Cisco Talos

O grupo de ameaças UAT-7290, vinculado à China, tem sido associado a intrusões focadas em espionagem contra entidades na Ásia do Sul e no Sudeste Europeu desde pelo menos 2022. De acordo com um relatório da Cisco Talos, a atividade deste ator é caracterizada por uma extensa fase de reconhecimento técnico das organizações-alvo antes de iniciar os ataques, que frequentemente resultam na implantação de malwares como RushDrop, DriveSwitch e SilentRaid.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

Um novo relatório da Cisco Talos revela uma técnica crescente de ataque cibernético chamada ‘hidden text salting’, que utiliza propriedades de CSS para injetar códigos maliciosos em e-mails, tornando-os invisíveis para os destinatários. Essa técnica foi observada entre março de 2024 e julho de 2025, especialmente em campanhas de phishing e spear phishing, onde os atacantes inserem trechos de texto irrelevantes ou maliciosos em partes dos e-mails, como cabeçalhos e anexos, sem que os usuários percebam. Os hackers manipulam propriedades de CSS, como ‘font-size: 0’ e ‘display: none’, para ocultar o texto malicioso, dificultando a detecção por sistemas de segurança. Além disso, essa abordagem tem sido utilizada para confundir filtros de spam, aumentando a taxa de entrega de e-mails maliciosos. A Cisco recomenda estratégias de mitigação, como a sanitização de HTML e a análise de características visuais, para melhorar a segurança dos e-mails. Diante da evolução dessas táticas, é crucial que as equipes de segurança se adaptem e busquem padrões de texto oculto em todos os componentes dos e-mails.

Pesquisadores da Cisco Talos identificaram mais de 1.100 instâncias do framework Ollama, utilizado para hospedar modelos de linguagem, acessíveis publicamente na internet. Aproximadamente 20% desses servidores estavam operando sem qualquer forma de autenticação, tornando-os vulneráveis a ataques severos. Em uma varredura rápida usando o Shodan, foram encontrados 1.139 endpoints expostos, dos quais 214 permitiam consultas de modelos sem credenciais. Essa falta de controle de acesso possibilita ataques de extração de modelo e a injeção de conteúdo malicioso. Mesmo os 80% restantes, que estavam inativos no momento da descoberta, apresentam riscos significativos, como uploads não autorizados de modelos e ataques de exaustão de recursos. A análise geoespacial revelou que a maioria dos servidores expostos está localizada nos Estados Unidos, China e Alemanha, evidenciando falhas na segurança da infraestrutura de IA. Para mitigar essas vulnerabilidades, recomenda-se a implementação de mecanismos de autenticação robustos, isolamento de rede e auditorias regulares de exposição. Essas medidas são essenciais para proteger a integridade dos modelos de IA e evitar abusos.