Hackers

Um grupo de hackers vinculado à Coreia do Norte comprometeu a biblioteca JavaScript Axios, uma das mais populares do mundo, inserindo um código malicioso que pode roubar dados de sistemas operacionais como Windows, macOS e Linux. O ataque ocorreu entre 00h21 e 03h20 UTC do dia 31 de março de 2026, e as versões contaminadas foram removidas rapidamente. O Google atribuiu a ação ao grupo UNC1069, que tem um histórico de roubo de criptomoedas. Os invasores conseguiram acesso à conta do mantenedor do pacote npm do Axios, publicando duas versões adulteradas que incluíam uma dependência maliciosa chamada “plain-crypto-js”, que atuava como um dropper, baixando e executando outras ameaças. O ataque foi precedido por semanas de engenharia social, onde os hackers criaram perfis falsos e um workspace no Slack para enganar o mantenedor. O impacto do ataque é significativo, considerando que o Axios é utilizado em cerca de 80% dos ambientes de nuvem e desenvolvimento, com milhões de downloads semanais.

Hackers associados ao Irã estão atacando controladores lógicos programáveis (PLCs) expostos à Internet em redes de organizações de infraestrutura crítica dos Estados Unidos. O alerta foi emitido por uma parceria entre o FBI, CISA, NSA, EPA, DOE e o Cyber Command dos EUA. Desde março de 2026, esses ataques têm causado perdas financeiras e interrupções operacionais em setores como serviços governamentais, sistemas de água e esgoto e energia. Os hackers têm como objetivo causar distúrbios, manipulando arquivos de projeto e dados exibidos em interfaces HMI e SCADA. A escalada das campanhas de ataque está ligada a tensões entre o Irã e os EUA e Israel. O FBI identificou que esses ataques resultaram na extração de arquivos de projeto e manipulação de dados. Para se proteger, as organizações são aconselhadas a desconectar os PLCs da Internet, implementar autenticação multifatorial e manter os dispositivos atualizados. Além disso, um grupo hacktivista pro-Palestina, Handala, comprometeu cerca de 80 mil dispositivos em uma rede de uma empresa médica dos EUA. O FBI também alertou sobre o uso do Telegram por hackers iranianos em ataques de malware.

Um homem de 36 anos, identificado como Jonathan Spalletta, foi preso após roubar 50 milhões de euros em criptomoedas através de ataques cibernéticos. O hacker, que se entregou à polícia, utilizou uma vulnerabilidade na plataforma Uranium Finance para desviar fundos. Inicialmente, ele explorou uma falha no código da plataforma, conseguindo desviar 1,3 milhão de euros, e posteriormente, ao descobrir uma nova vulnerabilidade, conseguiu roubar o montante total. Spalletta usou os fundos para adquirir itens colecionáveis raros, incluindo cartas de Pokémon e Magic: The Gathering, gastando quantias exorbitantes, como 460 mil euros em uma carta Black Lotus. O ataque resultou no colapso da Uranium Finance, impactando severamente seus usuários. As autoridades recuperaram 28 milhões de euros em criptomoedas e apreenderam os itens colecionáveis adquiridos com o dinheiro roubado. Spalletta pode enfrentar até 30 anos de prisão se for considerado culpado. Este caso destaca a vulnerabilidade das plataformas de criptomoedas e a necessidade de medidas de segurança mais robustas.

O FBI confirmou que a conta de e-mail pessoal de seu diretor, Kash Patel, foi comprometida por hackers do grupo Handala, associado ao Irã. A violação ocorreu em meio a um contexto de tensões entre os Estados Unidos e o Irã, com os hackers alegando ter acessado ‘sistemas impenetráveis’ da agência em poucas horas. Embora dados tenham sido roubados, o FBI assegurou que nenhuma informação confidencial do governo foi exposta. Entre os materiais vazados estão imagens e documentos pessoais de Patel, além de e-mails e conversas. A ação foi uma retaliação às operações do FBI, que apreendeu domínios do grupo e ofereceu uma recompensa de até US$ 10 milhões por informações sobre seus membros. O FBI declarou que tomou medidas para mitigar os riscos associados à violação e continua a investigar o incidente.

Recentemente, uma falha crítica no Citrix NetScaler ADC e Gateway (CVE-2026-3055) foi identificada e está sendo ativamente explorada, com um CVSS de 9.3, o que a torna uma vulnerabilidade de alto risco. Essa falha se deve à validação insuficiente de entradas, permitindo que atacantes acessem informações sensíveis, especialmente se o sistema estiver configurado como um Provedor de Identidade SAML. Além disso, o FBI confirmou o hack da conta de e-mail do diretor Kash Patel, atribuído ao grupo de hackers Handala, vinculado ao Irã, que alegou ter acessado documentos confidenciais. Outro incidente notável envolve o grupo Red Menshen, que implantou backdoors em infraestruturas de telecomunicações, utilizando ferramentas como o BPFDoor para monitorar tráfego sem ser detectado. O caso de Ilya Angelov, um hacker russo condenado a dois anos de prisão por gerenciar um botnet usado em ataques de ransomware, também destaca a persistência de ameaças cibernéticas. Por fim, a FCC dos EUA baniu a importação de novos roteadores fabricados no exterior devido a riscos de segurança, refletindo uma crescente preocupação com a segurança cibernética em nível governamental.

O grupo de hackers Handala, associado ao Irã, comprometeu a conta de e-mail pessoal do diretor do FBI, Kash Patel, divulgando fotos e documentos. O FBI confirmou a violação, esclarecendo que os dados roubados eram antigos e não continham informações governamentais. Os hackers alegaram que a invasão foi uma retaliação à apreensão de domínios do Handala e à recompensa de até US$ 10 milhões oferecida pelo governo dos EUA por informações sobre seus membros. Eles publicaram provas da invasão, incluindo correspondências e arquivos pessoais de Patel, afirmando que toda a informação confidencial estava disponível para download público. O FBI, por sua vez, declarou que tomou medidas para mitigar os riscos associados a essa atividade. O grupo Handala, que já havia atacado a gigante de tecnologia médica Stryker, é conhecido por suas operações de hacktivismo em nome do Ministério da Inteligência e Segurança do Irã. A situação destaca a vulnerabilidade de figuras públicas e a necessidade de proteção robusta de dados pessoais, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

O Transport for London (TfL) confirmou que um ataque cibernético ocorrido em agosto de 2024 comprometeu dados pessoais de aproximadamente 10 milhões de pessoas. Informações como nomes, endereços de e-mail, números de telefone fixo e celular, além de endereços físicos, foram roubadas por um grupo de hackers conhecido como Scatted Spider. Inicialmente, o TfL havia informado que apenas alguns clientes foram afetados, mas a nova estimativa revela que 7.113.429 usuários com e-mails registrados foram notificados, com uma taxa de abertura de apenas 58%. Isso significa que muitos afetados podem não estar cientes do roubo de dados. O ataque causou uma interrupção significativa nos serviços do TfL e resultou em danos estimados em £39 milhões. Embora o Information Commissioner’s Office (ICO) tenha isentado o TfL de responsabilidade, a empresa teve que gastar cerca de £30 milhões para remediar a situação, incluindo suporte de organizações de cibersegurança. O impacto desse incidente é alarmante, pois os dados roubados podem ser utilizados em fraudes futuras. Especialistas alertam que a transparência imediata sobre a escala de tais ataques é crucial para a segurança dos usuários.

O aplicativo de mensagens Telegram tem se tornado um ponto central para atividades criminosas, com hackers utilizando a plataforma para vender acessos corporativos, dados roubados e serviços de malware. Pesquisadores da CYFIRMA identificaram um aumento na utilização do Telegram para operações ilegais, que antes eram realizadas principalmente em fóruns da dark web. Essa mudança se deve à facilidade de uso e à resistência da plataforma a desativações frequentes por parte das autoridades. Os grupos criminosos no Telegram operam como um ‘shopping center automatizado’, utilizando bots para encontrar senhas roubadas e processar pagamentos rapidamente. Além disso, o Telegram serve como um canal de suporte para esses criminosos, oferecendo ferramentas e recursos para facilitar suas atividades. Apesar de o Telegram ter colaborado com autoridades, atendendo a 900 solicitações de dados nos EUA, essa ação não tem sido suficiente para conter o crescimento desses grupos. A situação exige uma resposta mais robusta, já que a simples vigilância após incidentes não tem se mostrado eficaz para mitigar os danos causados por essas comunidades criminosas.

Um estudo da CrowdStrike revelou que hackers estão se tornando cada vez mais rápidos em comprometer redes, com um tempo médio de apenas 29 minutos para realizar um ataque completo. Este tempo é um aumento alarmante de 65% em relação ao ano anterior. O relatório destaca que a velocidade dos ataques é impulsionada por falhas de segurança, uso indevido de credenciais legítimas e a crescente utilização de ferramentas de inteligência artificial (IA) pelos cibercriminosos. Em casos extremos, o tempo de invasão foi registrado em apenas 27 segundos, com a exfiltração de dados ocorrendo em até 4 minutos após a invasão. Os hackers estão explorando credenciais legítimas para se camuflar no tráfego da rede, evitando sistemas de segurança, e em muitos casos, não utilizam malware para realizar os ataques. A análise sugere que a popularização de ferramentas de IA, como ChatGPT e Claude, está facilitando o reconhecimento de vítimas e a automação de processos de ataque. Essa nova realidade exige atenção redobrada das empresas para fortalecer suas defesas cibernéticas e proteger informações sensíveis.

Um grupo de hackers chineses, identificado como UNC2814, está por trás de uma campanha de espionagem global que utiliza o Google Planilhas como vetor de ataque. A colaboração entre o Grupo de Inteligência de Ameaças da Google (GTIG) e a empresa de cibersegurança Mandiant revelou que a campanha, que começou em 2023, já afetou 53 empresas em 42 países, incluindo o Brasil. Os atacantes exploram uma nova backdoor chamada GRIDTIDE, que se autentica em contas do Google e utiliza a API do Google Sheets para executar comandos maliciosos. O malware é capaz de coletar informações sensíveis, como nome de usuário, detalhes do sistema operacional e localização, enquanto se esconde em meio ao tráfego normal da internet. Após a descoberta, as autoridades desativaram a infraestrutura do grupo e notificaram as organizações afetadas, oferecendo suporte para mitigar os danos. A situação destaca a vulnerabilidade de sistemas governamentais e de telecomunicações a ataques sofisticados que utilizam ferramentas comuns como o Google Planilhas.

O estado do Texas processou a TP-Link Systems, acusando a empresa de marketing enganoso ao promover seus roteadores como seguros, enquanto permitia que hackers apoiados pelo governo chinês explorassem vulnerabilidades de firmware. A ação judicial, iniciada após uma investigação em outubro, alega que a TP-Link enganou os consumidores ao rotular seus produtos como ‘Feito no Vietnã’, apesar de quase todos os componentes serem originários da China. O procurador-geral do Texas, Ken Paxton, destacou que a legislação chinesa pode obrigar empresas a cooperar com solicitações de inteligência do governo, colocando em risco a segurança dos dados dos usuários. O processo menciona falhas de segurança anteriores, incluindo a utilização de roteadores TP-Link em uma botnet de roubo de credenciais, que foi ligada a ataques cibernéticos contra os Estados Unidos. A TP-Link, por sua vez, negou as acusações, afirmando que é uma empresa americana independente e que todos os dados dos usuários nos EUA são armazenados em servidores da Amazon Web Services. O caso levanta preocupações sobre a segurança de dispositivos conectados e a proteção de dados dos consumidores, especialmente em um contexto onde a vigilância e a exploração de dados são temas cada vez mais relevantes.

O grupo de hackers chinês conhecido como UNC3886 comprometeu as quatro maiores operadoras de telecomunicações de Cingapura - Singtel, StarHub, M1 e Simba - pelo menos uma vez no último ano. Embora os invasores tenham conseguido acesso limitado a sistemas críticos, não houve interrupções nos serviços. Em resposta, Cingapura lançou a ‘Operação Cyber Guardian’ para conter a atividade do grupo nas redes das operadoras. A Agência de Cibersegurança de Cingapura (CSA) revelou que os atacantes utilizaram um exploit de zero-day para contornar firewalls e roubar dados técnicos. Além disso, foi identificado o uso de rootkits para manter a furtividade e persistência durante o ataque. Apesar da confirmação de comprometimento, as autoridades não encontraram evidências de acesso ou roubo de dados sensíveis de clientes. A CSA e a Autoridade de Desenvolvimento de Mídia e Telecomunicações (IMDA) mobilizaram mais de cem investigadores de seis agências governamentais para investigar a situação. O Ministro do Desenvolvimento Digital e Informação de Cingapura, Josephine Teo, destacou que, embora o ataque não tenha causado danos significativos, é um lembrete da importância do trabalho dos defensores cibernéticos.

Uma pesquisa realizada pela SentinelLABS e Censys, da SentinelOne, revelou que o Brasil é um dos países mais afetados pela exposição de servidores de Inteligência Artificial (IA) a hackers. A análise abrangeu 175.000 hosts Ollama em 130 países, com a maioria das instâncias expostas localizadas na China. No entanto, o Brasil se destaca entre os países com maior número de servidores vulneráveis, ao lado de nações como Alemanha, Coreia do Sul e Estados Unidos. A Ollama, um framework de código aberto, permite que usuários gerenciem modelos de linguagem localmente, mas a configuração inadequada pode expor esses servidores à internet, aumentando o risco de ataques. Aproximadamente 48% dos hosts analisados possuem capacidades que permitem a execução de código e interação com sistemas externos, o que pode ser explorado por hackers para realizar atividades maliciosas, como spam em massa e campanhas de desinformação. A pesquisa também identificou a campanha Operation Bizarre Bazaar, que monetiza o acesso a essa infraestrutura de IA clandestina. Para mitigar esses riscos, é essencial que as organizações tratem os LLMs com as mesmas medidas de segurança aplicadas a qualquer infraestrutura acessível externamente.

O Notepad++, popular editor de texto e código, enfrentou uma grave falha de segurança que permitiu a hackers redirecionar atualizações do aplicativo para distribuir malware a usuários. Segundo Don Ho, um dos desenvolvedores, a vulnerabilidade não estava no código do Notepad++, mas sim na infraestrutura do provedor de serviços que hospeda as atualizações. O ataque, que começou em junho de 2025, foi descoberto apenas em setembro do mesmo ano, e envolveu hackers chineses que conseguiram interceptar o tráfego do atualizador WinGUp, redirecionando-o para domínios maliciosos. Apesar de o aplicativo verificar a autenticidade dos arquivos baixados, os cibercriminosos conseguiram enganar essa verificação, resultando em downloads de arquivos binários não oficiais. A falha foi corrigida na versão 8.8.9 do Notepad++, lançada em agosto de 2025, mas os hackers mantiveram acesso até dezembro do mesmo ano. Este incidente destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante em relação a possíveis vulnerabilidades em provedores de serviços.

Uma pesquisa da ISH Tecnologia revelou que o WinRAR, uma ferramenta amplamente utilizada para compressão de arquivos, está sendo explorada por hackers para distribuir malwares, como infostealers e trojans, que visam roubar credenciais e realizar fraudes bancárias. Os criminosos disfarçam esses malwares como arquivos comuns, como currículos e documentos corporativos, o que aumenta o risco de infecção. Além disso, grupos estatais de espionagem digital, como o russo Sandworm e o chinês APT40, também estão utilizando essas vulnerabilidades para infiltração e roubo de dados em setores críticos, como energia e defesa. A ISH recomenda que os usuários atualizem o WinRAR ou considerem a substituição por alternativas que ofereçam atualizações automáticas. É importante também evitar abrir anexos suspeitos e monitorar atividades estranhas após a extração de arquivos. A falta de um sistema de atualização automática no WinRAR pode expor usuários a riscos sérios, mesmo após a liberação de correções para vulnerabilidades.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Especialistas da Jamf Threat Labs identificaram uma nova campanha de hackers norte-coreanos, chamada Contagious Interview, que visa programadores através de ofertas de emprego atrativas. Os atacantes direcionam as vítimas a repositórios no GitHub, GitLab ou BitBucket, onde projetos maliciosos são apresentados. Ao abrir esses projetos no Microsoft Visual Studio Code (VS Code), os usuários ativam uma backdoor que permite acesso contínuo aos seus computadores. Essa técnica utiliza arquivos de configuração de tarefas do VS Code para executar códigos maliciosos, como os malwares BeaverTail e InvisibleFerret, sempre que um arquivo da pasta do projeto é aberto. Os hackers têm como alvo principal engenheiros de software que trabalham com criptomoedas e fintechs, buscando acesso a bens financeiros e carteiras digitais. A evolução rápida dos malwares e a utilização de métodos sofisticados de infecção tornam esses ataques ainda mais perigosos, dificultando a detecção por antivírus e outras medidas de segurança. A Jamf alerta que a confiança concedida ao autor do repositório facilita a execução do código malicioso, representando uma ameaça significativa para a segurança digital dos programadores.

O Centro de Ciber Segurança Nacional do Reino Unido (NCSC) alertou sobre um aumento nos ataques cibernéticos direcionados a instituições britânicas, incluindo órgãos governamentais e operadores de infraestrutura crítica. Esses ataques, principalmente de negação de serviço (DoS), têm como objetivo derrubar sites e serviços essenciais, impactando diretamente a população, especialmente em áreas como saúde. O grupo hacktivista NoName057(16), ativo desde março de 2022, é um dos principais responsáveis por essas ações, utilizando plataformas como Telegram e GitHub para coordenar seus ataques e compartilhar ferramentas. A motivação por trás desses ataques é ideológica, relacionada ao apoio ocidental à Ucrânia no atual conflito. Apesar de sua baixa sofisticação técnica, os ataques DoS podem causar interrupções significativas, exigindo tempo e recursos para recuperação. A NCSC recomenda que as organizações revisem suas defesas e fortaleçam a resiliência cibernética para mitigar esses riscos.

Durante a competição Pwn2Own Automotive 2026, realizada em Tóquio, o time Synacktiv conseguiu explorar 37 vulnerabilidades zero-day no sistema de infotainment da Tesla, resultando em um prêmio de US$ 516.500. O ataque foi realizado através de uma combinação de falhas, incluindo um vazamento de informações e uma falha de escrita fora dos limites, que permitiram ao time obter permissões de root. Além disso, o time Fuzzware.io arrecadou US$ 118.000 ao hackear estações de carregamento e receptores de navegação. No segundo dia da competição, mais equipes se preparam para atacar dispositivos como o Grizzl-E Smart 40A e o ChargePoint Home Flex, com recompensas de até US$ 50.000 por cada sucesso. Os fornecedores têm um prazo de 90 dias para corrigir as falhas antes que sejam divulgadas publicamente. A competição destaca a vulnerabilidade crescente em tecnologias automotivas, especialmente em sistemas de infotainment e carregadores de veículos elétricos, que são cada vez mais alvo de ataques cibernéticos.

O comércio varejista e o setor de serviços na Oceania, especialmente na Austrália e Nova Zelândia, enfrentaram um aumento significativo nas tentativas de ciberataques em 2025, superando até mesmo setores críticos como governo e saúde. O ‘Threat Landscape Report 2025’, da Cyble, destaca que hackers estão mudando seu foco para empresas de pequeno e médio porte, que frequentemente carecem de medidas de segurança robustas. Rex Booth, diretor de segurança da informação da Sailpoint, aponta que a eficiência é a chave para essa mudança, já que os atacantes buscam maximizar lucros com o mínimo de esforço. O aumento das transações no varejo e a dinâmica de integração rápida de trabalhadores temporários também contribuem para essa vulnerabilidade. O relatório revela que o mercado de cibercrime está fragmentado, dificultando a identificação de responsáveis pelos ataques, uma vez que as vendas de dados na dark web vêm de contas novas. Essa tendência de ataques a setores menos protegidos reflete um padrão global, onde hackers conseguem causar danos mesmo sem ferramentas avançadas para comprometer organizações críticas.

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.

Especialistas de segurança da China alertaram para o risco de robôs humanoides serem sequestrados por cibercriminosos através de comandos de voz. Durante a GEEKCon, uma competição de hacking em Xangai, foi demonstrado como falhas em sistemas de controle de robôs podem ser exploradas para causar danos físicos. A equipe de pesquisa DARKNAVY mostrou que um robô humanoide, disponível no mercado, pode ser controlado por um simples comando de voz, transformando-o rapidamente em uma ameaça. Além disso, o robô comprometido pode infectar outros androides via conexões sem fio de curto alcance, criando uma rede de máquinas potencialmente perigosas. A demonstração incluiu um comando violento que fez o robô atacar um manequim, evidenciando o risco real que essa vulnerabilidade representa para a segurança pública. Os especialistas ressaltaram a necessidade de regulamentação mais rigorosa para a implementação de robôs em ambientes públicos e industriais, uma vez que a crença de que mantê-los desconectados seria suficiente para evitar riscos não se sustenta diante das novas tecnologias.

No dia 27 de dezembro de 2025, a Ubisoft enfrentou um grave incidente de segurança em seu jogo Rainbow Six Siege, onde hackers conseguiram injetar bilhões de créditos e skins raras, incluindo itens exclusivos de desenvolvedores, nas contas de diversos jogadores. Em resposta, a empresa decidiu desligar os servidores do jogo. Embora a Ubisoft não tenha fornecido detalhes sobre a natureza do ataque, afirmou que as mensagens recebidas pelos jogadores não eram oficiais. Especialistas em cibersegurança, como o usuário Vx Underground, destacaram a fragilidade do suporte ao cliente da Ubisoft, que tem sido alvo de subornos e engenharia social, permitindo o acesso não autorizado a contas de jogadores. Após o incidente, a Ubisoft baniu alguns jogadores, mas aqueles que receberam créditos sem envolvimento na invasão não sofrerão penalidades. O inventário dos jogadores foi revertido ao estado anterior ao ataque, e os servidores foram reabertos em 29 de dezembro, embora o marketplace permaneça fechado para investigações. O ataque expôs dados sensíveis de jogadores, como nome completo e endereço de IP, e levantou preocupações sobre a segurança do suporte ao cliente em regiões como África do Sul, Egito e Índia, onde funcionários são mais vulneráveis a subornos.

Um estudo da Check Point Research revelou que grupos de hackers estão adotando táticas inovadoras para obter acesso a sistemas internos de empresas, especialmente bancos e empresas de tecnologia. Em vez de utilizar métodos tradicionais de invasão, como força bruta ou exploração de vulnerabilidades, esses cibercriminosos estão oferecendo recompensas financeiras a funcionários para que eles forneçam acesso a dados sensíveis. Os valores pagos podem variar de US$ 3.000 (cerca de R$ 16.500) a US$ 15.000 (R$ 83 mil) por acesso a informações específicas. Além disso, dados valiosos, como registros de clientes, estão sendo vendidos na dark web por quantias ainda maiores, como US$ 25.000 (R$ 138 mil) por 37 mil registros. Os hackers utilizam apelos emocionais e promessas de liberdade financeira para atrair os funcionários, que são abordados em plataformas como Telegram e redes sociais. O caso de um funcionário da Crowdstrike que vazou informações para um grupo de hackers ilustra o risco que essa abordagem representa, uma vez que contorna as medidas de segurança tradicionais. A situação destaca a necessidade urgente de as empresas implementarem políticas de segurança mais rigorosas e programas de conscientização para seus colaboradores.

Um levantamento realizado pelo site Chainalysis revelou que hackers da Coreia do Norte foram responsáveis pelo roubo de R$ 11,21 bilhões em criptomoedas em 2025, o que representa cerca de 60% do total global de R$ 18,86 bilhões subtraídos neste ano. Desde o início dos registros de roubo de criptomoedas, o país já acumulou R$ 37,45 bilhões em ativos digitais roubados. O ataque mais significativo do ano ocorreu na plataforma ByBit, onde R$ 8,32 bilhões foram desviados, correspondendo a 75% do total roubado pela Coreia do Norte em 2025. Os hackers utilizam diversas táticas, incluindo a infiltração em empresas estrangeiras como profissionais de TI e a publicação de ofertas de emprego falsas para disseminar malwares. Apesar de uma queda no número total de ataques, os valores roubados por incidente aumentaram em 51%, indicando que os hackers estão se concentrando em alvos mais vulneráveis, como corretores e carteiras pessoais. A crescente sofisticação das técnicas de ataque e a adaptação às medidas de segurança implementadas nas plataformas de criptomoedas são preocupantes para o setor de cibersegurança.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

Um adolescente de 15 anos, conhecido como “Rey”, afirmou ser o líder do grupo de hackers Scattered LAPSUS$ Hunters (SLSH), um dos mais notórios do mundo. A revelação surgiu após uma entrevista com o jornalista Brian Krebs, que investigou a conexão do jovem com atividades cibernéticas ilegais. Rey, cujo nome verdadeiro é Saif Al-Din Khader, teria cometido erros que expuseram sua identidade, como o uso de pseudônimos e a divulgação de informações pessoais em plataformas como o Telegram. O SLSH, por sua vez, negou as alegações, chamando-as de tentativas de prejudicar sua reputação. O grupo é conhecido por ataques de ransomware e por estar envolvido em vazamentos de dados de grandes empresas, como Toyota e FedEx. Desde junho, Rey estaria colaborando com as autoridades, expressando desejo de se distanciar do crime, mesmo que isso signifique enfrentar consequências legais. A situação levanta questões sobre a segurança cibernética e a vulnerabilidade de jovens envolvidos em atividades criminosas na internet.

A CrowdStrike, empresa renomada na área de cibersegurança, negou ter sofrido uma violação de segurança após um funcionário compartilhar capturas de tela internas com hackers. O incidente foi revelado pelo grupo Scattered Lapsus$ Hunters, que divulgou a informação em um canal do Telegram. A empresa assegurou que não houve exposição de dados sensíveis de clientes e que seus sistemas permaneceram intactos. O funcionário foi demitido após uma investigação interna que confirmou a troca de informações com os hackers, que ofereceram US$ 25 mil para obter acesso à rede interna da empresa. Embora os hackers tenham conseguido acessar cookies de autenticação SSO, a CrowdStrike agiu rapidamente para bloquear o acesso do colaborador, evitando um possível comprometimento de seus sistemas. A empresa também informou que o caso foi encaminhado às autoridades para investigação. Este incidente destaca a importância da vigilância constante e da segurança interna nas empresas de tecnologia, especialmente aquelas que lidam com dados sensíveis.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

Hackers chineses estão utilizando inteligência artificial (IA) para aprimorar suas campanhas de ciberespionagem, conforme identificado pela Anthropic, a empresa responsável pela ferramenta Claude Code. Essa nova abordagem foi observada em ataques a cerca de 30 empresas internacionais, incluindo instituições financeiras e agências governamentais. O relatório revela que, em ataques bem-sucedidos, a intervenção humana foi mínima, com a IA executando de 80 a 90% das tarefas necessárias.

A operação dos hackers foi organizada em seis fases, começando pela seleção do alvo e culminando na exfiltração de dados confidenciais. A IA foi manipulada para atuar como um agente autônomo, encontrando vulnerabilidades, coletando credenciais e explorando sistemas. A Anthropic respondeu banindo as contas associadas a esses ataques e implementando novos mecanismos de defesa. Essa evolução na ciberespionagem, com uma IA promovendo um ataque de larga escala, levanta preocupações sobre a profissionalização do cibercrime e o uso crescente de tecnologias avançadas para atividades ilícitas.

Uma operação coordenada pela Europol e Eurojust, chamada Operação Endgame, resultou no desmantelamento de uma rede criminosa que disseminava malwares como Rhadamanthys Stealer e Venom RAT, além do bot Elysium. A ação, que ocorreu em 10 de novembro de 2025, levou à prisão do principal suspeito na Grécia e à desativação de mais de mil servidores, além da apreensão de cerca de 20 domínios. Segundo a Europol, a rede de malware afetou centenas de milhares de computadores em todo o mundo, resultando no roubo de milhões de credenciais. O Rhadamanthys Stealer, por exemplo, coletava informações de dispositivos sem que as vítimas percebessem, enquanto o Venom RAT estava associado a ataques de ransomware. A operação também revelou que o cibercriminoso investigado havia coletado cerca de 100 mil carteiras de criptomoedas, representando um valor significativo em euros. A investigação continua, especialmente em relação ao bot Elysium, cuja relação com os outros malwares ainda está sendo analisada.

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

Pesquisadores da Universidade de Tecnologia e Design de Cingapura (SUTD) descobriram um conjunto de falhas no firmware de modems 5G, denominado 5Ghoul, que permite a hackers rebaixar silenciosamente smartphones de 5G para 4G, expondo-os a riscos de segurança. O ataque utiliza um toolkit chamado SNI5GECT, que explora uma fase vulnerável de comunicação entre o celular e a torre de transmissão, onde mensagens críticas não são criptografadas. Isso permite que atacantes interceptem e injetem mensagens sem precisar das credenciais privadas do dispositivo. Os testes mostraram uma taxa de sucesso entre 70% e 90% a uma distância de cerca de 20 metros, afetando modelos populares de marcas como Samsung, Google, Huawei e OnePlus. Embora os pesquisadores afirmem que o toolkit é destinado a fins de pesquisa e não para uso criminoso, a possibilidade de derrubar dispositivos ou forçá-los a um downgrade levanta preocupações sobre a resiliência das redes atuais. Até o momento, não há relatos de abusos reais, mas a natureza pública e de código aberto do software aumenta o risco de que atores mal-intencionados possam adaptá-lo para fins prejudiciais.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.