A semana reuniu exploração ativa em infraestrutura de rede, chaves de nuvem expostas, campanhas com backdoors, botnets, phishing, ransomware e novos padrões de abuso de IA.
| Componente | Cisco Catalyst SD-WAN Controller, Cisco Catalyst SD-WAN Manager, Google Cloud API keys com Gemini API, Claude Code, Ivanti Connect Secure, n8n, Tenda routers, Android apps, Google Firebase e ambientes RDP/VPN expostos. |
| Vetor | Requisições criadas para bypass de autenticação, chaves públicas reaproveitadas por serviços sensíveis, configurações controladas por repositório, phishing, abuso de serviços legítimos, credenciais fracas em RDP/VPN e exploração de vulnerabilidades conhecidas. |
| Impacto | Administração indevida em SD-WAN, comunicação C2 por serviços confiáveis, execução remota de código, roubo de chaves de API, botnets IoT, coleta de credenciais, fraude publicitária, ransomware e persistência latente em appliance comprometido. |
| Prioridade | Corrigir os produtos citados, revisar exposição de VPN e RDP, auditar chaves de nuvem e IA, bloquear apps e SDKs suspeitos, investigar telemetria de endpoint, DNS, proxy, identidade, CI/CD e appliances de borda. |
| Artefatos | CVE-2026-20127, GRIDTIDE, Dohdoor, PlugX, Bright SDK, Zerobot, GTFire, RESURGE, Genisys, C77L e RingH23 aparecem como artefatos técnicos no contexto. |
A semana expõe uma combinação de risco em infraestrutura, nuvem, identidade, ferramentas de desenvolvimento, dispositivos móveis, IoT e serviços de IA. O ponto mais crítico é a exploração ativa de CVE-2026-20127 em Cisco Catalyst SD-WAN Controller e Catalyst SD-WAN Manager, uma falha de severidade máxima que permite a um atacante remoto não autenticado contornar autenticação e obter privilégios administrativos por meio de uma requisição especialmente criada. A atividade maliciosa associada remonta a 2023 e é acompanhada como UAT-8616.
O panorama também inclui abuso de APIs legítimas, chaves de nuvem expostas com acesso a endpoints de Gemini, backdoors que usam DNS-over-HTTPS ou Google Sheets API para comunicação, exploração de automação n8n e roteadores Tenda por botnet baseada em Mirai, campanhas ClickFix, phishing hospedado em serviços confiáveis, fraude publicitária em Android e ransomware contra ambientes com RDP e VPN expostos. O valor operacional para defesa está na correlação: muitos casos dependem de recursos aparentemente normais, como APIs, push notifications, repositórios, SDKs, navegadores embutidos, proxies residenciais e endpoints administrativos publicados.
CVE-2026-20127 afeta Cisco Catalyst SD-WAN Controller e Catalyst SD-WAN Manager, anteriormente conhecidos como vSmart e vManage. A condição relatada permite bypass de autenticação e elevação direta a privilégios administrativos em sistema afetado, sem credenciais válidas. O vetor descrito é remoto e depende de uma requisição criada para acionar a falha, o que torna appliances expostos ou acessíveis por redes não confiáveis prioridade máxima de correção.
A exploração em ambiente real foi associada a uma atividade monitorada como UAT-8616, descrita como sofisticada, com sinais posteriores de pós-comprometimento. Para defesa, a prioridade é validar versão e correção, revisar logs de autenticação administrativa, procurar alterações inesperadas de configuração, contas novas, sessões administrativas fora de padrão e mudanças em políticas de roteamento ou conectividade SD-WAN.
A lista semanal de correções inclui falhas em SolarWinds Serv-U, Cisco Catalyst SD-WAN, jsPDF, HPE Telco Service Activator, Broadcom VMware Aria Operations, Google Chrome, CryptoPro Secure Disk for BitLocker, Zyxel, Trend Micro Apex One, ServiceNow AI Platform, telnetd, Juniper Networks Junos OS, Gardyn Home Kit, FreeBSD, Akamai, Angular e Samsung Tizen OS. O contexto não detalha impacto individual de cada CVE, portanto a ação defensiva deve se concentrar em inventário, priorização por exposição e validação de correção oficial.
Equipes de vulnerabilidade devem cruzar os identificadores recebidos com ativos internet-facing, appliances de borda, navegadores corporativos, plataformas de serviço, componentes JavaScript e sistemas usados em operação crítica. Como há uma falha de SD-WAN já explorada no mesmo conjunto, a priorização não deve depender apenas de pontuação: exposição de gerenciamento, autenticação fraca, presença em perímetro e capacidade de impacto administrativo devem pesar na triagem.
CVE-2026-20127aparece com exploração ativa e impacto administrativo em SD-WAN.CVE-2026-25755envolve jsPDF, componente que pode aparecer em aplicações web e fluxos de geração de documentos.CVE-2026-3061,CVE-2026-3062eCVE-2026-3063envolvem Google Chrome e exigem atenção a estáções de trabalho.
Uma operação atribuída a UNC2814 foi interrompida com apoio de parceiros da indústria após atingir pelo menos 53 organizações em 42 países. O grupo é descrito como ligado à China e com foco histórico em governos internacionais e telecomunicações na África, Ásia e Américas. O componente central é o backdoor GRIDTIDE, que abusa da Google Sheets API como canal de comunicação para disfarçar tráfego de C2 e transferir dados brutos e comandos de shell.
A escolha por telecomunicações aumenta o risco porque esse setor concentra metadados sensíveis, acesso operacional a redes e, em alguns ambientes, infraestrutura relacionada a interceptação legal. Para hunting, o foco deve estar em uso incomum de Google Sheets API por servidores, hosts sem perfil de automação legítima, padrões de transferência entre endpoints internos e serviços Google, além de execuções de comandos vinculadas a processos que não deveriam atuar como clientes de API.
Chaves de API do Google Cloud expostas em código JavaScript público passaram a representar risco maior quando a Gemini API era habilitada no mesmo projeto. O problema descrito fazia com que chaves já existentes ganhassem acesso a endpoints sensíveis de Gemini sem aviso claro, permitindo acesso a arquivos enviados, dados em cache e consumo indevido com cobrança de uso de LLM. O problema foi corrigido pelo provedor.
A resposta defensiva deve incluir rotação de chaves expostas, revisão de projetos com Generative Language API habilitada, separação de chaves por finalidade, restrição por origem e API, além de auditoria de consumo anômalo. A telemetria relevante inclui chamadas para endpoints de Gemini feitas por chaves originalmente usadas como identificadores de projeto, picos de cobrança, acessos a arquivos carregados e uso fora de padrões esperados para aplicações públicas.
O cluster UAT-10027 foi associado a uma campanha em andamento contra educação e saúde nos Estados Unidos desde pelo menos dezembro de 2025. O objetivo observado é implantar o backdoor Dohdoor, que usa DNS-over-HTTPS para C2 e pode baixar e executar outros binários de forma reflexiva. O contexto não confirma exfiltração de dados, e o único payload final observado além do backdoor aparenta ser Cobalt Strike Beacon.
A hipótese de motivação financeira decorre do padrão de vítimas, mas a atribuição operacional permanece limitada pelo que foi observado. Equipes de DFIR devem procurar consultas DoH incomuns, execução em memória de binários, conexões para resolvedores fora do padrão corporativo, processos com comportamento de beaconing e artefatos compatíveis com Cobalt Strike em ambientes de hospitais, universidades e organizações educacionais.
Falhas no Claude Code permitiam, sob determinadas condições, execução remota de código e roubo de chaves de API por meio de configurações maliciosas injetadas em repositórios. O cenário depende de um desenvolvedor clonar e abrir um projeto não confiável, permitindo que arquivos controlados pelo repositório interfiram no fluxo da ferramenta. As correções foram aplicadas entre setembro de 2025 e janeiro de 2026.
O risco é típico de supply chain em ambiente de desenvolvimento: um commit malicioso pode transformar configuração em caminho de execução e comprometer a máquina de quem trabalha no repositório. A mitigação envolve atualização da ferramenta, bloqueio de execução automática baseada em configuração de projeto não confiável, isolamento de repositórios externos, revisão de chaves de API em máquinas de desenvolvimento e monitoramento de processos iniciados por ferramentas de IA.
Novas atividades atribuídas a UNC6384 usam STATICPLUGIN, um downloader assinado digitalmente, para entregar variantes atualizadas de PlugX por DLL side-loading. A distribuição ocorre por e-mails de phishing com iscas de convite de reunião ou por falsas atualizações de software. A técnica combina confiança em binários assinados, carregamento lateral de DLL e conteúdo socialmente plausível.
A defesa deve observar execução de binários legítimos em diretórios incomuns, carregamento de DLL fora do caminho esperado, anexos ou links relacionados a reuniões e instaladores de atualização que não passam por canais oficiais. Em resposta, isole hosts com evidência de side-loading, preserve artefatos de pré-carregamento, revise persistência e investigue comunicações externas iniciadas logo após a execução do downloader.
Contas de ChatGPT foram removidas por uso em operações de influência, phishing, desenvolvimento de malware, reconhecimento sobre pessoas nos Estados Unidos e locais de prédios federais, golpes românticos e operações de influência russa na África. Um caso possível ligado a inteligência chinesa envolveu uso da ferramenta para influência encoberta contra alvos domésticos e estrangeiros. Em outro caso, uma rede de golpes no Camboja combinava prompts manuais e chatbot automatizado para atrair vítimas.
Também houve pesquisa sobre movimento lateral induzido por IA, no qual campos ignorados por humanos, mas consumidos por agentes, podem carregar injeções de prompt. O risco nasce quando saídas de ferramentas retornam ao modelo e são interpretadas como instruções. Para defesa, agentes de IA devem operar com permissões mínimas, validação de origem, separação rígida entre dados e instruções, registros de chamadas de ferramenta e revisão de campos externos antes de alimentar modelos com capacidade de ação.
Autoridades russas abriram investigação criminal contra Pavel Durov, fundador e CEO do Telegram, alegando facilitação de atividade terrorista por falha em responder a solicitações de remoção. O episódio ocorre no contexto de restrições ao Telegram na Rússia e pressão para migração a um aplicativo estatal. Embora seja um caso regulatório e político, ele afeta risco de disponibilidade e confiança em plataformas de comunicação usadas por organizações, jornalistas, ativistas e comunidades técnicas.
Em outro incidente, hackers não identificados assumiram o controle do aplicativo iraniano BadeSaba Calendar para enviar notificações push ao exército iraniano durante ataque conjunto dos Estados Unidos e de Israel. O app tinha mais de 5 milhões de downloads no Google Play. Para defesa móvel, o caso reforça a necessidade de proteger consoles de push notification, chaves de assinatura, contas de publicação, trilhas de auditoria de mensagens e dependências de backend que possam transformar um app legítimo em canal de influência.
Aplicativos de smart TV passaram a incluir o Bright SDK, que promete reduzir anúncios para usuários, mas transforma o dispositivo em nó de uma rede global de proxy usada para rastrear e coletar conteúdo da web. A empresa associada ao SDK afirma operar mais de 150 milhões de IPs residenciais em 195 países. O risco para organizações está no uso de IP residencial como origem de tráfego automatizado e na presença de dispositivos domésticos ou corporativos participando de atividades que o usuário não compreende.
Em ambientes corporativos, inventário de TVs, segmentação de rede e bloqueio de tráfego não essencial são controles práticos. Telemetria de DNS e proxy deve procurar televisores iniciando grandes volumes de conexões para destinos web variados, padrões de scraping e comunicação persistente com infraestrutura de SDK. Para equipes de privacidade, o ponto central é transparência de consentimento e impacto operacional de transformar endpoints de consumo em nós de rede.
Foram observadas famílias de infostealer como Arkanix, CharlieKirk GRABBER, ComSuon, DarkCloud, MawaStealer e MioLab, também chamado NovaStealer. Arkanix teria sido desenvolvido como experimento com assistência de LLM e promovido em fóruns clandestinos em outubro de 2025, antes de desaparecer no fim do mesmo ano. A relevância operacional está no ecossistema: logs de stealers são filtrados por domínio corporativo, empacotados e vendidos para acesso inicial.
A defesa não deve tratar stealer apenas como infecção individual. O impacto real aparece quando credenciais, cookies, tokens e dados de sessão são revendidos para corretores de acesso e operadores de ransomware. A resposta precisa incluir reset de senhas, revogação de sessões, rotação de tokens, reforço de MFA resistente a phishing, busca por logins impossíveis e análise de dispositivos pessoais usados para acesso corporativo.
Nova infraestrutura ligada à FUNNULL foi associada a evolução técnica em ataques contra serviços de CDN. Dois canais de infecção foram descritos: comprometimento de maccms[.]la para distribuir backdoor PHP por atualização e comprometimento de nó de gerenciamento GoEdge CDN para inserir módulo de infecção e propagar a suíte RingH23 para nós de borda via SSH. A campanha teria comprometido 10.748 endereços IP únicos, com predominância de sites de streaming de vídeo.
O risco combina supply chain, atualização de software e administração de CDN. Operadores devem revisar integridade de pacotes de atualização, chaves SSH, contas administrativas, módulos PHP, jobs de implantação e alterações em nós de borda. Como a propagação envolve infraestrutura de entrega de conteúdo, a contenção exige isolar painéis de gerenciamento, verificar imagens de base, reconstruir nós a partir de fontes confiáveis e auditar tráfego originado da borda.
Houve aumento de varreduras contra SonicWall SSL VPN entre 22 e 25 de fevereiro de 2026, com 84.142 sessões de scanning originadas de 4.305 IPs únicos em 20 sistemas autônomos. A maior parte das sessões sondava um único endpoint de API para determinar se SSL VPN estava habilitado, um passo de reconhecimento usado antes de ataques por credenciais. Parte relevante do volume veio de um provedor comercial de proxy com milhares de IPs rotativos.
A telemetria a ser revisada inclui acessos repetidos ao endpoint de verificação de SSL VPN, picos curtos de IPs residenciais ou proxies, erros de autenticação logo após sondagem e tentativas contra contas antigas. A mitigação passa por reduzir exposição pública quando possível, exigir MFA, bloquear origens de alto risco, revisar firmware, monitorar credenciais comprometidas e correlacionar scanning com login subsequente.
A operação de fraude publicitária Genisys envolveu 115 aplicativos Android que abriam sites em janelas de navegador ocultas para gerar receita por impressões. Mais de 500 domínios foram criados com auxílio de IA e se passavam por blogs, sites informativos ou páginas de notícias produzidas em escala. Os apps foram removidos pelo Google.
O impacto principal é monetização fraudulenta e uso indevido de recursos do dispositivo, mas a técnica também cria ruído de rede e superfícies para coleta adicional caso permissões sejam abusadas. Equipes móveis devem procurar apps removidos do catálogo, atividade de WebView em segundo plano, tráfego para muitos domínios recém-criados, consumo anômalo de bateria e dados, além de permissões incompatíveis com a função declarada do app.
A botnet Zerobot, baseada em Mirai, foi observada explorando CVE-2025-68613 na plataforma de automação de IA n8n e CVE-2025-7544 em roteadores Tenda. A atividade começou a ser detectada em janeiro de 2026. O interesse por n8n é relevante porque desloca botnets de dispositivos IoT tradicionais para uma plataforma de automação que pode ter integrações com sistemas internos, credenciais e fluxos operacionais.
A resposta defensiva deve priorizar atualização de n8n e roteadores Tenda, restrição de exposição pública, revisão de workflows, credenciais armazenadas e conexões de saída. Em hunting, procure processos inesperados em hosts de automação, tentativas de download de binários, tráfego de botnet, varredura interna originada do servidor n8n e alterações em fluxos que possam facilitar execução ou movimento dentro do ambiente.
Campanhas ClickFix foram associadas a diferentes cadeias, incluindo ataque hands-on-keyboard com implantação do ransomware Termite por Velvet Tempest, campanha OCRFix com sites que imitavam a ferramenta Tesseract OCR e repositórios falsos no GitHub imitando empresas de software para induzir instalação de infostealers como SHub Stealer v2.0. Em OCRFix, o malware usa EtherHiding para obter C2, enviar informações do sistema e aguardar instruções.
O padrão defensivo é tratar instruções de correção em páginas web, repositórios e falsos instaladores como possível engenharia social. Bloqueios devem combinar reputação de domínio, proteção contra scripts, inspeção de comandos omitidos em páginas de suporte falsas, análise de processos iniciados por navegadores e alerta para instalação de ferramentas não aprovadas após visitas a sites de correção ou OCR.
A campanha GTFire abusa de Google Firebase para hospedar páginas de phishing e de Google Translate para mascarar URLs maliciosas e contornar filtros de e-mail e web. A cadeia redireciona vítimas para páginas de login que imitam marcas; após o envio de credenciais, a vítima pode ser levada ao site legítimo da organização alvo, o que reduz suspeita e atrasa resposta. A campanha teria coletado milhares de credenciais associadas a mais de mil organizações em mais de cem países.
O ator por trás da operação está ativo desde pelo menos 1º de janeiro de 2022, com alvos proeminentes no México, Estados Unidos, Espanha, Índia e Argentina. Equipes de detecção devem monitorar links com redirecionamento por serviços confiáveis, acessos a páginas Firebase sem relação com fornecedores aprovados, logins logo após cliques em e-mails externos e aumento de autenticações em contas cujas credenciais possam ter sido capturadas.
A operação de ransomware C77L foi associada a pelo menos 40 ataques contra empresas russas e bielorrussas desde março de 2025, com avaliação de operação a partir do Irã. O acesso inicial ocorre por senhas fracas em endpoints RDP e VPN publicados. O alvo técnico predominante são sistemas Windows, refletindo a presença desse sistema em empresas pequenas e médias.
A mitigação é direta e urgente: retirar RDP da internet, exigir VPN com MFA forte, revisar senhas fracas, bloquear tentativas por força bruta, aplicar políticas de bloqueio, segmentar servidores Windows e validar backups. Logs de autenticação, eventos de criação de serviços, execução remota, uso de ferramentas administrativas e alterações em políticas de segurança devem ser preservados para investigação.
A CISA atualizou alerta sobre RESURGE, malware implantado em exploração de falha já corrigida em appliances Ivanti Connect Secure. O malware possui técnicas de evasão em nível de rede e autenticação, usa métodos criptográficos avançados e certificados TLS forjados para comunicação encoberta. Também pode permanecer latente até que um ator remoto tente se conectar ao dispositivo comprometido.
Appliances de borda exigem tratamento especial porque podem parecer estáveis enquanto mantêm implantes inativos. A resposta deve incluir aplicação de correções, verificação de integridade recomendada pelo fornecedor, revisão de certificados, análise de conexões TLS incomuns, coleta forense antes de reconstrução e rotação de credenciais que passaram pelo appliance. Quando houver suspeita, apenas reiniciar o equipamento não é contenção suficiente.
Uma operação coordenada liderada pela Europol deteve 30 indivíduos conectados à comunidade The Com, com outros 179 membros identificados. A rede descentralizada foi associada a doxxing, assédio, ameaças de violência, extorsão, exploração sexual, phishing, SIM swapping, ransomware e outros crimes digitais. O caso mostra sobreposição entre abuso social, fraude, intrusão e extorsão.
Na Polônia, autoridades desmantelaram grupo que usava phishing para controlar contas do Facebook e obter códigos BLIK de vítimas por mensagens. Onze membros foram identificados em atividades entre maio de 2022 e maio de 2024, seis suspeitos foram colocados em detenção preventiva e mais de 100.000 credenciais foram apreendidas. O fluxo combinava roubo de login, tomada de conta e engenharia social sobre contatos confiáveis.
Um atacante não atribuído teria usado o chatbot Claude para conduzir ataques contra órgãos do governo mexicano. Em cerca de um mês após o comprometimento inicial, dez órgãos governamentais e uma instituição financeira teriam sido afetados, com aproximadamente 195 milhões de identidades expostas e cerca de 150 GB de dados exfiltrados, incluindo registros fiscais, civis e eleitorais. A operação também teria criado um sistema automatizado para falsificar certificados fiscais oficiais usando dados vivos.
O caso é importante pela escala e pela coordenação de IA com análise externa: a operação usou mais de 1.000 prompts e repassava informações regularmente ao GPT-4.1 para análise. As contas envolvidas foram banidas e a atividade interrompida. Para defesa, o foco deve estar em detecção de automação em aplicações governamentais, abuso de sistemas de consulta, geração anômala de documentos, grandes volumes de exportação e correlação entre exploração técnica e uso de IA como acelerador operacional.
A telemetria desta semana exige cobertura ampla: appliances de borda, VPN, RDP, endpoints de desenvolvedores, repositórios, serviços Google, DNS-over-HTTPS, logs de API, Android, smart TVs, CDN e fluxos de CI/CD. O fio comum é o abuso de recursos legítimos. Por isso, detecção baseada apenas em domínios maliciosos ou binários conhecidos terá lacunas; é necessário observar desvio de comportamento, perfil de conta, volume, origem, sequência de eventos e contexto de execução.
Em ambientes maduros, a triagem deve começar por ativos expostos e por componentes com credenciais de alto privilégio: SD-WAN, VPN, automação n8n, appliances Ivanti, painéis CDN, projetos Google Cloud com Gemini API e máquinas de desenvolvimento usando ferramentas de IA. A segunda camada deve procurar abuso de confiança: serviços Google como canal C2, Firebase e Translate em phishing, push notifications fora de processo, WebViews ocultas e SDKs que transformam dispositivos em proxy.
- Sessões administrativas, criação de contas e alterações de configuração em Cisco SD-WAN.
- Chamadas inesperadas para Google Sheets API, Gemini API, Firebase, Google Translate e DoH.
- Execução de binários por ferramentas de desenvolvimento ou por configurações controladas por repositório.
- Sondagem de SSL VPN SonicWall e autenticações subsequentes vindas de proxies ou IPs rotativos.
- WebViews ocultas, consumo anômalo de dados e tráfego para domínios gerados em escala em Android.
- Conexões TLS incomuns, certificados forjados ou atividade latente em Ivanti Connect Secure.
A ordem de resposta deve priorizar correções com exploração ativa e ativos expostos. CVE-2026-20127 em Cisco SD-WAN deve ser tratada como emergência quando o ambiente usa os componentes afetados. Em paralelo, revise a lista de CVEs citada contra inventário real, especialmente produtos de perímetro, navegadores, plataformas de serviço e bibliotecas usadas por aplicações. Para n8n e Tenda, aplique correções, reduza exposição e revise se houve execução de binários ou alteração de workflows.
Para nuvem e IA, a mitigação exige governança de chaves e escopo de permissões: chaves públicas não devem herdar acesso sensível sem restrição, ferramentas de desenvolvimento não devem executar configuração de repositório sem confiança explícita, e agentes de IA precisam de isolamento, auditoria e permissões mínimas. Para phishing e malware, reforce bloqueios de redirecionamento, controle de instalação, resposta a credenciais roubadas e revogação de sessões. Para appliances, trate indicadores de persistência como incidente completo, com coleta, reconstrução e rotação de segredos.
- Aplicar correções dos produtos citados e validar exposição externa antes de encerrar a triagem.
- Rotacionar chaves de API expostas, revisar projetos com Gemini API e limitar escopo por serviço e origem.
- Remover RDP público, exigir MFA em VPN e monitorar força bruta e uso de credenciais vazadas.
- Isolar repositórios não confiáveis, atualizar Claude Code e investigar execução iniciada por ferramentas de IA.
- Auditar apps Android, smart TVs, SDKs, WebViews e tráfego de proxy residencial dentro da rede.
- Preservar logs de identidade, endpoint, DNS, proxy, API e appliance para correlação de pós-comprometimento.
0 Comentários