A análise anual de dia zero do Google Threat Intelligence Group revela 90 vulnerabilidades exploradas à solta durante 2025 – com quase metade voltada para produtos de segurança empresarial, dispositivos de rede e infraestrutura em nuvem. Os fornecedores de spyware e APTs ligados à China dominam a atribuição. Enquanto isso, um Violação de cuidados de saúde de 3,4 milhões de pacientes e novo campanhas de malware sem arquivo demonstre por que a verificação contínua de vulnerabilidades não é mais opcional.
O Google Threat Intelligence Group (GTIG) rastreia vulnerabilidades de dia zero exploradas em estado selvagem a cada ano. O relatório de 2025 marca um dos anos mais elevados já registados, com 90 dias zero exploradas confirmadas — acima dos 73 em 2024 e aproximando-se do pico de 97 em 2021.
A descoberta mais significativa: approximately 45 of the 90 zero-days (50%) directly targeted enterprise products em vez de pontos finais do consumidor. Isto representa uma mudança dramática em relação aos anos anteriores, quando os navegadores e os sistemas operacionais móveis dominavam o cenário de exploração de dia zero.
| Categoria | Dias Zero (2025) | Porcentagem | Tendência vs 2024 |
|---|---|---|---|
| Produtos de segurança empresarial | ~20 | 22% | 🔺 Aumentou significativamente |
| Dispositivos de rede/VPN | ~15 | 17% | 🔺 Para cima |
| Plataformas de nuvem/SaaS | ~10 | 11% | 🔺 Para cima |
| SO móvel (iOS/Android) | ~18 | 20% | 🔻 Para baixo |
| Navegadores | ~12 | 13% | 🔻 Para baixo |
| SO de desktop | ~15 | 17% | ➡️ Estável |
Menos de metade dos 90 dias zero poderiam ser atribuídos a agentes de ameaças específicos, mas os principais grupos traçam um quadro claro:
1. Fornecedores de spyware comercial — O Grupo NSO, a Intellexa e os participantes mais recentes continuam a dominar a exploração de dia zero, representando aproximadamente 30 % de dias zero atribuídos.
2. Grupos APT ligados à China — Multiple Chinese state-backed groups (Salt Typhoon, Volt Typhoon, APT41) exploited enterprise-focused zero-days targeting networking equipment and cloud platforms.
3. Grupos ligados à Rússia — Centrado principalmente em metas ucranianas e europeias que utilizam dias zero em produtos Microsoft.
4. Coreia do Norte — Cada vez mais sofisticado, visando plataformas de criptomoeda e ferramentas de desenvolvedor.
Vários fatores explicam a mudança em direção à segmentação empresarial:
Soluções para Provedores TriZetto (uma subsidiária da Cognizant) divulgou uma violação de dados que afeta 3.433.965 indivíduos. Attackers had unauthorized access for nearly a year — from novembro 2024 to outubro 2025.
| Data | Evento |
|---|---|
| 19 de novembro de 2024 | O acesso não autorizado começa |
| 2 de outubro de 2025 | Atividade suspeita detectada |
| 9 de dezembro de 2025 | Prestadores afetados notificados |
| fevereiro 2026 | Começam as notificações do cliente |
| 6 de março de 2026 | Arquivo da Maine AG confirma 3,4 milhões de afetados |
O Tempo de permanência de 317 dias (desde o acesso inicial até à deteção) é particularmente alarmante e sublinha a necessidade de monitorização contínua e de deteção automatizada de ameaças. A Cognizant já enfrentou escrutínio após o incidente do ransomware Maze em 2020 e uma violação relacionada ao Scattered Spider por meio de seu suporte técnico.
Os pesquisadores da Securonix documentaram VOID#GEIST, uma sofisticada campanha de malware em vários estágios que oferece XWorm, AsyncRAT e Xeno RAT por meio de técnicas de execução sem arquivo.
-WindowStyle Hiddenexplorer.exeA campanha VOID#GEIST representa uma mudança mais ampla na indústria, de executáveis independentes para estruturas de entrega modulares e baseadas em scripts. Cada fase parece inócua isoladamente, imitando a actividade administrativa legítima. O uso de um tempo de execução Python incorporado legítimo de python.org elimina dependências e evita a lista de permissões de aplicativos.
| RATO | Capacidades | Arquivo criptografado |
|---|---|---|
| XWorm | Acesso remoto completo, keylogging, captura de tela, persistência | novo.bin |
| AsyncRAT | Comunicação C2 assíncrona, extensibilidade de plugins, roubo de credenciais | pul.bin |
| Xeno RATO | RAT de código aberto com HVNC, acesso a microfone/webcam | xn.bin |
A Cisco confirmou que duas vulnerabilidades do Catalyst SD-WAN corrigidas recentemente — CVE-2026-20128 e CVE-2026-20122 – estão agora a ser ativamente explorados na natureza. As organizações que executam configurações SD-WAN afetadas devem aplicar patches imediatamente ou implementar as soluções alternativas recomendadas.
Uma vulnerabilidade da Rockwell Automation originalmente divulgada e mitigada em 2021 foi confirmada como explorado ativamente em ataques direcionados a sistemas de controle industrial. Isso destaca um desafio persistente em ambientes OT/ICS: mesmo quando existem patches, eles muitas vezes não são aplicados devido a restrições operacionais e preocupações com tempo de inatividade.
If your organization runs Rockwell programmable logic controllers (PLCs), verify patch status immediately. A exploração remota de sistemas ICS pode levar à manipulação de processos físicos, desvios do sistema de segurança e interrupção operacional.
Numa evolução positiva, o Base de vazamento O fórum de crimes cibernéticos foi fechado pelas autoridades, com suspeitos presos. O mercado de credenciais roubadas estava ativo desde 2021 e hospedava 142.000 usuários registrados que negociavam credenciais comprometidas, dados pessoais e bancos de dados de violações.
Embora as remoções proporcionem interrupções temporárias, a história mostra que os usuários deslocados normalmente migram para fóruns alternativos em semanas. As organizações devem usar esta janela para:
O pentesting automatizado contínuo da KENSAI verifica sua infraestrutura 24 horas por dia, encontrando vulnerabilidades antes que os invasores as explorem, incluindo zero-day em produtos empresariais.
Inicie a verificação de segurança gratuitaFique atento. Fique protegido.
🗡️ Equipe de inteligência de ameaças KENSAI