Malware

Duas novas campanhas de malware estão ameaçando usuários brasileiros, com foco em um trojan bancário que ataca o WhatsApp e um malware que compromete pagamentos NFC em dispositivos Android. Pesquisadores da Trend Micro identificaram que o grupo Water Saci está por trás do trojan, que se espalha através de arquivos HTA e PDFs maliciosos. Os cibercriminosos utilizam contatos confiáveis para enganar as vítimas, aumentando a probabilidade de que elas baixem os arquivos infectados. Uma vez instalado, o trojan rouba informações sensíveis, como senhas e dados de cartões de crédito. Além disso, o malware RelayNFC, que afeta pagamentos NFC, permite que hackers realizem transações fraudulentas ao interceptar dados do cartão da vítima quando este é encostado no dispositivo. Essa nova era de ameaças digitais no Brasil destaca a vulnerabilidade dos usuários e a necessidade de medidas de segurança mais robustas, especialmente em plataformas amplamente utilizadas como o WhatsApp.

Um grupo de hackers iranianos conhecido como MuddyWater tem chamado a atenção de especialistas em cibersegurança por utilizar uma técnica inspirada no jogo da cobrinha, popular nos anos 90, para realizar ataques de espionagem. Recentemente, o grupo tem atacado organizações israelenses com um novo malware chamado Fooder, que se destaca por sua capacidade de camuflagem. Essa técnica permite que o malware permaneça inativo por um longo período após a infecção, evitando a detecção até que o sistema seja completamente analisado. O Fooder se ativa apenas após uma inspeção detalhada, alterando seu comportamento conforme as ações do usuário. Historicamente, o MuddyWater tem utilizado e-mails de spear-phishing com anexos maliciosos, mas a nova abordagem demonstra uma evolução em suas táticas, tornando-se mais sofisticada e difícil de rastrear. A detecção dessa técnica levanta preocupações sobre a capacidade do grupo de esconder suas atividades, o que pode representar um risco significativo para a segurança digital de organizações em todo o mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre um backdoor chamado BRICKSTORM, utilizado por grupos de hackers patrocinados pelo Estado da República Popular da China. Este malware, desenvolvido em Golang, é projetado para ambientes VMware vSphere e Windows, permitindo acesso remoto e persistente aos sistemas comprometidos. BRICKSTORM é capaz de executar uma variedade de funções, incluindo manipulação de arquivos e comunicação encoberta através de protocolos como HTTPS e DNS-over-HTTPS.

O grupo de cibercriminosos conhecido como Silver Fox está realizando uma operação de bandeira falsa, imitando um grupo de ameaças russo em ataques direcionados a organizações na China. Desde novembro de 2025, a campanha de envenenamento de SEO utiliza iscas do Microsoft Teams para enganar usuários desavisados a baixarem um arquivo malicioso que instala o malware ValleyRAT, associado a grupos de cibercrime chineses. A pesquisa da ReliaQuest destaca que a campanha visa usuários que falam chinês, incluindo aqueles em organizações ocidentais na China, utilizando um loader modificado do ValleyRAT com elementos cirílicos para confundir a atribuição. O ValleyRAT permite controle remoto de sistemas infectados, exfiltração de dados sensíveis e execução de comandos arbitrários. A campanha redireciona usuários para um site falso que oferece um suposto software do Teams, mas na verdade baixa um arquivo ZIP malicioso. O malware, uma versão trojanizada do Teams, manipula processos do sistema e estabelece conexões com servidores externos para controle remoto. Os objetivos do Silver Fox incluem ganho financeiro e coleta de inteligência sensível, representando riscos imediatos como vazamentos de dados e perdas financeiras para as organizações-alvo.

Uma nova campanha de phishing, identificada pela Push Security, utiliza convites falsos do Calendly para roubar contas do Google Workspace e do Facebook. Os cibercriminosos se passam por recrutadores de marcas conhecidas, como Disney e Uber, criando e-mails que imitam comunicações legítimas. A técnica de spoofing é empregada para usar nomes de funcionários reais, aumentando a credibilidade do golpe. Ao clicar no link do convite, a vítima é direcionada a uma página falsa do Calendly, que utiliza CAPTCHA, e posteriormente a uma página de phishing que tenta capturar as credenciais de login. A campanha é direcionada principalmente a contas de gestores de anúncios do Google, com mecanismos de proteção contra análise, como bloqueadores de VPN. O uso de inteligência artificial para criar os e-mails e as páginas de phishing torna o ataque ainda mais sofisticado e perigoso, especialmente por contornar a autenticação em duas etapas. Com 31 URLs identificadas, a ameaça se espalha rapidamente, exigindo atenção redobrada dos usuários e das empresas.

O SmartTube, um aplicativo de código aberto amplamente utilizado para acessar o YouTube em TVs Android, foi recentemente comprometido por cibercriminosos que conseguiram roubar a chave de assinatura do aplicativo. Isso resultou na distribuição de versões alteradas do app, que continham malware. O desenvolvedor, Yuliskov, já removeu as versões afetadas e lançou uma nova versão beta com uma chave de assinatura atualizada. O malware, localizado na biblioteca libalphasdk.so, coleta informações do dispositivo, como aplicativos instalados e endereço IP, mas, segundo especialistas, não houve vazamento de dados de contas. O Google Play Protect conseguiu bloquear a instalação do malware em muitos dispositivos antes que os usuários percebessem o problema. Para os usuários do SmartTube, é recomendado desinstalar as versões comprometidas e instalar apenas a versão 30.56, que é considerada segura. Essa versão pode ser encontrada no GitHub, já que o aplicativo não está mais disponível na Play Store. O uso de versões não oficiais ou aplicativos que prometem consertar o problema deve ser evitado, pois isso pode aumentar os riscos de segurança.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos que evidenciam a constante evolução das ameaças digitais. Um dos casos mais alarmantes foi o ataque ao pool yETH da Yearn Finance, que resultou na perda de aproximadamente 9 milhões de dólares devido a uma falha na contabilidade interna do protocolo. O atacante explorou uma vulnerabilidade que permitiu a criação de uma quantidade astronômica de tokens, destacando a eficiência do ataque no contexto de finanças descentralizadas (DeFi).

Um novo ataque cibernético, atribuído ao grupo GoldFactory, está afetando usuários móveis na Indonésia, Tailândia e Vietnã. Desde outubro de 2024, os criminosos têm distribuído aplicativos bancários modificados que atuam como vetores para malware no sistema Android. O grupo, que opera desde junho de 2023, utiliza táticas de engenharia social, como se passar por serviços governamentais, para induzir as vítimas a instalar o malware. Mais de 300 amostras de aplicativos alterados foram identificadas, resultando em cerca de 11.000 infecções. Os atacantes utilizam chamadas telefônicas para persuadir as vítimas a baixar aplicativos maliciosos através de links enviados por aplicativos de mensagens. O malware injetado permite o controle remoto dos dispositivos, ocultando funcionalidades e contornando medidas de segurança. Além disso, uma nova variante de malware, chamada Gigaflower, foi descoberta, prometendo funcionalidades ainda mais sofisticadas. A mudança na abordagem do grupo, que agora orienta as vítimas a usar dispositivos Android emprestados, sugere uma adaptação às rigorosas medidas de segurança da Apple. Este cenário destaca a necessidade urgente de vigilância e proteção contra ameaças emergentes no setor financeiro.

Pesquisadores da Koi Security descobriram a campanha de malware chamada ShadyPanda, que afetou mais de 4,3 milhões de usuários dos navegadores Google Chrome e Microsoft Edge ao longo de sete anos. A operação, iniciada em 2018, explorou extensões de produtividade que pareciam legítimas, permitindo que os criminosos injetassem códigos maliciosos e realizassem fraudes. Inicialmente, a ShadyPanda utilizava extensões de gestão de tarefas para enganar os usuários, mas evoluiu para um controle ativo dos navegadores, utilizando uma extensão chamada Infinity V+, que sequestrava dados de pesquisa e exfiltrava cookies. Apesar de o Google ter removido as extensões comprometidas, cinco delas ainda permanecem ativas no Edge, com uma delas, chamada WeTab 新标签页, possuindo cerca de 3 milhões de instalações e coletando dados dos usuários. A campanha continua a operar por meio de atualizações automáticas, o que a torna ainda mais difícil de detectar e mitigar.

O grupo de cibercriminosos conhecido como Water Saci está aprimorando suas táticas de ataque, utilizando uma cadeia de infecção sofisticada que se espalha via WhatsApp. Recentemente, a ameaça se afastou do uso de PowerShell e adotou uma variante baseada em Python, permitindo a propagação de um trojan bancário através de arquivos HTA e PDFs. Os usuários recebem mensagens de contatos confiáveis, incentivando-os a abrir anexos maliciosos que iniciam a infecção. O novo método de ataque é caracterizado por uma estrutura de código orientada a objetos e melhor manuseio de erros, tornando a propagação mais rápida e resiliente. O malware é projetado para monitorar atividades bancárias, capturar dados sensíveis e contornar softwares de segurança. Além disso, o Water Saci pode ter utilizado ferramentas de inteligência artificial para converter scripts de PowerShell para Python, demonstrando um nível elevado de sofisticação. Essa campanha representa uma nova era de ameaças cibernéticas no Brasil, onde plataformas de mensagens populares são exploradas para disseminar malware em larga escala. Os especialistas alertam que a confiança dos usuários em canais de comunicação familiarizados é um vetor crítico para a propagação de ataques.

Um novo malware chamado ShadowV2, baseado na botnet Mirai, está atacando dispositivos de marcas como D-Link e TP-Link, explorando vulnerabilidades conhecidas. Pesquisadores da FortiGuard Labs identificaram que o malware se espalha por pelo menos oito falhas em equipamentos de Internet das Coisas (IoT), incluindo CVEs como CVE-2020-25506 e CVE-2024-10915. Apesar de algumas dessas falhas serem conhecidas, a D-Link não planeja corrigir as vulnerabilidades em seus dispositivos considerados ’end-of-life’. O ShadowV2 realiza ataques DDoS utilizando protocolos UDP, TCP e HTTP, e é controlado por servidores de comando e controle. Os ataques foram observados em diversos setores, incluindo governo e telecomunicações, afetando regiões da América do Sul, América do Norte, Europa e Ásia. A gravidade da situação é acentuada pela falta de atualizações em dispositivos vulneráveis, o que pode levar a um aumento na exploração dessas falhas por cibercriminosos.

Pesquisadores de cibersegurança identificaram um pacote Rust malicioso, denominado ’evm-units’, que visa sistemas operacionais Windows, macOS e Linux. O pacote foi disponibilizado no repositório crates.io em abril de 2025 e, em oito meses, acumulou mais de 7.000 downloads. Ele se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM) e possui funcionalidades maliciosas que permitem a execução silenciosa em máquinas de desenvolvedores. O pacote verifica a presença do processo ‘qhsafetray.exe’, associado ao antivírus Qihoo 360, e, dependendo do sistema operacional, baixa e executa um payload em segundo plano. No Linux, um script é salvo em /tmp/init; no macOS, um arquivo chamado init é executado; e no Windows, um script PowerShell é criado. A detecção do antivírus altera o fluxo de execução, permitindo que o código malicioso seja executado sem que o usuário perceba. Este incidente destaca a crescente preocupação com a segurança na cadeia de suprimentos de software, especialmente em um contexto onde o mercado de criptomoedas é alvo frequente de ataques.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

Pesquisadores da Unit 42, da Palo Alto Networks, alertam sobre o uso de Grandes Modelos de Linguagem (LLMs) por cibercriminosos. Ferramentas como WormGPT 4 e KawaiiGPT estão sendo utilizadas para facilitar a criação de malwares e ataques cibernéticos. O WormGPT, que ressurgiu em sua quarta versão, permite que hackers, mesmo sem experiência, desenvolvam códigos de ransomware e mensagens de phishing. Por exemplo, foi solicitado ao WormGPT que criasse um código para encriptar arquivos PDF em sistemas Windows, resultando em um script PowerShell que utiliza o algoritmo AES-256. Já o KawaiiGPT, uma alternativa comunitária, pode gerar mensagens de spear-phishing e scripts para movimentação lateral em sistemas, demonstrando a facilidade com que cibercriminosos podem automatizar ataques. Ambas as LLMs têm atraído a atenção de hackers, com comunidades ativas no Telegram, o que torna a situação ainda mais preocupante para a cibersegurança. A análise indica que o uso dessas ferramentas não é mais uma ameaça teórica, mas uma realidade crescente, exigindo atenção redobrada das empresas para proteger seus dados e sistemas.

A GreyNoise, empresa de cibersegurança, lançou uma ferramenta gratuita chamada GreyNoise IP Check, que permite aos usuários verificar se seus endereços IP estão conectados a botnets. Uma botnet é uma rede de dispositivos infectados por malware, controlados remotamente por cibercriminosos, muitas vezes sem o conhecimento dos usuários. A ferramenta oferece três resultados: ‘Clean’ (Limpo), indicando que não há atividade maliciosa; ‘Malicious/Suspicious’ (Maliciosa/Suspeita), que sugere investigar dispositivos conectados; e ‘Common Business Service’ (Serviço Comercial Padrão), que indica que o IP está associado a uma VPN ou rede corporativa. Além disso, a ferramenta fornece um histórico de 90 dias do endereço IP, ajudando a identificar quando a infecção ocorreu. Dispositivos infectados podem ser utilizados para ataques DDoS, phishing e fraudes publicitárias, geralmente devido à falta de atualizações de segurança. Especialistas recomendam que os usuários mantenham seus sistemas atualizados e desativem o acesso remoto quando não necessário.

Recentemente, entidades israelenses de diversos setores, incluindo tecnologia e infraestrutura crítica, foram alvo de uma nova onda de ataques cibernéticos atribuídos ao grupo de hackers MuddyWater, vinculado ao Ministério da Inteligência e Segurança do Irã. Os ataques introduziram um backdoor inédito chamado MuddyViper, que permite aos invasores coletar informações do sistema, executar comandos e exfiltrar credenciais de login. As campanhas de phishing, que utilizam e-mails com anexos PDF, têm como objetivo infiltrar redes por meio de ferramentas de gerenciamento remoto legítimas. Além do MuddyViper, o grupo utiliza uma variedade de ferramentas, como Fooder, um loader que executa o backdoor, e outros RATs (Remote Access Trojans) que facilitam o controle remoto das máquinas comprometidas. A evolução das táticas do MuddyWater indica um aumento na sofisticação operacional, com um foco em furtividade e persistência. O ataque também coincide com a divulgação de documentos internos de um grupo de hackers iraniano, revelando uma estrutura organizacional complexa e hierárquica, o que sugere um aparato cibernético estatal bem estruturado. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente em um contexto onde o Brasil também enfrenta desafios semelhantes em sua infraestrutura.

Pesquisadores de cibersegurança revelaram a existência de um pacote npm chamado eslint-plugin-unicorn-ts-2, que busca influenciar scanners de segurança impulsionados por inteligência artificial (IA). O pacote, que se apresenta como uma extensão do popular plugin ESLint para TypeScript, foi carregado em fevereiro de 2024 e já foi baixado quase 19 mil vezes. Uma análise da Koi Security identificou que o pacote contém um prompt que sugere que o código é legítimo e testado em um ambiente seguro, embora essa string não afete a funcionalidade do pacote. O código malicioso, introduzido na versão 1.1.3, possui um hook pós-instalação que captura variáveis de ambiente, como chaves de API e credenciais, e as exfiltra para um webhook. Essa abordagem reflete uma nova tática de cibercriminosos que buscam manipular ferramentas de análise baseadas em IA, além de explorar um mercado subterrâneo de modelos de linguagem maliciosos. Apesar das limitações desses modelos, como a geração de código incorreto, eles tornam o cibercrime mais acessível a atacantes inexperientes, permitindo ataques mais sofisticados em larga escala.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Um alerta recente da Bitdefender Labs revelou uma nova ameaça para os gamers: arquivos maliciosos disfarçados de downloads gratuitos ou hackeados do jogo Battlefield 6. Esses arquivos, que prometem versões piratas do jogo, na verdade contêm malwares projetados para roubar informações pessoais e até controlar remotamente os computadores dos usuários. A pesquisa identificou instaladores e aplicativos que, ao invés de oferecer vantagens no jogo, servem apenas para roubar dados. Os cibercriminosos utilizam nomes que imitam grupos conhecidos de pirataria, como InsaneRamZes e RUNE, para dar credibilidade aos arquivos. Um dos malwares analisados, disfarçado como uma imagem ISO do jogo, permite que hackers assumam o controle do PC infectado. Outro arquivo, que se apresenta como um treinador, atua como um infostealer, focando em cookies de navegadores, carteiras de criptomoedas e tokens de plataformas como Discord. A Bitdefender recomenda que os jogadores adquiram jogos apenas de fontes confiáveis, como Steam e GOG, para evitar esses riscos.

Os hackers modernos não precisam mais invadir fisicamente as empresas; eles utilizam ferramentas cotidianas como pacotes de código, contas em nuvem e e-mails para realizar ataques. Um download malicioso pode expor chaves de acesso, enquanto um fornecedor vulnerável pode comprometer múltiplos clientes simultaneamente. O artigo destaca diversos incidentes recentes, como o ataque ao registro npm, onde um verme auto-replicante chamado ‘Sha1-Hulud’ afetou mais de 800 pacotes e 27.000 repositórios no GitHub, visando roubar dados sensíveis como chaves de API e credenciais de nuvem. Outro ataque notável foi o do grupo ToddyCat, que evoluiu para roubar dados de e-mails do Outlook e tokens de acesso do Microsoft 365. Além disso, um ataque sofisticado chamado Qilin comprometeu provedores de serviços gerenciados, afetando várias instituições financeiras na Coreia do Sul. A CISA também alertou sobre campanhas de spyware que visam usuários de aplicativos de mensagens móveis, utilizando engenharia social para obter acesso não autorizado. Esses incidentes ressaltam a importância de revisar a segurança das ferramentas que consideramos seguras e a necessidade de uma vigilância constante.

O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

A campanha Contagious Interview, atribuída a atores de ameaça da Coreia do Norte, continua a inundar o registro npm com pacotes maliciosos, totalizando 197 novos pacotes desde o mês passado. Esses pacotes, que já foram baixados mais de 31.000 vezes, têm como objetivo entregar uma variante do malware OtterCookie, que combina características de versões anteriores. Entre os pacotes identificados estão ‘bcryptjs-node’, ‘cross-sessions’ e ‘webpack-loadcss’. O malware, ao ser executado, tenta evitar ambientes de sandbox e máquinas virtuais, além de estabelecer um canal de comando e controle (C2) para permitir que os atacantes tenham acesso remoto ao sistema comprometido. As capacidades incluem roubo de credenciais, captura de telas e registro de teclas. A campanha também se destaca por utilizar sites falsos de avaliação que disfarçam a entrega de outro malware, o GolangGhost, sob a aparência de resolver problemas de câmera ou microfone. Essa abordagem inovadora visa comprometer indivíduos através de processos de recrutamento fraudulentos, tornando a aplicação para empregos uma arma. A análise revela que a URL de C2 é codificada e que a conta do GitHub utilizada para a entrega do malware não está mais acessível.

Pesquisadores de cibersegurança identificaram vulnerabilidades em pacotes Python legados que podem facilitar um ataque à cadeia de suprimentos no Python Package Index (PyPI). A empresa ReversingLabs revelou que o problema reside em scripts de bootstrap do zc.buildout, que ainda tentam instalar o pacote Distribute a partir de um domínio obsoleto, python-distribute[.]org, que está à venda desde 2014. Essa situação é preocupante, pois um invasor poderia assumir o domínio e injetar código malicioso, colocando em risco dados sensíveis dos usuários. Embora alguns pacotes já tenham removido o script vulnerável, o slapos.core ainda o inclui, aumentando a superfície de ataque. Além disso, um pacote malicioso chamado ‘spellcheckers’ foi descoberto no PyPI, projetado para baixar um trojan de acesso remoto (RAT) após a instalação. O artigo destaca a necessidade urgente de os desenvolvedores revisarem seus códigos e removerem dependências obsoletas para evitar possíveis compromissos de segurança.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

Pesquisadores de segurança da Huntress identificaram uma nova tática do malware ClickFix, que utiliza esteganografia para esconder códigos maliciosos em imagens PNG. Os cibercriminosos imitam atualizações críticas do Windows para enganar os usuários, que precisam copiar e colar comandos no prompt de comando para ativar o malware. Essa variante do ClickFix, que também inclui infostealers como LummaC2 e Rhadamantys, foi observada pela primeira vez em outubro de 2025. O ataque envolve a execução de código JavaScript através do binário nativo do Windows, mshta, e utiliza PowerShell e assembly .NET para extrair o payload malicioso. Apesar de parte da infraestrutura hacker ter sido desmantelada em uma operação em novembro, domínios falsos de atualização do Windows ainda estão ativos. Para se proteger, a Huntress recomenda monitorar processos suspeitos e desconfiar de comandos desconhecidos. A situação destaca a necessidade de vigilância constante contra técnicas de engenharia social cada vez mais sofisticadas.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e inovações em fraudes digitais. O botnet ShadowV2, baseado no Mirai, voltou a atacar dispositivos IoT, explorando vulnerabilidades conhecidas para formar uma rede de dispositivos comprometidos, com o objetivo de realizar ataques DDoS. Além disso, a Singapura implementou novas regras para bloquear mensagens fraudulentas que se passam por agências governamentais, visando reduzir o aumento de golpes online. O projeto Tor anunciou uma atualização significativa em seu algoritmo de criptografia, aumentando a segurança da rede contra ataques ativos. Em um relatório alarmante, a Kaspersky identificou cerca de 6,4 milhões de ataques de phishing, com foco em usuários de lojas online e sistemas de pagamento, especialmente durante a temporada de compras de 2025. Por fim, a NCA do Reino Unido desmantelou uma rede de lavagem de dinheiro que facilitava a evasão de sanções russas, destacando a interconexão entre cibercrime e crimes financeiros. Esses eventos ressaltam a necessidade urgente de fortalecer as defesas digitais e a vigilância contra novas táticas de cibercriminosos.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

Um novo ataque de cadeia de suprimentos, conhecido como Shai-Hulud v2, comprometeu mais de 830 pacotes no registro npm e se espalhou para o ecossistema Maven. A equipe de pesquisa Socket identificou um pacote no Maven Central, ‘org.mvnpm:posthog-node:4.18.1’, que contém componentes maliciosos semelhantes aos associados ao ataque original. O ataque visa roubar dados sensíveis, como chaves de API e credenciais de nuvem, e se tornou mais furtivo e destrutivo. Os atacantes conseguiram acessar contas de mantenedores do npm e publicar versões trojanizadas de pacotes, afetando mais de 28.000 repositórios. A vulnerabilidade explorada está relacionada a configurações inadequadas em workflows do GitHub Actions, permitindo que código malicioso seja executado. A campanha já vazou centenas de tokens de acesso do GitHub e credenciais de serviços como AWS e Google Cloud. Especialistas recomendam que os usuários rotacionem tokens, auditem dependências e reforcem ambientes de desenvolvimento com acesso de menor privilégio e varredura de segredos.

Um novo ataque cibernético envolvendo a família de malware RomCom foi identificado, visando uma empresa de engenharia civil baseada nos Estados Unidos. O ataque foi realizado através de um carregador JavaScript conhecido como SocGholish, que é utilizado para entregar o Mythic Agent, um trojan de acesso remoto (RAT). Este é o primeiro caso documentado em que um payload do RomCom foi distribuído via SocGholish, que é associado a um grupo de hackers russo, o GRU, e tem como alvo entidades ligadas à Ucrânia. O ataque tipicamente envolve a exibição de alertas falsos de atualização de navegador em sites legítimos, mas comprometidos, para induzir os usuários a baixar o código JavaScript malicioso. Embora o ataque tenha sido bloqueado antes de causar danos, ele demonstra o interesse contínuo do RomCom em atingir organizações que, mesmo indiretamente, estão conectadas à Ucrânia. A velocidade do ataque, que levou menos de 30 minutos desde a infecção até a entrega do carregador, destaca a eficácia e a ameaça representada por esse tipo de ataque, que pode afetar organizações em todo o mundo.

Cibercriminosos estão utilizando uma nova técnica para disseminar malware através de notificações push em navegadores, sem a necessidade de downloads. A campanha, identificada pela BlackFrog, utiliza uma plataforma chamada Matrix Push C2, que engana os usuários ao fazer parecer que estão aceitando notificações legítimas. Uma vez que a vítima se inscreve, os hackers conseguem monitorar suas atividades no navegador e redirecioná-las para sites maliciosos que imitam interfaces de empresas conhecidas, como Netflix e PayPal. O ataque é particularmente preocupante porque não requer a presença de arquivos maliciosos inicialmente, tornando-o mais difícil de detectar. O Matrix Push C2 é capaz de operar em diversos sistemas operacionais, incluindo Windows, Linux e Android, e permite que os criminosos tenham acesso em tempo real às informações sensíveis das vítimas. Essa abordagem direta ao navegador torna o ataque mais eficaz, já que não depende de e-mails de phishing aleatórios. Especialistas alertam que essa nova estratégia representa um risco significativo para a segurança dos usuários na internet.

Pesquisadores em cibersegurança revelaram uma nova campanha que utiliza arquivos da Blender Foundation para disseminar um malware conhecido como StealC V2. Esta operação, que está ativa há pelo menos seis meses, envolve a inserção de arquivos .blend maliciosos em plataformas como CGTrader. Ao abrir esses arquivos no Blender, um software gratuito de criação 3D, scripts Python embutidos são executados automaticamente, caso a opção Auto Run esteja habilitada. Essa vulnerabilidade é reconhecida pela própria Blender, que alerta sobre os riscos de segurança associados à execução de scripts Python. Os arquivos maliciosos contêm um script chamado ‘Rig_Ui.py’, que, ao ser executado, baixa um script PowerShell para obter dois arquivos ZIP. Um deles contém o payload do StealC V2, que é capaz de coletar informações de 23 navegadores, 100 plugins e extensões, além de aplicativos de carteiras de criptomoedas e serviços de mensagens. A Morphisec, empresa de segurança cibernética, recomenda que os usuários mantenham a opção Auto Run desativada, a menos que a fonte do arquivo seja confiável, já que os atacantes exploram o Blender, que normalmente é executado em máquinas físicas com GPUs, evitando ambientes virtuais e sandboxes.

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

Um relatório do Google Threat Intelligence Group (GTIG) revelou que um grupo hacker chinês, conhecido como APT24, utilizou um malware chamado BadAudio para ciberespionagem durante três anos sem ser detectado. O ataque começou em novembro de 2022 e envolveu a modificação de mais de 20 sites legítimos com a injeção de código malicioso em JavaScript. O malware se disfarçava como uma atualização de software, enganando as vítimas para que o instalassem sem perceber a verdadeira intenção. Uma técnica sofisticada chamada ‘control flow flattening’ foi utilizada para ofuscar o código, dificultando a engenharia reversa e a detecção do malware. Após a infecção, o BadAudio coletava informações do sistema e criptografava dados sensíveis para enviá-los a um centro de comando. O grupo também implementou campanhas de spearphishing, enviando e-mails que se passavam por organizações legítimas, e utilizou serviços como Google Drive e OneDrive para distribuir o malware. Apesar de algumas tentativas terem sido bloqueadas, a maioria das amostras analisadas permaneceu indetectada por mais de 25 plataformas de antivírus, evidenciando a eficácia das técnicas de invisibilidade empregadas pelo APT24.

Recentemente, múltiplos fornecedores de segurança alertaram sobre uma nova onda de ataques direcionados ao registro npm, denominada Sha1-Hulud, que comprometeu centenas de pacotes. Os pacotes infectados foram carregados entre 21 e 23 de novembro de 2025 e introduzem um novo vetor de ataque que executa código malicioso durante a fase de pré-instalação, aumentando a exposição em ambientes de construção e execução. Os pesquisadores da Wiz identificaram mais de 25.000 repositórios afetados, com 1.000 novos repositórios sendo adicionados a cada 30 minutos. O malware é capaz de registrar a máquina infectada como um runner auto-hospedado e exfiltrar segredos do GitHub, como tokens e credenciais de serviços em nuvem. Se o malware não conseguir autenticar ou estabelecer persistência, ele pode destruir dados no diretório inicial do usuário. A situação é considerada mais agressiva do que a onda anterior de ataques, que já havia mostrado um padrão de comprometimento de pacotes legítimos. Organizações são aconselhadas a escanear seus endpoints, remover versões comprometidas e auditar repositórios para mitigar riscos.

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Um novo trojan bancário, denominado “Eternidade Stealer”, está atacando usuários de WhatsApp no Brasil, conforme análise da Trustwave SpiderLabs. O malware é disseminado por hackers através do aplicativo de mensagens e possui a capacidade de se autorreplicar, facilitando sua propagação. O Eternidade Stealer combina um stealer baseado em Delphi e um dropper MSI, que permite o roubo de informações sensíveis, como dados bancários e listas de contatos. O ataque utiliza um VBScript, com um worm escrito em Python, que se instala silenciosamente no dispositivo da vítima, realizando uma varredura em busca de ferramentas antivírus e coletando dados críticos. Os bancos mais afetados incluem Itaú, Santander, Bradesco e Caixa, além de serviços como MercadoPago e Binance. Os especialistas alertam que o malware é mais difícil de remover do que outros trojans comuns e que mensagens personalizadas são enviadas para enganar as vítimas. Diante desse cenário, é crucial que os usuários permaneçam atentos a atividades suspeitas no WhatsApp para evitar golpes financeiros.

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

O comando ‘finger’, uma ferramenta de consulta de usuários em sistemas Unix, voltou a ser explorado por atacantes para executar comandos remotos e roubar dados sem que os usuários percebam. Embora tenha caído em desuso, o método atual utiliza scripts em lote que fazem requisições a servidores ‘finger’ remotos, canalizando as respostas diretamente para sessões de comando do Windows. Um exemplo notável envolveu um usuário que, acreditando estar completando uma verificação humana, na verdade executou um comando que se conectava a um endereço ‘finger’, permitindo que um script malicioso fosse executado localmente.

O grupo de ameaças conhecido como PlushDaemon tem utilizado uma backdoor de rede baseada em Go, chamada EdgeStepper, para realizar ataques do tipo adversário no meio (AitM). Essa técnica redireciona todas as consultas DNS para um nó malicioso, desviando o tráfego de atualizações de software de infraestruturas legítimas para servidores controlados pelos atacantes. Ativo desde pelo menos 2018, o PlushDaemon é considerado alinhado à China e tem como alvo entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. O grupo foi documentado pela ESET após um ataque à cadeia de suprimentos de um provedor de VPN sul-coreano, visando empresas de semicondutores e desenvolvimento de software. O EdgeStepper compromete dispositivos de rede, como roteadores, explorando falhas de segurança ou credenciais fracas. O malware possui dois componentes principais: um módulo distribuidor que resolve endereços IP e um componente chamado Ruler que configura regras de filtragem de pacotes. O ataque também visa softwares chineses, como o Sogou Pinyin, para entregar um DLL malicioso. A capacidade do PlushDaemon de comprometer alvos globalmente destaca a necessidade de vigilância e proteção contínua contra essas ameaças.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza engenharia social e sequestro de contas do WhatsApp para disseminar um trojan bancário chamado Eternidade Stealer, visando usuários no Brasil. O malware, desenvolvido em Delphi, se destaca por sua capacidade de atualizar endereços de comando e controle (C2) via IMAP, permitindo que os atacantes mantenham controle sobre a infecção. A distribuição ocorre através de um worm no WhatsApp, utilizando um script em Python para automatizar o envio de mensagens maliciosas. O ataque começa com um script em Visual Basic ofuscado que, ao ser executado, entrega dois payloads: um script Python que propaga o malware e um instalador MSI que ativa o Eternidade Stealer. Este último verifica se o sistema está em português brasileiro antes de prosseguir, indicando um foco local. O Eternidade Stealer monitora janelas ativas e processos em busca de informações de credenciais bancárias, capturando dados de serviços como Bradesco e Binance. A campanha reflete uma tendência crescente de uso de malware baseado em Delphi na América Latina, aproveitando a popularidade do WhatsApp para realizar ataques em larga escala contra instituições brasileiras. Os especialistas alertam para a necessidade de vigilância em atividades suspeitas no WhatsApp e execuções inesperadas de scripts.

Pesquisadores da NVISO identificaram uma nova tática do grupo de hackers norte-coreano Contagious Interview, que utiliza serviços de armazenamento JSON para disseminar malware. O ataque visa principalmente plataformas de networking profissional, como o LinkedIn, onde os criminosos se passam por recrutadores ou colaboradores. O malware, denominado BeaverTail, é um trojan que pode roubar dados sensíveis e instalar uma backdoor Python chamada InvisibleFerret. Um dos métodos utilizados envolve a ofuscação de um arquivo que parece conter uma chave de API, mas na verdade redireciona para uma URL de armazenamento JSON. Além disso, um novo payload chamado TsunamiKit foi introduzido, permitindo que os hackers coletem dados e baixem mais malwares de endereços .onion. Essa abordagem disfarçada, utilizando serviços legítimos, demonstra a evolução das táticas de ciberataque, tornando a detecção mais difícil e aumentando o risco para usuários e empresas.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

Pesquisadores de cibersegurança identificaram um conjunto de sete pacotes npm maliciosos publicados por um ator de ameaça conhecido como ‘dino_reborn’ entre setembro e novembro de 2025. Esses pacotes utilizam um serviço de cloaking chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando as vítimas para sites fraudulentos relacionados a criptomoedas. Se um visitante é identificado como vítima, ele é levado a um site malicioso após interagir com um CAPTCHA falso. Se o visitante é um pesquisador, ele é apresentado a uma página de engano sem funcionalidades maliciosas. Seis dos pacotes contêm um malware de 39kB que captura impressões digitais do sistema e impede a análise do código-fonte. O uso do Adspect é notável, pois combina cloaking de tráfego e controles anti-pesquisa em pacotes de código aberto, permitindo que o ator de ameaça distribua um kit de ferramentas de controle de tráfego. O impacto potencial inclui roubo de ativos digitais e a possibilidade de comprometer a segurança de desenvolvedores que utilizam npm, uma plataforma amplamente utilizada no Brasil.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.