Cisco Talos

Pesquisadores da Cisco Talos revelaram a existência do DKnife, um spyware ativo desde 2019 que tem como alvo roteadores, permitindo que cibercriminosos monitorem e manipulem dados de dispositivos conectados à rede. O DKnife utiliza a técnica adversary-in-the-middle (AitM) para interceptar atualizações legítimas de aplicativos, substituindo-as por versões maliciosas. Entre suas funcionalidades, destacam-se a capacidade de ler dados trafegados, enviar informações roubadas aos hackers, atualizar arquivos maliciosos em dispositivos Android e desencriptar comunicações seguras para roubar senhas. O malware também consegue monitorar aplicativos de mensagens, como WeChat e Signal, e se oculta de antivírus para evitar detecções. Embora os principais alvos sejam usuários na China, a evolução do DKnife indica uma colaboração com outras ameaças, como a WizardNet, que se espalhou por diversos países. Para mitigar os riscos, recomenda-se atualizar o firmware dos roteadores e desabilitar o gerenciamento remoto, fechando portas de invasão.

O DKnife é um novo toolkit de cibersegurança, descoberto por pesquisadores da Cisco Talos, que tem sido utilizado desde 2019 para sequestrar tráfego em dispositivos de borda e entregar malware em campanhas de espionagem. Este framework atua como uma plataforma pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM), interceptando e manipulando dados destinados a dispositivos finais, como computadores, dispositivos móveis e IoTs.

Composto por sete módulos baseados em Linux, o DKnife é projetado para inspeção profunda de pacotes (DPI), manipulação de tráfego e coleta de credenciais. Os pesquisadores identificaram que o malware possui artefatos em chinês simplificado e visa especificamente serviços chineses, como provedores de e-mail e aplicativos móveis. Embora não tenham conseguido determinar como os equipamentos de rede são comprometidos, o DKnife interage com backdoors conhecidos, como ShadowPad e DarkNimbus, ambos associados a atores de ameaças da China.

O grupo de ameaças UAT-7290, vinculado à China, tem sido associado a intrusões focadas em espionagem contra entidades na Ásia do Sul e no Sudeste Europeu desde pelo menos 2022. De acordo com um relatório da Cisco Talos, a atividade deste ator é caracterizada por uma extensa fase de reconhecimento técnico das organizações-alvo antes de iniciar os ataques, que frequentemente resultam na implantação de malwares como RushDrop, DriveSwitch e SilentRaid.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

Um novo relatório da Cisco Talos revela uma técnica crescente de ataque cibernético chamada ‘hidden text salting’, que utiliza propriedades de CSS para injetar códigos maliciosos em e-mails, tornando-os invisíveis para os destinatários. Essa técnica foi observada entre março de 2024 e julho de 2025, especialmente em campanhas de phishing e spear phishing, onde os atacantes inserem trechos de texto irrelevantes ou maliciosos em partes dos e-mails, como cabeçalhos e anexos, sem que os usuários percebam. Os hackers manipulam propriedades de CSS, como ‘font-size: 0’ e ‘display: none’, para ocultar o texto malicioso, dificultando a detecção por sistemas de segurança. Além disso, essa abordagem tem sido utilizada para confundir filtros de spam, aumentando a taxa de entrega de e-mails maliciosos. A Cisco recomenda estratégias de mitigação, como a sanitização de HTML e a análise de características visuais, para melhorar a segurança dos e-mails. Diante da evolução dessas táticas, é crucial que as equipes de segurança se adaptem e busquem padrões de texto oculto em todos os componentes dos e-mails.

Pesquisadores da Cisco Talos identificaram mais de 1.100 instâncias do framework Ollama, utilizado para hospedar modelos de linguagem, acessíveis publicamente na internet. Aproximadamente 20% desses servidores estavam operando sem qualquer forma de autenticação, tornando-os vulneráveis a ataques severos. Em uma varredura rápida usando o Shodan, foram encontrados 1.139 endpoints expostos, dos quais 214 permitiam consultas de modelos sem credenciais. Essa falta de controle de acesso possibilita ataques de extração de modelo e a injeção de conteúdo malicioso. Mesmo os 80% restantes, que estavam inativos no momento da descoberta, apresentam riscos significativos, como uploads não autorizados de modelos e ataques de exaustão de recursos. A análise geoespacial revelou que a maioria dos servidores expostos está localizada nos Estados Unidos, China e Alemanha, evidenciando falhas na segurança da infraestrutura de IA. Para mitigar essas vulnerabilidades, recomenda-se a implementação de mecanismos de autenticação robustos, isolamento de rede e auditorias regulares de exposição. Essas medidas são essenciais para proteger a integridade dos modelos de IA e evitar abusos.