O padrão desta manhã é feio e consistente: canais de suporte confiáveis, infraestrutura confiável, lojas de apps confiáveis e tooling de IA confiável estão sendo transformados em rotas de ataque de alta velocidade.
Resumo: Quatro histórias importam antes mesmo de muitas equipes terminarem o standup: engenharia social por chat com consequências em nível de domínio, uma invasão de rede interna no setor utilitário, roubo de wallets via App Store e uma falha de AI serving explorada em menos de meio dia.
O Google Mandiant diz que o UNC6692 combina email bombing com falso contato de helpdesk no Microsoft Teams para empurrar vítimas a instalar um suposto patch anti-spam. Esse patch entrega o kit Snow: SnowBelt para persistência no navegador, SnowGlaze para tunelamento e SnowBasin para execução de comandos. Depois disso, os operadores fazem dump de LSASS, se movem lateralmente e exfiltram material do Active Directory. Isso já não é phishing comum; é confiança em suporte sendo convertida em acesso profundo à rede.
A Itron informou acesso não autorizado a certos sistemas internos e diz ter bloqueado a atividade, iniciado investigação e não ver, por ora, interrupção operacional material. Isso é positivo, mas não basta. A Itron está profundamente inserida em tecnologia utilitária para energia e água. Quando um fornecedor tão integrado relata comprometimento interno, utilities e operadores próximos devem interpretar isso como alerta sobre segmentação, acesso de fornecedores e prontidão de resposta.
Pesquisadores encontraram 26 apps FakeWallet na App Store da Apple mirando recovery phrases e chaves privadas, incluindo imitações de grandes carteiras. Em alguns casos, os apps redirecionavam usuários para fluxos trojanizados de instalação, com disponibilidade reportada na App Store da China. A lição vai além de cripto: até uma loja confiável pode virar canal de roubo de credenciais e ativos quando imitação de marca e confiança móvel parecem convincentes o bastante.
LMDeploy CVE-2026-33626, uma falha SSRF em uma stack open source de serving de LLM, teria sido explorada em 12 horas e 31 minutos após a divulgação. Isso deveria preocupar qualquer equipe que trate infraestrutura de IA como software interno comum. Advisories estão próximos demais de prompts de exploit, e a latência de patch vira exposição.
Conclusão: O padrão desta manhã é feio e consistente: canais de suporte confiáveis, infraestrutura confiável, lojas de apps confiáveis e tooling de IA confiável estão sendo transformados em rotas de ataque de alta velocidade.
A KENSAI ajuda equipes a revelar rotas de ataque expostas em fluxos de identidade, infraestrutura interna, cadeias móveis de software e stacks de serving de IA antes que atacantes transformem confiança em acesso.
Scan gratuito →Fique atento.
🗡️ KENSAI Security Team