Cibersegurança

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

A Obex, um coletivo de pesquisa em segurança, revelou uma técnica sofisticada que permite a adversários evitar a detecção ao impedir que bibliotecas dinâmicas (DLLs) específicas sejam carregadas em processos-alvo. Essa abordagem representa um risco significativo para soluções de segurança que dependem exclusivamente de hooks em modo de usuário ou inspeção obrigatória em processos, uma vez que essas técnicas não conseguem monitorar a atividade maliciosa. A pesquisa mostra que, ao controlar os parâmetros de lançamento do processo, atacantes podem especificar uma lista restrita de DLLs, bloqueando a inicialização de módulos de telemetria ou inspeção. Isso permite que malware seja executado sem ser detectado. Para mitigar essa vulnerabilidade, a pesquisa sugere a implementação de proteções em modo de kernel, que garantem a integridade do carregamento de bibliotecas, independentemente dos parâmetros de modo de usuário. A Obex enfatiza a necessidade de uma defesa em profundidade, onde múltiplas camadas de segurança são essenciais para enfrentar adversários sofisticados. As organizações devem adotar medidas complementares, como detecção de anomalias em rede e verificação de integridade da memória, para fortalecer suas defesas contra essas técnicas de evasão.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.

O grupo de ciberespionagem Confucius tem intensificado suas atividades, utilizando documentos maliciosos para atacar sistemas Windows. Em uma campanha de phishing direcionada a entidades governamentais do Paquistão, o grupo lançou um arquivo PowerPoint infectado que, ao ser aberto, baixava um malware chamado AnonDoor. Este malware, baseado em Python, permite acesso persistente aos sistemas comprometidos. O ataque começa com um arquivo .ppsx que, ao ser executado, carrega um script VB que baixa um payload malicioso. O AnonDoor é um backdoor que coleta informações do sistema e permite a execução de comandos remotos, incluindo captura de tela e extração de senhas de navegadores. A transição do grupo de ferramentas simples para backdoors mais sofisticados indica uma estratégia de evasão e flexibilidade. Organizações devem implementar filtros de e-mail rigorosos e monitorar a criação de tarefas agendadas para se proteger contra essas ameaças.

A Signal, plataforma de mensagens com criptografia de ponta a ponta, anunciou uma inovação criptográfica chamada Sparse Post Quantum Ratchet (SPQR), que visa enfrentar as ameaças emergentes dos computadores quânticos. O SPQR é integrado ao protocolo Double Ratchet existente, formando o Triple Ratchet, que garante proteção contínua contra ataques quânticos sem comprometer a segurança atual. Essa nova abordagem assegura a confidencialidade das mensagens, mesmo que uma chave de sessão seja comprometida, e protege contra ataques do tipo ‘captura agora, decifra depois’, onde adversários capturam tráfego criptografado com a intenção de decifrá-lo no futuro. A implementação do Triple Ratchet é transparente para os usuários, ocorrendo em segundo plano e permitindo a interoperabilidade entre diferentes versões do protocolo. Para mitigar o aumento do uso de dados devido a chaves pós-quânticas maiores, a Signal utiliza técnicas avançadas de otimização de largura de banda. O desenvolvimento do SPQR foi fundamentado em rigorosas garantias de segurança, com a colaboração de instituições acadêmicas e a utilização de ferramentas de verificação formal. Essa iniciativa reafirma o compromisso da Signal em se antecipar aos desafios criptográficos futuros, posicionando-se como líder em plataformas de comunicação seguras.

A Quixant lançou o Iqon3, um mini PC silencioso projetado para ambientes de jogos em cassinos e arcades retro. Com um chassi robusto e resfriamento passivo, o dispositivo é alimentado por APUs AMD Ryzen Pro 8000, permitindo a conexão de até quatro monitores 4K Ultra HD. O Iqon3 oferece suporte para até 64GB de memória DDR5 e diversas opções de armazenamento, incluindo slots NVMe e SATA. Destaca-se pela ampla gama de portas, incluindo USB 3.2 e Ethernet Gigabit, além de recursos de segurança como TPM 2.0, criptografia AES256 e NVRAM protegida. O design robusto e as proteções físicas, como um case de metal com chave, tornam-no ideal para ambientes controlados, como cassinos. Este mini PC é uma solução versátil para operadores que buscam um hardware confiável e seguro para aplicações de jogos.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

A firma de contabilidade Sheheen, Hancock & Godwin confirmou que notificou mais de 34.000 pessoas sobre um vazamento de dados ocorrido em abril de 2025. As informações comprometidas incluem números de Seguro Social, documentos de identificação emitidos pelo governo, dados financeiros, datas de nascimento, informações médicas e de seguro saúde. A maioria das vítimas está localizada na Carolina do Sul, onde a empresa está baseada. O grupo de ransomware Lynx reivindicou a responsabilidade pelo ataque, alegando ter roubado 10 GB de dados e exigindo um pagamento em resgate até 25 de abril de 2025, sob a ameaça de publicar os dados roubados. Até o momento, a Sheheen, Hancock & Godwin não confirmou se pagou o resgate e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas. Este incidente destaca a crescente ameaça de ataques de ransomware, especialmente no setor financeiro, que já registrou 26 ataques confirmados em 2025, comprometendo mais de 204.000 registros. Apesar de uma diminuição no número de ataques em relação ao ano anterior, a situação ainda é preocupante, exigindo atenção contínua das empresas para proteger seus dados e sistemas.

Em setembro de 2025, a Jaguar Land Rover sofreu um ataque cibernético severo que resultou em interrupções significativas em suas operações e produção. O governo do Reino Unido anunciou um empréstimo de £1,5 bilhões (aproximadamente R$ 10,7 bilhões) para ajudar a empresa a retomar suas atividades. O Secretário de Negócios, Peter Kyle, destacou que o ataque não apenas impactou a Jaguar, mas também afetou o setor automotivo britânico, que é vital para a economia local, empregando cerca de 154.000 pessoas. O grupo Scattered Lapsus$ Hunters reivindicou a autoria do ataque, que pode ter sido facilitado por uma vulnerabilidade explorada anteriormente pela gangue HellCat. A Jaguar Land Rover ficou quase um mês sem operar, resultando em perdas estimadas de £50 milhões (cerca de R$ 360 milhões) por semana. As autoridades britânicas já prenderam três membros da gangue envolvida, e a investigação continua para entender melhor as circunstâncias do ataque e suas consequências. O governo pode considerar um novo empréstimo para evitar a falência de fornecedores da Jaguar Land Rover, que são essenciais para a cadeia de produção.

Com a Copa do Mundo FIFA 2026 se aproximando, cibercriminosos já estão ativos, criando mais de 4.300 sites fraudulentos relacionados ao evento. Pesquisadores da Check Point Software identificaram que cerca de 20% desses sites têm conexão com o Brasil, seja por hospedagem em IPs brasileiros ou por conteúdo em português. Os golpes mais comuns incluem a venda de ingressos falsos, mercadorias falsificadas e fraudes de streaming. No Brasil, os cibercriminosos focam em três áreas principais: mercadorias falsificadas (35-40% dos golpes), fraudes com ingressos (30-35%) e streaming ilegal (20-25%). Os sites fraudulentos imitam lojas legítimas, utilizando boletos bancários, um método de pagamento popular no Brasil, para enganar as vítimas. Os boletos são visualmente semelhantes aos verdadeiros, dificultando a identificação do golpe. Para se proteger, os torcedores devem comprar apenas em canais oficiais da FIFA e desconfiar de preços muito baixos ou ofertas que parecem boas demais para ser verdade.

Em 2025, os pesquisadores da Comparitech registraram 5.186 ataques de ransomware, um aumento de 36% em relação ao mesmo período do ano anterior. No terceiro trimestre, houve 1.517 ataques, com um crescimento de 6% em relação ao segundo trimestre. Embora os ataques a entidades governamentais e empresas de saúde tenham diminuído, os negócios, especialmente na indústria de manufatura, foram os mais atingidos, com um aumento de 11% nos ataques. Os grupos de ransomware mais ativos foram Qilin, Akira e INC, com Qilin liderando em ataques confirmados. O setor de saúde registrou 78 ataques, uma queda de 14%, enquanto o setor educacional manteve números semelhantes. O valor médio do resgate foi de $3,57 milhões, com o maior resgate exigido sendo de $15 milhões. Os ataques a fornecedores de tecnologia de terceiros também causaram grandes interrupções, destacando a necessidade de uma vigilância contínua e de medidas de segurança robustas. A crescente complexidade e o impacto dos ataques ressaltam a importância de uma resposta rápida e eficaz por parte das organizações.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O cenário de cibersegurança se torna cada vez mais complexo, com ataques direcionados a diversas tecnologias, desde carros conectados até servidores em nuvem. Recentemente, observou-se um aumento significativo em tentativas de exploração da vulnerabilidade crítica CVE-2024-3400, que afeta firewalls PAN-OS, permitindo que atacantes não autenticados executem códigos maliciosos. Além disso, uma campanha sofisticada tem como alvo servidores Microsoft SQL mal gerenciados, utilizando o framework XiebroC2 para estabelecer acesso persistente. Por outro lado, a inteligência artificial está sendo utilizada para bloquear ataques de ransomware em tempo real, com o Google Drive implementando detecções automáticas que interrompem a sincronização de arquivos durante tentativas de ataque. Outro ponto crítico é a atuação do grupo UNC6040, que realiza campanhas de phishing por voz (vishing) para comprometer instâncias do Salesforce, manipulando usuários para autorizar aplicativos maliciosos. As implicações para a segurança de dados e conformidade com a LGPD são significativas, exigindo atenção redobrada das organizações.

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado ‘soopsocks’, que prometia criar um serviço de proxy SOCKS5, mas na verdade funcionava como um backdoor para instalar cargas adicionais em sistemas Windows. O pacote, que foi baixado 2.653 vezes antes de ser removido, foi carregado por um usuário que criou a conta no mesmo dia. A análise da JFrog revelou que o pacote utilizava um executável (’_AUTORUN.EXE’) que, além de implementar o SOCKS5, executava scripts PowerShell, configurava regras de firewall e se relançava com permissões elevadas. O pacote também realizava reconhecimento do sistema e exfiltrava informações para um webhook do Discord. O script Visual Basic (’_AUTORUN.VBS’) presente nas versões 0.2.5 e 0.2.6 do pacote também era capaz de baixar um arquivo ZIP com um binário Python legítimo, instalando-o de forma automatizada. A situação ocorre em um contexto de crescente preocupação com a segurança da cadeia de suprimentos de software, levando a mudanças nas políticas de tokens de acesso no GitHub e ao lançamento de ferramentas como o Socket Firewall, que visa bloquear pacotes maliciosos durante a instalação.

O grupo de hackers conhecido como Confucius está por trás de uma nova campanha de phishing que visa o Paquistão, utilizando malwares como WooperStealer e Anondoor. Desde 2013, esse grupo tem se especializado em atacar agências governamentais, organizações militares e indústrias críticas na região, empregando técnicas de spear-phishing e documentos maliciosos para obter acesso inicial. Recentemente, foram documentadas várias cadeias de ataque, incluindo uma em dezembro de 2024, onde um arquivo .PPSX enganou os usuários a abrir um arquivo que entregava o WooperStealer através de técnicas de DLL side-loading. Em março de 2025, outra onda de ataques utilizou arquivos de atalho do Windows (.LNK) para liberar o mesmo malware. Em agosto de 2025, um novo arquivo .LNK foi identificado, que introduziu o Anondoor, um backdoor em Python projetado para exfiltrar informações do dispositivo e executar comandos. O grupo tem mostrado uma forte adaptabilidade, utilizando técnicas de ofuscação para evitar detecções e ajustando suas ferramentas conforme as prioridades de coleta de inteligência mudam. Essa evolução nas táticas do Confucius destaca a persistência e a eficácia operacional do grupo, que continua a representar uma ameaça significativa na região.

A NordVPN lançou uma nova funcionalidade chamada ‘alerta de sessão sequestrada’, que visa proteger os usuários contra a venda de cookies no dark web. Essa ferramenta é parte do pacote Threat Protection Pro, que já oferece proteção abrangente contra sites maliciosos, rastreadores e anúncios indesejados. O sequestro de sessão é uma técnica utilizada por hackers para roubar informações de autenticação dos usuários, permitindo acesso não autorizado a contas. A nova funcionalidade monitora o dark web em busca de cookies comprometidos e alerta os usuários em tempo real caso suas credenciais sejam encontradas à venda. O sistema utiliza uma abordagem de hash para garantir que as informações dos cookies não sejam expostas, enviando apenas uma parte do hash para verificação. Atualmente, a ferramenta verifica cookies de sites populares como Facebook, Instagram e Amazon. A NordVPN também planeja lançar uma funcionalidade que verifica URLs em e-mails, aumentando ainda mais a segurança dos usuários. Essa inovação é crucial, pois ataques que visam cookies podem resultar em fraudes financeiras e roubo de identidade, tornando a proteção contra sequestro de sessão uma prioridade para os usuários de internet.

A Splunk divulgou seis vulnerabilidades críticas que afetam diversas versões do Splunk Enterprise e do Splunk Cloud Platform, permitindo que atacantes executem código JavaScript não autorizado, acessem dados sensíveis e realizem ataques de falsificação de requisições do lado do servidor (SSRF). As vulnerabilidades, publicadas em 1º de outubro de 2025, impactam componentes do Splunk Web e exigem atenção imediata das organizações que utilizam a plataforma.

Dentre as vulnerabilidades, duas se destacam por permitir ataques de cross-site scripting (XSS), possibilitando a execução de JavaScript malicioso nos navegadores dos usuários. A CVE-2025-20367 é uma vulnerabilidade XSS refletida, enquanto a CVE-2025-20368 é uma vulnerabilidade XSS armazenada. Além disso, a CVE-2025-20366 permite que usuários com privilégios baixos acessem resultados de busca sensíveis. A vulnerabilidade mais severa, CVE-2025-20371, é uma SSRF não autenticada que pode ser explorada por atacantes para realizar chamadas de API REST em nome de usuários privilegiados.

A Microsoft confirmou um erro crítico no cliente Outlook para Windows, que provoca falhas na aplicação ao tentar abrir determinadas caixas de correio. Usuários afetados recebem a mensagem: ‘Não é possível iniciar o Microsoft Outlook. Não é possível abrir a janela do Outlook. O conjunto de pastas não pode ser aberto. A tentativa de logar no Microsoft Exchange falhou.’ Esse problema, que está sendo investigado pela equipe de suporte do Exchange Online, parece estar relacionado a limites de controle de acesso impostos nas caixas de correio dos usuários. O erro impede que os usuários acessem suas caixas de entrada, resultando em interrupções significativas no fluxo de trabalho, especialmente em ambientes empresariais que dependem do Outlook Desktop. Para diagnosticar o problema, os administradores de TI devem reproduzir o erro e capturar o tráfego de rede, buscando a exceção ‘ClientBackoffException’, que indica que o Exchange Online aplicou um controle de desaceleração devido ao limite de concorrência de autenticação. A Microsoft recomenda que os usuários utilizem o Outlook Web Access (OWA) ou migrem para a nova versão do Outlook para Windows como soluções temporárias enquanto a investigação continua. A empresa ainda não forneceu um cronograma preciso para a resolução do problema.

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Com a implementação da Lei de Segurança Online no Reino Unido, o interesse em redes privadas virtuais (VPNs) aumentou, especialmente entre novos usuários. As novas regras de verificação de idade limitam o acesso a conteúdos online, como sites para adultos e aplicativos de namoro, levando muitos a buscar VPNs como uma solução. No entanto, especialistas alertam que nem todas as VPNs são confiáveis. O artigo destaca a importância de escolher uma VPN que tenha um histórico de auditoria transparente e protocolos de segurança robustos, como OpenVPN e WireGuard. VPNs como NordVPN e ExpressVPN se destacam por suas políticas rigorosas de não registro e auditorias independentes. Além disso, é crucial considerar a localização dos servidores, pois isso impacta a capacidade de contornar restrições geográficas. O uso de VPNs gratuitas é desaconselhado, pois muitas comprometem a privacidade do usuário. A escolha de uma VPN amigável ao usuário também é fundamental, especialmente para aqueles que não têm experiência técnica. O artigo conclui que, com as novas leis, a escolha de uma VPN confiável é mais importante do que nunca para proteger a privacidade online.

A Motility Software Solutions, empresa de software para concessionárias de automóveis, notificou 766.670 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente, atribuído ao grupo de ransomware PEAR, comprometeu informações sensíveis, incluindo números de Seguro Social, endereços de e-mail e números de carteira de motorista. O grupo PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 4,3 TB de dados, e publicou imagens de documentos supostamente obtidos durante o ataque. Embora a Motility tenha detectado atividade suspeita em seus servidores em 19 de agosto de 2025 e tomado medidas para isolar o incidente, não está claro se a empresa pagou um resgate ou como os atacantes conseguiram acessar sua rede. A Motility está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. O grupo PEAR, que se destacou por focar em roubo de dados sem criptografá-los, já reivindicou outros ataques, aumentando a preocupação com a segurança cibernética em empresas de tecnologia nos EUA.

A automação impulsionada pela inteligência artificial (IA) está transformando a forma como as organizações operam, mas não sem desafios significativos. O artigo destaca que a busca por automação total pode resultar em sistemas frágeis, onde a intervenção humana excessiva atrasa respostas e a rigidez das regras não se adapta a novas ameaças. Além disso, o uso excessivo de IA pode gerar processos obscuros que comprometem a confiança e a conformidade. Para líderes de cibersegurança e operações, a necessidade de fluxos de trabalho rápidos, confiáveis e auditáveis é crucial. O webinar ‘Workflow Clarity: Where AI Fits in Modern Automation’, apresentado por Thomas Kinsella, Co-fundador e Diretor de Clientes da Tines, abordará como as equipes de segurança estão integrando pessoas, regras e agentes de IA de forma intencional para criar fluxos de trabalho eficazes. Os participantes aprenderão a identificar onde a IA é mais útil, como evitar a complexidade desnecessária e garantir a segurança e a auditabilidade dos processos. O evento é voltado para líderes que buscam estratégias práticas para implementar automação que fortaleça as defesas sem criar novos riscos.

Um estudo realizado por acadêmicos do Georgia Institute of Technology e da Purdue University revelou que as garantias de segurança do Intel Software Guard eXtensions (SGX) podem ser contornadas em sistemas DDR4, permitindo a descriptografia passiva de dados sensíveis. O SGX, que isola códigos e recursos confiáveis em um ambiente de execução confiável (TEE), foi projetado para proteger dados mesmo em sistemas comprometidos. No entanto, os pesquisadores demonstraram que um dispositivo interpositor pode ser utilizado para inspecionar fisicamente o tráfego de memória entre a CPU e o módulo de memória, extraindo chaves de atestação do SGX. Essa técnica, chamada WireTap, é semelhante ao ataque Battering RAM, mas foca na violação da confidencialidade. O ataque pode ser realizado com equipamentos acessíveis, embora o custo do setup do WireTap seja em torno de $1.000. A Intel respondeu afirmando que esse tipo de ataque está fora do escopo de seu modelo de ameaça, recomendando que servidores sejam operados em ambientes físicos seguros. A pesquisa levanta preocupações sobre a segurança de implementações de blockchain que utilizam SGX, como Phala Network e Secret Network, onde a confidencialidade e a integridade das transações podem ser comprometidas.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

A companhia aérea canadense WestJet confirmou um incidente de cibersegurança que resultou na exposição não autorizada de informações pessoais de seus clientes. O ataque foi detectado em 13 de junho de 2025, quando a equipe de segurança da empresa identificou atividades incomuns em sua rede interna. Após a confirmação do acesso não autorizado por um terceiro criminoso, a WestJet isolou os servidores afetados e implementou medidas de segurança adicionais. Embora dados financeiros, como números de cartões de crédito e senhas, não tenham sido comprometidos, informações pessoais como nome completo, data de nascimento, endereço, detalhes de documentos de viagem e preferências de viagem foram expostas. A empresa notificou os clientes afetados e ofereceu serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade. A WestJet reforçou sua segurança com monitoramento em tempo real e auditorias regulares, reafirmando seu compromisso com a proteção das informações dos passageiros e a transparência com seus clientes.

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

O Relatório de Avaliação de Cibersegurança de 2025 da Bitdefender apresenta um panorama alarmante sobre a defesa cibernética atual. A pesquisa, que envolveu mais de 1.200 profissionais de TI e segurança em seis países, revelou que 58% dos profissionais foram instruídos a manter a confidencialidade após uma violação, um aumento de 38% em relação a 2023. Essa pressão por silêncio pode comprometer a confiança dos stakeholders e a conformidade regulatória. Além disso, 84% dos ataques de alta severidade utilizam técnicas de ‘Living Off the Land’, que exploram ferramentas legítimas já presentes nas organizações, levando 68% das empresas a priorizarem a redução da superfície de ataque. A pesquisa também destaca um descompasso entre executivos e equipes operacionais, com 45% dos executivos se sentindo confiantes na gestão de riscos cibernéticos, enquanto apenas 19% dos gerentes de nível médio compartilham dessa confiança. O relatório conclui que a resiliência cibernética exige estratégias proativas, como a redução de superfícies de ataque e a melhoria da comunicação entre liderança e equipes de segurança.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

O Google, através de seu Grupo de Inteligência de Ameaças (GTIG), divulgou novas diretrizes técnicas para combater o grupo de ameaças UNC6040, que utiliza phishing por voz (vishing) para comprometer ambientes Salesforce. Em vez de explorar vulnerabilidades de aplicativos, os atacantes têm se baseado em engenharia social convincente para induzir funcionários a autorizarem aplicativos maliciosos conectados, obtendo acesso a dados corporativos valiosos. As operações do UNC6040 geralmente começam com chamadas que se fazem passar por suporte técnico, persuadindo os funcionários a autorizar ferramentas que parecem legítimas, como uma versão modificada do aplicativo Data Loader. Uma vez dentro, os atacantes podem acessar dados sensíveis rapidamente, incluindo informações de clientes e dados financeiros. O Google recomenda a implementação de autenticação multifatorial resistente a phishing, centralização de acessos via plataformas de Single Sign-On e verificação rigorosa em procedimentos de help desk. Além disso, sugere configurações rigorosas no Salesforce, como restrições de IP e permissões limitadas. O monitoramento em tempo real é essencial para detectar atividades suspeitas, e a correlação de dados entre plataformas como Salesforce, Okta e Microsoft 365 pode ajudar a identificar movimentos laterais de atacantes. Com a mudança de foco dos atacantes para manipulação baseada em confiança, as organizações são incentivadas a modernizar sua postura de segurança em SaaS.

Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Um novo trojan bancário para Android, chamado Klopatra, foi descoberto e já comprometeu mais de 3.000 dispositivos, principalmente na Espanha e na Itália. Identificado pela empresa italiana Cleafy, o malware utiliza uma técnica avançada de controle remoto chamada VNC (Virtual Network Computing) e sobreposições dinâmicas para roubo de credenciais, facilitando transações fraudulentas. Os pesquisadores destacam que Klopatra representa uma evolução significativa na sofisticação do malware móvel, utilizando bibliotecas nativas e uma ferramenta de proteção de código comercial chamada Virbox, o que dificulta sua detecção.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

Pesquisadores da Bitdefender identificaram uma campanha de hackers que, desde 2024, utiliza canais verificados no YouTube para disseminar malware. Inicialmente, o golpe começou com anúncios no Facebook, prometendo acesso gratuito à versão premium da plataforma de trading TradingView. Recentemente, os criminosos invadiram a conta de um anunciante de uma agência de design na Noruega, substituindo o conteúdo do canal por uma identidade visual que imitava a TradingView, o que conferiu legitimidade ao golpe.

A Trend Micro identificou uma nova variante do ransomware LockBit, chamada LockBit 5.0, que se mostra significativamente mais perigosa do que suas versões anteriores. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma interface aprimorada e capacidades furtivas inovadoras, além de uma encriptação mais rápida. Os pesquisadores observaram que o ransomware agora possui versões para Windows, Linux e ESXi, o que representa uma escalada crítica nas suas capacidades, especialmente na virtualização VMWare. O novo vírus permite que os atacantes escolham quais pastas encriptar ou ignorar e oferece modos de operação como “invisível” e “verbal”. Além disso, o LockBit 5.0 utiliza técnicas de evasão, como a substituição de APIs, dificultando a detecção pelo Windows. O grupo responsável pelo ransomware também implementou um sistema de suporte via chat para negociação de resgates, complicando ainda mais a recuperação dos dados para as vítimas. A nova versão mantém a geolocalização para evitar ataques em regiões onde a língua russa é detectada, o que demonstra uma evolução nas táticas do grupo criminoso. Com a continuidade das operações do LockBit, mesmo após ações de autoridades em 2024, a ameaça se torna cada vez mais relevante para empresas em todo o mundo, incluindo o Brasil.

Nos últimos dois anos e meio, organizações governamentais e de telecomunicações na África, Oriente Médio e Ásia têm sido alvo de um ator de ameaças de estado-nacional alinhado à China, conhecido como Phantom Taurus. O foco principal do grupo inclui ministérios das relações exteriores, embaixadas e operações militares, com o objetivo de coletar informações confidenciais e realizar espionagem. O grupo, que foi inicialmente identificado como CL-STA-0043, demonstrou uma capacidade notável de adaptação em suas táticas e técnicas, utilizando ferramentas personalizadas, como um malware chamado NET-STAR, desenvolvido em .NET para atacar servidores web IIS. As operações do Phantom Taurus frequentemente coincidem com eventos geopolíticos significativos, refletindo um interesse estratégico por informações de defesa e comunicações diplomáticas. A abordagem do grupo inclui a exploração de vulnerabilidades conhecidas, como ProxyLogon e ProxyShell, em servidores Microsoft Exchange e IIS, além de um método inovador que permite a extração de dados diretamente de bancos de dados SQL. A complexidade e a sofisticação das técnicas empregadas pelo Phantom Taurus representam uma ameaça significativa para servidores expostos à internet, exigindo atenção redobrada de profissionais de segurança cibernética.

Pesquisadores da KU Leuven e da Universidade de Birmingham descobriram uma nova vulnerabilidade chamada Battering RAM, que permite contornar as defesas mais recentes dos processadores em nuvem da Intel e AMD. Utilizando um interposer de baixo custo, que pode ser montado por menos de 50 dólares, o ataque redireciona endereços de memória protegidos para locais controlados por atacantes, comprometendo dados criptografados. Essa falha afeta todos os sistemas que utilizam memória DDR4, especialmente aqueles que dependem de computação confidencial em ambientes de nuvem pública. O ataque explora as extensões de segurança de hardware da Intel (SGX) e a virtualização criptografada segura da AMD (SEV-SNP), permitindo acesso não autorizado a regiões de memória protegidas. Embora a Intel e a AMD tenham sido notificadas sobre a vulnerabilidade, ambas consideram ataques físicos fora do escopo de suas defesas atuais. A descoberta destaca as limitações dos designs de criptografia de memória escaláveis utilizados atualmente, que não incluem verificações de frescor criptográfico, e sugere que uma reestruturação fundamental da criptografia de memória é necessária para mitigar essa ameaça.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

A Asahi Group Holdings, gigante japonesa do setor de bebidas, suspendeu as operações em suas 30 fábricas no Japão devido a um ciberataque severo. O ataque, detectado na noite de domingo, comprometeu sistemas críticos de planejamento de recursos empresariais (ERP) e de execução de manufatura (MES), resultando na paralisação das linhas de engarrafamento e embalagem. A empresa confirmou que não há evidências de vazamento de dados pessoais de clientes ou funcionários, mas está avaliando a extensão dos danos. Especialistas em cibersegurança foram contratados para realizar uma análise forense do incidente. A interrupção da produção afeta marcas icônicas como Asahi Super Dry e Nikka Whisky, e pode levar a escassez de produtos no mercado. A Asahi planeja implementar medidas de segurança aprimoradas, incluindo monitoramento avançado e gerenciamento acelerado de patches, para evitar futuros incidentes. Este evento destaca a vulnerabilidade das cadeias de suprimento e da infraestrutura digital no setor de manufatura japonês, que já enfrentou uma série de ataques cibernéticos de alto perfil neste ano.

Um novo grupo de ameaças persistentes avançadas (APT) alinhado ao Estado chinês, denominado Phantom Taurus, foi identificado após três anos de monitoramento pela Palo Alto Networks. Este grupo tem como alvo principal entidades governamentais e provedores de telecomunicações na África, Oriente Médio e Ásia, e está vinculado a operações de espionagem de longo prazo que apoiam os interesses geopolíticos da República Popular da China.

O Phantom Taurus se destaca por sua combinação de técnicas de infiltração discretas e malware personalizado. Em 2025, o grupo alterou suas táticas, passando de ataques de exfiltração de e-mails para o direcionamento direto de bancos de dados sensíveis. O núcleo de suas operações é a suíte de malware NET-STAR, que inclui backdoors projetados para infectar servidores web Microsoft IIS. O malware utiliza técnicas avançadas de evasão e execução sem arquivos, dificultando a detecção por defesas tradicionais.