Cibersegurança

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

O Brevard Skin and Cancer Center, localizado na Flórida, confirmou que notificou 55.500 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. As informações comprometidas incluem números de Seguro Social, dados de faturamento e reivindicações, diagnósticos, números de telefone, endereços residenciais, datas de nascimento e endereços de e-mail. O grupo de ransomware PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,8 TB de dados. Embora a Brevard tenha iniciado uma investigação, ainda não confirmou se pagou um resgate ou como a violação ocorreu. A instituição está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O grupo PEAR, que começou a operar em agosto de 2025, é conhecido por focar em roubo de dados e extorsão, sem criptografar as informações. Este incidente é parte de uma tendência crescente de ataques de ransomware em provedores de saúde nos EUA, que já contabilizam 89 ataques confirmados, comprometendo mais de 8,25 milhões de registros. O ataque à Brevard destaca a vulnerabilidade do setor de saúde e a necessidade urgente de medidas de segurança robustas.

Pesquisadores de cibersegurança revelaram um novo pacote malicioso no repositório npm, chamado ’lotusbail’, que se disfarça como uma API funcional do WhatsApp. Desde sua publicação em maio de 2025, o pacote foi baixado mais de 56.000 vezes, com 711 downloads apenas na última semana. O malware é capaz de interceptar mensagens, roubar credenciais do WhatsApp e instalar um backdoor persistente no dispositivo da vítima. Ele captura tokens de autenticação, histórico de mensagens, listas de contatos e arquivos de mídia, enviando esses dados para um servidor controlado pelo atacante de forma criptografada. Além disso, o pacote permite que o dispositivo do invasor se conecte à conta do WhatsApp da vítima, garantindo acesso contínuo mesmo após a desinstalação do pacote. A técnica utilizada envolve um wrapper malicioso de WebSocket que redireciona informações de autenticação e mensagens. O ’lotusbail’ também possui funcionalidades anti-debugging que dificultam a detecção. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos, onde pacotes maliciosos se disfarçam como ferramentas legítimas, representando um risco significativo para desenvolvedores e usuários do WhatsApp.

Um levantamento da Check Point Software revelou que os golpes de cibersegurança durante o período natalino de 2025 estão mais sofisticados, utilizando inteligência artificial para automatizar fraudes. Entre as ameaças destacadas, estão e-mails de phishing com temática natalina, que somaram 33.502 casos nas últimas duas semanas, e a criação de 10.000 anúncios falsos diariamente em redes sociais. Os golpistas têm se aproveitado de eventos como a Black Friday para lançar sites de varejo falsos, que imitam operações legítimas, incluindo carrinhos de compra e confirmações de e-mail. Além disso, golpes de sorteios e promoções fraudulentas têm inundado plataformas como Facebook e Instagram, onde contas recém-criadas alegam que as vítimas ganharam prêmios, solicitando taxas de envio. Para se proteger, os especialistas recomendam verificar URLs, desconfiar de solicitações de pagamento incomuns e evitar compartilhar informações pessoais sem ter buscado o serviço. O alerta é reforçado por instituições como o FBI e a Anatel, que promovem campanhas de conscientização como o movimento #FiqueEsperto.

Um levantamento realizado pela NordPass revelou as senhas mais comuns utilizadas no Brasil em 2025, destacando a preocupação dos usuários com a comodidade em detrimento da segurança. A pesquisa, que abrangeu 44 países e diferentes gerações, identificou que a senha mais utilizada no Brasil é ‘admin’, com mais de 2 milhões de ocorrências, seguida por ‘123456’ e ‘12345678’. O estudo também trouxe uma análise geracional, mostrando que mesmo os nativos digitais da geração Z não estão criando senhas mais seguras, com sequências numéricas simples ainda dominando a lista. A pesquisa enfatiza a dificuldade das campanhas de conscientização em impactar a população, já que a tendência de senhas fracas permanece alta. Para melhorar a segurança, recomenda-se a utilização de senhas complexas, a troca regular de credenciais e a adoção de autenticação multifator. O estudo foi realizado sem a compra de dados pessoais, utilizando informações de repositórios da dark web e dados públicos.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

A WatchGuard Technologies anunciou a correção de uma vulnerabilidade crítica de execução remota de código (RCE) em seus firewalls Firebox, identificada como CVE-2025-14733. Essa falha, com uma pontuação de severidade de 9.3/10, permite que atacantes não autenticados executem código arbitrário remotamente, afetando firewalls que operam com Fireware OS 11.x e versões posteriores. A vulnerabilidade impacta tanto a VPN de Usuário Móvel quanto a VPN de Escritório Remoto quando configuradas com um par de gateway dinâmico. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), estabelecendo um prazo até 26 de dezembro para que agências federais apliquem o patch ou interrompam o uso dos dispositivos vulneráveis. Para aqueles que não podem aplicar a correção imediatamente, a WatchGuard recomenda desativar as VPNs dinâmicas e ajustar as políticas de firewall como medidas paliativas. A empresa já havia corrigido uma falha semelhante meses atrás, evidenciando a necessidade de vigilância contínua em suas soluções de segurança.

Com o crescimento da internet, seu impacto ambiental também aumenta, principalmente devido ao consumo de energia dos data centers e hábitos de navegação que exigem muitos recursos. Embora os usuários individuais não percebam esse impacto diretamente, a soma das atividades digitais é significativa. A navegação ecológica busca reduzir essa carga digital sem alterar a experiência do usuário. Navegadores como o Wave Browser são projetados para serem eficientes, utilizando menos recursos do sistema e integrando ferramentas que minimizam a necessidade de extensões adicionais. O Wave Browser, por exemplo, bloqueia anúncios e processos em segundo plano, ajudando a diminuir o consumo de energia. Além disso, ele se associa a iniciativas de limpeza de oceanos, financiando a remoção de plástico e lixo através do uso do navegador. A proposta é que os usuários possam contribuir para a sustentabilidade ambiental sem mudar seus hábitos de navegação. A escolha de um navegador sustentável é uma maneira prática de fazer a diferença, promovendo uma navegação mais consciente e responsável.

Recentemente, as ameaças cibernéticas demonstraram que os atacantes não precisam de grandes invasões para causar danos significativos. Eles estão mirando em ferramentas cotidianas, como firewalls e extensões de navegador, transformando pequenas falhas em brechas sérias. A verdadeira ameaça não é apenas um ataque de grande escala, mas sim centenas de ataques silenciosos que exploram sistemas confiáveis dentro das redes. Na última semana, produtos de segurança de empresas como Fortinet, SonicWall e Cisco foram alvo de ataques que exploraram vulnerabilidades críticas, como a CVE-2025-20393, que permite a execução remota de código. Além disso, uma extensão do Chrome chamada Urban VPN Proxy foi flagrada coletando dados de usuários de chatbots de IA, afetando mais de 8 milhões de instalações. Outro ataque significativo foi o da botnet Kimwolf, que comprometeu 1,8 milhão de TVs Android em todo o mundo. Esses incidentes ressaltam a importância de manter sistemas atualizados e monitorar continuamente as redes para evitar que falhas não corrigidas se tornem pontos de entrada para invasores.

O CEO da Veeam, Anand Eswaran, destaca a importância da segurança de dados e da resiliência para o sucesso da inteligência artificial (IA) nas empresas. Com o aumento do uso de IA, surgem também novas ameaças, como hackers que utilizam ferramentas de IA para criar malware mais sofisticado. Eswaran enfatiza que, independentemente do setor, os dados são o ‘sangue vital’ dos negócios e que a postura de resiliência é crucial. A Veeam se posiciona como um parceiro essencial, oferecendo uma plataforma unificada que integra controles de segurança de dados, governança de privacidade e resiliência de dados. Ele alerta que a falta de segurança pode levar ao fracasso de projetos de IA, uma vez que 90% dos dados são não estruturados e podem não ter os controles adequados. O CEO também menciona que as empresas precisam agir rapidamente para evitar a disrupção causada por atores maliciosos. A Veeam busca garantir que cada projeto de IA seja bem-sucedido, unindo segurança e resiliência em um único ciclo de vida de dados.

Um novo malware chamado Wonderland, que se disfarça como aplicativos legítimos, está sendo utilizado por grupos de ameaças para roubar mensagens SMS de usuários de Android no Uzbequistão. Anteriormente, os atacantes usavam APKs de trojans que atuavam como malware imediatamente após a instalação. Agora, eles estão utilizando aplicativos dropper, que parecem inofensivos, mas contêm um payload malicioso que é ativado localmente após a instalação, mesmo sem conexão com a internet. O Wonderland permite comunicação bidirecional com o servidor de comando e controle (C2), possibilitando o roubo de SMS e a execução de comandos em tempo real. Os atacantes, conhecidos como TrickyWonders, utilizam o Telegram para coordenar suas operações e distribuem o malware através de páginas falsas do Google Play, campanhas publicitárias e contas falsas em aplicativos de namoro. Uma vez instalado, o malware pode interceptar senhas de uso único (OTPs) e acessar informações bancárias dos usuários. A evolução do malware na região mostra um aumento na sofisticação das técnicas utilizadas, tornando a detecção e mitigação mais desafiadoras para os usuários e profissionais de segurança.

O ransomware como serviço (RaaS) representa uma nova era no cibercrime, permitindo que indivíduos sem habilidades técnicas avancem em ataques de ransomware. Este modelo de negócio ilícito funciona como uma plataforma digital, onde hackers desenvolvem e vendem softwares maliciosos na dark web, permitindo que qualquer pessoa, desde novatos até criminosos experientes, realize ataques. O ransomware sequestra dados de usuários e empresas, criptografando informações sensíveis até que um resgate seja pago. O RaaS democratiza o acesso a ferramentas de ataque, aumentando a frequência e a diversidade de ataques, o que representa um risco significativo para a segurança digital. A dificuldade de rastreamento dos criminosos, que utilizam criptomoedas para transações, torna a situação ainda mais alarmante. Para se proteger, é crucial que usuários e empresas realizem backups regulares, utilizem filtros de spam, mantenham sistemas atualizados e adotem autenticação multifator. A conscientização digital é essencial para identificar e evitar armadilhas de phishing e outras ameaças.

Pesquisadores de segurança identificaram novas atividades do grupo de hackers iraniano Infy, também conhecido como Príncipe da Pérsia, quase cinco anos após suas últimas ações. O grupo, um dos mais antigos atores de ameaças persistentes avançadas (APT), é considerado ativo e perigoso, com operações que datam de 2004. Recentemente, foram descobertas campanhas que visam vítimas em países como Irã, Iraque, Turquia, Índia, Canadá e na Europa, utilizando versões atualizadas de dois malwares: Foudre e Tonnerre. Foudre, um downloader, é distribuído por meio de e-mails de phishing e é responsável por instalar o Tonnerre, que extrai dados de máquinas de alto valor. A análise revelou uma mudança nas táticas, com o uso de arquivos executáveis em documentos do Excel para instalar o malware. Além disso, o grupo utiliza um algoritmo de geração de domínio (DGA) para fortalecer sua infraestrutura de comando e controle (C2). O Tonnerre, em sua versão mais recente, também se conecta a um grupo no Telegram, o que é uma abordagem inovadora para comunicação entre o malware e seus operadores. Apesar de parecer inativo em 2022, o grupo continua a operar de forma discreta, levantando preocupações sobre suas capacidades e intenções futuras.

O malware fileless é uma nova forma de ataque cibernético que opera diretamente na memória RAM dos dispositivos, evitando a detecção por ferramentas tradicionais de segurança. Diferente dos vírus convencionais, que se instalam no disco rígido, esse tipo de malware utiliza técnicas conhecidas como ‘Living off the Land’, que aproveitam ferramentas legítimas do sistema, como PowerShell e macros do Office, para realizar ações maliciosas. O ataque geralmente começa com e-mails de phishing ou documentos comprometidos, que, ao serem abertos, executam comandos ocultos que não deixam vestígios permanentes no sistema. Isso torna a detecção extremamente difícil, pois não há arquivos maliciosos a serem escaneados. Casos como o da Equifax, onde dados de 147,9 milhões de pessoas foram expostos, ilustram a gravidade dessa ameaça. Para se proteger, é essencial atualizar softwares, ter cuidado com macros, usar ferramentas que monitoram comportamentos suspeitos e desativar funções desnecessárias. A vigilância constante e a higiene digital são fundamentais para evitar infecções por esse tipo de malware.

O Departamento de Justiça dos EUA anunciou o indiciamento de 54 indivíduos envolvidos em um esquema de jackpotting que resultou em milhões de dólares em fraudes em caixas eletrônicos (ATMs). O grupo, associado à gangue venezuelana Tren de Aragua, utilizou um malware chamado Ploutus para hackear ATMs e forçá-los a liberar dinheiro. As investigações revelaram que os membros do grupo realizaram vigilância metódica e técnicas de arrombamento para instalar o malware, que permite comandos não autorizados para saques. Desde 2021, foram registrados 1.529 incidentes de jackpotting nos EUA, resultando em perdas de aproximadamente 40,73 milhões de dólares. O uso do Ploutus, que foi detectado pela primeira vez no México em 2013, destaca a vulnerabilidade de ATMs, especialmente aqueles que operam com sistemas mais antigos, como o Windows XP. O impacto financeiro e a conexão com atividades terroristas tornam este caso alarmante, exigindo atenção das autoridades e da indústria financeira.

A startup suíça Soverli apresentou uma nova abordagem para a segurança em smartphones, que opera em conjunto com Android e iOS, oferecendo uma camada de sistema operacional audível para empresas. Essa inovação permite que múltiplos sistemas operacionais funcionem simultaneamente em um único dispositivo, garantindo que usuários em setores críticos, como serviços de emergência e segurança pública, mantenham suas atividades mesmo se o sistema operacional principal for comprometido. A arquitetura da Soverli possibilita a separação entre ambientes pessoais e profissionais, protegendo dados sensíveis sem sacrificar a funcionalidade do dispositivo. A tecnologia, desenvolvida ao longo de quatro anos na ETH Zurich, utiliza um sistema patenteado que reduz a superfície de ataque e implementa ferramentas de criptografia para proteger informações. A startup já demonstrou a operação de aplicativos de mensagens seguras, como o Signal, dentro dessa camada soberana, assegurando a confidencialidade das comunicações. Com um financiamento inicial de 2,6 milhões de dólares, a Soverli planeja expandir suas operações e parcerias, alinhando-se à crescente demanda por infraestrutura digital auditável na Europa.

Uma nova campanha de phishing, identificada como GhostPairing, está sendo utilizada por cibercriminosos para roubar contas do WhatsApp. O ataque ocorre quando a vítima recebe uma mensagem de um contato conhecido, contendo um link que leva a uma página falsa do Facebook. Ao clicar, a vítima é induzida a fornecer seu número de telefone para ver um conteúdo supostamente legítimo. Em seguida, um código de pareamento é gerado e a vítima é instruída a usá-lo para vincular seu WhatsApp a um dispositivo comprometido. Isso permite que o hacker tenha acesso total ao histórico de conversas e mídias da vítima, possibilitando fraudes e enganos aos contatos da vítima sem que ela perceba. Embora a campanha tenha sido inicialmente observada na República Tcheca, especialistas alertam que pode se espalhar rapidamente para outras regiões. Para se proteger, é recomendado que os usuários verifiquem regularmente a aba de ‘dispositivos vinculados’ no WhatsApp e evitem clicar em links suspeitos.

Uma nova campanha de malware, identificada como parte da operação ClickFix, está enganando usuários com alertas falsos de extensão no navegador. Especialistas da Point Wild alertam que o ataque utiliza engenharia social para induzir as vítimas a instalar manualmente um software malicioso chamado DarkGate. O golpe simula o desaparecimento de uma extensão do Word, levando o usuário a clicar em um botão de ‘como corrigir’, que promete restaurar o acesso ao documento. Ao clicar, um comando do PowerShell é inserido na área de transferência do navegador, permitindo que os hackers conduzam o ataque sem que a vítima perceba. Uma vez instalado, o DarkGate pode baixar arquivos maliciosos e se camuflar em scripts codificados, tornando-se persistente mesmo após reinicializações do sistema. O malware coleta informações sensíveis e as envia para os servidores dos criminosos, explorando a confiança do usuário e a falta de atenção para os riscos online. Este tipo de ataque representa um desafio significativo para a segurança cibernética, pois pode passar despercebido até mesmo por sistemas de antivírus.

A vulnerabilidade React2Shell (CVE-2025-55182), classificada como crítica, está sendo explorada por grupos de hackers ligados à China e à Coreia do Norte, comprometendo centenas de sistemas em todo o mundo. A falha, que afeta os Componentes de Servidor do React (RCS), permite a execução de comandos arbitrários e a instalação de malware, incluindo mineradores de criptomoedas. A Microsoft alertou que a exploração da vulnerabilidade se intensificou após a divulgação pública, com ataques direcionados a setores variados, como serviços financeiros, logística, varejo e instituições governamentais. Os atacantes buscam estabelecer persistência e realizar espionagem cibernética. A Coreia do Norte, em particular, está utilizando um malware sofisticado chamado EtherRAT, que combina técnicas de várias campanhas anteriores. É crucial que as organizações atualizem suas versões do React para 19.0.1, 19.1.2 ou 19.2.1 imediatamente para mitigar os riscos associados a essa vulnerabilidade.

Durante a temporada de festas, hackers estão intensificando ataques direcionados a sistemas de folha de pagamento, utilizando táticas de engenharia social e chamadas telefônicas para enganar equipes de suporte técnico. De acordo com a Okta Threat Intelligence, esses atacantes estão menos focados em invadir infraestruturas e mais em explorar processos humanos relacionados ao acesso à folha de pagamento. Eles se passam por funcionários legítimos, solicitando redefinições de senha ou alterações de conta, e, uma vez que obtêm acesso, alteram os dados bancários para redirecionar os salários para contas controladas por eles. Essa abordagem permite que os ataques permaneçam sob o radar das autoridades e das empresas, uma vez que os valores desviados parecem pequenos quando analisados individualmente. A tendência crescente de ataques a sistemas de folha de pagamento, especialmente durante períodos de bônus e pagamentos de fim de ano, destaca a necessidade de medidas rigorosas de verificação de identidade para o pessoal de suporte. As organizações devem implementar procedimentos que limitem o acesso a aplicativos sensíveis e aumentar a vigilância sobre solicitações incomuns, a fim de mitigar esses riscos.

Pesquisadores de cibersegurança alertaram sobre o surgimento do malware SantaStealer, que opera sob um modelo de malware como serviço. Este novo software malicioso, uma versão rebranded do BluelineStealer, é acessível a cibercriminosos de baixo nível por meio de assinaturas mensais que variam de $175 a $300. SantaStealer possui quatorze módulos distintos que coletam dados simultaneamente, incluindo credenciais de navegadores, cookies, histórico de navegação, informações de carteiras de criptomoedas e dados de aplicativos de mensagens. Os dados roubados são comprimidos e enviados para um servidor de comando e controle. O malware também captura capturas de tela e tem a capacidade de contornar a criptografia de aplicativos do Chrome. Embora atualmente não esteja amplamente distribuído, os pesquisadores notaram que as táticas de ataque incluem phishing e downloads de software pirata. A proteção apenas por firewall pode não ser suficiente para evitar esses vetores de ataque, e a detecção de antivírus continua sendo eficaz contra as amostras observadas. Apesar de sua capacidade técnica, SantaStealer é mais notável por sua estratégia de marketing do que por sua maturidade técnica.

Um grupo suspeito de estar alinhado à Rússia está sendo responsabilizado por uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais do Microsoft 365 e realizar ataques de tomada de conta. A atividade, que começou em setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare. Os ataques envolvem o uso de endereços de e-mail comprometidos de organizações governamentais e militares para atingir entidades em setores como governo, think tanks, educação superior e transporte nos EUA e na Europa. Os atacantes se apresentam como representantes de organizações legítimas e enviam links que supostamente levam a documentos relevantes, mas que na verdade redirecionam as vítimas para uma página de login da Microsoft. Ao inserir o código fornecido, os atacantes conseguem gerar um token de acesso e tomar controle da conta da vítima. A Proofpoint alerta que essa técnica de phishing foi documentada anteriormente e está sendo utilizada por diversos grupos, tanto estatais quanto motivados financeiramente, para obter acesso não autorizado a dados sensíveis. Para mitigar os riscos, recomenda-se a criação de políticas de Acesso Condicional que bloqueiem esse fluxo de autenticação para todos os usuários ou que permitam apenas para usuários aprovados.

Diversas agências de segurança, como a CERT-FR da França, a NCSC do Reino Unido e a CISA dos Estados Unidos, emitiram alertas sobre os riscos associados ao uso de redes Wi-Fi públicas em dispositivos móveis, tanto Android quanto iOS. A principal recomendação é desativar o Wi-Fi quando não estiver em uso, uma vez que as redes públicas são alvos frequentes de ataques, como o ‘adversary-in-the-middle’ (AITM). Esses ataques podem ocorrer através de pontos de acesso falsos, conhecidos como ‘Evil Twin’, que interceptam dados e injetam malwares. Além disso, a conexão a pontos de carregamento USB comprometidos também representa um risco, podendo permitir a invasão de celulares. A vulnerabilidade da rede 2G, que possui algoritmos de criptografia quebrados, também foi destacada, assim como falhas em tecnologias como Bluetooth e NFC. Para se proteger, é aconselhável desativar Wi-Fi e Bluetooth quando não estiver conectado a redes confiáveis, usar bloqueadores de dados USB e limitar a instalação de aplicativos a lojas oficiais. O uso de VPNs em redes públicas e a reinicialização frequente do dispositivo também são práticas recomendadas para aumentar a segurança.

Um novo malware, identificado como NANOREMOTE, está utilizando a API do Google Drive para controlar sistemas operacionais Windows de forma discreta. A descoberta foi realizada por especialistas da Elastic Security Labs, que relataram que o malware funciona como um backdoor, permitindo que os cibercriminosos acessem o centro de comando da plataforma para transferir dados entre o dispositivo da vítima e seus servidores. O NANOREMOTE é capaz de roubar informações, executar comandos e manipular arquivos, tudo isso sem que o usuário perceba. O malware também possui um gerenciador de tarefas que automatiza downloads e uploads, facilitando a ação criminosa. Embora os pesquisadores ainda não tenham identificado como o NANOREMOTE é distribuído, acredita-se que um grupo chinês de ciberataques esteja por trás da campanha, visando setores estratégicos como governo, defesa, telecomunicações, educação e aviação, principalmente no sudeste asiático e na América do Sul desde 2023. O malware se comunica com um endereço IP fixo e não roteável, utilizando solicitações HTTP para enviar e receber dados, o que aumenta sua furtividade. Essa situação levanta preocupações sobre a segurança de dados e a necessidade de vigilância constante em ambientes corporativos.

A Visa e a Akamai Technologies firmaram uma parceria para combater fraudes em transações realizadas por meio de assistentes de inteligência artificial (IA). Com o aumento do uso de IA em compras online, surgem novas vulnerabilidades que podem ser exploradas por agentes maliciosos. Para mitigar esses riscos, as empresas implementaram o Protocolo de Agente Confiável (TAP) da Visa, que, em conjunto com a inteligência de ameaças da Akamai, garante a autenticidade do agente de IA envolvido na transação. O TAP utiliza reconhecimento profundo de usuários e inteligência comportamental para assegurar que as transações sejam realizadas por humanos e não por bots maliciosos. Além disso, a Visa introduziu a ferramenta Comércio Inteligente, que oferece suporte a desenvolvedores na criação de experiências de compra seguras. O relatório da Akamai de 2025 revelou um aumento de 300% no tráfego de bots de IA, destacando a urgência de soluções eficazes. O TAP promete uma implementação simples, com mudanças mínimas na infraestrutura existente, e proteção de ponta a ponta para os pagamentos, assegurando que as transações sejam realizadas conforme as instruções do comprador.

A WatchGuard anunciou a correção de uma vulnerabilidade crítica em seu sistema operacional Fireware OS, identificada como CVE-2025-14733, com uma pontuação CVSS de 9.3. Essa falha, classificada como um ‘out-of-bounds write’, afeta o processo iked e permite que atacantes remotos não autenticados executem código arbitrário. A vulnerabilidade impacta configurações de VPN para usuários móveis e filiais que utilizam IKEv2, especialmente quando configuradas com um gateway dinâmico. Mesmo após a exclusão dessas configurações, o dispositivo pode permanecer vulnerável se uma VPN de filial para um gateway estático estiver ativa. A WatchGuard observou tentativas de exploração em tempo real, com IPs específicos associados a esses ataques. A empresa recomenda que os administradores desativem as VPNs dinâmicas e apliquem as atualizações de segurança imediatamente. O incidente destaca a importância de monitorar e proteger sistemas críticos, especialmente em um cenário onde a exploração ativa está em andamento.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza sites de distribuição de software crackeado como vetor para uma versão modular e furtiva do loader conhecido como CountLoader. Essa campanha inicia-se quando usuários desavisados tentam baixar versões piratas de softwares legítimos, como o Microsoft Word, sendo redirecionados para links maliciosos que hospedam arquivos ZIP contendo um interpretador Python renomeado. O malware, uma vez instalado, estabelece persistência no sistema e pode baixar e executar outros malwares, como o ACR Stealer, que coleta dados sensíveis. CountLoader é projetado para contornar ferramentas de segurança, como o Falcon da CrowdStrike, e possui capacidades de propagação via dispositivos USB. Além disso, a Check Point revelou um loader JavaScript chamado GachiLoader, distribuído por meio de contas comprometidas do YouTube, que também implanta malwares adicionais. Essa evolução das técnicas de malware destaca a necessidade de estratégias de defesa em camadas e detecção proativa.

Modelos de placas-mãe de fabricantes como ASRock, ASUS, GIGABYTE e MSI estão expostos a uma vulnerabilidade de segurança que permite ataques de acesso direto à memória (DMA) durante a fase de inicialização do sistema. Essa falha, identificada por pesquisadores da Riot Games, está relacionada a uma discrepância na proteção DMA, onde o firmware indica que a proteção está ativa, mas não configura corretamente a Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU) no início do processo de boot. Isso possibilita que dispositivos PCIe maliciosos, com acesso físico ao sistema, leiam ou modifiquem a memória antes que as proteções do sistema operacional sejam ativadas. As vulnerabilidades identificadas incluem CVE-2025-14304, CVE-2025-11901, CVE-2025-14302 e CVE-2025-14303, todas com uma pontuação CVSS de 7.0, indicando um risco alto. É crucial que usuários e administradores apliquem as atualizações de firmware assim que disponíveis para mitigar essa ameaça, especialmente em ambientes onde o acesso físico não pode ser controlado. A falha destaca a importância de uma configuração correta do firmware, mesmo em sistemas que não são tipicamente utilizados em data centers.

Um novo malware, identificado como Cellik, está causando sérios problemas em dispositivos Android. Este trojan de acesso remoto (RAT) é capaz de clonar aplicativos legítimos da Play Store, permitindo que hackers obtenham controle total dos aparelhos das vítimas. O Cellik é comercializado em fóruns da dark web e oferece uma gama de ferramentas para comprometer sistemas, criando uma falsa sensação de legitimidade. Ao instalar o aplicativo comprometido, a vítima permite que o malware acesse a tela do dispositivo, registre teclas digitadas, intercepte notificações e navegue de forma oculta na internet. O Cellik também consegue acessar o sistema de arquivos do aparelho e utilizar cookies armazenados para roubar credenciais de login. O que torna esse malware particularmente perigoso é sua capacidade de se integrar à Play Store, burlando sistemas de segurança como o Google Play Protect, que não consegue detectar a presença do trojan. Essa situação levanta preocupações significativas sobre a segurança dos usuários e a eficácia das medidas de proteção atualmente disponíveis.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

A Parexel International anunciou que notificou pelo menos 6.620 pessoas sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu informações pessoais sensíveis, incluindo números de contas financeiras, números de cartões de pagamento sem CVV, números de Seguro Social e números de identificação nacional. A empresa identificou uma vulnerabilidade zero-day no Oracle E-Business Suite como o vetor do ataque, que foi detectado em 4 de outubro de 2025. A vulnerabilidade, divulgada pela Oracle em 5 de outubro, já havia sido associada a várias outras violações de dados em meses recentes, afetando organizações de destaque como a Universidade de Harvard e o Washington Post. A Parexel está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas, com prazo para inscrição até 17 de março de 2026. O grupo de ransomware Clop reivindicou a responsabilidade por muitos dos ataques relacionados a essa vulnerabilidade, que tem se mostrado uma ameaça crescente, especialmente em setores como saúde e manufatura, onde os ataques podem causar interrupções significativas nas operações.

Um novo grupo de ameaças cibernéticas, conhecido como LongNosedGoblin, foi identificado como responsável por uma série de ataques direcionados a entidades governamentais no Sudeste Asiático e no Japão. O objetivo principal dessas ações é a espionagem cibernética, conforme relatado pela empresa de cibersegurança ESET. As atividades do grupo foram detectadas desde setembro de 2023 e utilizam o mecanismo de Group Policy para implantar malware em redes comprometidas, além de serviços de nuvem como Microsoft OneDrive e Google Drive como servidores de comando e controle.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

O time de análise de ameaças da Amazon identificou uma campanha de espionagem que durou de 2021 a 2025, orquestrada pelo Departamento Central de Inteligência da Rússia (GRU). Os ataques focaram em infraestruturas de nuvem e energia de países ocidentais, especialmente na América do Norte e Europa. A campanha explorou dispositivos mal configurados e interfaces de gerenciamento expostas, permitindo acesso a credenciais sensíveis através de vulnerabilidades de dia zero. Além de atacar provedores de VPN e ferramentas de acesso remoto, a ação também visou redes hospedadas na Amazon Web Services (AWS), que recentemente enfrentou um apagão que afetou diversos serviços. A Amazon notificou os clientes afetados e interrompeu as operações dos agentes maliciosos. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados e infraestruturas críticas.

Nos últimos anos, a integração de assistentes de inteligência artificial (IA) em aplicações SaaS, como Zoom, Slack e Microsoft 365, trouxe uma nova dinâmica ao gerenciamento de dados e segurança. Esses assistentes, que operam em alta velocidade e com privilégios elevados, criam caminhos de integração dinâmicos entre diferentes sistemas, o que desafia os modelos tradicionais de segurança que assumem interfaces fixas e papéis de usuário estáveis. A dificuldade em rastrear as ações desses agentes de IA, que muitas vezes se misturam aos logs de usuários normais, expõe vulnerabilidades significativas. Para mitigar esses riscos, as equipes de segurança precisam adotar uma abordagem de segurança dinâmica, que monitore e adapte as políticas em tempo real, garantindo visibilidade e auditabilidade das ações dos assistentes de IA. Essa nova camada de segurança deve ser capaz de detectar desvios de acesso e comportamentos anômalos, permitindo uma resposta proativa a incidentes. À medida que as organizações adotam copilotos de IA, é crucial que os líderes de segurança reavaliem suas estratégias para garantir que a inovação não comprometa a segurança dos dados.

Em 2025, grupos de hackers ligados à Coreia do Norte foram responsáveis por um aumento alarmante nos roubos de criptomoedas, totalizando pelo menos $2,02 bilhões de um total de $3,4 bilhões roubados globalmente. Esse valor representa um crescimento de 51% em relação ao ano anterior, com a Coreia do Norte respondendo por 76% de todas as violações de serviços. O ataque mais significativo ocorreu em fevereiro, quando a exchange de criptomoedas Bybit foi comprometida, resultando em um roubo de $1,5 bilhão. O grupo de hackers conhecido como Lazarus, vinculado ao governo norte-coreano, tem um histórico de ataques a exchanges e serviços de criptomoedas, visando gerar receita ilícita para o regime, em violação a sanções internacionais. Além disso, a infiltração de trabalhadores de TI em empresas globais tem sido uma estratégia crescente, permitindo acesso privilegiado a serviços de criptomoedas. Os fundos roubados são frequentemente lavados através de serviços de movimentação de dinheiro em chinês e misturadores, seguindo um caminho estruturado de lavagem em várias etapas. Este cenário representa um risco significativo para a segurança cibernética global e destaca a necessidade de vigilância e mitigação por parte das empresas de tecnologia e finanças.

O boletim semanal de ameaças cibernéticas destaca a evolução das táticas de ataque, com um foco em um esquema de fraude internacional desmantelado na Ucrânia, onde mais de 400 vítimas perderam mais de €10 milhões. As autoridades europeias, em colaboração com a Eurojust, prenderam 12 suspeitos envolvidos em call centers que enganavam vítimas, utilizando técnicas como a simulação de policiais para obter informações bancárias. Além disso, o governo do Reino Unido está pressionando a Apple e o Google a implementar sistemas de bloqueio de nudez em dispositivos móveis, visando proteger crianças. Outra ameaça emergente é o malware SantaStealer, que coleta dados sensíveis e opera de forma modular, dificultando a detecção. O artigo também menciona a resiliência de provedores de Bulletproof Hosting, que permitem que criminosos cibernéticos operem com agilidade. Por fim, novas técnicas de engenharia social, como o ataque GhostPairing, estão sendo utilizadas para sequestrar contas do WhatsApp, destacando a necessidade de vigilância constante. O cenário cibernético continua a se transformar rapidamente, exigindo atenção das organizações para mitigar riscos.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

Luiz Fernando Souza, um jovem de 18 anos, foi preso em Agrolândia, Santa Catarina, após ser acusado de coagir meninas a se automutilarem por meio da plataforma Discord. Durante a investigação, a polícia encontrou materiais que incluíam imagens de jovens praticando automutilação e cenas de cunho sexual. Em um vídeo, Luiz revelou a idade de uma das vítimas, que teria apenas 12 ou 13 anos. A operação foi realizada após um mandado de prisão solicitado pela Justiça de São Paulo. Além das imagens de automutilação, a polícia também descobriu que as vítimas eram forçadas a marcar símbolos nazistas em seus corpos, incluindo os nomes de autoridades. Luiz foi detido em flagrante e teve um computador e um celular apreendidos para análise. O caso destaca o uso crescente de plataformas de comunicação online, como o Discord, para práticas criminosas, levantando preocupações sobre a segurança e a proteção de menores na internet.

A Richmond Behavioral Health Authority (RBHA), na Virgínia, notificou 113.232 pessoas sobre uma violação de dados ocorrida em setembro de 2025, conforme informações do Departamento de Saúde e Serviços Humanos dos EUA. A violação comprometeu nomes, números de Seguro Social, números de passaporte, informações financeiras e dados de saúde protegidos dos pacientes da RBHA. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 192 GB de dados e postando imagens de documentos supostamente extraídos da RBHA em seu site de vazamento de dados. A RBHA não confirmou a veracidade da alegação do grupo, e detalhes sobre como a rede foi comprometida, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O ataque é um dos maiores de 2025, afetando significativamente o setor de saúde, que já registrou 85 ataques de ransomware neste ano, comprometendo mais de 8,1 milhões de registros. A RBHA, uma organização sem fins lucrativos que atende cerca de 13.000 pessoas anualmente, não ofereceu monitoramento de crédito gratuito para as vítimas, o que levanta preocupações sobre a proteção contra roubo de identidade.

As equipes de segurança cibernética enfrentam um cenário desafiador, onde a quantidade de alertas e a velocidade das ameaças dificultam a identificação dos riscos mais relevantes. O artigo destaca a importância de uma postura proativa em vez de reativa, enfatizando que a defesa reativa resulta em investigações longas, desperdício de recursos e maior probabilidade de violações. A inteligência de ameaças (TI) é apresentada como uma solução para preencher as lacunas deixadas por operações reativas, fornecendo dados atualizados sobre as atividades dos atacantes. A ferramenta ANY.RUN’s Threat Intelligence Lookup permite que analistas enriqueçam alertas com informações contextuais, identifiquem campanhas de malware e ajustem suas defesas de forma mais eficaz. O artigo também ressalta a necessidade de entender o contexto específico de cada setor e região, já que as ameaças não estão distribuídas uniformemente. A visibilidade aprimorada e a capacidade de antecipar ataques são cruciais para que as equipes de segurança se mantenham à frente dos criminosos cibernéticos.

A botnet Kimwolf, identificada pela QiAnXin XLab, já infectou cerca de 1,8 milhão de dispositivos, incluindo TVs Android e set-top boxes. Entre 19 e 22 de novembro de 2025, a botnet emitiu 1,7 bilhão de comandos de ataque DDoS, destacando-se no ranking da Cloudflare. Os principais alvos são dispositivos de TV em redes residenciais, com infecções concentradas em países como Brasil, Índia e EUA. A botnet utiliza técnicas avançadas, como o uso de ENS (Ethereum Name Service) para dificultar sua desativação. A pesquisa sugere que Kimwolf pode estar associada à botnet AISURU, conhecida por ataques DDoS recordes. A malware é projetada para operar de forma discreta, garantindo que apenas uma instância do processo seja executada e utilizando criptografia TLS para comunicação. Com 13 métodos de ataque DDoS suportados, a botnet visa maximizar o uso da largura de banda dos dispositivos comprometidos, indicando um foco em monetização através de serviços de proxy. Este incidente destaca a crescente ameaça que botnets de grande escala representam para dispositivos IoT, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

Uma nova campanha de cibersegurança está ameaçando usuários do Microsoft Teams e do Google Meet no Brasil, com downloads falsos que disseminam malware. Especialistas da CyberProof identificaram que cibercriminosos estão utilizando técnicas de envenenamento de SEO para manipular resultados de busca, fazendo com que sites fraudulentos apareçam no topo. Ao acessar esses sites, os usuários acreditam estar baixando as plataformas legítimas, mas, na verdade, estão instalando o backdoor Oyster, um malware que cria uma porta de entrada oculta no sistema. Esse malware instala um arquivo malicioso chamado ‘AlphaSecurity.dll’, que é executado a cada 18 minutos, mesmo após reinicializações do sistema. A campanha é particularmente preocupante para o setor financeiro, onde o uso do Teams e Meet é elevado, aumentando o risco de sequestro de dados por grupos de ransomware. Especialistas recomendam que os usuários evitem clicar em anúncios de download e busquem sempre canais oficiais para evitar infecções.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

Uma extensão do Google Chrome, chamada Urban VPN Proxy, que possui o selo ‘Em Destaque’ e é utilizada por mais de seis milhões de usuários, foi descoberta coletando de forma clandestina os prompts utilizados em chatbots de IA, como ChatGPT e outros. A empresa de segurança Koi Security identificou que, após uma atualização em julho de 2025, a extensão começou a interceptar conversas dos usuários. O código malicioso injetado na extensão modifica a API do navegador, redirecionando todas as requisições de rede para a extensão, permitindo a captura de dados que são enviados para servidores remotos da Urban Cyber Security Inc. Apesar de a política de privacidade afirmar que os dados são anonimizados, a coleta é realizada mesmo com a função de ‘Proteção de IA’ desativada. A extensão, que originalmente prometia proteger a identidade online, agora se revela uma ameaça à privacidade dos usuários, levantando preocupações sobre a confiança em ferramentas amplamente utilizadas. Este incidente destaca a vulnerabilidade das plataformas de extensões e a necessidade de maior vigilância sobre a coleta de dados pessoais, especialmente em um cenário onde as interações com IA estão se tornando cada vez mais comuns.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

Desde julho de 2025, o grupo de cibercriminosos conhecido como Jewelbug tem direcionado suas atividades principalmente a alvos governamentais na Europa, enquanto ainda mantém ataques em regiões da Ásia e América do Sul. A Check Point Research, que monitora essa ameaça sob o nome Ink Dragon, descreve a atuação do grupo como altamente eficaz e discreta, utilizando engenharia de software avançada e ferramentas nativas de plataformas para se camuflar no tráfego normal das empresas. Entre suas táticas, destacam-se o uso de backdoors como FINALDRAFT e NANOREMOTE, que permitem controle remoto e exfiltração de dados. O grupo também explorou vulnerabilidades em serviços da ASP.NET e SharePoint para comprometer servidores e estabelecer uma infraestrutura de comando e controle (C2). As intrusões têm resultado em acesso a informações sensíveis, incluindo credenciais administrativas e dados de registro. A Check Point alerta que a arquitetura de relé do Ink Dragon permite que um único comprometimento se torne um nó em uma rede de ataques mais ampla, exigindo que as defesas considerem a possibilidade de uma rede de cibercriminosos interconectada.