🛡️ Boletim Diário de Segurança
Resumo: O FBI está investigando uma violação dos seus sistemas de vigilância e escutas. A CISA adicionou zero-days iOS do kit de exploração Coruna ao catálogo KEV. O APT chinês UAT-9244 atacou telecomunicações sul-americanas com três novos implantes. O APT iraniano MuddyWater infiltrou-se em infraestruturas críticas dos EUA. Uma violação massiva no setor de saúde expôs 3,4 milhões de registros de pacientes. Malware gerado por IA está industrializando as operações dos agentes de ameaças.
🔓 Violações de dados & intrusões
FBI investiga violação dos sistemas de vigilância e escutas
O FBI confirmou que está investigando «atividade cibernética suspeita» nos sistemas usados para gerir mandados de vigilância e escutas telefônicas. A violação — reportada pela primeira vez pela CNN — afetou redes que processam escutas autorizadas judicialmente e vigilância de inteligência estrangeira. O FBI afirma que o incidente foi «resolvido», mas o alcance permanece incerto. Possíveis ligações com a campanha Salt Typhoon, que comprometeu telecomunicações dos EUA em 2024, estão sendo examinadas.
Violação da Cognizant TriZetto expõe 3,4 milhões de registros de pacientes
A TriZetto Provider Solutions, empresa de TI de saúde da Cognizant que atende seguradoras e prestadores de saúde, divulgou uma violação que expôs dados de saúde sensíveis de mais de 3,4 milhões de pacientes. Os dados comprometidos incluem informações pessoais identificáveis (PII) e informações de saúde protegidas (PHI). Esta é uma das maiores violações no setor de saúde registradas em 2026.
APT iraniano MuddyWater infiltrado em aeroporto, banco e empresa de software dos EUA
Pesquisadores da Symantec e Carbon Black descobriram que o MuddyWater (Seedworm), um APT afiliado ao MOIS iraniano, estabeleceu acesso persistente dentro de várias organizações dos EUA — incluindo bancos, aeroportos e uma organização sem fins lucrativos — usando uma nova backdoor «Dindoor». A atividade começou em fevereiro de 2026 e se intensificou após ataques dos EUA/Israel ao Irã. Uma empresa de software no setor de defesa e aeroespacial também foi atacada através de suas operações israelenses.
Fórum cibercriminoso LeakBase desmantelado, suspeitos presos
O mercado de credenciais roubadas LeakBase, ativo desde 2021 com 142.000 usuários, foi apreendido pelas autoridades e suspeitos foram presos. O fórum era especializado no comércio de credenciais vazadas e dados pessoais.
🐛 CVEs críticos & vulnerabilidades exploradas
CISA adiciona 23 falhas iOS do kit de exploração Coruna ao KEV
A CISA ordenou que agências federais corrijam vulnerabilidades iOS exploradas pelo kit Coruna — um toolkit de nível estatal que explora 23 vulnerabilidades do iOS 13 ao 17.2.1. As falhas foram usadas em operações de ciberespionagem e roubo de criptomoedas. Esta é uma escalada significativa em ataques direcionados a dispositivos móveis.
Falhas no Cisco Catalyst SD-WAN exploradas ativamente (CVE-2026-20128 & CVE-2026-20122)
A Cisco adicionou duas vulnerabilidades do Catalyst SD-WAN recentemente corrigidas à sua lista de falhas exploradas ativamente. CVE-2026-20128 e CVE-2026-20122 estão sendo ativamente atacadas. Organizações que utilizam Catalyst SD-WAN devem aplicar os patches imediatamente.
Vulnerabilidade Rockwell ICS agora explorada em ataques
Uma vulnerabilidade da Rockwell Automation originalmente divulgada e mitigada em 2021 agora está sendo ativamente explorada em ataques contra sistemas de controle industrial (ICS). A falha permite o hacking remoto de ambientes ICS, colocando em risco infraestruturas críticas.
Google: metade dos 90 zero-days de 2025 visou empresas
A análise anual de zero-days do Google revela que 90 vulnerabilidades zero-day foram exploradas em 2025 — quase metade visando produtos empresariais. Fornecedores de spyware e atores estatais chineses foram os grupos de ameaças mais atribuídos. A mudança para zero-days focados em empresas sinaliza um investimento crescente dos atacantes em alvos de alto valor.
🌐 Campanhas estatais & espionagem
APT chinês UAT-9244 ataca telecoms sul-americanas com 3 novos implantes
A Cisco Talos identificou um APT vinculado à China (UAT-9244, associado ao FamousSparrow) que ataca a infraestrutura de telecomunicações sul-americana desde 2024. Três implantes não documentados foram implantados: TernDoor (Windows), PeerTime/angrypeer (Linux) e BruteEntry (dispositivos edge). O cluster compartilha sobreposições táticas com Salt Typhoon, mas nenhuma ligação definitiva foi estabelecida.
Transparent Tribe usa IA para produzir malware poliglota em massa
O grupo Transparent Tribe, alinhado ao Paquistão, adotou ferramentas de codificação assistidas por IA para gerar grandes volumes de «binários poliglotas descartáveis» escritos em Nim, Zig e Crystal. Os implantes utilizam serviços confiáveis (Slack, Discord, Supabase, Google Sheets) como canais C2. Pesquisadores da Bitdefender descrevem isso como «industrialização de malware assistida por IA» — uma mudança de sofisticação para volume. Alvos: Índia.
💀 Malware & Ransomware
Operador russo de ransomware declara-se culpado nos EUA
Evgenii Ptitsyn, cidadão russo extraditado da Coreia do Sul em novembro de 2024, declarou-se culpado de acusações relacionadas a ransomware em um tribunal dos EUA. Os detalhes sobre a variante específica de ransomware e o número de vítimas não foram totalmente divulgados, mas o caso reforça a cooperação internacional contínua contra operadores de ransomware.
VOID#GEIST: campanha multi-estágio que distribui XWorm, AsyncRAT e Xeno RAT
Pesquisadores da Securonix documentaram uma campanha furtiva multi-estágio que usa scripts batch ofuscados para implantar payloads RAT criptografados (XWorm, AsyncRAT, Xeno RAT) via runtimes Python legítimos e injeção Early Bird APC no explorer.exe. A técnica imita de perto a atividade legítima do usuário para evadir a detecção.
Guias falsos de instalação do Claude Code distribuem infostealers («InstallFix»)
Uma nova variante de engenharia social chamada «InstallFix» engana usuários para que executem comandos maliciosos enquanto supostamente instalam ferramentas CLI legítimas como o Claude Code. Esta técnica derivada do ClickFix capitaliza a popularidade das ferramentas de desenvolvimento com IA para distribuir malware de roubo de informações.
Wikipedia atingida por worm JavaScript autopropagável
A Wikimedia Foundation sofreu um incidente de segurança envolvendo um worm JavaScript autopropagável que vandalizou páginas e se espalhou pela plataforma. Embora não seja um ataque de malware tradicional, o incidente demonstra que plataformas confiáveis continuam vulneráveis a vetores de ataque criativos.
🏢 Indústria de segurança & financiamento
ArmorCode levanta US$ 16 milhões para plataforma de gestão de exposição
A ArmorCode garantiu US$ 16 milhões para acelerar sua plataforma ASPM (Application Security Posture Management) e gestão de exposição. O investimento será direcionado para inovação de produto e expansão comercial.
Evervault levanta US$ 25 milhões em Série B para plataforma de criptografia
A empresa de segurança de dados Evervault levantou US$ 25 milhões em financiamento Série B, elevando o total para US$ 46 milhões. A plataforma voltada para desenvolvedores oferece recursos de criptografia e orquestração de dados.
Reclaim Security levanta US$ 20 milhões para acelerar remediação
A Reclaim Security levantou US$ 20 milhões para expandir sua equipe de engenharia, aprofundar integrações e acelerar a entrada no mercado de sua plataforma de segurança focada em remediação.
📊 Padrões emergentes de ameaças
Industrialização do malware assistida por IA
Múltiplos relatórios esta semana confirmam que agentes de ameaças estão transformando ferramentas de codificação IA em armas — não por sofisticação, mas por volume. A abordagem «vibeware» do Transparent Tribe inunda alvos com binários poliglotas descartáveis. A campanha InstallFix explora a popularidade das ferramentas IA para engenharia social. O Bing AI foi flagrado promovendo repositórios falsos de OpenClaw com infostealers. A tendência é clara: a IA reduz a barreira para produção em massa de malware e iscas.
Infraestrutura de telecomunicações sob pressão APT constante
APTs chineses continuam atacando agressivamente a infraestrutura global de telecomunicações. O novo arsenal do UAT-9244 (TernDoor, PeerTime, BruteEntry) se soma às campanhas anteriores do Salt Typhoon. Com o FBI agora investigando violações de seus próprios sistemas de escutas, a convergência entre infraestrutura de telecomunicações e vigilância cria um risco cumulativo para a segurança nacional.
Zero-days empresariais superam alvos de consumidores
O relatório de zero-days 2025 do Google confirma uma mudança estrutural: metade dos 90 zero-days explorados visava produtos empresariais (não navegadores/móveis). Fornecedores de spyware e atores estatais estão investindo mais em superfícies de ataque empresariais — VPNs, appliances SD-WAN, sistemas ICS — onde a detecção é mais fraca e o impacto é maior.