← Voltar ao Blog
Pesquisa e Análise 7 de março de 2026 9 min de leitura

Relatório Zero-Day 2025 do Google: 90 falhas exploradas, surtos de segmentação empresarial

A análise anual de dia zero do Google Threat Intelligence Group revela 90 vulnerabilidades exploradas à solta durante 2025 – com quase metade voltada para produtos de segurança empresarial, dispositivos de rede e infraestrutura em nuvem. Os fornecedores de spyware e APTs ligados à China dominam a atribuição. Enquanto isso, um Violação de cuidados de saúde de 3,4 milhões de pacientes e novo campanhas de malware sem arquivo demonstre por que a verificação contínua de vulnerabilidades não é mais opcional.


📊 Cenário de dia zero do Google em 2025: números importantes

💡 Acompanhamento Anual Zero-Day da GTIG

O Google Threat Intelligence Group (GTIG) rastreia vulnerabilidades de dia zero exploradas em estado selvagem a cada ano. O relatório de 2025 marca um dos anos mais elevados já registados, com 90 dias zero exploradas confirmadas — acima dos 73 em 2024 e aproximando-se do pico de 97 em 2021.

A mudança empresarial

A descoberta mais significativa: approximately 45 of the 90 zero-days (50%) directly targeted enterprise products em vez de pontos finais do consumidor. Isto representa uma mudança dramática em relação aos anos anteriores, quando os navegadores e os sistemas operacionais móveis dominavam o cenário de exploração de dia zero.

Categoria Dias Zero (2025) Porcentagem Tendência vs 2024
Produtos de segurança empresarial ~20 22% 🔺 Aumentou significativamente
Dispositivos de rede/VPN ~15 17% 🔺 Para cima
Plataformas de nuvem/SaaS ~10 11% 🔺 Para cima
SO móvel (iOS/Android) ~18 20% 🔻 Para baixo
Navegadores ~12 13% 🔻 Para baixo
SO de desktop ~15 17% ➡️ Estável

Atribuição: Quem está explorando o dia zero?

Menos de metade dos 90 dias zero poderiam ser atribuídos a agentes de ameaças específicos, mas os principais grupos traçam um quadro claro:

⚠️ Principais exploradores de dia zero em 2025

1. Fornecedores de spyware comercial — O Grupo NSO, a Intellexa e os participantes mais recentes continuam a dominar a exploração de dia zero, representando aproximadamente 30 % de dias zero atribuídos.
2. Grupos APT ligados à China — Multiple Chinese state-backed groups (Salt Typhoon, Volt Typhoon, APT41) exploited enterprise-focused zero-days targeting networking equipment and cloud platforms.
3. Grupos ligados à Rússia — Centrado principalmente em metas ucranianas e europeias que utilizam dias zero em produtos Microsoft.
4. Coreia do Norte — Cada vez mais sofisticado, visando plataformas de criptomoeda e ferramentas de desenvolvedor.

Por que os produtos empresariais são agora o alvo principal

Vários fatores explicam a mudança em direção à segmentação empresarial:


🏥 Violação da TriZetto Healthcare: 3,4 milhões de pacientes expostos

⚠️ Exposição massiva de dados de saúde

Soluções para Provedores TriZetto (uma subsidiária da Cognizant) divulgou uma violação de dados que afeta 3.433.965 indivíduos. Attackers had unauthorized access for nearly a year — from novembro 2024 to outubro 2025.

Cronograma de violação

Data Evento
19 de novembro de 2024 O acesso não autorizado começa
2 de outubro de 2025 Atividade suspeita detectada
9 de dezembro de 2025 Prestadores afetados notificados
fevereiro 2026 Começam as notificações do cliente
6 de março de 2026 Arquivo da Maine AG confirma 3,4 milhões de afetados

Tipos de dados expostos

O Tempo de permanência de 317 dias (desde o acesso inicial até à deteção) é particularmente alarmante e sublinha a necessidade de monitorização contínua e de deteção automatizada de ameaças. A Cognizant já enfrentou escrutínio após o incidente do ransomware Maze em 2020 e uma violação relacionada ao Scattered Spider por meio de seu suporte técnico.


🦠 VOID#GEIST: campanha de malware em vários estágios sem arquivo

⚠️ Cadeia de ataque avançada sem arquivo

Os pesquisadores da Securonix documentaram VOID#GEIST, uma sofisticada campanha de malware em vários estágios que oferece XWorm, AsyncRAT e Xeno RAT por meio de técnicas de execução sem arquivo.

Quebra da cadeia de ataque

  1. Acesso inicial — Script em lote obtido do domínio TryCloudflare via e-mail de phishing
  2. Exibição de isca — O Chrome abre um PDF financeiro falso em tela cheia como distração visual
  3. Execução oculta — O PowerShell reexecuta o script em lote com -WindowStyle Hidden
  4. Persistência — Colocação no diretório de inicialização (sem modificações no registro, sem escalonamento de privilégios)
  5. Busca de carga útil — Arquivos ZIP baixados contendo shellcode criptografado e um carregador Python
  6. Execução na memória — O tempo de execução do Python descriptografa e injeta shellcode por meio da injeção Early Bird APC em explorer.exe

💡 Por que isso é importante

A campanha VOID#GEIST representa uma mudança mais ampla na indústria, de executáveis ​​independentes para estruturas de entrega modulares e baseadas em scripts. Cada fase parece inócua isoladamente, imitando a actividade administrativa legítima. O uso de um tempo de execução Python incorporado legítimo de python.org elimina dependências e evita a lista de permissões de aplicativos.

Cargas entregues

RATO Capacidades Arquivo criptografado
XWorm Acesso remoto completo, keylogging, captura de tela, persistência novo.bin
AsyncRAT Comunicação C2 assíncrona, extensibilidade de plugins, roubo de credenciais pul.bin
Xeno RATO RAT de código aberto com HVNC, acesso a microfone/webcam xn.bin

🌐 Cisco SD-WAN e Rockwell ICS: explorações mais ativas

Cisco Catalyst SD-WAN

A Cisco confirmou que duas vulnerabilidades do Catalyst SD-WAN corrigidas recentemente — CVE-2026-20128 e CVE-2026-20122 – estão agora a ser ativamente explorados na natureza. As organizações que executam configurações SD-WAN afetadas devem aplicar patches imediatamente ou implementar as soluções alternativas recomendadas.

Vulnerabilidade do ICS da Rockwell Automation

Uma vulnerabilidade da Rockwell Automation originalmente divulgada e mitigada em 2021 foi confirmada como explorado ativamente em ataques direcionados a sistemas de controle industrial. Isso destaca um desafio persistente em ambientes OT/ICS: mesmo quando existem patches, eles muitas vezes não são aplicados devido a restrições operacionais e preocupações com tempo de inatividade.

⚠️ Risco ICS/OT

If your organization runs Rockwell programmable logic controllers (PLCs), verify patch status immediately. A exploração remota de sistemas ICS pode levar à manipulação de processos físicos, desvios do sistema de segurança e interrupção operacional.


🔒 Fórum LeakBase encerrado – 142.000 usuários

Numa evolução positiva, o Base de vazamento O fórum de crimes cibernéticos foi fechado pelas autoridades, com suspeitos presos. O mercado de credenciais roubadas estava ativo desde 2021 e hospedava 142.000 usuários registrados que negociavam credenciais comprometidas, dados pessoais e bancos de dados de violações.

Embora as remoções proporcionem interrupções temporárias, a história mostra que os usuários deslocados normalmente migram para fóruns alternativos em semanas. As organizações devem usar esta janela para:


🛡️ Ações recomendadas

Para equipes de segurança empresarial

  1. Priorize a correção de produtos empresariais — Dispositivos VPN, firewalls e produtos de segurança são agora os principais alvos de dia zero
  2. Implantar verificação automatizada contínua — As avaliações manuais de vulnerabilidade não conseguem acompanhar os mais de 90 dias zero anuais
  3. Monitore padrões de execução sem arquivo — Procure janelas ocultas do PowerShell, downloads de tempo de execução do Python e assinaturas de injeção APC
  4. Reduzir o tempo de permanência — O tempo de permanência de 317 dias da violação TriZetto mostra o custo da detecção atrasada
  5. Patch de sistemas ICS/OT — Vulnerabilidades antigas na Rockwell e em sistemas semelhantes estão a ser exploradas ativamente anos após a divulgação

Para organizações de saúde

  1. Auditar a segurança do portal web — A violação da TriZetto teve origem num portal Web que gere dados de elegibilidade para seguros
  2. Implementar segmentação de rede — Limitar o raio de explosão de qualquer compromisso único
  3. Implantar análise comportamental — Detetar padrões de acesso não autorizado, especialmente em bases de dados que contenham PHI
  4. Revise a segurança de fornecedores terceirizados — A postura de segurança do seu fornecedor é a sua postura de segurança

Não espere 317 dias para detectar uma violação

O pentesting automatizado contínuo da KENSAI verifica sua infraestrutura 24 horas por dia, encontrando vulnerabilidades antes que os invasores as explorem, incluindo zero-day em produtos empresariais.

Inicie a verificação de segurança gratuita

Fique atento. Fique protegido.

🗡️ Equipe de inteligência de ameaças KENSAI