Cibersegurança

A Microsoft divulgou um estudo que alerta os usuários do Office 365 sobre ataques de phishing que podem ser realizados através de e-mails com configurações vulneráveis. A pesquisa, realizada pelo Microsoft Threat Intelligence, revela como cibercriminosos conseguem falsificar domínios legítimos, enganando as vítimas que confiam na empresa. O ataque é facilitado por um ‘roteamento complexo’ e pela falta de proteções adequadas contra falsificação de domínios nas contas de e-mail, o que aumenta o risco de violações de segurança.

Uma pesquisa do Fórum Econômico Mundial (WEF) revelou que, apesar da evolução das ferramentas de deepfake, a maioria delas ainda é fraca em comparação com as contramedidas de segurança adotadas por instituições financeiras e empresas. O estudo analisou 17 programas de deepfake, tanto de código aberto quanto comerciais, entre julho de 2024 e abril de 2025, focando na capacidade desses softwares de contornar algoritmos de reconhecimento facial, especialmente em verificações de identidade ‘know your customer’ (KYC). Os resultados mostraram que a maioria das ferramentas é superficial e voltada para entretenimento, com apenas uma pequena fração capaz de realizar fraudes de identidade de forma eficaz. Apenas cinco dos programas estudados afetam webcams em tempo real, e somente três conseguem injetar imagens falsas diretamente em feeds de vídeo de reconhecimento facial. Embora os deepfakes possam enganar os olhos humanos, eles ainda enfrentam dificuldades em passar por sistemas de reconhecimento facial, que utilizam metadados e outros dados para validação. A pesquisa sugere que os defensores da segurança estão à frente, já que têm tempo para estudar e melhorar suas defesas, enquanto os criminosos não têm feedback sobre o que precisam aprimorar.

Os ataques de negação de serviço distribuído (DDoS) evoluíram drasticamente em 2025, tornando-se uma ocorrência diária para provedores de telecomunicações. O artigo destaca que, enquanto em 2024 cerca de 44% das campanhas DDoS terminavam em cinco minutos, esse número saltou para 78% em 2025, com mais de um terço dos ataques concluídos em menos de dois minutos. Essa aceleração se deve à automação dos ataques, que agora são orquestrados por algoritmos que adaptam suas estratégias em tempo real, dificultando a resposta das defesas tradicionais. Além disso, a origem do tráfego de ataque mudou, com redes de proxies residenciais, que podem incluir de 100 a 200 milhões de dispositivos, agora sendo utilizadas para retransmitir tráfego malicioso. Essa nova infraestrutura de ataque é invisível e muito mais difícil de ser detectada, representando uma ameaça significativa. Para se defender, as organizações precisam adotar sistemas automatizados e escaláveis que integrem inteligência para identificar tráfego malicioso entre usuários legítimos. O artigo conclui que as defesas DDoS tradicionais não são mais suficientes e que é crucial uma evolução para arquiteturas de defesa proativas.

Um novo relatório do Fórum Econômico Mundial (WEF) revela que as empresas estão começando a levar a sério os riscos de segurança associados à inteligência artificial (IA). Quase dois terços (64%) das empresas agora avaliam os riscos antes de implementar ferramentas de IA, um aumento significativo em relação a 37% no ano anterior. A pesquisa, realizada em colaboração com a Accenture, indica que 94% dos executivos acreditam que as ferramentas de IA serão o principal motor de mudança em suas estratégias de cibersegurança até 2026. Apesar do aumento na conscientização sobre as vulnerabilidades relacionadas à IA, como vazamentos de dados e fraudes, as empresas também estão adotando IA para combater essas ameaças, com 77% utilizando a tecnologia para melhorar a segurança cibernética. As aplicações mais comuns incluem a detecção de phishing (52%) e a automação de operações de segurança (43%). No entanto, desafios como a falta de habilidades e a necessidade de validação humana ainda impedem a adoção mais ampla da IA na segurança. O WEF prevê que ameaças como phishing convincente e fraudes automatizadas se tornarão mais prevalentes, destacando a necessidade urgente de as empresas se adaptarem a esse novo cenário de ameaças.

Em 2025, o mundo registrou 7.419 ataques de ransomware, um aumento de 32% em relação ao ano anterior. Desses, 1.173 foram confirmados por organizações-alvo, enquanto muitos outros não foram reconhecidos publicamente. A pesquisa da Sophos revela que quase metade das empresas pagam resgates para recuperar dados, o que pode contribuir para a subnotificação de incidentes. O setor de manufatura foi o mais afetado, com um aumento de 56% nos ataques e um pedido médio de resgate que mais que dobrou, alcançando quase 1,2 milhão de dólares. Embora os ataques a setores como saúde e educação tenham se estabilizado, o aumento geral de ataques a empresas e entidades governamentais é alarmante. Os Estados Unidos foram o país mais visado, com 3.810 ataques. O relatório destaca a evolução das táticas de ransomware e a necessidade urgente de medidas de segurança mais robustas, especialmente em setores críticos. A média de resgates caiu 26%, mas o número de registros comprometidos continua a crescer, exigindo atenção contínua das equipes de segurança.

A Avosina Healthcare Solutions, empresa de faturamento médico, notificou 42.261 pessoas sobre uma violação de dados ocorrida em julho de 2025, que comprometeu informações pessoais, médicas e de seguros de saúde. O ataque foi reivindicado pelo grupo de ransomware Qilin, que postou amostras de documentos supostamente roubados, incluindo formulários médicos e contratações. A Avosina não confirmou a reivindicação do grupo, e detalhes sobre o pagamento de resgate ou a forma como a violação ocorreu ainda não foram divulgados. A empresa informou que os dados comprometidos estavam em um sistema arquivado e não ativo. Para mitigar os danos, a Avosina está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade para as vítimas. O grupo Qilin, baseado na Rússia, é conhecido por ataques a empresas de saúde e já comprometeu milhões de registros em 2025. Este incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem comprometer não apenas dados, mas também a segurança e a privacidade dos pacientes.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha SHADOW#REACTOR, que utiliza uma cadeia de ataque em múltiplas etapas para implantar uma ferramenta de administração remota chamada Remcos RAT. O processo de infecção começa com um script em Visual Basic ofuscado, que é executado via wscript.exe e invoca um downloader em PowerShell. Este downloader busca fragmentos de carga útil em um servidor remoto e os reconstrói em carregadores codificados. A execução final é realizada através do MSBuild.exe, um binário legítimo do Windows, que permite a instalação do backdoor Remcos RAT no sistema comprometido.

A ServiceNow divulgou uma falha de segurança crítica em sua plataforma AI, identificada como CVE-2025-12420, que permite a um usuário não autenticado se passar por outro usuário e realizar ações arbitrárias em seu nome. Com uma pontuação CVSS de 9.3, a vulnerabilidade foi corrigida em 30 de outubro de 2025, através de uma atualização de segurança aplicada à maioria das instâncias hospedadas. A empresa também compartilhou os patches com parceiros e clientes que utilizam a plataforma de forma autônoma. A falha foi descoberta por Aaron Costello, da AppOmni, e, embora não haja evidências de exploração ativa, a ServiceNow recomenda que os usuários apliquem as atualizações de segurança imediatamente para evitar possíveis ameaças. Essa divulgação ocorre após a AppOmni ter alertado sobre a possibilidade de ataques que exploram configurações padrão na plataforma Now Assist, permitindo que agentes maliciosos realizem injeções de comandos e acessem dados corporativos sensíveis. A situação destaca a importância de manter as plataformas atualizadas e seguras, especialmente em ambientes de SaaS.

Pesquisadores de cibersegurança revelaram detalhes sobre o VoidLink, um novo e sofisticado framework de malware projetado para acesso prolongado e furtivo a ambientes de nuvem baseados em Linux. Descoberto em dezembro de 2025, o VoidLink é uma ferramenta modular que inclui carregadores personalizados, implantes, rootkits e plugins, permitindo que seus operadores adaptem suas capacidades ao longo do tempo. O framework é escrito na linguagem Zig e é capaz de detectar e se adaptar a ambientes de nuvem como AWS, Google Cloud e Microsoft Azure, além de coletar credenciais de sistemas de controle de versão como Git.

Os agentes de inteligência artificial (IA) estão evoluindo rapidamente, não apenas escrevendo código, mas também executando-o. Ferramentas como Copilot, Claude Code e Codex agora conseguem construir, testar e implantar software em questão de minutos, o que, embora acelere o desenvolvimento, também cria lacunas de segurança que muitas equipes não percebem até que ocorra um problema. Um aspecto crítico que muitas organizações não estão protegendo adequadamente são os Protocolos de Controle de Máquinas (MCPs), que determinam quais comandos um agente de IA pode executar e quais ferramentas e APIs pode acessar. A falha CVE-2025-6514 exemplifica esse risco, onde um proxy OAuth confiável foi transformado em um vetor de execução remota de código, permitindo que a automação realizasse ações não intencionais em larga escala. Este cenário destaca a necessidade urgente de as equipes de segurança entenderem e protegerem esses sistemas de controle, pois, se um agente de IA pode executar comandos, também pode ser usado para realizar ataques. Um webinar está sendo oferecido para discutir esses riscos e como as organizações podem implementar controles práticos para garantir a segurança sem comprometer a velocidade de desenvolvimento.

Na última sexta-feira, a Europol anunciou a prisão de 34 indivíduos na Espanha, supostamente ligados à organização criminosa internacional Black Axe. Esta operação foi coordenada pela Polícia Nacional da Espanha, em colaboração com o Escritório de Polícia Criminal da Bavária e a Europol, resultando em 28 prisões em Sevilha, três em Madrid, duas em Málaga e uma em Barcelona. A Black Axe é conhecida por uma variedade de crimes, incluindo fraudes cibernéticas, tráfico de drogas, tráfico humano e sequestros, com prejuízos estimados em €5,93 milhões (mais de R$ 37 milhões). Além das prisões, as autoridades congelaram €119.352 (R$ 748 mil) em contas bancárias e apreenderam €66.403 (R$ 416 mil) em dinheiro. O grupo, que teve origem na Nigéria em 1977, possui cerca de 30.000 membros registrados e é envolvido em atividades como lavagem de dinheiro e fraudes de engenharia social. Em julho de 2024, a Interpol já havia confiscado R$ 26 milhões em criptomoedas e itens de luxo em operações relacionadas, resultando em mais de 400 prisões.

Recentemente, um conjunto de oito pacotes maliciosos foi identificado no registro npm, disfarçados como integrações para a plataforma de automação de workflows n8n. Esses pacotes, como ’n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, imitam integrações legítimas, como a do Google Ads, e têm como objetivo roubar credenciais OAuth dos desenvolvedores. A campanha representa uma escalada nas ameaças à cadeia de suprimentos, explorando plataformas de automação que atuam como cofres centralizados de credenciais, armazenando tokens OAuth e chaves de API de diversos serviços em um único local. Os pacotes maliciosos foram baixados milhares de vezes antes de serem removidos. A análise revelou que, embora alguns pacotes não apresentem problemas de segurança, outros têm histórico de malware. A n8n alertou sobre os riscos de usar nós comunitários do npm, que podem executar ações maliciosas na máquina onde o serviço está rodando. Os desenvolvedores são aconselhados a auditar pacotes antes da instalação e a usar integrações oficiais para mitigar riscos. A situação destaca a necessidade de vigilância constante e práticas de segurança rigorosas na integração de workflows não confiáveis.

Pesquisadores de cibersegurança, incluindo a equipe da Censys, identificaram 11 falhas críticas na plataforma de código aberto Coolify, que permite a hospedagem de servidores de forma autônoma. Essas vulnerabilidades, que afetam aproximadamente 52.890 servidores globalmente, possibilitam que hackers contornem autenticações e executem códigos remotamente, resultando em controle total sobre os servidores comprometidos. Os países mais afetados incluem Alemanha, Estados Unidos, França e Brasil, com 4.200 servidores vulneráveis. As falhas variam desde injeções de comando em bancos de dados até problemas de configuração e má codificação, o que gera acesso indevido por diferentes vetores, como SSH e repositórios Git. Embora não tenham sido registradas explorações ativas até o momento, os especialistas recomendam que os usuários atualizem suas versões do Coolify o mais rápido possível, especialmente as versões afetadas, que vão até a 4.0.0-beta.450. As correções estão disponíveis nas versões mais recentes, mas algumas falhas ainda não possuem soluções conhecidas. A gravidade das vulnerabilidades exige atenção imediata dos administradores de servidores que utilizam a plataforma.

O Instagram se manifestou negando um suposto vazamento de dados pessoais de 17,5 milhões de usuários na dark web, após a empresa de antivírus Malwarebytes divulgar um e-mail que indicava a possibilidade de uma violação. O e-mail, que solicitava redefinição de senhas, levantou preocupações sobre a segurança dos dados, incluindo logins, endereços físicos e números de telefone. O Instagram afirmou que não houve violação, mas reconheceu um ‘problema’ em seu sistema que permitia que terceiros enviassem e-mails de redefinição de senha para alguns usuários. A Malwarebytes, por sua vez, sugere que a vulnerabilidade pode estar relacionada a uma falha na API do Instagram, identificada em 2024. Embora não haja confirmação de que os dados tenham sido vendidos na dark web, a recomendação é que os usuários alterem suas senhas e ativem a autenticação de dois fatores para aumentar a segurança. O caso destaca a importância da vigilância contínua em relação à segurança de dados pessoais nas plataformas digitais.

Uma análise da TRM Labs revelou que as transações ilícitas de criptomoedas atingiram um recorde de US$ 158 bilhões em 2025, um aumento de 145% em relação aos US$ 64,5 bilhões registrados em 2024. Esse crescimento é atribuído, em parte, à evasão de sanções em países como Venezuela, Irã e Rússia, onde as transações ilícitas aumentaram mais de 400%. Além disso, a atividade na darknet e ataques em larga escala contribuíram para esse aumento. Apesar do número alarmante, a análise também indicou uma queda na proporção de transações ilícitas em relação ao fluxo total na blockchain, que caiu de 6% em 2023 para 2,7% em 2025. Esse fenômeno pode ser resultado de um aumento na fiscalização e investigações mais rigorosas, que revelam mais informações sobre transações anteriormente desconhecidas. Os especialistas alertam que, à medida que as investigações avançam, novas sanções podem ser implementadas, o que pode levar a um aumento nas estimativas de volume ilícito no futuro.

A Cloudflare, empresa de infraestrutura web, foi multada em €14 milhões pela AGCOM, a agência de telecomunicações da Itália, por não ter se registrado no controverso sistema Piracy Shield, que exige que provedores de DNS bloqueiem sites piratas. O CEO da Cloudflare, Matthew Prince, criticou a decisão, chamando-a de ‘injusta’ e um exemplo de excesso regulatório, que poderia levar a um bloqueio generalizado de sites na internet. Ele argumenta que a imposição de bloqueios por provedores de DNS, como o 1.1.1.1 da Cloudflare, cria um precedente perigoso e pode prejudicar a liberdade na internet. A empresa está considerando retirar seus servidores da Itália e suspender serviços de cibersegurança gratuitos, incluindo aqueles destinados aos Jogos Olímpicos de Inverno de 2026. A disputa destaca um conflito crescente entre provedores de internet e detentores de direitos autorais na Europa, onde a pressão para que intermediários atuem como ‘polícias da internet’ tem aumentado. A Cloudflare planeja recorrer da multa, defendendo que o bloqueio de conteúdo não é a solução para a pirataria e que pode resultar em danos colaterais a sites legítimos.

A empresa de empréstimos Money Mart começou a notificar vítimas de uma violação de dados ocorrida em novembro de 2025, que comprometeu nomes e números de Seguro Social. Hackers invadiram um aplicativo de terceiros e roubaram dados pessoais armazenados pela empresa, embora Money Mart não tenha revelado qual aplicativo foi comprometido. O grupo de ransomware Everest reivindicou a responsabilidade pela violação, alegando ter roubado 80.000 arquivos, incluindo informações pessoais de indivíduos nos EUA e no Canadá. A empresa está oferecendo 12 meses de monitoramento de crédito gratuito através da TransUnion para as vítimas, com prazo para inscrição até 30 de abril de 2026. A investigação forense ainda está em andamento, e não há confirmação se a Money Mart pagou um resgate ou detalhes sobre como a invasão ocorreu. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo NASA e hospitais, e em 2025 reivindicou 11 ataques confirmados, afetando significativamente o setor financeiro dos EUA, que registrou 50 ataques de ransomware em 2025, comprometendo mais de 700.000 registros.

Uma nova onda de ataques conhecidos como GoBruteforcer está direcionando suas ações contra bancos de dados de projetos de criptomoedas e blockchain, com o objetivo de cooptá-los em uma botnet capaz de realizar ataques de força bruta em senhas de serviços como FTP, MySQL e phpMyAdmin em servidores Linux. Segundo a Check Point Research, essa campanha é impulsionada pela reutilização em massa de exemplos de implantação de servidores gerados por inteligência artificial, que propagam nomes de usuários comuns e configurações padrão fracas. O GoBruteforcer, documentado pela primeira vez em março de 2023, tem se mostrado eficaz em plataformas Unix-like, utilizando um bot IRC e um shell web para acesso remoto. A análise mais recente revelou uma versão mais sofisticada do malware, que inclui um bot IRC ofuscado e listas dinâmicas de credenciais. Os atacantes utilizam uma combinação de nomes de usuários e senhas comuns, muitos dos quais são encontrados em tutoriais e documentação de fornecedores, o que facilita a exploração. Além disso, a campanha também visa endereços de blockchain, indicando um esforço coordenado para atacar projetos nesse setor. A Check Point destaca que a combinação de infraestrutura exposta, credenciais fracas e ferramentas automatizadas representa um problema persistente na segurança cibernética.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

Pesquisadores em cibersegurança revelaram a existência de dois provedores de serviços que sustentam redes criminosas online, especialmente no modelo conhecido como pig butchering-as-a-service (PBaaS). Desde 2016, grupos criminosos de língua chinesa têm estabelecido centros de fraude em larga escala no Sudeste Asiático, onde milhares de pessoas são forçadas a realizar golpes sob ameaça de violência. Esses centros operam com ferramentas fornecidas por serviços que facilitam operações de engenharia social e lavagem de dinheiro. Um dos principais atores, conhecido como Penguin Account Store, oferece kits de fraude e dados pessoais roubados, permitindo que qualquer um inicie operações fraudulentas com baixo custo e sem necessidade de expertise técnica. Além disso, a pesquisa destaca o uso crescente de domínios estacionados para redirecionar usuários a sites maliciosos. A situação é agravada por ferramentas como Evilginx, que permite ataques de phishing sofisticados, visando instituições educacionais nos EUA. A combinação desses fatores representa um risco significativo para a segurança cibernética global, incluindo o Brasil.

Em 2026, os golpes digitais devem se intensificar, impulsionados pelo uso da inteligência artificial (IA) por criminosos. Daniel Barbosa, pesquisador de segurança da ESET no Brasil, destaca que a IA está sendo utilizada para criar e-mails e sites falsos com maior precisão, tornando as fraudes mais convincentes. Os golpistas coletam dados de vazamentos para personalizar suas abordagens, tornando-as mais atraentes para as vítimas. Além disso, a evolução dos deepfakes dificulta a identificação de fraudes visuais, exigindo que os usuários adotem camadas adicionais de segurança. Barbosa recomenda que qualquer contato recebido de forma passiva deve ser tratado com desconfiança. Os golpistas também exploram sazonalidades, como o pagamento de impostos, para enganar as vítimas. Para se proteger, é essencial verificar sempre as URLs, desconfiar de solicitações inesperadas e validar transações financeiras com um canal de comunicação diferente. Caso alguém seja vítima de um golpe, é importante acionar imediatamente o Mecanismo Especial de Devolução (MED) e registrar um boletim de ocorrência.

O artigo de Jaqueline Sousa explora as diferenças entre vírus, worms e trojans, três tipos de malware que ameaçam a segurança digital. Embora o termo ‘vírus’ seja frequentemente utilizado de forma genérica, ele se refere a um código malicioso que precisa de um hospedeiro, como um arquivo legítimo, para se propagar. Os worms, por outro lado, são autônomos e se replicam sem a necessidade de interação humana, explorando vulnerabilidades de rede. Já os trojans se disfarçam como softwares legítimos para enganar os usuários, permitindo que hackers acessem os dispositivos sem serem percebidos. O artigo também discute a origem do uso do termo ‘vírus’ e como ele se tornou uma metonímia para todas as ameaças digitais. Para se proteger, recomenda-se manter sistemas atualizados, evitar clicar em links suspeitos e verificar a veracidade das informações recebidas. A compreensão dessas diferenças é crucial para a segurança cibernética, especialmente em um cenário onde as ameaças estão em constante evolução.

O artigo da TechRadar destaca que a infraestrutura ociosa nas organizações pode ser uma porta de entrada para ataques cibernéticos. Muitas empresas ainda operam com contas de usuário inativas e senhas que nunca expiram, criando vulnerabilidades que os cibercriminosos podem explorar. Além disso, dispositivos de armazenamento físico, como pen drives e discos externos, frequentemente contêm dados sensíveis que não são adequadamente protegidos. O autor, Camellia Chan, CEO da X-PHY, enfatiza que a inatividade não deve ser ignorada, pois pode facilitar o acesso de atacantes. Para mitigar esses riscos, as empresas devem revisar suas contas e dispositivos, desativar ou proteger adequadamente aqueles que não estão em uso e implementar armazenamento seguro que se mantenha protegido mesmo quando inativo. A abordagem deve ser proativa, tratando a ociosidade como parte da estratégia de defesa cibernética.

A plataforma de financiamento coletivo APOIA.se confirmou um vazamento de dados pessoais de seus usuários, ocorrido devido a uma vulnerabilidade em seu sistema. Em um comunicado enviado aos afetados, a empresa informou que informações como nome completo, e-mail e identificadores internos foram expostas, mas garantiu que dados sensíveis, como senhas e informações de pagamento, não foram comprometidos. A falha foi detectada em 6 de janeiro de 2026 e corrigida imediatamente, com a empresa reforçando seus controles de segurança e notificando as autoridades competentes. Apesar de não ter revelado o número exato de usuários afetados, o incidente levanta preocupações sobre a segurança de dados cadastrais, que podem ser utilizados em ataques de phishing. Especialistas recomendam que os usuários fiquem atentos a comunicações suspeitas e adotem boas práticas de segurança, como o uso de senhas fortes e a instalação de antivírus. O caso também foi associado a alertas anteriores sobre a exposição de e-mails na dark web, embora a relação não tenha sido confirmada.

O spear phishing é uma forma sofisticada de phishing que visa indivíduos específicos, utilizando informações pessoais e profissionais para enganar as vítimas. Diferente do phishing tradicional, que envia e-mails genéricos, o spear phishing é um ataque direcionado, onde os cibercriminosos realizam um trabalho de inteligência para coletar dados sobre a vítima, como cargo, empresa e até detalhes pessoais, geralmente através de redes sociais e vazamentos de dados. Segundo o relatório da Verizon, 68% das violações de dados têm o elemento humano como fator, e o spear phishing é uma das principais portas de entrada para esses ataques. Os golpistas podem se passar por figuras de autoridade, como um diretor de TI, ou por fornecedores legítimos, utilizando técnicas como spoofing de e-mail e domínios similares aos reais para enganar os filtros de segurança. O impacto financeiro é significativo, com perdas globais superiores a US$ 50 bilhões, afetando não apenas o setor financeiro, mas também áreas como Recursos Humanos e Cadeia de Suprimentos. Para se proteger, é essencial ter uma cultura de confirmação, verificar remetentes e utilizar autenticação de dois fatores, além de estar atento a sinais de urgência nas comunicações.

O grupo de ciberespionagem iraniano conhecido como MuddyWater está por trás de uma nova campanha de spear-phishing que visa entidades diplomáticas, marítimas, financeiras e de telecomunicações no Oriente Médio. A campanha utiliza um implante baseado em Rust, denominado RustyWater, que é entregue através de documentos do Microsoft Word maliciosos que solicitam ao usuário habilitar conteúdo para ativar uma macro VBA. Essa macro é responsável por implantar o malware, que possui capacidades de controle remoto, persistência no registro do Windows e coleta de informações do sistema da vítima. MuddyWater, que opera desde 2017 e é vinculado ao Ministério da Inteligência e Segurança do Irã, tem evoluído suas táticas, reduzindo a dependência de softwares de acesso remoto legítimos em favor de um arsenal diversificado de malware. A atividade recente também foi observada em ataques a empresas de tecnologia e recursos humanos em Israel, destacando a relevância da ameaça. A introdução de implantes baseados em Rust representa uma evolução significativa nas capacidades do grupo, tornando suas operações mais estruturadas e discretas.

Um estudo recente revelou que 73% dos CISOs enfrentaram um incidente de segurança significativo nos últimos seis meses, com 58% desses eventos ocorrendo apesar da presença de ferramentas que deveriam ter prevenido tais falhas. A crescente complexidade das ferramentas de segurança e a sobrecarga de dados têm gerado frustração nas equipes, levando a uma percepção de reatividade em vez de proatividade. Para enfrentar esses desafios, muitas organizações estão adotando a Gestão Contínua da Exposição a Ameaças (CTEM), que oferece uma abordagem estruturada para identificar, avaliar e reduzir continuamente a exposição a riscos. O CTEM se destaca ao transformar a visibilidade em ação, priorizando vulnerabilidades com base em sua relevância para os negócios e permitindo que os líderes de segurança comuniquem progresso de forma clara e mensurável aos executivos. Essa metodologia não apenas melhora a eficiência das ferramentas existentes, mas também fortalece a relação entre as equipes de segurança e a alta administração, promovendo uma cultura de transparência e confiança. Ao mudar a percepção da segurança cibernética de um centro de custo para um parceiro na gestão de riscos, as organizações podem se preparar melhor para enfrentar as ameaças cibernéticas de forma proativa.

O FBI emitiu um alerta sobre uma nova campanha de phishing originada na Coreia do Norte, que utiliza QR Codes maliciosos para contornar sistemas de segurança de e-mails. Desde maio de 2025, grupos criminosos têm como alvo laboratórios de pesquisa, instituições acadêmicas e entidades governamentais em todo o mundo. O método principal envolve o envio de QR Codes comprometidos via e-mail, disfarçados como mensagens de remetentes confiáveis, como funcionários de embaixadas. Ao escanear o código, as vítimas são direcionadas a um ambiente controlado pelos hackers, que coletam informações sensíveis, como logins e localização. Além disso, esses códigos podem reproduzir tokens de sessão, burlando a autenticação multifator (MFA) e permitindo o sequestro de identidades na nuvem. Para se proteger, o FBI recomenda que as organizações eduquem seus funcionários sobre a verificação da origem dos QR Codes, implementem protocolos de denúncia de atividades suspeitas e utilizem ferramentas de segurança, como gerenciadores de senhas e anti-malware.

A Austrália enfrenta um aumento alarmante de ciberataques, com um crescimento de 50% em crimes cibernéticos em 2025, em comparação ao ano anterior. O governo australiano, com base na Lei de Segurança Cibernética de 2024, prevê que 2026 pode ser ainda mais desafiador, especialmente para setores corporativos e financeiros. Em 2024, cerca de 47 milhões de contas foram comprometidas, e em 2025, 5,7 milhões de acessos indevidos foram registrados. Os dados mais visados pelos hackers incluem nomes de usuário e endereços de e-mail, frequentemente encontrados em mercados clandestinos na dark web. As principais ameaças incluem campanhas de phishing e roubo de identidade. Para combater essa crescente onda de ataques, a Lei de Segurança Cibernética impõe obrigações às empresas, como a notificação de pagamentos de ransomware em até 72 horas e a criação de um Conselho de Revisão de Incidentes Cibernéticos. Além disso, penalidades severas podem ser aplicadas para o mau uso de dados sensíveis, com multas que podem chegar a AU$ 50 milhões.

O FBI alertou sobre uma nova técnica de phishing, chamada ‘quishing’, utilizada pelo grupo de hackers norte-coreano Kimsuky. Esses ataques visam roubar credenciais de acesso a serviços como Microsoft 365, Okta e VPNs, direcionando usuários a páginas falsas por meio de QR codes maliciosos. Os hackers enviam e-mails que contêm imagens com QR codes, que são mais difíceis de serem detectados por sistemas de segurança, permitindo que os e-mails cheguem às caixas de entrada dos alvos. Ao escanear o código, a vítima é redirecionada por múltiplos links que coletam informações como sistema operacional e endereço IP, levando-a a uma página de captura de credenciais. Uma vez que as credenciais são inseridas, os atacantes podem roubar tokens de sessão, permitindo que eles contornem a autenticação multifator (MFA). O FBI recomenda uma defesa em múltiplas camadas, incluindo treinamento de funcionários e gestão de dispositivos móveis, para mitigar esses riscos. O uso crescente de dispositivos móveis não gerenciados aumenta a vulnerabilidade a esses ataques, tornando-os uma preocupação significativa para organizações, especialmente aquelas que lidam com informações sensíveis.

O Colégio Comunitário de Clackamas, localizado em Oregon, confirmou que notificou 33.381 pessoas sobre uma violação de dados ocorrida em outubro de 2025. A violação comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, registros de estudantes, números de identificação do governo, informações médicas e financeiras. Este é o segundo ataque de ransomware que a instituição enfrenta em dois anos, sendo que o grupo criminoso Medusa reivindicou a responsabilidade pelo ataque mais recente, exigindo um resgate de $300.000 por 1,2 terabytes de dados. A escola não confirmou se pagou o resgate e está oferecendo um ano de monitoramento de crédito gratuito para as vítimas. A investigação forense revelou que um terceiro não autorizado acessou um número limitado de sistemas e adquiriu arquivos em 24 de outubro de 2025. O grupo Medusa, ativo desde 2019, já foi responsável por 154 ataques de ransomware em 2025, afetando mais de 1,7 milhão de registros. O ataque ao Colégio Comunitário de Clackamas é parte de uma tendência crescente de ataques a instituições educacionais nos EUA, que registraram 49 ataques confirmados em 2025, comprometendo mais de 3,8 milhões de registros.

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

Pesquisadores da Ox Security identificaram atividades maliciosas em duas extensões da Chrome Web Store, que estão coletando dados de usuários de chatbots de IA, como ChatGPT e DeepSeek. As extensões, chamadas ‘Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI’ e ‘AI Sidebar with Deepseek, ChatGPT, Claude, and more’, possuem, respectivamente, 600 mil e 300 mil usuários. Elas enviam informações a servidores controlados por hackers a cada 30 segundos, utilizando um truque que solicita consentimento para compartilhar ‘dados analíticos anônimos’. Na verdade, elas coletam todo o conteúdo das conversas dos usuários. Essa prática, conhecida como ‘Prompt Poaching’, já foi observada em outras extensões, como a Urban VPN Proxy. As extensões maliciosas imitam uma ferramenta legítima, mas podem expor dados sensíveis, incluindo informações corporativas. Apesar de perderem o selo ‘Em Destaque’, continuam disponíveis na loja. A recomendação é que os usuários evitem instalar extensões de fontes desconhecidas, mesmo que pareçam confiáveis.

A Microsoft alertou sobre a exploração de roteamento de e-mails mal configurado, que pode facilitar ataques de phishing interno. Esses ataques, que se tornaram mais frequentes desde maio de 2025, utilizam técnicas de spoofing para enviar mensagens que parecem vir de fontes internas, enganando os funcionários. Os e-mails fraudulentos frequentemente contêm temas como mensagens de voz, documentos compartilhados e solicitações de redefinição de senhas, tornando difícil a detecção por parte dos usuários. A empresa identificou o uso de plataformas de phishing-as-a-service (PhaaS), como a Tycoon 2FA, que permitiram a criação de e-mails maliciosos. Em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos gerados por essa plataforma. Para mitigar esses riscos, as organizações devem implementar políticas rigorosas de autenticação, como DMARC e SPF, além de configurar adequadamente serviços de filtragem de spam. O alerta destaca a importância de uma configuração correta do roteamento de e-mails para evitar que hackers comprometam dados sensíveis e realizem fraudes financeiras.

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.

Recentes ataques cibernéticos, como os que afetaram a Marks & Spencer e a Jaguar Land Rover, revelaram que os suspeitos envolvidos são predominantemente jovens, com idades entre 17 e 20 anos. Essa tendência crescente de cibercrime juvenil pode ser atribuída à maior acessibilidade de ferramentas de ransomware, oferecidas por grupos de Ransomware-as-a-Service (RaaS), que permitem que indivíduos sem habilidades avançadas em hacking realizem ataques. Além disso, fatores como fama, frustração, finanças e a influência de comunidades de jogos online têm atraído jovens para o mundo do crime cibernético. A percepção negativa das carreiras em cibersegurança, consideradas monótonas em comparação com o glamour do hacking ilegal, também contribui para essa situação. Para combater essa tendência, é essencial que a indústria de cibersegurança mude sua imagem e busque atrair novos talentos, especialmente aqueles que não seguem os caminhos tradicionais de educação. Isso inclui a valorização de habilidades autodidatas e neurodiversas, que frequentemente são ignoradas nas contratações tradicionais. A indústria deve agir rapidamente para mostrar que existem oportunidades legítimas e recompensadoras para esses jovens talentos, antes que eles se tornem parte do problema.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou o encerramento de 10 diretrizes de emergência (EDs) emitidas entre 2019 e 2024, que visavam mitigar riscos cibernéticos enfrentados por agências federais. As diretrizes abordavam vulnerabilidades significativas, incluindo problemas relacionados ao DNS, Windows, SolarWinds e Microsoft Exchange. A CISA trabalhou em colaboração com agências federais para implementar as ações necessárias e garantir a resiliência da infraestrutura digital. A agência destacou que as ações exigidas foram implementadas com sucesso ou estão agora sendo aplicadas através da Diretiva Operacional Vinculante (BOD) 22-01, que visa reduzir riscos de vulnerabilidades conhecidas. O diretor interino da CISA, Madhu Gottumukkala, enfatizou a importância da colaboração para eliminar acessos persistentes e enfrentar ameaças emergentes, além de promover princípios de segurança desde o design. O fechamento dessas diretrizes reflete o compromisso da CISA com a segurança cibernética federal e a defesa contra riscos inaceitáveis, especialmente de atores estatais hostis.

À medida que as organizações se preparam para 2026, as previsões de cibersegurança estão em alta, mas muitas estratégias ainda são moldadas por especulações. Um webinar da Bitdefender busca esclarecer essas previsões, focando em dados reais e riscos emergentes. O evento abordará três tendências principais: a evolução do ransomware, que está se tornando mais direcionado e impactante; a adoção descontrolada de inteligência artificial (IA), que gera uma crise interna de segurança; e a possibilidade de ataques orquestrados por IA. Os especialistas da Bitdefender discutirão a necessidade de ceticismo em relação à capacidade de ataques adaptativos baseados em IA no curto prazo. O webinar visa ajudar líderes de segurança a diferenciar previsões sensacionalistas de aquelas que realmente devem influenciar suas estratégias de segurança. Os participantes aprenderão a justificar investimentos em segurança com base em riscos reais e a atualizar suas defesas antes que novas técnicas de ataque se tornem comuns.

O FBI divulgou um alerta sobre um novo vetor de ataque de phishing, denominado ‘quishing’, utilizado por atores de ameaça patrocinados pelo Estado norte-coreano, especificamente o grupo Kimsuky. Desde 2025, esses atacantes têm direcionado suas campanhas a instituições acadêmicas, think tanks e entidades governamentais dos EUA, utilizando códigos QR maliciosos em e-mails de spear-phishing. Essa técnica força as vítimas a transitar de dispositivos seguros para dispositivos móveis, que podem não ter a mesma proteção, permitindo que os atacantes contornem defesas tradicionais. O grupo Kimsuky, associado ao Bureau Geral de Reconhecimento da Coreia do Norte, tem um histórico de exploração de falhas em protocolos de autenticação de e-mail. O FBI observou várias tentativas de phishing em que os códigos QR levavam a questionários ou páginas falsas de login, visando roubar credenciais. O uso de QR codes em ataques de phishing representa um vetor de intrusão de identidade resistente à autenticação multifatorial, aumentando o risco para organizações que não monitoram adequadamente dispositivos móveis não gerenciados.

Os Estados Unidos decidiram suspender seu apoio ao Global Forum on Cyber Expertise (GFCE), um importante fórum global dedicado à cibersegurança. A decisão foi anunciada pelo presidente Donald Trump em uma ordem executiva que retirou o país de cerca de 66 agências internacionais, incluindo 31 vinculadas à ONU. O GFCE, que conta com a participação de mais de 100 países, tem como objetivo fortalecer a colaboração entre nações para enfrentar desafios de segurança digital, especialmente em um cenário onde as ameaças cibernéticas se tornam cada vez mais frequentes e sofisticadas, em parte devido ao avanço da inteligência artificial. Além do GFCE, os EUA também se retiraram do European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE), que se concentra na análise e resposta a ameaças híbridas. A decisão reflete uma postura do governo americano de se distanciar de iniciativas que considera contrárias aos seus interesses, o que pode gerar preocupações sobre a eficácia da colaboração internacional em cibersegurança em um momento crítico para a proteção de dados e infraestruturas digitais.

Pesquisadores da Zscaler identificaram três pacotes npm maliciosos que distribuem um malware de acesso remoto chamado NodeCordRAT, disfarçado como bibliotecas relacionadas à criptomoeda Bitcoin. Os pacotes, bitcoin-main-lib, bitcoin-lib-js e bip40, foram removidos em novembro de 2025 após serem enviados por um usuário identificado como wenmoonx. Durante a instalação, os pacotes executam um script que instala o bip40, que contém o payload malicioso. O NodeCordRAT é um trojan que pode roubar dados sensíveis, como credenciais do Chrome e tokens de API, além de utilizar servidores do Discord para comunicação de comando e controle. O malware é capaz de executar comandos na máquina da vítima, tirar capturas de tela e enviar arquivos para o Discord. Embora os pacotes maliciosos tenham sido removidos, é essencial que os desenvolvedores permaneçam vigilantes ao baixar pacotes, verificando sua popularidade e comentários antes da instalação.

O sistema escolar de Pell City, no Alabama, notificou os pais sobre uma violação de dados resultante de um ataque de ransomware ocorrido no final do ano passado. O superintendente Justin Burns afirmou que o sistema de informações dos alunos não foi afetado, mas dados foram roubados por um terceiro em um ‘incidente de segurança’. A gangue de cibercriminosos SafePay reivindicou a responsabilidade pela violação em dezembro de 2025, embora o distrito não tenha confirmado a alegação. Não foram divulgados detalhes sobre os dados comprometidos ou o valor do resgate exigido. O sistema escolar decidiu não pagar o resgate, conforme relatado pela WBRC. SafePay, que utiliza um esquema de dupla extorsão, já realizou 57 ataques confirmados, afetando diversas instituições educacionais. Em 2025, foram registrados 48 ataques de ransomware em escolas dos EUA, comprometendo mais de 3,8 milhões de registros. Os ataques a escolas podem não apenas roubar dados, mas também interromper operações diárias, colocando alunos e funcionários em risco de fraudes. O sistema escolar de Pell City é um distrito público que abrange várias instituições educacionais na região.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o WhatsApp como vetor de distribuição para um trojan bancário chamado Astaroth, visando usuários no Brasil. Denominada Boto Cor-de-Rosa pela Acronis Threat Research Unit, a campanha se destaca pelo uso de um módulo de worm em Python que coleta a lista de contatos do WhatsApp da vítima e envia mensagens maliciosas para cada um deles, facilitando a propagação do malware. O Astaroth, que opera desde 2015, é conhecido por roubar dados financeiros e tem se adaptado a novas táticas, como o uso do WhatsApp, uma plataforma amplamente utilizada no Brasil. A campanha atual, que começou em setembro de 2025, envolve o envio de arquivos ZIP contendo scripts que, ao serem extraídos, instalam o trojan. O malware não só propaga-se automaticamente, mas também monitora a atividade de navegação da vítima, ativando-se em sites bancários para roubar credenciais. A Acronis destacou que o autor do malware implementou um mecanismo para rastrear métricas de propagação em tempo real, aumentando a eficácia do ataque.

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

Uma nova campanha de malware, chamada ‘Boto Cor-de-Rosa’, foi identificada por especialistas da Acronis, utilizando o WhatsApp como meio para disseminar um software malicioso com foco em roubo de dados financeiros. O golpe se inicia quando a vítima recebe uma mensagem com um arquivo ZIP infectado, disfarçado de solicitação amigável. A mensagem é elaborada com uma linguagem casual e adaptada ao horário local, aumentando a probabilidade de que a vítima clique no arquivo. Uma vez extraído, o malware instala um payload bancário e um módulo de propagação que coleta automaticamente os contatos da vítima, enviando o mesmo arquivo malicioso para eles. O malware também monitora seu desempenho em tempo real, registrando estatísticas sobre a disseminação. Embora a ameaça tenha sido bloqueada, especialistas alertam para a necessidade de cautela ao abrir arquivos não solicitados, mesmo que enviados por contatos conhecidos, pois podem ser a porta de entrada para o roubo de informações sigilosas.

A empresa de cibersegurança Resecurity implementou uma estratégia inovadora para combater o grupo de hackers ShinyHunters, que estava realizando ciberataques a companhias aéreas e agências policiais. Utilizando contas honeypot, que são perfis falsos criados para atrair criminosos digitais, a Resecurity simulou um banco de dados com mais de 190 mil registros falsos de transações financeiras e dados pessoais. O grupo ShinyHunters, acreditando que os dados eram legítimos, atacou a conta honeypot, realizando mais de 188 mil requisições em um curto período. A Resecurity monitorou as atividades e, ao final, enviou todas as informações coletadas para as autoridades policiais. Essa abordagem não apenas protegeu a empresa, mas também permitiu a identificação e rastreamento dos hackers, que deixaram rastros de seus endereços IP durante os ataques. A Resecurity nega que sua infraestrutura tenha sido comprometida, afirmando que o que foi roubado eram apenas dados falsos.

A Roblox Corporation anunciou a expansão de sua verificação de idade obrigatória para recursos de chat, incluindo voz e texto, em todas as regiões. A partir de agora, todos os usuários que desejam utilizar essas ferramentas sociais devem passar por um processo que envolve a digitalização facial para determinar seu grupo etário. Essa medida visa proteger usuários mais jovens de conteúdos inadequados e comportamentos predatórios, em um contexto de crescente regulamentação da internet. No entanto, especialistas em privacidade expressaram preocupações sobre os riscos associados à coleta de dados biométricos e documentos de identificação, que podem se tornar alvos para cibercriminosos. A Roblox afirma que a privacidade dos usuários é uma prioridade, mas a exigência de compartilhar informações sensíveis pode ser vista como um grande compromisso em termos de privacidade. Os usuários também têm a opção de contestar a estimativa de idade através de métodos alternativos, como verificação de identidade ou controles parentais. A medida levanta questões sobre a segurança dos dados e o potencial impacto de um possível vazamento de informações pessoais, considerando o grande número de usuários da plataforma.

Pesquisadores de cibersegurança descobriram três pacotes npm maliciosos que visam distribuir um malware inédito chamado NodeCordRAT. Os pacotes, que foram removidos em novembro de 2025, são ‘bitcoin-main-lib’, ‘bitcoin-lib-js’ e ‘bip40’, todos enviados por um usuário identificado como ‘wenmoonx’. Os dois primeiros pacotes executam um script de pós-instalação que instala o pacote ‘bip40’, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) que possui a capacidade de roubar credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask. O malware utiliza servidores do Discord para comunicação de comando e controle, permitindo que o invasor execute comandos arbitrários, capture screenshots e exfiltre arquivos. A ameaça é considerada significativa, pois o ator por trás da campanha nomeou os pacotes de forma semelhante a repositórios legítimos do projeto bitcoinjs, o que pode enganar desenvolvedores. A Zscaler, empresa de cibersegurança que identificou a ameaça, alerta para a necessidade de vigilância em relação a pacotes npm e suas dependências.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades surgindo semanalmente. Um dos destaques foi a ação da empresa Resecurity, que armou uma armadilha para hackers do grupo Scattered LAPSUS$ Hunters, capturando suas tentativas de acesso a dados falsos. Durante um período de duas semanas, o grupo fez mais de 188 mil solicitações em busca de dados sintéticos, permitindo à Resecurity identificar e rastrear os atacantes.

O grupo de ameaças UAT-7290, vinculado à China, tem sido associado a intrusões focadas em espionagem contra entidades na Ásia do Sul e no Sudeste Europeu desde pelo menos 2022. De acordo com um relatório da Cisco Talos, a atividade deste ator é caracterizada por uma extensa fase de reconhecimento técnico das organizações-alvo antes de iniciar os ataques, que frequentemente resultam na implantação de malwares como RushDrop, DriveSwitch e SilentRaid.