Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

Uma nova acusação de um grande júri federal em Nebraska resultou na imputação de 31 indivíduos por envolvimento em uma operação de jackpotting em caixas eletrônicos, supostamente orquestrada pela gangue venezuelana Tren de Aragua. As acusações se seguem a duas outras denúncias anteriores, que totalizam 87 membros da gangue processados nos últimos seis meses. Os réus são acusados de usar malware Ploutus para roubar milhões de dólares de caixas eletrônicos em todo os Estados Unidos. O malware foi instalado em caixas eletrônicos após a abertura de suas carcaças, permitindo que os criminosos eliminassem evidências e forçassem os dispositivos a liberar dinheiro. A gangue, que evoluiu de uma organização criminosa local para uma designada como organização terrorista estrangeira pelo Departamento do Tesouro dos EUA, representa uma ameaça significativa à segurança financeira. Se condenados, os réus enfrentam penas de prisão que variam de 20 a 335 anos. O caso destaca a crescente complexidade e sofisticação das ameaças cibernéticas, exigindo atenção redobrada das instituições financeiras e autoridades de segurança.

Uma vulnerabilidade de severidade crítica foi identificada na biblioteca vm2, utilizada para criar um ambiente seguro para a execução de código JavaScript não confiável. A falha, rastreada como CVE-2026-22709, permite que atacantes escapem do sandbox e executem código arbitrário no sistema host. A biblioteca, que já foi amplamente utilizada em mais de 200 mil projetos no GitHub, foi descontinuada em 2023 devido a repetidas vulnerabilidades de escape de sandbox. No entanto, em outubro de 2023, o mantenedor Patrik Šimek decidiu reviver o projeto, lançando a versão 3.10.0, que corrigiu várias vulnerabilidades conhecidas. A nova falha surge da falha na sanitização adequada de ‘Promises’, permitindo que funções assíncronas retornem uma Promise global com callbacks que não são devidamente sanitizados. O mantenedor informou que a versão 3.10.1 abordou parcialmente a vulnerabilidade, enquanto a versão 3.10.2 aperfeiçoou a correção. Dada a facilidade de exploração da CVE-2026-22709, é recomendado que os usuários atualizem para a versão mais recente imediatamente. A biblioteca continua a ser popular, com cerca de um milhão de downloads semanais.

A Nike está investigando um possível incidente de cibersegurança após o grupo de ransomware World Leaks vazar 1,4 TB de arquivos que supostamente foram roubados da empresa. O grupo afirma ter acessado quase 190 mil arquivos contendo dados corporativos sobre as operações da Nike. A empresa enfatizou a seriedade com que trata a privacidade e a segurança dos dados dos consumidores e está avaliando a situação. Antes da publicação deste artigo, a entrada da Nike no site de vazamentos do World Leaks foi removida, o que pode indicar que a empresa está em negociações ou que um resgate foi pago. No entanto, a Nike ainda não confirmou a alegação de roubo de dados. O World Leaks é considerado uma rebrand do Hunters International, que mudou seu foco de criptografia de arquivos para roubo de dados e extorsão. Este grupo já foi responsável por mais de 280 ataques a diversas organizações, incluindo o Serviço de Marshals dos EUA e a Tata Technologies. O incidente destaca a crescente ameaça de grupos de ransomware e a necessidade de vigilância constante na proteção de dados corporativos.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

Entidades do governo indiano foram alvo de duas campanhas de ciberespionagem, conhecidas como Gopher Strike e Sheet Attack, atribuídas a um ator de ameaças baseado no Paquistão. As campanhas foram identificadas pela Zscaler ThreatLabz em setembro de 2025 e utilizam técnicas de ataque inovadoras. O Sheet Attack utiliza serviços legítimos como Google Sheets e Firebase para controle de comando e controle (C2), enquanto o Gopher Strike inicia com e-mails de phishing que induzem os usuários a baixar um arquivo ISO malicioso disfarçado de atualização do Adobe Acrobat Reader DC.

A Meta anunciou a adição de uma nova funcionalidade chamada ‘Configurações de Conta Rigorosas’ no WhatsApp, destinada a proteger usuários que podem ser alvos de ataques cibernéticos avançados, como jornalistas e figuras públicas. Essa funcionalidade, semelhante ao Modo de Bloqueio do iOS e à Proteção Avançada do Android, visa aumentar a segurança ao restringir algumas opções de conta e bloquear o recebimento de mídias e anexos de contatos desconhecidos. Ao ativar esse modo, os usuários podem silenciar chamadas de números não salvos e limitar outras configurações que podem comprometer sua segurança. A Meta também anunciou a adoção da linguagem de programação Rust em sua funcionalidade de compartilhamento de mídia, o que promete aumentar a segurança contra ataques de spyware. Essa mudança é parte de uma abordagem mais ampla para garantir a segurança dos usuários, minimizando a exposição a ataques e investindo em garantias de segurança para o código existente. A nova funcionalidade será disponibilizada gradualmente nas próximas semanas, e a Meta enfatiza que essas medidas são um passo importante na defesa contínua contra ameaças cibernéticas.

O gerenciador de senhas 1Password implementou uma nova funcionalidade que avisa os usuários sobre URLs suspeitas de phishing por meio de pop-ups. Essa atualização visa aumentar a segurança dos usuários, ajudando-os a identificar páginas maliciosas e evitando que suas credenciais sejam comprometidas. O serviço, amplamente utilizado, já possui suporte nativo para gerenciamento de passkeys no Windows. Apesar de oferecer essa proteção, a 1Password não preenche automaticamente os dados de login em URLs não cadastradas no cofre, o que significa que os usuários ainda precisam estar atentos a possíveis ataques de typosquatting, onde URLs enganosas podem levar a sites fraudulentos. Uma pesquisa realizada nos EUA revelou que 61% dos usuários já caíram em golpes de phishing, e 75% não verificam a URL antes de clicar em links, o que é especialmente preocupante em ambientes corporativos. A nova funcionalidade será disponibilizada automaticamente para planos individuais e familiares, enquanto administradores de planos empresariais precisarão ativá-la. A 1Password também destacou a crescente utilização de ferramentas de IA em golpes, tornando as páginas falsas mais convincentes do que nunca.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Uma nova campanha de cibersegurança, identificada por pesquisadores da BlackPoint, utiliza um ataque conhecido como ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware. Os hackers, supostamente norte-coreanos, implementam um CAPTCHA falso que induz a vítima a executar um comando malicioso via PowerShell, resultando na instalação de um infostealer chamado ‘Amatera’. Este malware é projetado para coletar informações sensíveis do usuário, incluindo dados do navegador. A operação é alarmante devido à evolução contínua do Amatera, que se torna mais sofisticado com cada atualização. O ataque começa com uma falsa verificação de CAPTCHA, que instrui o usuário a colar e executar um comando que ativa um script legítimo do App-V, camuflando a atividade maliciosa. Após a execução, o malware se conecta a um arquivo do Google Agenda para recuperar dados codificados e inicia um processo oculto que carrega o infostealer diretamente na memória do dispositivo. Especialistas recomendam que os usuários restrinjam o acesso à função ‘Executar’ do Windows e removam componentes do App-V quando não forem necessários, a fim de mitigar os riscos associados a essa ameaça.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, potencialmente vulneráveis a uma falha crítica de bypass de autenticação. A vulnerabilidade, que foi reportada pela watchTowr à desenvolvedora SmarterTools em 8 de janeiro e corrigida em 15 de janeiro, permite que atacantes não autenticados sequestram contas de administrador e executem código remotamente no servidor afetado. A falha, identificada como CVE-2026-23760, afeta versões do SmarterMail anteriores à build 9511 e permite que um atacante forneça um nome de usuário de administrador e uma nova senha para redefinir a conta, resultando em comprometimento total do sistema. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências governamentais dos EUA protejam seus servidores até 16 de fevereiro. Além disso, a pesquisa da Macnica revelou que mais de 8.550 instâncias do SmarterMail ainda estão vulneráveis, destacando a urgência da situação. A exploração dessa vulnerabilidade pode levar a consequências severas, como controle total dos servidores afetados.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

Pesquisadores de cibersegurança identificaram um framework de comando e controle (C2) chamado PeckBirdy, utilizado por atores de APT alinhados à China desde 2023. Este framework, baseado em JScript, tem como alvo indústrias de jogos na China e entidades governamentais na Ásia. A Trend Micro relatou que o PeckBirdy é implementado através de LOLBins (living-off-the-land binaries), permitindo sua execução em diversos ambientes. O objetivo principal é enganar usuários com páginas falsas de atualização do Google Chrome, levando-os a baixar arquivos maliciosos. O grupo de ataques SHADOW-VOID-044, que utiliza o PeckBirdy, foi responsável pela injeção de scripts maliciosos em sites de jogos. Além disso, o SHADOW-EARTH-045, que começou em julho de 2024, visou instituições governamentais e privadas, incluindo uma escola nas Filipinas, injetando links do PeckBirdy em páginas de login. O framework é notável por sua flexibilidade, permitindo a execução em diferentes ambientes e a comunicação com servidores via WebSocket. Os pesquisadores também identificaram backdoors associados, como HOLODONUT e MKDOOR, que ampliam as capacidades de ataque. A detecção de frameworks JavaScript maliciosos como o PeckBirdy é desafiadora devido à sua natureza dinâmica e à falta de artefatos persistentes.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

As equipes de cibersegurança estão se afastando da análise isolada de ameaças e vulnerabilidades, buscando entender como essas interagem em seu ambiente real. A Gestão Contínua de Exposição a Ameaças (CTEM) é uma abordagem que se destaca nesse contexto, promovendo um ciclo contínuo de identificação, priorização e remediação de exposições exploráveis. Definida pela Gartner, a CTEM envolve cinco etapas: escopo, descoberta, priorização, validação e mobilização, visando melhorar a postura de segurança das organizações.

Pesquisadores de cibersegurança revelaram uma nova campanha que combina CAPTCHAs falsos com um script assinado da Microsoft para distribuir um ladrão de informações chamado Amatera. O ataque começa com um prompt de verificação CAPTCHA falso que engana os usuários a colar e executar um comando malicioso no diálogo de execução do Windows. Em vez de invocar o PowerShell diretamente, o atacante utiliza o script ‘SyncAppvPublishingServer.vbs’, associado ao Microsoft Application Virtualization (App-V), para executar um carregador na memória a partir de um servidor externo. Essa técnica, que já foi observada em ataques anteriores, é usada para contornar restrições de execução do PowerShell, tornando a detecção mais difícil. O script malicioso busca dados de configuração em um arquivo de calendário público do Google, permitindo que o atacante ajuste rapidamente a infraestrutura sem precisar redistribuir as etapas anteriores do ataque. A campanha, que tem como alvo principalmente sistemas gerenciados por empresas, destaca a evolução das técnicas de engenharia social, como o ClickFix, que se tornou uma das principais formas de acesso inicial em ataques recentes. Com 47% dos ataques observados pela Microsoft utilizando essa técnica, a necessidade de vigilância e defesa eficaz se torna ainda mais crítica para as organizações.

Na última segunda-feira, a Microsoft divulgou patches de segurança fora do ciclo regular para uma vulnerabilidade zero-day de alta severidade no Microsoft Office, identificada como CVE-2026-21509, com uma pontuação CVSS de 7.8. Essa falha permite que atacantes não autorizados contornem recursos de segurança locais, explorando a confiança em entradas não confiáveis. O ataque ocorre quando um arquivo do Office especialmente elaborado é enviado a um usuário, que precisa ser convencido a abri-lo. A Microsoft informou que usuários do Office 2021 e versões posteriores serão protegidos automaticamente, mas devem reiniciar seus aplicativos. Para versões anteriores, como Office 2016 e 2019, atualizações específicas devem ser instaladas. Além disso, a empresa recomenda uma alteração no Registro do Windows para mitigar a vulnerabilidade. A CISA dos EUA adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas, exigindo que agências federais apliquem os patches até 16 de fevereiro de 2026. A Microsoft não divulgou detalhes sobre a natureza dos ataques que exploram essa vulnerabilidade, mas a situação destaca a importância de manter os sistemas atualizados e seguros.

A empresa de vestuário FullBeauty Brands confirmou um vazamento de dados ocorrido entre outubro e novembro de 2025, afetando pelo menos 1.191 pessoas. O incidente, atribuído ao grupo cibercriminoso Everest, resultou na exposição de nomes e números de Seguro Social. O ataque foi reconhecido pelo Everest, que divulgou os dados supostamente roubados após a empresa não atender ao prazo de resgate. A FullBeauty, por sua vez, não confirmou a reivindicação do grupo e não se sabe se um resgate foi pago. A empresa está oferecendo um ano de monitoramento de crédito e proteção contra roubo de identidade aos afetados. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo NASA e o governo brasileiro, e em 2025, reivindicou 15 ataques confirmados. Os ataques de ransomware em varejistas nos EUA aumentaram, com 23 incidentes registrados em 2025, comprometendo mais de 126 mil registros pessoais. O caso da FullBeauty destaca a vulnerabilidade das empresas de varejo a ataques cibernéticos, que podem resultar em perda de dados e interrupção das operações.

Um novo malware como serviço (MaaS) chamado ‘Stanley’ foi identificado, oferecendo extensões maliciosas para o navegador Chrome que conseguem passar pelo processo de revisão da Chrome Web Store. Desenvolvido por um vendedor que utiliza o pseudônimo Stanley, o serviço permite a realização de ataques de phishing ao sobrepor uma página da web com um iframe em tela cheia, exibindo conteúdo malicioso. Além disso, o Stanley promete instalação silenciosa em navegadores como Chrome, Edge e Brave, e oferece suporte para personalizações. O serviço possui diferentes planos de assinatura, sendo o mais caro o Luxe Plan, que inclui um painel web e suporte completo para publicação das extensões maliciosas. A pesquisa da Varonis destaca que o malware realiza polling de comando e controle a cada 10 segundos e pode rotacionar domínios para evitar desativação. Apesar de sua simplicidade técnica, o modelo de distribuição do Stanley é preocupante, pois permite que extensões maliciosas sejam disponibilizadas em uma das maiores plataformas de complementos de navegador. Especialistas recomendam que os usuários instalem apenas extensões necessárias e verifiquem a confiabilidade dos editores.

Durante a competição Pwn2Own no Automotive World 2026, realizada em Tóquio, pesquisadores revelaram vulnerabilidades preocupantes em sistemas de infoentretenimento e carregadores elétricos de veículos. Um dos destaques foi a demonstração de como um carregador portátil, o Autel MaxiCharger AC Elite Home 40A, pode ser comprometido usando um cartão NFC, permitindo que um invasor assuma o controle total do sistema. Ao longo do evento, foram identificadas 66 vulnerabilidades de dia zero nos primeiros dois dias, com cinco em cada seis tentativas de invasão sendo bem-sucedidas. Os especialistas notaram que muitos ataques se aproveitam de falhas simples e não corrigidas, especialmente em sistemas de infoentretenimento, que são mais fáceis de invadir. Além disso, mesmo com sistemas de segurança complexos, os carregadores elétricos ainda são vulneráveis a ataques via Bluetooth. A falta de processos rigorosos de revisão de segurança em componentes automotivos contribui para a proliferação dessas vulnerabilidades, tornando a situação ainda mais alarmante, já que hackers podem usar ferramentas de manutenção para causar danos sem a necessidade de falhas ativas.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.

Pesquisadores do FortiGuard Labs, da Fortinet, identificaram uma nova campanha de phishing que distribui ransomwares e o trojan de acesso remoto Amnesia RAT, com foco principal na Rússia. Os cibercriminosos utilizam técnicas de engenharia social, disfarçando seus ataques como documentos rotineiros. O que torna essa ameaça particularmente avançada é o uso de serviços de nuvem, como GitHub e Dropbox, para entregar diferentes payloads maliciosos, o que complica a detecção e mitigação. Além disso, os hackers exploram uma ferramenta legítima chamada defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. O ataque envolve o envio de arquivos comprimidos que contêm documentos falsos e um atalho malicioso, que, ao ser executado, baixa o malware via PowerShell. O Amnesia RAT é capaz de roubar informações sensíveis, como dados de navegadores e carteiras de criptomoeda, enquanto o ransomware Hakuna Matata criptografa arquivos e exige resgate. Os pesquisadores alertam que essa campanha demonstra uma nova abordagem, onde os malwares não exploram vulnerabilidades de software, mas abusam de características nativas do Windows, o que torna a defesa ainda mais desafiadora.

A gangue de ransomware ShinyHunters reivindicou a responsabilidade por uma série de ataques de vishing que exploram contas de login único (SSO) em serviços como Google, Microsoft e Okta. Os cibercriminosos utilizam técnicas de engenharia social, se passando por suporte de TI para enganar funcionários e obter credenciais e códigos de autenticação de dois fatores. Uma vez dentro das contas, eles aproveitam o acesso SSO para invadir sistemas corporativos, comprometendo dados sensíveis. Os ataques são facilitados por kits de phishing que imitam sites legítimos em tempo real, adaptando-se às respostas das vítimas durante as chamadas. Embora a Google e a Microsoft tenham negado que seus produtos tenham sido afetados, os hackers afirmam ter utilizado dados de invasões anteriores para contatar funcionários. O uso de SSO, que conecta diversos aplicativos em um único login, aumenta o risco de compromissos em larga escala, especialmente em empresas que utilizam plataformas como Salesforce, Slack e Google Workspace. Este incidente destaca a necessidade urgente de fortalecer a segurança em torno de autenticações e credenciais corporativas.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 na Cytek Biosciences, uma fabricante de produtos médicos localizada em Fremont, Califórnia. A violação afetou 331 pessoas, comprometendo informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras, e credenciais de contas de funcionários. A Cytek não confirmou se pagou um resgate, e detalhes sobre como a rede foi invadida ainda não foram divulgados. Rhysida, que opera como um serviço de ransomware, já realizou 258 ataques desde sua fundação em 2023, com um histórico de demandas de resgate que podem ultrapassar US$ 3 milhões. Em 2025, ataques a empresas de saúde nos EUA resultaram no comprometimento de mais de 5,86 milhões de registros. A Cytek está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas afetadas. Este incidente destaca a crescente ameaça de ransomware no setor de saúde, que pode comprometer a segurança e a privacidade dos pacientes.

A Comissão Europeia anunciou a abertura de um processo formal sob a Lei de Serviços Digitais (DSA) para investigar se a plataforma X avaliou adequadamente os riscos antes de implementar sua ferramenta de inteligência artificial, Grok. A preocupação surge após relatos de que a ferramenta foi utilizada para gerar imagens sexualmente explícitas manipuladas, incluindo conteúdos que podem ser classificados como material de abuso sexual infantil. A comissária de tecnologia da UE, Henna Virkkunen, destacou que os deepfakes sexuais são uma forma inaceitável de degradação. Além disso, as autoridades do Reino Unido também estão investigando a plataforma, após o uso do chatbot Grok para criar imagens de usuários nus e material de abuso sexual infantil. Em resposta às preocupações, a X anunciou que restringiria as capacidades de geração e edição de imagens do Grok apenas para assinantes pagos, uma decisão criticada por autoridades britânicas como desrespeitosa às vítimas de violência sexual. Como uma plataforma online de grande porte, a X deve mitigar riscos sistêmicos conforme definido pela DSA, incluindo a disseminação de conteúdo ilegal. A Comissão Europeia já multou a X em €120 milhões por violações anteriores de obrigações de transparência sob a DSA.

A Cloudflare divulgou detalhes sobre um vazamento de rota do Protocolo de Gateway de Fronteira (BGP) que ocorreu em 22 de janeiro, afetando o tráfego IPv6. O incidente, que durou 25 minutos, resultou em congestionamento, perda de pacotes e cerca de 12 Gbps de tráfego descartado. O vazamento foi causado por uma configuração de política acidental em um roteador, que permitiu a redistribuição inadequada de rotas entre redes autônomas. Segundo a Cloudflare, o problema ocorreu quando rotas de pares foram redistribuídas em Miami, violando as regras de roteamento ‘valley-free’. Isso resultou em tráfego sendo enviado por caminhos não intencionais, causando congestionamento e, em alguns casos, descarte total do tráfego. Embora o incidente tenha sido rapidamente mitigado, a empresa reconheceu que eventos semelhantes ocorreram anteriormente e listou medidas para evitar recorrências, incluindo a implementação de salvaguardas mais rigorosas e validações de políticas. O incidente destaca a importância da configuração correta de políticas BGP, não apenas para a confiabilidade, mas também para a segurança da rede.

A Microsoft divulgou atualizações de segurança emergenciais para corrigir uma vulnerabilidade zero-day de alta severidade no Microsoft Office, identificada como CVE-2026-21509. Essa falha, que permite a bypass de recursos de segurança, afeta diversas versões do Office, incluindo 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise. Embora as atualizações para Office 2016 e 2019 ainda não estejam disponíveis, a empresa recomenda medidas mitigatórias temporárias. A vulnerabilidade pode ser explorada por atacantes locais não autenticados que convencem usuários a abrir arquivos maliciosos. A Microsoft esclareceu que, para versões mais recentes, como Office 2021, a proteção será aplicada automaticamente, mas os usuários precisarão reiniciar os aplicativos. Para os usuários das versões 2016 e 2019, a empresa sugere a criação de chaves específicas no Registro do Windows como uma medida de mitigação. A falha foi descoberta recentemente, e a Microsoft não divulgou detalhes sobre como foi explorada. A situação é crítica, pois a exploração dessa vulnerabilidade pode comprometer a segurança dos dados dos usuários.

Uma nova campanha de cibersegurança combina o método ClickFix com um CAPTCHA falso e um script assinado do Microsoft Application Virtualization (App-V) para entregar o malware infostealer Amatera. O script do App-V atua como um binário de ’living-off-the-land’, disfarçando a atividade maliciosa ao usar um componente confiável da Microsoft. A campanha inicia-se com um CAPTCHA que solicita que a vítima cole e execute um comando no Windows Run. Esse comando abusa do script legítimo SyncAppvPublishingServer.vbs, que normalmente é utilizado para gerenciar aplicações virtualizadas. O malware, uma versão em desenvolvimento do ACR infostealer, coleta dados de navegadores e credenciais. Durante a execução, ele verifica se está sendo analisado em um ambiente seguro, utilizando técnicas como espera infinita para evitar detecções. O ataque também utiliza esteganografia para ocultar cargas úteis em imagens PNG, que são extraídas e executadas em memória. Para se proteger contra esses ataques, recomenda-se restringir o acesso ao Windows Run, remover componentes do App-V desnecessários e monitorar conexões de saída. A Amatera é classificada como um malware como serviço (MaaS), tornando-se uma ameaça crescente no cenário de segurança cibernética.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas do Microsoft Visual Studio Code (VS Code) que se apresentam como assistentes de codificação baseados em inteligência artificial, mas que possuem funcionalidades ocultas para roubar dados de desenvolvedores e enviá-los a servidores na China. As extensões, que somam 1,5 milhão de instalações, são ‘ChatGPT - 中文版’ e ‘ChatGPT - ChatMoss（CodeMoss）’. Ambas capturam arquivos abertos e modificações de código, enviando essas informações sem o consentimento dos usuários. O código malicioso é projetado para ler o conteúdo de cada arquivo aberto, codificá-lo em formato Base64 e transmiti-lo para um servidor específico. Além disso, as extensões incluem um recurso de monitoramento em tempo real que pode ser ativado remotamente, permitindo a exfiltração de até 50 arquivos de uma vez. A descoberta foi feita pela Koi Security, que também identificou vulnerabilidades em gerenciadores de pacotes JavaScript que podem ser exploradas para contornar controles de segurança. A situação é alarmante, pois as extensões funcionam como prometido, o que reduz a desconfiança dos usuários. A Microsoft e GitHub foram alertadas sobre as falhas e a necessidade de ações corretivas para proteger a cadeia de suprimentos de software.

Pesquisadores de cibersegurança identificaram uma campanha em andamento que visa usuários indianos, utilizando um backdoor em múltiplas etapas como parte de uma suspeita de espionagem cibernética. Segundo a eSentire Threat Response Unit (TRU), os atacantes estão enviando e-mails de phishing que se disfarçam como notificações do Departamento de Imposto de Renda da Índia, induzindo as vítimas a baixar um arquivo ZIP malicioso. Este arquivo contém um executável que, ao ser executado, instala um trojan bancário conhecido como Blackmoon e uma ferramenta legítima chamada SyncFuture TSM, que foi reconfigurada para fins de espionagem.

Pesquisadores de segurança das equipes Carbon Black e Symantec relataram detalhes sobre o novo ransomware Osiris, que vem afetando países da Ásia desde novembro de 2025. Este ransomware, que é vendido como ransomware-as-a-service, utiliza um driver malicioso chamado POORTRY, projetado para desativar aplicativos de segurança nas máquinas das vítimas. Diferente de variantes anteriores, o Osiris não possui relação com o ransomware Locky, que surgiu em 2016. Os ataques são classificados como ’living-off-the-land’, extraindo dados através de buckets Wasabi e utilizando ferramentas como Mimikatz, Netscan, Netexec, MeshAgent e Rustdesk. O uso do driver POORTRY é um diferencial, pois ele é especificamente desenhado para elevar privilégios e fechar ferramentas de segurança, em vez de simplesmente entregar programas vulneráveis. No Brasil, o grupo Makop também tem realizado atividades semelhantes, visando sistemas remotos e utilizando drivers maliciosos. Para se proteger, especialistas recomendam monitorar ferramentas de uso duplo, restringir acessos a sistemas remotos, reforçar a autenticação em duas etapas e proibir aplicativos suspeitos.

Pesquisadores da Okta alertam sobre a crescente sofisticação dos kits de vishing, uma variante de phishing que utiliza chamadas de voz para enganar as vítimas. Esses kits são capazes de criar sites falsos personalizados que imitam serviços populares, como Google e Microsoft, e coletar credenciais de login e códigos de autenticação em tempo real. O processo começa com o perfilamento da vítima, seguido pela construção de um site de phishing que é apresentado durante uma ligação feita por um número falsificado ou roubado. Os golpistas orientam a vítima a inserir suas informações, que são imediatamente utilizadas para tentar acessar as contas reais. A capacidade de atualizar o site em tempo real para capturar códigos de autenticação de dois fatores torna esse ataque particularmente perigoso. Para se proteger, a Okta recomenda o uso de autenticação avançada e chaves de acesso, além de medidas anti-phishing. Essa evolução no vishing representa um risco significativo para usuários e empresas, especialmente em um cenário onde a segurança digital é cada vez mais crítica.

Hackers do grupo Konni, da Coreia do Norte, estão utilizando ferramentas de inteligência artificial para criar e espalhar um malware em PowerShell, visando roubar informações de equipes de engenharia de blockchain. A campanha de spear-phishing, iniciada em janeiro de 2026, tem se concentrado em países como Japão, Austrália e Índia. Os ataques se disfarçam como alertas financeiros, levando as vítimas a baixar arquivos ZIP que contêm um atalho do Windows disfarçado de documento PDF. Esse atalho executa um script AutoIt que instala o trojan EndRAT, que, por sua vez, ativa um loader do PowerShell para extrair documentos do Microsoft Word, distraindo a vítima enquanto um backdoor é instalado. Este backdoor permite que os hackers elevem seus privilégios no sistema e se comuniquem com um servidor C2 criptografado, enviando metadados do usuário. O uso de IA para gerar o malware indica uma evolução nas técnicas de ataque, permitindo uma automação maior e uma padronização do código malicioso, o que pode aumentar a eficácia dos ataques.

Pesquisadores de segurança da Anchore alertaram sobre uma nova campanha de hackers que invadem aplicativos inativos do Linux, especificamente os pacotes Snap, para roubar criptomoedas. Os atacantes se aproveitam de aplicativos dormentes na Snap Store Canonical, que não recebem mais atualizações e têm seus domínios expirados. Ao adquirir esses domínios, os cibercriminosos redefinem senhas e atualizam o código dos aplicativos para incluir malware. Essa técnica tem sido utilizada principalmente em aplicativos de carteira de criptomoeda, como Exodus, Ledger Live e Trust Wallet, resultando em perdas financeiras significativas que variam de R$ 50 mil a R$ 2,5 milhões. O grupo responsável pelos ataques ainda não foi identificado, mas há indícios de que opere na Croácia. A Canonical está ciente do problema e trabalha para remover os snaps maliciosos, embora novos apareçam rapidamente. Os usuários são aconselhados a ter cautela ao baixar softwares relacionados a criptomoedas, especialmente carteiras.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, alertam que hackers estão utilizando Inteligência Artificial Generativa (GenAI) para desenvolver ataques de phishing mais sofisticados e personalizados. A técnica envolve a criação de páginas de phishing dinâmicas que se adaptam ao usuário, utilizando APIs de Modelos de Linguagem de Grande Escala (LLMs) para gerar códigos JavaScript únicos em tempo real. Isso dificulta a detecção por métodos tradicionais, pois o código malicioso não é entregue de forma estática, mas sim gerado na hora, tornando a análise prévia quase impossível. Embora ainda seja uma prova de conceito, a pesquisa indica que os fundamentos para esses ataques já estão sendo explorados, com um aumento no uso de malware e ransomware assistidos por LLMs. Os especialistas recomendam que as empresas restrinjam o uso de serviços LLM não autorizados e implementem medidas de segurança mais robustas para prevenir esses novos tipos de ataques.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.

O cenário da cibersegurança está passando por uma transformação significativa devido ao uso crescente de inteligência artificial (IA) por atacantes. Um relatório do Google Threat Intelligence Group destaca como adversários estão utilizando Modelos de Linguagem Grande (LLMs) para ocultar códigos e gerar scripts maliciosos em tempo real, dificultando a detecção por defesas convencionais. Em novembro de 2025, a Anthropic revelou a primeira campanha de espionagem cibernética orquestrada por IA, onde o ataque foi realizado de forma quase autônoma. Além disso, técnicas de esteganografia estão sendo empregadas para esconder malware em arquivos de imagem, enganando usuários e permitindo a instalação de trojans de acesso remoto (RATs) e outros malwares.

O artigo destaca a crescente vulnerabilidade em sistemas de segurança, evidenciada por falhas em ferramentas amplamente utilizadas. Um exemplo crítico é a exploração de uma vulnerabilidade de autenticação em firewalls da Fortinet, que, mesmo após atualizações, ainda apresenta riscos. A empresa confirmou que a falha, relacionada aos CVEs 2025-59718 e 2025-59719, permite que atacantes contornem a autenticação SSO, mesmo em dispositivos atualizados. Além disso, o surgimento de malware como o VoidLink, gerado quase inteiramente por inteligência artificial, representa uma nova era na criação de software malicioso, complicando a atribuição de ataques. Outro ponto alarmante é a vulnerabilidade crítica no daemon telnetd do GNU InetUtils, que permite acesso não autorizado a sistemas, afetando versões desde 1.9.3 até 2.7. O uso de técnicas de vishing e campanhas de malvertising também são destacados, mostrando que os atacantes estão se adaptando rapidamente. O cenário atual exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

O grupo de ameaças cibernéticas norte-coreano conhecido como Konni tem sido observado utilizando malware PowerShell gerado por ferramentas de inteligência artificial (IA) para atacar desenvolvedores e equipes de engenharia no setor de blockchain. A campanha de phishing, que se expandiu para além da Coreia do Sul, agora mira países como Japão, Austrália e Índia. Konni, ativo desde 2014, é conhecido por suas táticas de engenharia social, como o uso de e-mails de spear-phishing que disfarçam links maliciosos como URLs de publicidade legítimas. Recentemente, a campanha denominada Operação Poseidon tem se concentrado em imitar organizações de direitos humanos e instituições financeiras sul-coreanas. Os ataques utilizam sites WordPress mal configurados para distribuir malware e infraestrutura de comando e controle. O malware, chamado EndRAT, é entregue através de arquivos ZIP que contêm atalhos do Windows projetados para executar scripts maliciosos. A análise sugere que a estrutura modular do backdoor PowerShell pode ter sido criada com a ajuda de ferramentas de IA, indicando uma evolução nas táticas do grupo, que agora busca comprometer ambientes de desenvolvimento para acesso mais amplo a projetos e serviços.

A OpenAI está implementando uma atualização significativa para o recurso de chat temporário do ChatGPT, que permitirá aos usuários manter a personalização durante as conversas temporárias, enquanto ainda bloqueia a influência desse chat na conta principal. O chat temporário é uma funcionalidade que inicia uma conversa sem histórico, não utilizando memórias ou conversas anteriores, mesmo com a memória ativada. Com a nova atualização, o chat temporário poderá acessar preferências de personalização, como estilo e tom, mas essa função pode ser desativada a qualquer momento. Além disso, a OpenAI poderá manter uma cópia do chat por até 30 dias por motivos de segurança. Recentemente, a empresa também introduziu um modelo de previsão de idade, que pode restringir contas de usuários adultos que são erroneamente identificados como adolescentes, limitando suas interações em tópicos sensíveis. Embora as contas restritas ainda possam aprender e criar, elas não poderão discutir certos assuntos. A OpenAI alerta que seu modelo de IA não é infalível e pode levar a erros de classificação. Essas mudanças visam melhorar a experiência do usuário, mas também levantam questões sobre privacidade e segurança de dados.

O gerenciador de senhas 1Password implementou uma nova funcionalidade para proteger seus usuários contra URLs de phishing, alertando-os sobre possíveis páginas maliciosas. Essa ferramenta, amplamente utilizada em ambientes corporativos, não preenche automaticamente os dados de login em sites cujos URLs não correspondem aos armazenados no cofre do usuário. Apesar dessa proteção, a empresa reconhece que muitos usuários podem não perceber erros sutis, como domínios com grafias incorretas, e ainda assim inserir suas credenciais. Para mitigar esse risco, o 1Password agora exibe um pop-up que alerta os usuários sobre possíveis tentativas de phishing, incentivando-os a verificar cuidadosamente o URL antes de prosseguir. Essa funcionalidade será ativada automaticamente para usuários individuais e de planos familiares, enquanto administradores poderão habilitá-la manualmente para funcionários de empresas. A pesquisa realizada pela 1Password revelou que 61% dos entrevistados já foram vítimas de phishing, e 75% não verificam URLs antes de clicar em links. Diante do aumento das ameaças de phishing, especialmente com o uso de ferramentas de IA por atacantes, essa nova camada de proteção é crucial para a segurança dos usuários.

O artigo aborda os riscos associados aos metadados presentes em fotos e documentos digitais, que podem comprometer a privacidade dos usuários. Metadados são informações ocultas que acompanham arquivos, como data, hora, modelo da câmera e até coordenadas de GPS. Esses dados podem ser utilizados por pessoas mal-intencionadas para rastrear a localização de indivíduos, facilitando casos de stalking e engenharia social. Embora plataformas como Instagram e Facebook removam metadados durante a publicação, o compartilhamento de arquivos originais via e-mail ou serviços de armazenamento pode expor informações sensíveis. O texto também oferece orientações sobre como visualizar e remover metadados em diferentes sistemas operacionais, destacando a importância de gerenciar essas informações para proteger a privacidade. Apesar de serem úteis para organizar arquivos, os metadados podem se tornar uma ameaça se não forem tratados com cautela.

Durante períodos de férias, os golpistas aproveitam para aplicar o golpe da falsa agência de viagens, criando sites que imitam agências legítimas. Esses sites frequentemente apresentam ofertas irresistíveis, como pacotes de resorts a preços muito baixos, utilizando gatilhos mentais de urgência para forçar pagamentos rápidos. O usuário, atraído por essas ofertas, pode acabar fornecendo dados pessoais e financeiros, que são utilizados para fraudes. Para evitar cair nesse tipo de golpe, é essencial ter atenção redobrada. Descontos acima de 50% devem levantar suspeitas, assim como a exigência de pagamentos via Pix ou transferências para CPFs. Verificar a legitimidade da agência através de ferramentas como o Cadastur e consultar o CNPJ no Ministério do Turismo são passos fundamentais. Caso alguém caia no golpe, é recomendado registrar um boletim de ocorrência e tentar reaver o valor pago, embora a recuperação seja difícil devido à rapidez com que os golpistas movimentam o dinheiro. A melhor defesa é o ceticismo e a pesquisa minuciosa antes de qualquer compra.

A Microsoft está investigando relatos de que alguns dispositivos com Windows 11 estão apresentando falhas de inicialização com o erro ‘UNMOUNTABLE_BOOT_VOLUME’ após a instalação das atualizações de segurança de janeiro de 2026. O problema afeta a versão 25H2 e todas as edições da versão 24H2 do Windows 11, especificamente após a instalação da atualização cumulativa KB5074109. Os usuários afetados relatam que seus sistemas não conseguem iniciar e exibem uma tela preta com a mensagem de erro. A empresa confirmou que apenas dispositivos físicos estão sendo impactados, sem relatos de máquinas virtuais afetadas até o momento. A Microsoft está coletando feedback dos usuários através do aplicativo Feedback Hub e investiga se o problema está relacionado a uma atualização do Windows. Além disso, a empresa lançou atualizações de emergência para resolver um problema que causava travamentos no Microsoft Outlook ao lidar com arquivos PST armazenados em serviços de nuvem. A situação requer atenção, pois pode afetar a operação de empresas que utilizam amplamente o Windows 11 em seus ambientes de trabalho.

Ataques digitais sofisticados estão colocando em risco a segurança de aplicativos de mensagens como WhatsApp e Telegram, utilizados por milhões de brasileiros. Esses ataques, conhecidos como ‘zero clique’, não requerem que o usuário clique em links suspeitos ou interaja com arquivos, explorando vulnerabilidades invisíveis nos aplicativos. Segundo Paulo Trindade, especialista em inteligência de ameaças, os invasores utilizam falhas de software para instalar códigos maliciosos que comprometem o dispositivo de forma silenciosa, muitas vezes apenas com o recebimento de um conteúdo malicioso. A identificação desses ataques é complexa, pois os sinais de comprometimento são sutis, podendo se manifestar como lentidão momentânea no aparelho. Para mitigar os riscos, Trindade recomenda práticas preventivas, como evitar grupos desconhecidos e manter os aplicativos atualizados, uma vez que as atualizações corrigem brechas de segurança. O artigo destaca a importância de estar ciente dessas ameaças, especialmente em um cenário onde a comunicação digital é essencial para a vida cotidiana.

Um ciberataque direcionado à rede elétrica da Polônia, ocorrido entre 29 e 30 de dezembro de 2025, foi atribuído ao grupo de hackers Sandworm, supostamente patrocinado pelo Estado russo. Durante o ataque, o grupo tentou implantar um novo malware destrutivo chamado DynoWiper, que tem a capacidade de apagar dados de forma irreversível. O ataque visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável, resultando em um impacto significativo na infraestrutura elétrica do país. O malware DynoWiper, identificado como Win32/KillFiles.NMO, apaga arquivos do sistema, tornando-o inutilizável. O primeiro-ministro polonês, Donald Tusk, afirmou que as evidências indicam que o ataque foi preparado por grupos ligados aos serviços russos. Embora detalhes técnicos sobre o DynoWiper sejam escassos, a ESET, empresa de segurança cibernética, está monitorando a situação. Este ataque é parte de uma série de ações do Sandworm, que anteriormente já havia realizado ataques semelhantes na Ucrânia, afetando setores críticos como energia e educação. A situação destaca a crescente ameaça de ciberataques a infraestruturas críticas na Europa, especialmente em um contexto geopolítico tenso.

A Microsoft lançou atualizações de emergência para Windows 10, Windows 11 e Windows Server, visando resolver um problema que impedia a abertura do Microsoft Outlook clássico ao usar arquivos PST armazenados em serviços de nuvem como OneDrive e Dropbox. Desde a liberação das atualizações de Patch Tuesday de janeiro de 2026, usuários do Outlook têm enfrentado congelamentos ao tentar abrir o aplicativo com arquivos PST na nuvem. Esses arquivos são utilizados para armazenar e-mails e dados localmente, sendo comuns em ambientes corporativos para acesso offline e backup de mensagens importantes. A Microsoft alertou que, após a instalação das atualizações de janeiro, alguns aplicativos podem se tornar não responsivos ao abrir ou salvar arquivos em armazenamento em nuvem. Para mitigar esses problemas, foram disponibilizadas atualizações específicas, como KB5078127 para Windows 11 e KB5078129 para Windows 10. Os usuários afetados podem instalar as atualizações via Windows Update ou pelo Catálogo de Download da Microsoft. Caso não sejam impactados, não há necessidade de instalação imediata. As atualizações também incluem correções para outros bugs relacionados ao Microsoft 365 Cloud PC e problemas de desligamento em PCs com Secure Launch habilitado.

O grupo de hackers norte-coreano Konni (também conhecido como Opal Sleet ou TA406) está utilizando malware PowerShell gerado por inteligência artificial para atacar desenvolvedores e engenheiros no setor de blockchain. Ativo desde 2014, o grupo é associado a atividades de APT37 e Kimsuky, e tem como alvo organizações na Coreia do Sul, Rússia, Ucrânia e diversos países da Europa. A mais recente campanha do grupo foca na região da Ásia-Pacífico, com amostras de malware enviadas de países como Japão, Austrália e Índia.