Malware

Uma nova campanha de malware, composta por LeakyInjector e LeakyStealer, foi descoberta, visando roubar ativos em criptomoedas e dados de navegação dos usuários. O LeakyInjector, um executável de 64 bits assinado com um certificado digital válido, consegue contornar a segurança ao ser executado. Ele injeta o LeakyStealer na memória, que utiliza criptografia ChaCha20 para proteger seu código. O LeakyStealer estabelece persistência no sistema e coleta informações como nomes de usuário e dados de domínios, conectando-se a um servidor de comando e controle (C2) para exfiltrar dados. O malware também possui um motor polimórfico que dificulta a detecção estática, alterando bytes de memória durante a execução. Ele busca por carteiras de criptomoedas populares e extensões de navegadores, além de exfiltrar o histórico de navegação de vários navegadores. A campanha é considerada sofisticada, com um uso abusivo de assinatura de código e mecanismos furtivos de exfiltração, exigindo atenção imediata das equipes de resposta a incidentes.

Pesquisadores de cibersegurança da Sekoia identificaram uma campanha de phishing sofisticada que visa clientes da indústria de hospitalidade em todo o mundo, utilizando contas de hotéis comprometidas do Booking.com. Os atacantes exploram dados de clientes roubados, como identificadores pessoais e detalhes de reservas, para realizar fraudes bancárias altamente credíveis desde abril de 2025.

A metodologia do ataque é de múltiplas etapas, começando com e-mails maliciosos enviados a administradores de hotéis a partir de contas de e-mail corporativas comprometidas. Esses e-mails imitam comunicações do Booking.com, com linhas de assunto que mencionam solicitações de clientes e códigos de rastreamento, enganando os destinatários. Os links contidos nos e-mails redirecionam as vítimas para páginas falsas que imitam o Booking.com, onde são induzidas a executar comandos do PowerShell disfarçados, resultando na instalação do malware PureRAT em seus sistemas.

Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

A Amazon anunciou que começará a bloquear aplicativos instalados ilegalmente no Fire TV Stick, uma medida que visa combater a pirataria e proteger os usuários de ameaças digitais. O bloqueio será implementado inicialmente na Alemanha e na França, com planos de expansão global. A empresa justificou a ação como parte de um esforço contínuo para apoiar criadores de conteúdo e proteger consumidores, uma vez que aplicativos piratas podem ser fontes de malware e fraudes. Os usuários que tentarem acessar esses aplicativos receberão um alerta informando que o acesso não é permitido, seguido pelo bloqueio do aplicativo. A Amazon não especificou quais aplicativos serão afetados, mas garantiu que serviços legítimos como Netflix e Prime Video continuarão funcionando normalmente. Essa iniciativa também está alinhada com um acordo antipirataria da Alliance for Creativity and Entertainment (ACE). Além de combater a pirataria, a medida busca mitigar riscos de ciberataques, já que aplicativos não verificados podem facilitar o acesso de cibercriminosos aos dispositivos dos usuários.

Uma nova campanha de malware, conhecida como ValleyRAT, está atacando usuários e organizações que falam chinês, utilizando técnicas avançadas de evasão e escalonamento de privilégios. Identificado pela primeira vez em 2023, o ValleyRAT se destaca por sua capacidade de se esconder e evitar detecções, empregando um modelo de execução em múltiplas camadas. O malware começa com um downloader que carrega um loader, seguido por um injetor e, finalmente, o payload do RAT. O loader, um executável .NET, utiliza criptografia para ocultar seus recursos e se aproveita de ferramentas legítimas da Microsoft para injetar o malware em processos em execução.

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

O cibercrime está se expandindo para além do ambiente digital, afetando diretamente o mundo físico e a economia global. Recentemente, foram descobertas falhas de segurança críticas no Windows Graphics Device Interface (GDI), que podem permitir a execução remota de código e a divulgação de informações. Essas vulnerabilidades, identificadas como CVE-2025-30388, CVE-2025-53766 e CVE-2025-47984, foram corrigidas pela Microsoft, mas ressaltam a dificuldade em garantir a segurança total de sistemas complexos. Além disso, três cidadãos chineses foram condenados em Cingapura por hackearem sites de jogos, demonstrando como grupos organizados utilizam ciberataques para fraudes e roubo de dados. A análise de malware também está se beneficiando da inteligência artificial, com ferramentas como o ChatGPT acelerando a triagem e análise de trojans sofisticados. Por fim, o Departamento de Segurança Interna dos EUA propôs novas regras para a coleta de dados biométricos em processos de imigração, o que pode ter implicações significativas para a privacidade e segurança de dados. Este cenário destaca a necessidade urgente de uma abordagem integrada de segurança cibernética que considere tanto as ameaças digitais quanto suas repercussões no mundo físico.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

O Google Threat Intelligence Group (GTIG) identificou um novo malware chamado PROMPTFLUX, que utiliza a API Gemini para modificar seu próprio código durante a execução. Este dropper é notável por empregar uma técnica chamada ‘just-in-time AI’, que permite que o malware altere dinamicamente sua estrutura e conteúdo, dificultando a detecção por métodos tradicionais. O PROMPTFLUX se comunica com a API Gemini para obter novas variantes de código VBScript, focadas em evadir antivírus. Um módulo denominado ‘Thinking Robot’ automatiza o processo, salvando arquivos regenerados na pasta de inicialização do Windows para garantir persistência. A análise do GTIG revelou que o malware ainda está em fase de desenvolvimento e não foi amplamente implantado. No entanto, a utilização de modelos de linguagem para metamorfose em tempo de execução indica uma evolução significativa em ecossistemas de malware autônomos. Além disso, o relatório correlaciona atividades semelhantes com outros malwares habilitados por IA, como PROMPTSTEAL e PROMPTLOCK, associados a atores estatais de países como Coreia do Norte, Irã e China. O Google reforçou suas medidas de segurança para mitigar esses riscos, destacando a importância do desenvolvimento responsável de IA.

O grupo de cibercriminosos conhecido como Curly COMrades tem utilizado tecnologias de virtualização para contornar soluções de segurança e executar malware personalizado. De acordo com um relatório da Bitdefender, os atacantes ativaram o papel do Hyper-V em sistemas de vítimas selecionadas, implantando uma máquina virtual minimalista baseada em Alpine Linux. Essa configuração oculta, com um espaço em disco de apenas 120MB e 256MB de memória, hospedava um shell reverso chamado CurlyShell e um proxy reverso denominado CurlCat.

Pesquisadores de segurança digital da Expel identificaram uma nova campanha de ransomware que utiliza anúncios falsos do Microsoft Teams para enganar usuários. A quadrilha Rhysida, conhecida por seus ataques desde junho de 2025, cria páginas que imitam o site oficial de download do Teams. Quando a vítima clica no anúncio, é redirecionada para uma página falsa, onde, ao tentar baixar o software, seu dispositivo é infectado por dois malwares: OysterLoader e Latrodectus. Esses malwares permitem que os cibercriminosos acessem remotamente o aparelho da vítima, criptografando seus dados e abrindo portas para outros golpes digitais. A Rhysida já foi responsável por ataques significativos, como o que resultou no roubo de quase 600 GB de dados da Biblioteca Britânica em 2023. A campanha atual destaca a importância de cautela ao clicar em anúncios, mesmo em plataformas confiáveis como o Bing, e reforça a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

O Google revelou a descoberta de um novo malware chamado PROMPTFLUX, que utiliza um script em Visual Basic (VBScript) para interagir com a API do modelo de inteligência artificial Gemini. Este malware é capaz de gerar seu próprio código-fonte, permitindo técnicas de ofuscação e evasão em tempo real, o que dificulta a detecção por sistemas de segurança baseados em assinaturas estáticas. A funcionalidade inovadora do PROMPTFLUX é parte de um componente denominado ‘Thinking Robot’, que consulta periodicamente o modelo de linguagem Gemini para obter novas técnicas de evasão. Embora atualmente o malware não tenha capacidade de comprometer redes ou dispositivos, sua evolução e a possibilidade de auto-modificação indicam um potencial de ameaça crescente. O Google também observou que atores maliciosos estão utilizando IA não apenas para aumentar a produtividade, mas para desenvolver ferramentas que se adaptam durante a execução. Além disso, o uso de IA por grupos patrocinados por estados, como os da China e Irã, para criar conteúdo enganoso e desenvolver infraestrutura técnica para exfiltração de dados, destaca a crescente sofisticação das ameaças cibernéticas. A expectativa é que o uso de IA por atores maliciosos se torne a norma, aumentando a velocidade e a eficácia de suas operações.

O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Os ciberataques estão se tornando cada vez mais inteligentes e difíceis de prevenir. Recentemente, hackers utilizaram ferramentas discretas e exploraram falhas de segurança recém-descobertas, atacando sistemas confiáveis e aproveitando-se de vulnerabilidades em questão de horas. As ameaças incluem espionagem, fraudes em empregos, ransomware avançado e phishing complexo, colocando até mesmo backups criptografados em risco. Um dos principais incidentes desta semana foi a exploração de uma falha crítica no Motex Lanscope Endpoint Manager, atribuída a um ator de espionagem cibernética suspeito da China, que implantou uma backdoor chamada Gokcpdoor em redes-alvo. Além disso, ataques de hackers russos à Ucrânia destacaram o uso de ferramentas administrativas comuns para roubo de dados, enquanto um novo malware bancário para Android, chamado Herodotus, imita o comportamento humano para evitar detecções. O ransomware Qilin também se destacou por utilizar o Windows Subsystem for Linux para lançar ataques em sistemas Windows, aumentando sua eficácia. A rápida exploração de vulnerabilidades, como as listadas na lista de CVEs críticos da semana, ressalta a necessidade urgente de ações corretivas por parte das organizações.

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

Nos últimos tempos, a popularidade dos QR Codes cresceu, especialmente em locais públicos, onde muitos usuários os escaneiam em busca de conteúdos divertidos. No entanto, essa prática pode ser extremamente arriscada. Cibercriminosos estão utilizando QR Codes falsos para aplicar golpes, como phishing, que visam roubar dados pessoais e financeiros. Um exemplo comum é o uso de QR Codes que prometem ‘Wi-Fi Grátis’, mas que redirecionam os usuários para sites fraudulentos que imitam páginas legítimas, capturando informações sensíveis. Além disso, os golpistas podem induzir vítimas a realizar transferências financeiras erradas por meio de códigos falsos, como no caso do golpe do Pix. Outro risco é a instalação de malwares, que podem comprometer dispositivos móveis ao baixar arquivos maliciosos. Os QR Codes também podem conectar usuários a redes Wi-Fi maliciosas, permitindo que criminosos monitorem o tráfego de dados. Por fim, mesmo que menos grave, o direcionamento para conteúdos impróprios pode causar constrangimento. Portanto, é fundamental ter cautela ao escanear QR Codes desconhecidos, especialmente em ambientes públicos.

O crescimento explosivo de aplicativos móveis impulsionados por IA criou um ambiente propício para cibercriminosos que exploram a confiança nas marcas. Pesquisadores da Appknox identificaram um aumento preocupante de clones falsos do ChatGPT, DALL·E e WhatsApp em lojas de aplicativos alternativas, que utilizam marcas conhecidas para enganar usuários e comprometer dispositivos empresariais. Em 2024, aplicativos relacionados à IA representaram 13% de todos os downloads globais, totalizando 17 bilhões, tornando-se alvos atraentes para ataques. As ameaças variam de adware oportunista a infraestruturas de spyware. Um exemplo alarmante é o WhatsApp Plus, que se disfarça como uma versão aprimorada do mensageiro, mas contém malware que solicita permissões extensivas, permitindo que atacantes interceptem códigos de autenticação e acessem contatos. A análise de tráfego de rede revelou técnicas de mascaramento de tráfego malicioso. Para ambientes corporativos, as implicações são catastróficas, com riscos de violação de normas como GDPR e HIPAA, podendo resultar em multas milionárias. Os pesquisadores ressaltam que os mecanismos tradicionais de verificação de aplicativos falham em prevenir ameaças pós-lançamento, destacando a necessidade de monitoramento contínuo e educação dos usuários sobre downloads seguros.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

A Eclipse Foundation, responsável pelo projeto Open VSX, anunciou a revogação de alguns tokens que foram acidentalmente expostos em extensões do Visual Studio Code (VS Code) publicadas no marketplace. Essa medida foi tomada após um relatório da empresa de segurança em nuvem Wiz, que identificou que várias extensões, tanto do marketplace da Microsoft quanto do Open VSX, expuseram seus tokens de acesso em repositórios públicos. Mikaël Barbero, chefe de segurança da Eclipse Foundation, afirmou que as exposições foram causadas por erros dos desenvolvedores e não por uma violação da infraestrutura do Open VSX. Para mitigar riscos futuros, a Open VSX implementou um novo formato de prefixo para tokens e está reduzindo os limites de tempo de vida dos tokens por padrão. Além disso, a fundação está automatizando a verificação de extensões no momento da publicação para detectar padrões de código malicioso. O incidente destaca a importância da segurança da cadeia de suprimentos, que é uma responsabilidade compartilhada entre desenvolvedores e mantenedores de registros. O número de downloads reportados de 35.800 pode estar inflacionado devido a bots, segundo Barbero.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

O cenário de cibersegurança está em constante evolução, com atacantes focando em alvos de alto impacto e explorando novas vulnerabilidades. Recentemente, o Hijack Loader foi utilizado em campanhas de phishing na América Latina, especificamente na Colômbia, onde e-mails falsos relacionados ao escritório do Procurador Geral foram enviados para disseminar o PureHVNC RAT. Além disso, um ex-empregado de um contratante de defesa dos EUA foi condenado por vender segredos comerciais a um corretor russo, recebendo pagamentos em criptomoedas. A Europol alertou sobre o aumento da fraude global impulsionada por chamadas com identificação falsa, que causam perdas estimadas em 850 milhões de euros anualmente. Em resposta a essas ameaças, o Google anunciou que o Chrome passará a usar HTTPS como padrão a partir de abril de 2026, visando aumentar a segurança dos usuários. Por fim, uma avaliação da segurança cibernética do setor energético dos EUA revelou uma exposição significativa à internet, com quase 40 mil hosts vulneráveis. Esses eventos destacam a necessidade urgente de ações proativas por parte das organizações para proteger seus ativos digitais.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e a VulnCheck alertaram sobre a exploração ativa de vulnerabilidades críticas em produtos da Dassault Systèmes, especificamente no DELMIA Apriso, e no XWiki. As falhas incluem a CVE-2025-6204, uma vulnerabilidade de injeção de código com pontuação CVSS de 8.0, e a CVE-2025-6205, uma falha de autorização ausente com pontuação de 9.1, ambas afetando versões do DELMIA Apriso de 2020 a 2025. A CVE-2025-24893, com pontuação CVSS de 9.8, permite a execução remota de código por usuários convidados no XWiki. Essas vulnerabilidades foram abordadas pela Dassault Systèmes em agosto de 2025, mas a exploração continua ativa, com tentativas de ataque relatadas desde março de 2025. Os ataques têm como alvo a instalação de mineradores de criptomoedas, utilizando um processo em duas etapas. A CISA exige que várias agências federais remedeiem as falhas até 18 de novembro de 2025. Dada a gravidade e a exploração ativa dessas vulnerabilidades, é crucial que os usuários apliquem as atualizações necessárias imediatamente.

Pesquisadores de cibersegurança descobriram um conjunto de 10 pacotes npm maliciosos que têm como objetivo roubar informações de sistemas Windows, Linux e macOS. Esses pacotes, que foram carregados no repositório em 4 de julho de 2025, acumulam mais de 9.900 downloads. Eles se disfarçam como bibliotecas populares, como TypeScript e discord.js, e utilizam quatro camadas de ofuscação para esconder seu código malicioso. Após a instalação, o malware exibe um CAPTCHA falso para parecer legítimo e captura o endereço IP da vítima, enviando-o para um servidor externo. O malware, que é ativado automaticamente durante a instalação, coleta credenciais de gerenciadores de senhas, navegadores e serviços de autenticação, armazenando essas informações em um arquivo ZIP que é enviado para o servidor do atacante. O uso de técnicas de ofuscação complexas dificulta a análise do código, permitindo que o malware opere sem ser detectado. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger desenvolvedores e suas máquinas contra ameaças emergentes.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Pesquisadores da Infoblox descobriram que o Universe Browser, um navegador popular na China, é na verdade um malware que espiona os usuários. Promovido como uma ferramenta segura e focada em privacidade, o software registra tudo o que o usuário digita, altera configurações de rede e instala programas ocultos. O grupo criminoso por trás do navegador, conhecido como Vault Viper, está ligado a atividades de jogos de azar ilegais e crime organizado no Sudeste Asiático. O navegador, que se disfarça como uma alternativa segura a navegadores tradicionais, tem milhões de usuários que acreditam estar protegidos, mas na realidade, seu tráfego é monitorado por servidores na China. A análise técnica revela que o Universe Browser utiliza técnicas de evasão para evitar detecções e compromete a segurança do sistema, desabilitando recursos cruciais e permitindo acesso remoto aos cibercriminosos. A situação é um alerta para usuários que buscam privacidade online, enfatizando a importância de desconfiar de softwares que prometem segurança e anonimato, especialmente aqueles distribuídos em sites de jogos de azar. Para se proteger, é essencial baixar aplicativos apenas de desenvolvedores confiáveis e verificar a reputação dos softwares antes da instalação.

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

Em setembro de 2025, uma nova campanha de ciberespionagem, atribuída ao grupo SideWinder, visou uma embaixada europeia em Nova Délhi e diversas organizações em Sri Lanka, Paquistão e Bangladesh. Os ataques, que ocorreram em quatro ondas de phishing entre março e setembro, utilizam uma cadeia de infecção baseada em arquivos PDF e ClickOnce, além de vetores de exploração do Microsoft Word. Os e-mails de phishing continham documentos maliciosos com títulos como ‘Credenciais da reunião interministerial.pdf’, disfarçados para parecerem legítimos. Ao abrir os arquivos, os usuários eram induzidos a baixar um aplicativo que, na verdade, instalava um DLL malicioso, o DEVOBJ.dll, que carregava o malware StealerBot. Este malware é capaz de coletar informações sensíveis, como senhas e capturas de tela. A evolução das técnicas de ataque do SideWinder demonstra sua adaptabilidade e sofisticação, refletindo um entendimento profundo dos contextos geopolíticos. A utilização de malware personalizado e a exploração de aplicações legítimas para evasão de segurança reforçam a necessidade de vigilância constante por parte das organizações.

Uma falha de segurança no Google Chrome, identificada como CVE-2025-2783, foi explorada em uma campanha de espionagem chamada Operation ForumTroll, que visou organizações na Rússia. A vulnerabilidade, que possui um CVSS de 8.3, permitiu que atacantes enviassem e-mails de phishing com links maliciosos que, ao serem clicados, ativavam um exploit para escapar do sandbox do navegador. Isso possibilitou a entrega de um spyware desenvolvido pela Memento Labs, chamado LeetAgent, que se conecta a um servidor de comando e controle para executar uma variedade de tarefas, incluindo a coleta de dados sensíveis. Os ataques foram direcionados a instituições de mídia, universidades e órgãos governamentais, com o objetivo de espionagem. A Memento Labs, formada pela fusão de empresas com histórico de venda de ferramentas de vigilância, tem suas operações ligadas a um grupo APT conhecido como ForumTroll. A exploração da falha foi documentada desde fevereiro de 2024, e a Kaspersky observou que a operação é caracterizada por um alto nível de sofisticação e direcionamento específico, com indícios de que os atacantes não são nativos russos. A situação destaca a necessidade urgente de atenção à segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.