Hackers

Especialistas de segurança da China alertaram para o risco de robôs humanoides serem sequestrados por cibercriminosos através de comandos de voz. Durante a GEEKCon, uma competição de hacking em Xangai, foi demonstrado como falhas em sistemas de controle de robôs podem ser exploradas para causar danos físicos. A equipe de pesquisa DARKNAVY mostrou que um robô humanoide, disponível no mercado, pode ser controlado por um simples comando de voz, transformando-o rapidamente em uma ameaça. Além disso, o robô comprometido pode infectar outros androides via conexões sem fio de curto alcance, criando uma rede de máquinas potencialmente perigosas. A demonstração incluiu um comando violento que fez o robô atacar um manequim, evidenciando o risco real que essa vulnerabilidade representa para a segurança pública. Os especialistas ressaltaram a necessidade de regulamentação mais rigorosa para a implementação de robôs em ambientes públicos e industriais, uma vez que a crença de que mantê-los desconectados seria suficiente para evitar riscos não se sustenta diante das novas tecnologias.

No dia 27 de dezembro de 2025, a Ubisoft enfrentou um grave incidente de segurança em seu jogo Rainbow Six Siege, onde hackers conseguiram injetar bilhões de créditos e skins raras, incluindo itens exclusivos de desenvolvedores, nas contas de diversos jogadores. Em resposta, a empresa decidiu desligar os servidores do jogo. Embora a Ubisoft não tenha fornecido detalhes sobre a natureza do ataque, afirmou que as mensagens recebidas pelos jogadores não eram oficiais. Especialistas em cibersegurança, como o usuário Vx Underground, destacaram a fragilidade do suporte ao cliente da Ubisoft, que tem sido alvo de subornos e engenharia social, permitindo o acesso não autorizado a contas de jogadores. Após o incidente, a Ubisoft baniu alguns jogadores, mas aqueles que receberam créditos sem envolvimento na invasão não sofrerão penalidades. O inventário dos jogadores foi revertido ao estado anterior ao ataque, e os servidores foram reabertos em 29 de dezembro, embora o marketplace permaneça fechado para investigações. O ataque expôs dados sensíveis de jogadores, como nome completo e endereço de IP, e levantou preocupações sobre a segurança do suporte ao cliente em regiões como África do Sul, Egito e Índia, onde funcionários são mais vulneráveis a subornos.

Um estudo da Check Point Research revelou que grupos de hackers estão adotando táticas inovadoras para obter acesso a sistemas internos de empresas, especialmente bancos e empresas de tecnologia. Em vez de utilizar métodos tradicionais de invasão, como força bruta ou exploração de vulnerabilidades, esses cibercriminosos estão oferecendo recompensas financeiras a funcionários para que eles forneçam acesso a dados sensíveis. Os valores pagos podem variar de US$ 3.000 (cerca de R$ 16.500) a US$ 15.000 (R$ 83 mil) por acesso a informações específicas. Além disso, dados valiosos, como registros de clientes, estão sendo vendidos na dark web por quantias ainda maiores, como US$ 25.000 (R$ 138 mil) por 37 mil registros. Os hackers utilizam apelos emocionais e promessas de liberdade financeira para atrair os funcionários, que são abordados em plataformas como Telegram e redes sociais. O caso de um funcionário da Crowdstrike que vazou informações para um grupo de hackers ilustra o risco que essa abordagem representa, uma vez que contorna as medidas de segurança tradicionais. A situação destaca a necessidade urgente de as empresas implementarem políticas de segurança mais rigorosas e programas de conscientização para seus colaboradores.

Um levantamento realizado pelo site Chainalysis revelou que hackers da Coreia do Norte foram responsáveis pelo roubo de R$ 11,21 bilhões em criptomoedas em 2025, o que representa cerca de 60% do total global de R$ 18,86 bilhões subtraídos neste ano. Desde o início dos registros de roubo de criptomoedas, o país já acumulou R$ 37,45 bilhões em ativos digitais roubados. O ataque mais significativo do ano ocorreu na plataforma ByBit, onde R$ 8,32 bilhões foram desviados, correspondendo a 75% do total roubado pela Coreia do Norte em 2025. Os hackers utilizam diversas táticas, incluindo a infiltração em empresas estrangeiras como profissionais de TI e a publicação de ofertas de emprego falsas para disseminar malwares. Apesar de uma queda no número total de ataques, os valores roubados por incidente aumentaram em 51%, indicando que os hackers estão se concentrando em alvos mais vulneráveis, como corretores e carteiras pessoais. A crescente sofisticação das técnicas de ataque e a adaptação às medidas de segurança implementadas nas plataformas de criptomoedas são preocupantes para o setor de cibersegurança.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

Um adolescente de 15 anos, conhecido como “Rey”, afirmou ser o líder do grupo de hackers Scattered LAPSUS$ Hunters (SLSH), um dos mais notórios do mundo. A revelação surgiu após uma entrevista com o jornalista Brian Krebs, que investigou a conexão do jovem com atividades cibernéticas ilegais. Rey, cujo nome verdadeiro é Saif Al-Din Khader, teria cometido erros que expuseram sua identidade, como o uso de pseudônimos e a divulgação de informações pessoais em plataformas como o Telegram. O SLSH, por sua vez, negou as alegações, chamando-as de tentativas de prejudicar sua reputação. O grupo é conhecido por ataques de ransomware e por estar envolvido em vazamentos de dados de grandes empresas, como Toyota e FedEx. Desde junho, Rey estaria colaborando com as autoridades, expressando desejo de se distanciar do crime, mesmo que isso signifique enfrentar consequências legais. A situação levanta questões sobre a segurança cibernética e a vulnerabilidade de jovens envolvidos em atividades criminosas na internet.

A CrowdStrike, empresa renomada na área de cibersegurança, negou ter sofrido uma violação de segurança após um funcionário compartilhar capturas de tela internas com hackers. O incidente foi revelado pelo grupo Scattered Lapsus$ Hunters, que divulgou a informação em um canal do Telegram. A empresa assegurou que não houve exposição de dados sensíveis de clientes e que seus sistemas permaneceram intactos. O funcionário foi demitido após uma investigação interna que confirmou a troca de informações com os hackers, que ofereceram US$ 25 mil para obter acesso à rede interna da empresa. Embora os hackers tenham conseguido acessar cookies de autenticação SSO, a CrowdStrike agiu rapidamente para bloquear o acesso do colaborador, evitando um possível comprometimento de seus sistemas. A empresa também informou que o caso foi encaminhado às autoridades para investigação. Este incidente destaca a importância da vigilância constante e da segurança interna nas empresas de tecnologia, especialmente aquelas que lidam com dados sensíveis.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

Hackers chineses estão utilizando inteligência artificial (IA) para aprimorar suas campanhas de ciberespionagem, conforme identificado pela Anthropic, a empresa responsável pela ferramenta Claude Code. Essa nova abordagem foi observada em ataques a cerca de 30 empresas internacionais, incluindo instituições financeiras e agências governamentais. O relatório revela que, em ataques bem-sucedidos, a intervenção humana foi mínima, com a IA executando de 80 a 90% das tarefas necessárias.

A operação dos hackers foi organizada em seis fases, começando pela seleção do alvo e culminando na exfiltração de dados confidenciais. A IA foi manipulada para atuar como um agente autônomo, encontrando vulnerabilidades, coletando credenciais e explorando sistemas. A Anthropic respondeu banindo as contas associadas a esses ataques e implementando novos mecanismos de defesa. Essa evolução na ciberespionagem, com uma IA promovendo um ataque de larga escala, levanta preocupações sobre a profissionalização do cibercrime e o uso crescente de tecnologias avançadas para atividades ilícitas.

Uma operação coordenada pela Europol e Eurojust, chamada Operação Endgame, resultou no desmantelamento de uma rede criminosa que disseminava malwares como Rhadamanthys Stealer e Venom RAT, além do bot Elysium. A ação, que ocorreu em 10 de novembro de 2025, levou à prisão do principal suspeito na Grécia e à desativação de mais de mil servidores, além da apreensão de cerca de 20 domínios. Segundo a Europol, a rede de malware afetou centenas de milhares de computadores em todo o mundo, resultando no roubo de milhões de credenciais. O Rhadamanthys Stealer, por exemplo, coletava informações de dispositivos sem que as vítimas percebessem, enquanto o Venom RAT estava associado a ataques de ransomware. A operação também revelou que o cibercriminoso investigado havia coletado cerca de 100 mil carteiras de criptomoedas, representando um valor significativo em euros. A investigação continua, especialmente em relação ao bot Elysium, cuja relação com os outros malwares ainda está sendo analisada.

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

Pesquisadores da Universidade de Tecnologia e Design de Cingapura (SUTD) descobriram um conjunto de falhas no firmware de modems 5G, denominado 5Ghoul, que permite a hackers rebaixar silenciosamente smartphones de 5G para 4G, expondo-os a riscos de segurança. O ataque utiliza um toolkit chamado SNI5GECT, que explora uma fase vulnerável de comunicação entre o celular e a torre de transmissão, onde mensagens críticas não são criptografadas. Isso permite que atacantes interceptem e injetem mensagens sem precisar das credenciais privadas do dispositivo. Os testes mostraram uma taxa de sucesso entre 70% e 90% a uma distância de cerca de 20 metros, afetando modelos populares de marcas como Samsung, Google, Huawei e OnePlus. Embora os pesquisadores afirmem que o toolkit é destinado a fins de pesquisa e não para uso criminoso, a possibilidade de derrubar dispositivos ou forçá-los a um downgrade levanta preocupações sobre a resiliência das redes atuais. Até o momento, não há relatos de abusos reais, mas a natureza pública e de código aberto do software aumenta o risco de que atores mal-intencionados possam adaptá-lo para fins prejudiciais.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.