Hackers

Pesquisadores da Universidade de Tecnologia e Design de Cingapura (SUTD) descobriram um conjunto de falhas no firmware de modems 5G, denominado 5Ghoul, que permite a hackers rebaixar silenciosamente smartphones de 5G para 4G, expondo-os a riscos de segurança. O ataque utiliza um toolkit chamado SNI5GECT, que explora uma fase vulnerável de comunicação entre o celular e a torre de transmissão, onde mensagens críticas não são criptografadas. Isso permite que atacantes interceptem e injetem mensagens sem precisar das credenciais privadas do dispositivo. Os testes mostraram uma taxa de sucesso entre 70% e 90% a uma distância de cerca de 20 metros, afetando modelos populares de marcas como Samsung, Google, Huawei e OnePlus. Embora os pesquisadores afirmem que o toolkit é destinado a fins de pesquisa e não para uso criminoso, a possibilidade de derrubar dispositivos ou forçá-los a um downgrade levanta preocupações sobre a resiliência das redes atuais. Até o momento, não há relatos de abusos reais, mas a natureza pública e de código aberto do software aumenta o risco de que atores mal-intencionados possam adaptá-lo para fins prejudiciais.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.