Infraestrutura Crítica

Um novo grupo de ciberespionagem, identificado como TGR-STA-1030, comprometeu redes de pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países ao longo do último ano, conforme relatado pela Palo Alto Networks. O grupo, que parece operar a partir da Ásia, tem se concentrado em entidades como ministérios de finanças e agências de controle de fronteiras. Entre novembro e dezembro de 2025, foram realizadas atividades de reconhecimento ativo contra infraestruturas governamentais em 155 países.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

O grupo de hackers de nação estatal russo, conhecido como Sandworm, foi responsabilizado por um dos maiores ataques cibernéticos direcionados ao sistema de energia da Polônia na última semana de dezembro de 2025. Embora o ataque tenha sido classificado como o mais forte em anos, o ministro da energia polonês, Milosz Motyka, afirmou que não houve sucesso na tentativa de desestabilização. O ataque, que ocorreu em 29 e 30 de dezembro, visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável. A ESET, empresa de cibersegurança, identificou o uso de um malware destrutivo inédito, denominado DynoWiper, vinculado a atividades anteriores do Sandworm, especialmente após a invasão da Ucrânia pela Rússia em 2022. O primeiro-ministro polonês, Donald Tusk, indicou que as investigações apontam para a responsabilidade de grupos associados aos serviços russos, e o governo está implementando medidas de segurança adicionais, incluindo uma nova legislação de cibersegurança. Este ataque coincide com o décimo aniversário do ataque de Sandworm à rede elétrica da Ucrânia em 2015, que resultou em apagões significativos. O Sandworm tem um histórico de ataques cibernéticos disruptivos, especialmente contra a infraestrutura crítica da Ucrânia.

O Centro de Ciber Segurança Nacional do Reino Unido (NCSC) alertou sobre um aumento nos ataques cibernéticos direcionados a instituições britânicas, incluindo órgãos governamentais e operadores de infraestrutura crítica. Esses ataques, principalmente de negação de serviço (DoS), têm como objetivo derrubar sites e serviços essenciais, impactando diretamente a população, especialmente em áreas como saúde. O grupo hacktivista NoName057(16), ativo desde março de 2022, é um dos principais responsáveis por essas ações, utilizando plataformas como Telegram e GitHub para coordenar seus ataques e compartilhar ferramentas. A motivação por trás desses ataques é ideológica, relacionada ao apoio ocidental à Ucrânia no atual conflito. Apesar de sua baixa sofisticação técnica, os ataques DoS podem causar interrupções significativas, exigindo tempo e recursos para recuperação. A NCSC recomenda que as organizações revisem suas defesas e fortaleçam a resiliência cibernética para mitigar esses riscos.

A Comissão Europeia apresentou uma nova proposta de legislação em cibersegurança que visa a remoção de fornecedores considerados de alto risco das redes de telecomunicações, com o objetivo de fortalecer a proteção contra grupos de cibercrime e ameaças estatais que visam a infraestrutura crítica. Essa iniciativa surge após anos de aplicação desigual da ‘5G Security Toolbox’, que incentivava os Estados-membros a reduzirem a dependência de fornecedores de alto risco, como empresas de tecnologia chinesas. O novo pacote de cibersegurança permitirá que a Comissão organize avaliações de risco em toda a UE e apoie restrições ou proibições de equipamentos utilizados em infraestruturas sensíveis. Além disso, a proposta inclui uma revisão da Lei de Cibersegurança, que facilitará os procedimentos de certificação para empresas e permitirá que a Agência da UE para a Cibersegurança (ENISA) emita alertas de ameaças e ajude na resposta a ataques de ransomware. A nova legislação entrará em vigor imediatamente após a aprovação pelo Parlamento Europeu e pelo Conselho da UE, com um ano para que os Estados-membros implementem as alterações em suas legislações nacionais.

O governo do Reino Unido emitiu um alerta sobre atividades maliciosas contínuas de grupos hacktivistas alinhados à Rússia, que estão visando a infraestrutura crítica e organizações governamentais locais através de ataques de negação de serviço distribuído (DDoS). Esses ataques têm como objetivo derrubar sites e desativar serviços, causando custos elevados para as organizações afetadas. O Centro Nacional de Segurança Cibernética (NCSC) destacou o grupo NoName057(16), que opera o projeto DDoSia, permitindo que voluntários contribuam com recursos computacionais para realizar ataques DDoS em troca de recompensas. Apesar de uma operação internacional que interrompeu parte das atividades do grupo em julho de 2025, os principais operadores ainda estão ativos, o que representa uma ameaça em evolução, especialmente para ambientes de tecnologia operacional (OT). Para mitigar os riscos de DDoS, o NCSC recomenda que as organizações compreendam seus serviços, fortaleçam defesas, projetem para escalabilidade rápida e testem continuamente suas defesas. Os hacktivistas russos têm se tornado uma ameaça crescente desde 2022, visando organizações em países que se opõem às ambições geopolíticas da Rússia.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

Um grupo de ameaças cibernéticas, identificado como UAT-8837 e possivelmente vinculado à China, tem se concentrado em atacar setores de infraestrutura crítica na América do Norte desde o ano passado. A Cisco Talos, que monitora essa atividade, acredita que o grupo possui um nível médio de confiança em sua ligação com ameaças persistentes avançadas (APT) da região. O UAT-8837 utiliza técnicas como exploração de vulnerabilidades em servidores e credenciais comprometidas para obter acesso inicial a organizações de alto valor. Recentemente, o grupo explorou uma vulnerabilidade zero-day crítica no Sitecore (CVE-2025-53690, CVSS 9.0) para realizar uma intrusão. Após conseguir acesso, o grupo realiza reconhecimento preliminar e desabilita recursos de segurança, como o RestrictedAdmin para o Remote Desktop Protocol (RDP). O UAT-8837 também utiliza ferramentas de código aberto para coletar informações sensíveis e criar múltiplos canais de acesso. A atividade do grupo levanta preocupações sobre a segurança da cadeia de suprimentos e a possibilidade de engenharia reversa de produtos. As agências de segurança cibernética de vários países ocidentais têm alertado sobre as ameaças crescentes a ambientes de tecnologia operacional (OT), enfatizando a necessidade de medidas de segurança robustas.

Em 2025, a China intensificou seus ataques cibernéticos contra Taiwan, com um aumento de 6% em relação ao ano anterior, totalizando uma média de 2,63 milhões de ataques diários, conforme relatório do National Security Bureau (NSB). Os setores mais afetados incluem a infraestrutura de energia, que sofreu um aumento de 10 vezes nos ciberataques, e os sistemas de resgate de emergência hospitalar, com um crescimento de 54%. O NSB aponta que esses ataques visam comprometer a infraestrutura crítica de Taiwan e interromper funções governamentais e sociais. Além disso, os ataques são direcionados, sugerindo uma tática de “neutralização na primeira hora do conflito”. Embora a maioria dos ataques tenha sido bloqueada, alguns conseguiram comprometer entidades de inteligência. O relatório também destaca que 57% dos ataques focaram em falhas de hardware e software, enquanto 21% foram ataques de negação de serviço. A escalada dos ciberataques reflete uma disputa histórica entre China e Taiwan, com implicações políticas e sociais significativas.

Em 2025, a infraestrutura de Taiwan enfrentou uma média alarmante de 2,63 milhões de ciberataques diários originados da China, conforme relatado pelo Escritório de Segurança Nacional de Taiwan. Este número representa um aumento de 6% em relação ao ano anterior e um impressionante crescimento de 113% desde 2023, quando Taiwan começou a monitorar esses incidentes. Os ataques, que frequentemente coincidem com eventos militares e políticos significativos, são vistos como parte da estratégia de ‘guerra híbrida’ da China, que visa desestabilizar a ilha. Grupos de hackers associados à China, como Volt Typhoon e Brass Typhoon, estão envolvidos em atividades de espionagem e roubo de dados que atendem aos interesses nacionais chineses. O relatório destaca que os ataques têm como alvos principais hospitais, bancos e agências governamentais, indicando uma tentativa deliberada de comprometer a infraestrutura crítica de Taiwan. Apesar das alegações, a China não respondeu oficialmente ao relatório e geralmente nega envolvimento em ciberataques, acusando os Estados Unidos de serem os verdadeiros ‘bullys cibernéticos’ do mundo.

O Stuxnet é considerado um marco na cibersegurança, sendo o primeiro malware a causar danos físicos em instalações industriais. Desenvolvido em 2010, o worm foi projetado para atacar o programa nuclear do Irã, especificamente uma rede de enriquecimento de urânio em Natanz. O malware explorou vulnerabilidades zero-day em sistemas de controle industrial da Siemens, permitindo que se espalhasse por redes isoladas, mesmo aquelas desconectadas da internet. A infecção inicial ocorria através de dispositivos USB, e o Stuxnet utilizava certificados digitais roubados para se disfarçar como software legítimo.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

A equipe de inteligência de ameaças da Amazon revelou detalhes sobre uma campanha de ciberataques patrocinada pelo Estado russo, que visou a infraestrutura crítica ocidental entre 2021 e 2025. Os alvos incluíram organizações do setor de energia e provedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada em nuvem. A atividade foi atribuída com alta confiança ao Diretório Principal de Inteligência da Rússia (GRU), destacando a exploração de dispositivos de rede mal configurados como vetor inicial de acesso.

Um recente relatório da equipe de inteligência de ameaças da Amazon revela que atores de ameaças ligados ao Irã estão utilizando operações cibernéticas para facilitar ataques físicos, uma prática que a empresa chama de ‘alvo cinético habilitado por ciber’. O relatório destaca que as linhas entre ataques cibernéticos patrocinados por estados e a guerra cinética estão se tornando cada vez mais tênues. O CISO da Amazon, CJ Moses, afirma que essas operações não são meros ataques cibernéticos que causam danos físicos, mas sim campanhas coordenadas onde operações digitais são projetadas para apoiar objetivos militares físicos. Exemplos incluem o grupo Imperial Kitten, que realizou reconhecimento digital de sistemas de identificação automática de navios, e o grupo MuddyWater, que acessou câmeras de vigilância em tempo real para coletar inteligência visual. Esses casos demonstram como a espionagem cibernética pode servir como um trampolim para ataques físicos direcionados, ressaltando a necessidade de uma nova abordagem na segurança cibernética que integre ameaças digitais e físicas. A Amazon alerta que essa evolução na guerra representa um desafio significativo para a segurança global e a infraestrutura crítica.

O governo canadense emitiu um alerta de segurança sobre ataques realizados por hacktivistas a Sistemas de Controle Industrial (ICS), que incluem infraestruturas críticas como abastecimento de água, petróleo e agricultura. O relatório do Centro Cibernético e da Real Polícia Montada do Canadá menciona incidentes em que atacantes manipularam válvulas de pressão em uma instalação de água, causando degradação no serviço. Além disso, um sistema de medição de tanques de uma empresa de petróleo e gás foi comprometido, gerando alarmes falsos, e um silo de secagem de grãos teve seus níveis de temperatura e umidade alterados, o que poderia ter gerado condições inseguras. O governo canadense destaca que as vulnerabilidades nos ICS decorrem de uma divisão de responsabilidades pouco clara e da falta de proteção adequada dos ativos. Para mitigar esses riscos, recomenda-se a implementação de redes privadas virtuais (VPNs), autenticação em dois fatores (2FA) e sistemas de detecção de ameaças. A comunicação eficaz e a colaboração entre as empresas que operam ICS também são essenciais para proteger esses sistemas críticos.

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.

Entre maio e agosto de 2025, o grupo de ameaça persistente avançada (APT) conhecido como Cavalry Werewolf, também rastreado como YoroTrooper e Silent Lynx, conduziu uma campanha de ciberataques sofisticada, visando o setor público e a infraestrutura crítica da Rússia. As indústrias de energia, mineração e manufatura foram os principais alvos, com o uso de malwares personalizados, como FoalShell e StallionRAT, através de operações de spear-phishing altamente direcionadas, disfarçadas como correspondências oficiais do governo.

Em uma operação coordenada na área metropolitana de Nova York, o Serviço Secreto dos EUA desmantelou uma rede clandestina composta por mais de 300 servidores SIM e mais de 100.000 cartões SIM. Esses dispositivos eram utilizados para realizar ameaças anônimas a altos funcionários do governo e representavam um risco iminente à infraestrutura crítica de telecomunicações, incluindo a capacidade de desativar torres de celular e lançar ataques de negação de serviço. A investigação, que começou como um esforço de inteligência protetiva, revelou que os servidores e cartões estavam estrategicamente posicionados a 35 milhas de Nova York, coincidindo com a Assembleia Geral das Nações Unidas. A análise forense inicial sugere que a operação utilizou técnicas sofisticadas de spoofing de SIM e gerenciamento remoto de clusters de servidores para ocultar identidades e localizações dos usuários. A resposta rápida da Unidade de Interdição de Ameaças Avançadas do Serviço Secreto resultou em uma série de operações simultâneas, destacando a importância da inteligência protetiva e da cooperação interagencial na defesa dos sistemas de comunicação nacionais.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

O senador americano Ron Wyden solicitou à Comissão Federal de Comércio (FTC) que investigue a Microsoft por ’negligência cibernética grave’ que facilitou ataques de ransomware em infraestruturas críticas dos EUA, incluindo redes de saúde. A demanda surge após um ataque devastador ao sistema de saúde Ascension, que resultou no roubo de informações pessoais de 5,6 milhões de indivíduos. O ataque, atribuído ao grupo Black Basta, ocorreu quando um contratante clicou em um link malicioso no Bing, permitindo que os atacantes explorassem configurações inseguras do software da Microsoft. Wyden criticou a empresa por não impor senhas robustas e por continuar a suportar o algoritmo de criptografia RC4, considerado vulnerável. Apesar de a Microsoft ter anunciado melhorias de segurança e planos para descontinuar o suporte ao RC4, o senador argumenta que a falta de ações mais rigorosas expõe os clientes a riscos significativos. O artigo destaca a necessidade de um design de segurança mais rigoroso em plataformas de TI dominantes, especialmente quando estas são fundamentais para a infraestrutura nacional.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

O FBI emitiu um alerta sobre hackers russos, associados ao Centro 16 do FSB, que estão explorando uma vulnerabilidade antiga da Cisco, identificada como CVE-2018-0171. Essa falha, que afeta o protocolo SNMP e o recurso Smart Install do software Cisco IOS, permite que adversários não autenticados realizem ações maliciosas, como a execução de código arbitrário ou a negação de serviço (DoS). A vulnerabilidade impacta uma variedade de dispositivos, incluindo switches da série Catalyst, muitos dos quais já atingiram o fim de vida e não receberam patches. O FBI relatou que esses hackers conseguiram coletar arquivos de configuração de milhares de dispositivos de rede em entidades dos EUA, especialmente no setor de infraestrutura crítica, e modificaram configurações para obter acesso não autorizado. A agência recomenda que as organizações atualizem seus sistemas e considerem a substituição de dispositivos obsoletos para mitigar os riscos associados a essa vulnerabilidade.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

O FBI emitiu um alerta urgente sobre operações cibernéticas sofisticadas conduzidas por hackers associados ao serviço de inteligência russo, que estão comprometendo redes de infraestrutura crítica nos Estados Unidos e internacionalmente. Os atacantes, vinculados ao Centro 16 do FSB, têm explorado vulnerabilidades em equipamentos de rede, como o protocolo Simple Network Management Protocol (SNMP) e uma falha não corrigida no Cisco Smart Install (CVE-2018-0171). Essa vulnerabilidade permitiu acesso não autorizado a sistemas sensíveis em diversos setores. A operação é extensa, com o FBI identificando a coleta de arquivos de configuração de milhares de dispositivos de rede. Além disso, os hackers demonstraram habilidades avançadas ao modificar arquivos de configuração para garantir acesso persistente, permitindo uma exploração detalhada das redes das vítimas, especialmente em sistemas de controle industrial. O grupo, conhecido por vários nomes, como ‘Berserk Bear’, tem operado por mais de uma década, visando dispositivos que utilizam protocolos legados. O FBI recomenda que organizações suspeitas de comprometimento avaliem imediatamente seus dispositivos de rede e relatem incidentes às autoridades competentes.

O Paquistão enfrenta uma grave ameaça cibernética com o ransomware Blue Locker, que atacou severamente a infraestrutura crítica do país, especialmente o setor de petróleo e gás. O ataque, que ocorreu em 6 de agosto de 2025, levou o Pakistan Petroleum Limited (PPL) a ativar protocolos internos de segurança. A natureza sofisticada do ransomware, que utiliza algoritmos de criptografia AES e RSA, sugere um envolvimento de atores estatais, especialmente considerando o timing próximo ao Dia da Independência do Paquistão. O malware opera através de um loader baseado em PowerShell, desativando defesas de segurança e aplicando extensões específicas aos arquivos criptografados. Além disso, emprega táticas de dupla extorsão, ameaçando vazar dados sensíveis se o resgate não for pago. A equipe nacional de resposta a emergências cibernéticas (NCERT) emitiu um alerta para 39 ministérios, destacando a falta de políticas estruturadas de cibersegurança e a necessidade urgente de medidas proativas. As recomendações incluem autenticação multifatorial e segmentação de rede, além de alertas sobre o perigo de downloads de fontes não verificadas. Este incidente expõe vulnerabilidades significativas na infraestrutura de TI do governo paquistanês e ressalta a necessidade de fortalecer as capacidades de cibersegurança nacional.