Cloud Security

Pesquisadores de cibersegurança identificaram uma nova variante de malware chamada Chaos, que está se expandindo para atingir implantações em nuvem mal configuradas, além de seu foco tradicional em roteadores e dispositivos de borda. O malware, que foi documentado pela primeira vez em setembro de 2022, é capaz de operar em ambientes Windows e Linux, permitindo a execução de comandos remotos, mineração de criptomoedas e ataques de negação de serviço distribuídos (DDoS).

Um novo ator de ameaças, identificado como UAT-9921, tem utilizado um framework modular chamado VoidLink em campanhas direcionadas aos setores de tecnologia e serviços financeiros. De acordo com a Cisco Talos, essa ameaça pode estar ativa desde 2019, mas o uso do VoidLink parece ser recente. O malware, escrito em Zig, foi projetado para acesso furtivo a ambientes de nuvem baseados em Linux e é considerado o trabalho de um único desenvolvedor, possivelmente assistido por um modelo de linguagem grande (LLM). O VoidLink permite que os invasores instalem um comando e controle (C2) em hosts comprometidos, facilitando atividades de varredura e movimentação lateral na rede. Além disso, o framework possui mecanismos de furtividade que dificultam a detecção e a remoção. A análise sugere que o UAT-9921 pode ter conhecimento da língua chinesa, o que levanta preocupações sobre suas origens. A Cisco Talos também observou que o VoidLink pode ser utilizado para explorar vulnerabilidades em servidores internos, aumentando o risco para organizações que utilizam tecnologias vulneráveis. Com a capacidade de compilar plugins sob demanda, o VoidLink representa uma nova e significativa ameaça no cenário de cibersegurança.

Pesquisadores em cibersegurança alertaram sobre uma campanha massiva que tem como alvo ambientes nativos de nuvem, estabelecendo infraestrutura maliciosa para exploração subsequente. Observada em 25 de dezembro de 2025, a atividade, descrita como ‘dirigida por worms’, explorou APIs Docker expostas, clusters Kubernetes, painéis Ray e servidores Redis, além da vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0). A campanha foi atribuída ao grupo de ameaças conhecido como TeamPCP, ativo desde pelo menos novembro de 2025. O objetivo da operação é construir uma infraestrutura de proxy distribuído e escalável, comprometendo servidores para exfiltração de dados, implantação de ransomware e mineração de criptomoedas. O TeamPCP utiliza técnicas de ataque já conhecidas, aproveitando vulnerabilidades e configurações inadequadas para criar um ecossistema criminoso autossustentável. A exploração bem-sucedida permite a implantação de cargas úteis adicionais, como scripts em shell e Python, que buscam novos alvos. Os ataques são principalmente direcionados a ambientes da Amazon Web Services (AWS) e Microsoft Azure, afetando organizações que operam essa infraestrutura, tornando-as vítimas colaterais. A campanha PCPcat exemplifica um ciclo completo de exploração e monetização, destacando a necessidade de vigilância e mitigação em ambientes de nuvem.

Pesquisadores de cibersegurança identificaram cinco vulnerabilidades críticas no Fluent Bit, um agente de telemetria leve e de código aberto, que podem ser exploradas para comprometer infraestruturas em nuvem. As falhas incluem a possibilidade de contornar autenticação, execução remota de código, manipulação de dados e negação de serviço. As vulnerabilidades são: CVE-2025-12972, que permite a travessia de caminho e execução remota de código; CVE-2025-12970, que envolve um estouro de buffer no plugin de métricas do Docker; CVE-2025-12978, que permite a falsificação de tags confiáveis; CVE-2025-12977, que permite a injeção de caracteres de controle em logs; e CVE-2025-12969, que permite a injeção de logs falsos devido à falta de autenticação. A exploração bem-sucedida dessas falhas pode permitir que atacantes manipulem dados e ocultem suas atividades. As versões 4.1.1 e 4.0.12 já corrigiram essas vulnerabilidades, e a AWS recomenda que os usuários atualizem imediatamente. A situação é crítica, pois o Fluent Bit é amplamente utilizado em ambientes corporativos, e as falhas podem impactar diretamente a segurança e a integridade dos serviços em nuvem.

O grupo de ameaças persistentes avançadas (APT) conhecido como APT31, vinculado à China, tem sido responsável por uma série de ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025. De acordo com pesquisadores da Positive Technologies, as empresas russas, especialmente aquelas que atuam como contratantes para agências governamentais, foram alvos frequentes. O APT31, ativo desde pelo menos 2010, utiliza serviços de nuvem legítimos, como o Yandex Cloud, para ocultar suas atividades de comando e controle (C2) e exfiltração de dados, misturando-se ao tráfego normal. Os ataques incluem técnicas sofisticadas, como phishing direcionado e o uso de ferramentas personalizadas para manter a persistência na rede das vítimas. Um dos métodos identificados foi o envio de e-mails com arquivos RAR que continham atalhos do Windows, permitindo a instalação de um loader chamado CloudyLoader. A utilização de ferramentas como SharpADUserIP e Tailscale VPN demonstra a adaptabilidade do grupo em explorar tanto recursos públicos quanto personalizados para suas operações. A capacidade do APT31 de permanecer indetectado por longos períodos representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a coleta de informações pode oferecer vantagens políticas e econômicas para a China.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

Uma vulnerabilidade crítica, identificada como CVE-2025-55241, foi revelada pelo pesquisador de segurança Dirk-Jan Mollema, permitindo que um único token de acesso obtido de qualquer tenant de teste concedesse controle administrativo total sobre todos os tenants do Microsoft Entra ID (anteriormente Azure AD) globalmente. Essa falha na validação de tokens ‘Actor’ da Microsoft expõe um risco significativo associado à autoridade centralizada em plataformas de nuvem modernas. Um atacante com acesso a uma conta de laboratório poderia se passar por qualquer usuário ou serviço, acessar dados sensíveis, criar novas contas de administrador global e permanecer indetectável, já que todas as ações pareciam legítimas. Embora a Microsoft tenha corrigido a vulnerabilidade, a falha arquitetônica subjacente persiste, destacando a necessidade urgente de arquiteturas de segurança sem autoridade central. A situação ressalta que, apesar dos investimentos significativos em cibersegurança, as brechas podem resultar em danos financeiros imensos, exigindo uma mudança estrutural na forma como a segurança é abordada nas plataformas de nuvem.

No dia 8 de setembro de 2025, o grupo de ransomware KillSec assumiu a responsabilidade por um ataque sofisticado à MedicSolution+, uma plataforma de gestão de práticas médicas baseada em nuvem, amplamente utilizada por clínicas no Brasil. Os atacantes comprometeram buckets do AWS S3 que continham mais de 34 GB de registros de pacientes e ativos médicos, exfiltrando cerca de 95.000 arquivos, incluindo raios-X não editados, resultados de exames e fotos de menores. A análise da Resecurity revelou que a violação foi possível devido a endpoints de armazenamento em nuvem mal configurados, que não possuíam controles de acesso adequados e criptografia. O ataque destaca a vulnerabilidade das organizações de saúde que dependem de fornecedores de TI, pois clínicas que utilizam a MedicSolution+ agora enfrentam riscos de vazamento de dados. Após a violação, o KillSec publicou uma nota de resgate em seu site na rede TOR, ameaçando divulgar os registros médicos do Brasil caso não houvesse negociação. O incidente ressalta a necessidade urgente de auditoria nas configurações de ativos em nuvem e a implementação de políticas rigorosas de privilégio mínimo para proteger dados sensíveis de pacientes.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

O grupo de ciberespionagem MURKY PANDA, vinculado à China, tem intensificado suas atividades de ataque, focando em setores governamentais, tecnológicos, acadêmicos e de serviços profissionais na América do Norte desde o final de 2024. Este adversário sofisticado demonstrou habilidades avançadas em exploração de ambientes em nuvem e na rápida utilização de vulnerabilidades conhecidas e zero-day, como a CVE-2023-3519, que afeta sistemas Citrix NetScaler, e a CVE-2025-3928, recentemente divulgada.

MURKY PANDA utiliza técnicas de exploração avançadas e um arsenal de malware personalizado, incluindo o CloudedHope, um executável desenvolvido em Golang que visa sistemas Linux. O malware possui medidas anti-análise e foi ofuscado para evitar detecções. O grupo também se destaca por comprometer relacionamentos de confiança em ambientes de nuvem, explorando vulnerabilidades em provedores de Software como Serviço (SaaS) para acessar dados de clientes downstream.

No Google Cloud Security Summit 2025, a Google apresentou uma nova suíte de ferramentas de segurança impulsionadas por inteligência artificial, com o objetivo de proteger ecossistemas de IA e fortalecer as defesas organizacionais. As inovações abrangem três áreas principais: proteção de implementações de IA autônomas, suporte a centros de operações de segurança com agentes autônomos e ampliação dos controles de segurança em nuvem.

Entre as novidades, destaca-se o Centro de Comando de Segurança, que agora possui capacidades expandidas para identificação de riscos e inventário de agentes de IA, permitindo a descoberta automatizada de vulnerabilidades. A proteção em tempo real contra ameaças, como injeção de comandos e vazamento de dados sensíveis, foi aprimorada com a extensão do Model Armor. Além disso, um novo agente de investigação de alertas foi introduzido, que realiza investigações dinâmicas para acelerar os tempos de resposta.