos bancários e de criptomoedas. Os aplicativos maliciosos, descritos como “maskware”, funcionam normalmente, mas em segundo plano realizam atividades prejudiciais. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis, ativar o Play Protect, verificar as avaliações e permissões solicitadas pelos aplicativos antes da instalação. Essa situação evidencia que mesmo a Google Play Store, considerada uma fonte segura, não é imune a ameaças.

Um pesquisador de segurança, conhecido como ‘BobDaHacker’, descobriu vulnerabilidades significativas nos sistemas online da McDonald’s enquanto tentava resgatar uma recompensa de nuggets grátis pelo aplicativo da empresa. A falha permitiu acesso ao ‘Feel-Good Design Hub’, uma plataforma centralizada para ativos de marketing utilizada em mais de 120 países. Além disso, a McDonald’s não possui um canal claro para que pesquisadores relatem vulnerabilidades, o que dificultou a comunicação de Bob com a empresa. Ele teve que buscar contatos no LinkedIn e fazer várias ligações até conseguir uma resposta. Mesmo após a substituição do sistema de senhas por um login baseado em conta, uma nova falha foi identificada: ao alterar a URL de ’login’ para ‘register’, Bob conseguiu criar novas contas com acesso total. O sistema ainda enviava senhas em texto simples, uma prática considerada insegura. Embora a McDonald’s tenha corrigido a maioria das vulnerabilidades, a falta de um canal de reporte confiável pode resultar em falhas sérias sendo ignoradas no futuro. Este incidente levanta questões sobre a prioridade da segurança cibernética na empresa, especialmente considerando que informações de funcionários e clientes podem estar em risco.

Um grupo de acadêmicos da Universidade de Tecnologia e Design de Cingapura desenvolveu um novo ataque que permite rebaixar uma conexão 5G para uma geração inferior, sem a necessidade de uma estação base falsa. O ataque utiliza um kit de ferramentas de código aberto chamado Sni5Gect, que intercepta mensagens não criptografadas entre a estação base e o equipamento do usuário (como smartphones) e injeta mensagens no dispositivo alvo. Essa técnica pode causar falhas no modem do dispositivo, rebaixar a conexão para 4G e contornar autenticações. O ataque é realizado durante a fase inicial de conexão, onde as mensagens trocadas não são criptografadas, permitindo que o invasor capture e injete dados sem precisar das credenciais do usuário. Em testes com cinco smartphones, a equipe obteve uma taxa de sucesso de 70-90% na injeção de mensagens a uma distância de até 20 metros. A GSMA reconheceu a gravidade do ataque, atribuindo-lhe o identificador CVD-2024-0096. Os pesquisadores afirmam que o Sni5Gect é uma ferramenta fundamental para a pesquisa em segurança 5G, permitindo avanços na detecção e mitigação de intrusões em redes móveis.

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

Um novo malware, conhecido como Shamos, está ameaçando usuários de MacBooks ao se disfarçar como uma solução de problemas para o sistema operacional da Apple. Desenvolvido pelo grupo hacker COOKIE SPIDER, o Shamos é uma variante do Atomic macOS Stealer (AMOS) e tem como objetivo roubar dados sensíveis, incluindo credenciais armazenadas em navegadores como Safari, itens do Keychain, notas do Apple Notes e informações de carteiras de criptomoedas.

As vítimas são atraídas por meio de malvertising, que apresenta anúncios maliciosos como se fossem links legítimos. Além disso, repositórios falsos no GitHub são utilizados para induzir os usuários a executar comandos no terminal do macOS, que, na verdade, instalam o malware. O processo envolve a execução de comandos que removem a sinalização de quarentena e tornam o arquivo executável, contornando o Gatekeeper, a ferramenta de segurança do macOS.

Pesquisadores da Trellix identificaram um novo ataque direcionado a usuários de Linux, que utiliza phishing por e-mail para disseminar malware. O ataque se destaca pelo uso de um arquivo RAR com um nome malicioso, que injeta comandos shell e arquivos bash codificados em Base64. O malware, denominado VShell, cria um backdoor que permite o controle remoto do sistema infectado. O ataque explora uma vulnerabilidade comum em scripts shell, onde os nomes de arquivos não são devidamente verificados pelos antivírus, permitindo que o malware passe despercebido. Os criminosos utilizam engenharia social, enviando e-mails que se disfarçam de pesquisas de produtos de beleza, oferecendo recompensas em dinheiro para atrair as vítimas a baixar o arquivo malicioso. Para se proteger, é recomendado desconfiar de recompensas financeiras em e-mails de remetentes desconhecidos e evitar baixar arquivos sem verificar sua origem e conteúdo.

Hackers chineses, conhecidos como Murky Panda, estão utilizando a confiança que as empresas depositam em seus provedores de nuvem para realizar ataques cibernéticos. Desde 2023, a Crowdstrike identificou pelo menos dois casos em que esses hackers exploraram falhas zero-day para invadir ambientes de provedores de SaaS. Após a invasão, eles analisam a lógica do ambiente de nuvem da vítima, permitindo que se movam lateralmente para clientes downstream. Essa abordagem representa um ataque cibernético de terceiros por meio de um serviço baseado em nuvem, sendo menos monitorada em comparação com vetores de acesso mais comuns, como contas de nuvem válidas. Os alvos principais incluem setores como governo, tecnologia e serviços profissionais, principalmente na América do Norte. Os hackers têm utilizado vulnerabilidades conhecidas, como a CVE-2023-3519, que afeta instâncias do Citrix NetScaler, além de comprometer dispositivos de pequenas empresas. O foco principal parece ser a espionagem cibernética e a coleta de inteligência.

A plataforma de mídia social Bluesky anunciou sua saída do estado do Mississippi em resposta a uma nova lei que exige a verificação de idade de todos os usuários antes de conceder acesso. A partir de 22 de agosto de 2025, a Bluesky bloqueará todo o tráfego proveniente de endereços IP do Mississippi. A empresa argumenta que a lei, que obriga plataformas a verificar se os usuários têm mais de 18 anos e a obter consentimento dos pais para menores, impõe desafios significativos à liberdade de expressão e à privacidade. Além disso, a Bluesky expressou preocupações sobre os custos e recursos necessários para implementar os sistemas de verificação exigidos, que poderiam prejudicar especialmente plataformas menores. Embora a lei tenha como objetivo a segurança infantil, a Bluesky acredita que suas implicações são amplas e podem afetar todos os cidadãos do estado. A empresa também alertou que a coleta e o armazenamento de informações sensíveis podem representar riscos à privacidade. Para contornar a restrição, os usuários do Mississippi podem usar serviços de VPN para acessar a plataforma, embora a Bluesky recomende cautela ao escolher provedores de VPN confiáveis.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.

O Healthcare Services Group (HCSG) confirmou que notificou 624.496 pessoas sobre uma violação de dados ocorrida em outubro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários e informações médicas. O grupo de ransomware Underground reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,1 TB de dados, incluindo documentos legais e financeiros confidenciais. A HCSG informou que o acesso não autorizado ocorreu entre 27 de setembro e 3 de outubro de 2024, mas não confirmou se um resgate foi pago. A empresa está oferecendo assistência gratuita de restauração de identidade aos afetados. Embora a HCSG tenha afirmado que o incidente não causou interrupções significativas em suas operações, o ataque destaca a crescente ameaça de ransomware no setor de saúde, onde ataques podem comprometer a segurança e a privacidade dos pacientes. Em 2024, foram registrados 30 ataques a empresas de saúde, comprometendo mais de 196 milhões de registros, com o ataque à HCSG sendo o quarto maior em termos de registros comprometidos.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

O aumento das ameaças cibernéticas, como ransomware, torna a proteção de endpoints uma prioridade crítica para empresas de todos os tamanhos. O artigo destaca a importância de plataformas de cibersegurança que utilizam inteligência artificial (IA) para oferecer proteção autônoma e em tempo real. A SentinelOne, reconhecida como líder no Gartner Magic Quadrant de 2025, apresenta sua plataforma Singularity, que combina EDR, CNAPP e SIEM, permitindo uma resposta rápida a incidentes e redução de riscos operacionais. Com a capacidade de detectar ameaças 63% mais rápido e reduzir o tempo médio de resposta a incidentes em 55%, a solução é especialmente valiosa em setores sensíveis como saúde e finanças, onde a conformidade regulatória é crucial. A plataforma também se destaca por sua arquitetura leve e integração com ferramentas existentes, minimizando a fadiga de alertas e melhorando a eficiência das equipes de segurança. A evolução da segurança de endpoints, impulsionada pela IA comportamental e automação, promete transformar a forma como as organizações gerenciam suas defesas cibernéticas.

Pesquisadores em cibersegurança alertam sobre uma sofisticada campanha de engenharia social, denominada ZipLine, que visa empresas de manufatura críticas para a cadeia de suprimentos. Utilizando um malware em memória chamado MixShell, os atacantes iniciam contato por meio de formulários de ‘Contato’ em sites corporativos, enganando funcionários e estabelecendo conversas profissionais que podem durar semanas. Após esse período, enviam arquivos ZIP armados com o malware. Os alvos principais incluem empresas de manufatura industrial, biotecnologia e farmacêuticas, com foco em entidades baseadas nos EUA, mas também atingindo países como Singapura, Japão e Suíça. O ZipLine se destaca por evitar táticas de medo, utilizando uma abordagem paciente que se aproveita da confiança nas comunicações empresariais. O MixShell é projetado para executar comandos remotamente e infiltrar redes de forma discreta, utilizando técnicas avançadas de evasão. A campanha representa riscos significativos, incluindo roubo de propriedade intelectual e ataques de ransomware, exigindo que as empresas adotem defesas proativas e uma cultura de vigilância.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.

No dia 21 de agosto de 2025, a GreyNoise Intelligence registrou um aumento sem precedentes na atividade de reconhecimento do Protocolo de Área de Trabalho Remota (RDP), com 1.971 endereços IP únicos realizando varreduras simultâneas nos portais de autenticação do Microsoft RD Web Access e do Microsoft RDP Web Client. A maioria desses IPs (1.851) compartilhava a mesma assinatura de cliente, indicando uma campanha coordenada para descobrir nomes de usuários válidos antes de tentativas de invasão baseadas em credenciais. Aproximadamente 92% dos IPs já haviam sido identificados como maliciosos, com 73% da atividade originando-se do Brasil, tendo os Estados Unidos como alvo. A GreyNoise também identificou uma onda subsequente de escaneamento que ultrapassou 30.000 IPs, sinalizando uma escalada dramática na intenção dos atacantes de mapear endpoints RDP expostos. Este aumento de atividade ocorre em um período crítico, quando instituições educacionais estão online, o que torna a exploração de esquemas de nomes de usuário previsíveis uma preocupação significativa. Organizações com portais RDP expostos devem revisar e reforçar seus fluxos de autenticação, implementando autenticação multifator e monitorando anomalias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.

O Google anunciou que começará a verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, incluindo aqueles que o fazem fora da Play Store. A medida visa aumentar a responsabilidade e dificultar a distribuição de aplicativos maliciosos. A partir de outubro de 2025, convites para a verificação serão enviados gradualmente, com a implementação total prevista para setembro de 2026 em países como Brasil, Indonésia, Cingapura e Tailândia. A vice-presidente do Android, Suzanne Frey, destacou que todos os aplicativos instalados em dispositivos Android certificados nessas regiões precisarão ser registrados por desenvolvedores verificados. Embora os desenvolvedores que já utilizam a Play Store não enfrentem grandes mudanças, a nova exigência busca impedir que atores maliciosos se façam passar por desenvolvedores legítimos. Além disso, a Google já havia implementado outras medidas de segurança, como a exigência de um número D-U-N-S para novos registros de contas de desenvolvedores organizacionais. Essas mudanças visam proteger os usuários de malware e fraudes, mantendo a escolha do usuário enquanto reforçam a segurança do ecossistema Android.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

A música gerada por inteligência artificial (IA) está se tornando cada vez mais comum, mas não necessariamente popular. Recentemente, a cantora folk inglesa Emily Portman se deparou com um álbum falso, intitulado ‘Orca’, que foi lançado sob seu nome sem sua autorização. Esse incidente destaca um problema crescente: a imitação de artistas por meio de IA, levando a um roubo de identidade digital. Outros artistas, como Josh Kaufman e Blaze Foley, também foram vítimas desse fenômeno. A situação se agrava com a dificuldade das plataformas de streaming em monitorar as 99.000 novas músicas carregadas diariamente, muitas vezes sem verificação adequada. Embora a IA possa ser uma ferramenta útil para músicos, seu uso para criar conteúdo falso representa um roubo de propriedade artística. A falta de consentimento e contexto altera a experiência do ouvinte, levando a uma desvalorização da autenticidade na música. A crescente aceitação de músicas geradas por IA pode resultar em uma saturação de conteúdo de baixa qualidade, prejudicando artistas reais e sua capacidade de se destacar no mercado.

A crescente popularidade de serviços de criação de sites por inteligência artificial, como a Lovable, trouxe à tona preocupações significativas de segurança cibernética. Um relatório da Proofpoint revelou que, desde fevereiro, dezenas de milhares de URLs geradas na plataforma têm sido utilizadas em campanhas de phishing, instalação de malwares e roubo de dados. Os sites fraudulentos imitam páginas de marcas conhecidas e utilizam mecanismos como captchas para evitar a detecção por bots. Quatro campanhas distintas foram identificadas, incluindo uma que visava roubar credenciais de login da Microsoft e outra que imitava a empresa de logística UPS para coletar dados pessoais e informações de pagamento. A Lovable implementou medidas de segurança em junho, mas a Proofpoint alerta que ainda é possível criar sites fraudulentos na plataforma. Essa situação evidencia como a tecnologia pode ser explorada para fins criminosos, exigindo atenção redobrada de empresas e usuários para evitar danos.

Um novo golpe de phishing foi identificado, utilizando links legítimos do site office.com redirecionados por meio de publicidade falsa para roubar credenciais de usuários do Microsoft 365. A técnica, descoberta pela Push Security, consiste em evitar a detecção de endereços maliciosos e contornar a verificação multifator (MFA) da Microsoft. O ataque começa quando um usuário, ao buscar por ‘Office 265’ (um erro de digitação), clica em um link patrocinado que parece legítimo. Inicialmente, o usuário é redirecionado para o site oficial da Microsoft, o que dificulta a identificação do golpe. Os hackers criaram um domínio próprio que redireciona para uma página de phishing, que, embora não contenha elementos maliciosos visíveis, é projetada para enganar sistemas de detecção. A Push Security alerta que os alvos não são específicos, sugerindo que os hackers estão testando a eficácia dessa nova abordagem. Para se proteger, recomenda-se que empresas verifiquem os parâmetros de redirecionamento de anúncios que levam ao office.com e que usuários evitem clicar em links publicitários, optando por resultados orgânicos.

Um relatório da Microsoft revelou que hackers estão utilizando uma versão modificada do aplicativo desktop do ChatGPT para disseminar um trojan de acesso remoto conhecido como Pipemagic. Este malware, desenvolvido pelo grupo de cibercriminosos Storm-2460, tem como alvo setores como imobiliário, financeiro e tecnológico em várias regiões, incluindo América do Sul, América do Norte, Europa e Oriente Médio. A gravidade da situação é acentuada pela combinação de um backdoor modular, que permite acesso direto aos sistemas comprometidos, e uma vulnerabilidade zero-day (CVE-2025-29824) no Windows, que ainda não possui correção. A Kaspersky também alertou sobre a campanha, destacando casos na Arábia Saudita e na Ásia. Os ataques podem resultar no vazamento de dados pessoais, credenciais e informações financeiras, além da instalação de ransomware que criptografa arquivos e exige pagamento para recuperação. A recomendação é que os usuários evitem baixar arquivos ou executar programas de fontes desconhecidas, especialmente aqueles que imitam softwares populares como o ChatGPT.

Davis Lu, um hacker chinês de 55 anos, foi condenado a 48 meses de prisão por sabotagem deliberada na rede de computadores de sua antiga empregadora, uma corporação global com sede em Beachwood, Ohio. O juiz distrital dos EUA, Pamela A. Barker, proferiu a sentença em 21 de agosto de 2025, após um veredicto de culpabilidade em março. Lu, que trabalhou como desenvolvedor de software na empresa desde 2007, começou a criar códigos destrutivos após perder privilégios e responsabilidades em 2018. Entre suas ações, ele implementou loops infinitos para travar servidores, scripts para deletar perfis de colegas e um ‘kill switch’ que bloqueava todos os usuários caso sua conta fosse removida. Quando Lu foi demitido em setembro de 2019, o ‘kill switch’ foi ativado, causando interrupções significativas para milhares de usuários globalmente. O FBI destacou a importância da detecção precoce de ameaças internas e a responsabilidade dos cibercriminosos, enfatizando que ações como as de Lu não ficarão impunes.

Desde 20 de agosto de 2025, usuários do Arch Linux têm enfrentado degradação de serviços devido a um ataque de negação de serviço (DDoS) que afetou o site principal, o Arch User Repository (AUR) e os fóruns da comunidade. O ataque resultou em dificuldades de conectividade, com resets iniciais de TCP SYN, embora algumas conexões consigam ser estabelecidas. A equipe de DevOps, composta por voluntários, está trabalhando em conjunto com o provedor de hospedagem para mitigar os efeitos do ataque e está avaliando opções de proteção DDoS a longo prazo. Durante a interrupção, alternativas e espelhos estão disponíveis para que os usuários possam acessar os serviços. A equipe também está preservando logs e dados forenses para uma divulgação pública futura. Atualizações regulares sobre o status da recuperação serão publicadas no site oficial do Arch Linux.