A semana combinou exposição de tokens em CI/CD, rootkits Linux, intrusões com agentes de IA, ransomware, fraude móvel, pacotes maliciosos e interrupção nacional causada por exploração em roteadores corporativos.
| Componente | Fluxos de CI/CD, Linux, roteadores corporativos, Microsoft 365, Azure, pacotes Go e npm, Android, Telegram, Steam, ambientes OT e dados de cartões. |
| Vetor | Abuso de tokens em logs, engenharia social, pacotes comprometidos, DNS como canal de comando, phishing, aplicações móveis fora da loja oficial, exploração de roteador e uso de recursos legítimos de nuvem. |
| Impacto | Exfiltração de dados, execução remota de comandos, persistência, fraude financeira, sequestro de contas, interrupção de telecomunicações, roubo de credenciais e movimentação lateral. |
| Prioridade | Atualizar componentes afetados, revisar logs e segredos expostos, bloquear versões maliciosas, investigar identidades privilegiadas e validar alertas antigos em redes de TI e OT. |
| Artefatos | CVE-2026-45793, CVE-2026-8631, github.com/shopsprint/decimal, github.com/shopspring/decimal, art-template, template-web.js, GITHUB_TOKEN, ProxyChains, SSH, ScreenConnect, dnslog-cdn-images.freemyip.com. |
| Mitigação | Atualizar Composer para 2.9.8 ou 2.2.28, remover dependências comprometidas, rotacionar tokens potencialmente registrados em logs, bloquear domínios de carga externa e auditar ações administrativas em nuvem. |
A semana mostrou um padrão recorrente: várias intrusões e exposições não dependeram de exploração complexa no ponto inicial, mas do uso indevido de componentes confiáveis. Tokens de automação apareceram em logs, pacotes legítimos receberam versões maliciosas ou nomes parecidos, contas de mensagens foram capturadas por engenharia social, recursos administrativos de nuvem foram usados para controle de plano de gerenciamento e agentes de IA foram incorporados a fluxos de intrusão. O risco operacional aumenta porque esses vetores aparecem dentro de rotinas normais de desenvolvimento, suporte, identidade, impressão, comunicação e administração de infraestrutura.
O conjunto de incidentes também reforça a necessidade de tratar telemetria antiga como material de investigação, não apenas como ruído histórico. Em atividade atribuída a Sandworm, sistemas infectados já produziam alertas por dezenas de dias antes da atividade confirmada. Em pacotes Go e npm, o caminho de execução dependeu de resolução de dependência, cache, proxy de registro e código carregado em navegador. Em nuvem, a cadeia de ataque usou MFA induzido por engenharia social, redefinição de senha e recursos legítimos do Azure para alcançar ambientes de produção, cofres de chave e contas de armazenamento.
O gerenciador de dependências Composer corrigiu a vulnerabilidade CVE-2026-45793, com pontuação CVSS 7.5, que podia expor o conteúdo integral de tokens GITHUB_TOKEN emitidos pelo GitHub Actions ou tokens de instalação de GitHub App nos logs de execução. O problema surgiu após uma alteração no formato desses tokens, que passou a incluir hífen. A validação do Composer falhava nesse novo formato e a falha resultava na divulgação do segredo em logs de pipeline.
O impacto é direto em ambientes CI/CD: se logs de execução forem acessíveis a usuários internos amplos, sistemas de observabilidade, artefatos de build, integrações de terceiros ou contas comprometidas, o token pode permitir leitura ou alteração de repositórios e automações conforme as permissões concedidas pelo workflow. A ação defensiva é atualizar para Composer 2.9.8 ou 2.2.28 LTS, suspender temporariamente workflows que executem comandos do Composer até a atualização e rotacionar tokens que possam ter sido registrados.
Novos artefatos do rootkit de userland OrBit indicam manutenção ativa desde a análise pública inicial de 2022. O malware preserva capacidades voltadas a persistência, evasão e acesso remoto, incluindo hook de funções críticas, suporte a acesso via SSH, coleta de credenciais e registro de comandos TTY. A evolução observada inclui duas linhagens: uma mais completa, próxima da amostra original, e uma variante reduzida que remove domínios de capacidade como PAM, pcap e ocultação de portas TCP para diminuir o tamanho e a superfície detectável.
A operação também envolve rotação de chaves XOR, mudança de caminhos de instalação, alteração de credenciais de backdoor, hooks para evasão de auditd e uma primitiva de impersonação PAM no lado de serviço. O uso por Blockade Spider em campanhas associadas ao ransomware Embargo torna o rootkit relevante para DFIR em servidores Linux expostos, ambientes de salto e hosts com acesso a dados sensíveis. Caça deve priorizar bibliotecas carregadas fora do padrão, modificações em fluxos PAM, comandos TTY suspeitos, processos com conexões SSH anômalas e discrepâncias entre listagens de portas por ferramentas locais e varreduras externas.
Duas campanhas identificadas como SHADOW-AETHER-040 e SHADOW-AETHER-064 usaram agentes de IA em operações contra governos e organizações financeiras na América Latina. Em vez de depender apenas de ferramentas prontas, os operadores estabeleceram túneis de tráfego para sistemas de vítimas e permitiram que agentes executassem atividades dentro das redes internas por ProxyChains e SSH. Os modelos geraram scripts e ferramentas sob demanda, reduzindo a dependência de assinaturas conhecidas e acelerando reconhecimento, adaptação e desenvolvimento de exploração.
SHADOW-AETHER-040, ligado a um operador hispanofalante, comprometeu seis entidades governamentais no México entre 27 de dezembro de 2025 e 4 de janeiro de 2026. Em um caso monitorado como TAT26-12, houve tentativa malsucedida de alcançar ambiente de tecnologia operacional em uma concessionária municipal de água e drenagem em janeiro de 2026. SHADOW-AETHER-064, associado a um grupo lusófono, está ativo desde abril e mirou organizações financeiras no Brasil. A defesa precisa correlacionar túneis não autorizados, criação rápida de ferramentas em diretórios temporários, uso de contas interativas fora do padrão e comandos que indiquem tentativa de transpor fronteiras IT-OT.
A atividade atribuída a Storm-2949 explorou engenharia social em torno do processo de Self-Service Password Reset, induzindo vítimas a concluir prompts de MFA. Os alvos incluíram pessoal de TI e liderança sênior, escolhidos pelo valor das identidades após o comprometimento. A cadeia resultou em exfiltração de dados de aplicações Microsoft 365, serviços de hospedagem de arquivos e ambientes de produção no Azure.
A operação não dependeu de malware tradicional no ponto principal. Após obter identidade útil, o operador fez descoberta, instalou ScreenConnect, tentou desativar proteções do Microsoft Defender Antivirus e abusou de funções legítimas de gerenciamento do Azure para alcançar plano de controle e plano de dados. A investigação deve revisar eventos de SSPR, prompts MFA incomuns, mudanças de métodos de autenticação, criação de sessões administrativas, execução remota em VMs, acesso a Key Vaults e leitura de contas de armazenamento por identidades que não executavam essas ações regularmente.
O módulo Go github.com/shopsprint/decimal foi identificado como typosquat de github.com/shopspring/decimal. A biblioteca falsa havia sido publicada em novembro de 2017 e recebeu funcionalidade maliciosa em agosto de 2023 na versão v1.3.3. O código consulta registros TXT de dnslog-cdn-images.freemyip.com a cada cinco minutos com net.LookupTXT; cada valor retornado é passado diretamente para os/exec.Command, criando um canal de comando por DNS. Mesmo com o repositório e a conta removidos, o pacote continuava disponível via proxy.golang.org.
No ecossistema npm, o pacote art-template, com cerca de 26 mil downloads semanais, foi comprometido por tomada de conta de mantenedor. Versões 4.13.3 a 4.13.6 inseriram código não autorizado em template-web.js para carregar JavaScript externo de domínios de terceiros. O fluxo observável injeta rastreamento Baidu em visitantes e direciona usuários de iPhone por uma cadeia de iframes ocultos até carga ofuscada associada ao Coruna exploit kit. Equipes devem bloquear essas versões, revisar lockfiles, caches internos, imagens de build, artefatos publicados e páginas que empacotaram o bundle de navegador durante a janela de comprometimento.
A exploração de uma vulnerabilidade zero day em software de roteadores corporativos Huawei foi ligada a uma interrupção nacional de telecomunicações em Luxemburgo em 23 de julho de 2025. O incidente afetou comunicações móveis, fixas e de emergência por mais de três horas. A exploração teria colocado roteadores empresariais em um ciclo contínuo de reinicialização, derrubando partes da infraestrutura da POST Luxembourg. Não há detalhes técnicos públicos sobre a falha nem confirmação disponível sobre correção, o que limita hunting por artefato específico e desloca a defesa para resiliência, telemetria de plano de controle e gestão de configuração.
A HP corrigiu CVE-2026-8631, uma falha crítica de heap-based buffer overflow no HPLIP, com CVSS 9.3. Como o HPLIP integra a arquitetura de impressão Linux por meio do CUPS, um atacante sem autenticação na rede ou um usuário local de baixo privilégio pode acionar a condição com um trabalho de impressão especialmente criado. A exploração bem-sucedida permite execução arbitrária de comandos no host, exposição de documentos no spool de impressão e ponto inicial para movimentação lateral. A mitigação exige aplicar as correções da HP, restringir impressão remota, segmentar servidores CUPS e revisar logs de jobs com origem, usuário e conteúdo fora do padrão.
O trojan bancário brasileiro Banana RAT diverge da tradição de malware latino-americano em Delphi. A amostra descrita é um cliente inteiramente em PowerShell, controlado por um mecanismo polimórfico em servidor Python com FastAPI. Depois de ativo, oferece controle remoto de entrada, keylogging, monitoramento de área de transferência, streaming de tela, overlays falsos e interceptação de QR Code Pix. O malware monitora títulos de janelas em primeiro plano e apresenta sobreposições de coleta de credenciais quando identifica sites em uma lista com mais de 30 bancos e corretoras de criptoativos.
A campanha Android Premium Deception conduziu fraude de cobrança por operadora com abuso de SMS premium em Malásia, Tailândia, Romênia e Croácia entre março de 2025 e janeiro de 2026. Mais de 250 aplicações maliciosas filtravam vítimas por operadora móvel e inscreviam usuários em serviços pagos sem consentimento. Metadados de dispositivo e confirmações de assinatura eram enviados por canal de exfiltração baseado em Telegram. Quando o dispositivo não pertencia a uma operadora alvo, o malware exibia conteúdo benigno para reduzir suspeita. A distribuição ocorreu por plataformas sociais como Facebook e TikTok, sem evidência de circulação pela Google Play Store.
Uma campanha de smishing voltada ao Telegram usou mensagens SMS com alegações de problemas de segurança inexistentes para levar vítimas a páginas de phishing. O objetivo era coletar número de telefone e códigos de login, permitindo tomada de conta. Depois do comprometimento, chats, informações pessoais e contatos podem ser expostos ou usados em novas fraudes. A defesa depende de bloqueio de domínios, treinamento específico sobre códigos de login, revisão de sessões ativas e alertas para mensagens que imitam suporte da plataforma.
Outra campanha usou iscas de fatura para entregar arquivos maliciosos que executam JavaScript. O código armazena comandos decodificados em variáveis de ambiente e aciona um loader .NET esteganográfico chamado PawsRunner. Esse loader extrai dados cifrados escondidos em uma imagem de gato para instalar o infostealer PureLogs. A versão observada usa padrões assíncronos com async e await, o que melhora eficiência de tarefas e dificulta análise. Hunting deve procurar execução de scripts a partir de anexos, criação incomum de variáveis de ambiente, processos .NET filhos de interpretadores de script e conexões após abertura de imagens usadas como contêiner.
O marketplace B1ack's Stash anunciou download gratuito de 4,6 milhões de registros de cartões roubados. O conjunto inclui números completos, datas de expiração, códigos CVV2, nomes de titulares, endereços de cobrança, e-mails, telefones e endereços IP. Aproximadamente 4,3 milhões de registros foram descritos como novos e utilizáveis para fraude, com vítimas principalmente dos Estados Unidos, Canadá, Reino Unido, França e Malásia.
O FBI também informou perdas superiores a 388 milhões de dólares em 2025 relacionadas a golpes com quiosques de criptomoedas, também chamados de crypto ATMs ou Bitcoin ATMs. Criminosos conduzem vítimas até esses terminais para converter dinheiro em criptoativos enviados a carteiras sob controle do fraudador. Em paralelo, ataques físicos coercitivos contra detentores de criptomoedas cresceram 75% em 2025, com 72 casos confirmados no mundo e 41 milhões de dólares em perdas conhecidas. Instituições financeiras, corretoras e equipes antifraude devem cruzar alertas de engenharia social, transações em quiosques, mudanças de comportamento de saque e relatos de coerção.
A família de ransomware Gunra atingiu cinco empresas sul-coreanas desde sua descoberta em abril de 2025. Inicialmente, o operador usava ransomware baseado em Conti; após migrar para um modelo RaaS, passou a usar ransomware próprio. Até março de 2026, o grupo reivindicava 32 vítimas. Para resposta, é importante separar telemetria de acesso inicial, execução do criptografador e movimentação lateral, pois a transição de código derivado para ferramenta própria pode alterar assinaturas sem mudar objetivos operacionais.
Em ambientes de tecnologia operacional, foram detectados 29 eventos entre julho de 2025 e janeiro de 2026 identificados como atividade Sandworm. Em dez clientes, 17 máquinas infectadas executaram movimentação lateral contra 923 alvos internos únicos. A atividade continuou usando cadeias antigas e conhecidas, incluindo EternalBlue, DoublePulsar e WannaCry. O ponto mais relevante para operação defensiva é que todos os sistemas infectados produziram de 20 a 155 dias de alertas antes da atividade confirmada. Isso exige revisão de backlog de alertas, priorização por ativos com conectividade lateral e validação de patches antigos em redes segmentadas.
A caça deve começar por artefatos com maior confirmação técnica. Em CI/CD, procurar execuções do Composer antes da atualização, logs contendo padrões de tokens GitHub e workflows com permissões amplas. Em Go, buscar github.com/shopsprint/decimal em go.mod, go.sum, caches de módulos, proxies internos e imagens de build. Em npm, identificar versões 4.13.3 a 4.13.6 de art-template em lockfiles e bundles que incluam template-web.js modificado.
Em identidade e nuvem, correlacionar eventos de SSPR, mudança de MFA, novos dispositivos, criação de sessões administrativas, uso de ScreenConnect, comandos de VM, acesso a Key Vaults e leitura atípica de storage. Em endpoint Linux, comparar bibliotecas carregadas, hooks PAM, atividade de auditd, shells remotos e TTY logging. Em rede, procurar consultas TXT recorrentes para dnslog-cdn-images.freemyip.com, túneis por SSH, uso de ProxyChains, conexões de aplicações móveis para canais Telegram e domínios de carga externa usados por pacotes JavaScript.
Para ambientes OT e telecom, a telemetria deve cobrir reinicializações em massa de roteadores, alterações de configuração, picos de perda de adjacência, falhas de plano de controle e tentativas de trânsito entre redes de TI e OT. O caso da concessionária de água mostra que a tentativa de identificar e alcançar ativos de infraestrutura crítica pode ocorrer depois de comprometimento de redes administrativas, mesmo quando a invasão do ambiente operacional não se concretiza.
GITHUB_TOKENou tokens de GitHub App presentes em logs de workflow.github.com/shopsprint/decimalem arquivosgo.mod,go.sumou cache de módulo.- Consultas TXT periódicas para
dnslog-cdn-images.freemyip.com. - Versões
4.13.3a4.13.6do pacoteart-template. - SSPR seguido de MFA, nova sessão administrativa e acesso a Key Vault ou storage.
- Uso incomum de
ProxyChains, túneisSSHe scripts recém-gerados em hosts internos. - Jobs CUPS vindos da rede com falhas, crashes ou execução de processos filhos inesperados.
A resposta deve priorizar correções com exploração direta e exposição de segredo. Atualize Composer para 2.9.8 ou 2.2.28, aplique correções do HPLIP para CVE-2026-8631, remova dependências comprometidas e invalide tokens que possam ter sido impressos em logs. Em registros internos, bloqueie a resolução de github.com/shopsprint/decimal, impeça versões maliciosas de art-template e faça nova geração de artefatos que tenham incorporado bundles afetados.
Em nuvem e identidade, reduza permissões de workflows, restrinja SSPR para fluxos monitorados, exija revisão de mudanças de MFA, limite acesso administrativo por função e monitore ações de plano de controle que alcancem VMs, Key Vaults e contas de armazenamento. Para Linux e impressão, restrinja CUPS por rede, desabilite exposição desnecessária de serviços, valide integridade de PAM e bibliotecas compartilhadas e trate servidores de impressão como ativos com capacidade de execução de código, não apenas periféricos.
Em campanhas com IA e OT, a contenção precisa focar o caminho operacional, não apenas o nome da ferramenta. Bloqueie túneis não autorizados, segmente fronteiras IT-OT, aplique allowlist de administração, revise contas de serviço e investigue scripts gerados dinamicamente que aparecem próximos a sessões interativas. Para fraudes móveis e phishing, revogue sessões, redefina credenciais, notifique usuários afetados, bloqueie domínios e preserve dispositivos para análise quando houver indício de overlay, keylogging, interceptação de Pix ou infostealer.
- Atualizar Composer para
2.9.8ou2.2.28e rotacionar tokens potencialmente expostos. - Aplicar correções do HPLIP para
CVE-2026-8631e restringir impressão remota. - Remover
github.com/shopsprint/decimale bloquear sua resolução em proxies internos. - Bloquear
art-template4.13.3a4.13.6e reconstruir bundles afetados. - Revisar eventos de SSPR, MFA,
ScreenConnect, Key Vault, storage e execução remota em VMs. - Investigar hosts Linux com hooks PAM, evasão de
auditd, shells remotos e TTY logging incomum. - Reprocessar alertas antigos em redes OT e priorizar sistemas com sinais persistentes antes da confirmação de intrusão.
0 Comentários