KENSAI Security Intelligence
Briefing Diário de Ameaças
Domingo, 8 de Março de 2026 — 04:00 CET
3
Críticos
5
Vazamentos de Dados
13
Novos CVEs
2
Novas Ferramentas
Principais Vazamentos de Dados
O provedor de TI para saúde TriZetto Provider Solutions (subsidiária da Cognizant) divulgou um vazamento expondo dados sensíveis de saúde — incluindo prontuários médicos, informações de seguro e dados pessoais — de 3,4 milhões de pacientes. O vazamento impacta seguradoras e prestadores de saúde que utilizam a plataforma de software da TriZetto. Notificação HIPAA em andamento.
O FBI confirmou estar investigando uma violação em sistemas utilizados para gerenciar mandados de vigilância e operações de escuta telefônica. Notificação ao Congresso emitida. O escopo e a atribuição permanecem sob investigação, levantando sérias preocupações de segurança nacional sobre a exposição de dados de agências de segurança pública.
O Transport for London (TfL) divulgou que um vazamento de dados em seus sistemas impactou aproximadamente 10 milhões de registros de clientes, incluindo dados de cartões Oyster e informações de contato.
Um cidadão ganês se declarou culpado por seu papel em um esquema massivo de fraude que roubou mais de US$ 100 milhões de vítimas nos EUA por meio de comprometimento de e-mail corporativo (BEC) e golpes românticos. Operação de vários anos que visava empresas e indivíduos.
O cidadão russo Evgenii Ptitsyn, extraditado da Coreia do Sul em novembro de 2024, se declarou culpado em um tribunal federal dos EUA por operar infraestrutura de ransomware direcionada a organizações americanas.
CVEs Críticos e Vulnerabilidades
CISA KEV: Kit de Exploração Coruna Mira iOS 13–17.2.1
A CISA ordenou que agências federais dos EUA corrijam três vulnerabilidades do iOS ativamente exploradas pelo kit de exploração Coruna — um toolkit de nível estatal que visa 23 vulnerabilidades do iOS nas versões 13 a 17.2.1. Utilizado em ataques de ciberespionagem e roubo de criptomoedas.
Vulnerabilidade em ICS da Rockwell — Exploração Ativa Confirmada
Uma vulnerabilidade da Rockwell Automation (divulgada e corrigida em 2021) que permite hacking remoto de ICS foi confirmada como ativamente explorada. Organizações com sistemas Rockwell sem patch enfrentam risco imediato aos ambientes de controle industrial.
OpenAI Codex Security — Novos CVEs Encontrados em Software Open-Source
O scanner OpenAI Codex Security identificou 792 achados críticos e 10.561 de alta severidade em 1,2M de commits. Novos CVEs emitidos para:
- CVE-2026-24881/82 GnuPG — falhas na implementação criptográfica
- CVE-2025-32988/89 GnuTLS — vulnerabilidades na biblioteca TLS
- CVE-2025-64175 GOGS — vulnerabilidade no servidor de hospedagem Git
- CVE-2026-25242 GOGS — problema de segurança adicional
- CVE-2025-35430–36 Thorium — 7 vulnerabilidades na ferramenta de detecção de radiação da CISA
Mais de 100 Repositórios no GitHub Distribuindo o Stealer BoryptGrab
Mais de 100 repositórios maliciosos no GitHub foram descobertos distribuindo o malware stealer BoryptGrab, que visa dados de navegadores, credenciais de carteiras de criptomoedas, informações do sistema e arquivos do usuário. Disfarça-se como projetos legítimos de código aberto.
Atividade de Ransomware e APT
O grupo de ransomware "Velvet Tempest" está implantando o Termite ransomware via técnica de engenharia social ClickFix, usando utilitários legítimos do Windows para side-load do DonutLoader e do backdoor CastleRAT. Combina engenharia social com LOLBins para evasão de defesas.
O APT iraniano MuddyWater (Seedworm), afiliado ao MOIS, se infiltrou em bancos e aeroportos dos EUA, uma ONG canadense e a filial israelense de uma empresa de software de defesa/aeroespacial. Novo backdoor "Dindoor" implantado. A atividade se intensificou após os ataques militares dos EUA/Israel ao Irã.
O APT Transparent Tribe, alinhado ao Paquistão, está usando ferramentas de codificação com IA para produzir em massa implantes de malware descartáveis em Nim, Zig e Crystal. Utiliza Slack, Discord, Supabase e Google Sheets para C2. A Bitdefender chama isso de "industrialização de malware assistida por IA" — inundando alvos com binários poliglotas gerados por IA ("vibeware") para sobrecarregar a detecção.
A Securonix descobriu uma campanha multi-estágio usando scripts batch ofuscados para entregar XWorm, AsyncRAT e Xeno RAT. Utiliza runtime Python embutido e injeção Early Bird APC no explorer.exe — execução inteiramente em memória. A entrega baseada em scripts imita atividade legítima do usuário.
O Cisco Talos rastreia o grupo UAT-9244 (associado ao FamousSparrow, com sobreposição ao Salt Typhoon), ligado à China, que visa infraestrutura de telecomunicações na América do Sul desde 2024. Três implantes implantados: TernDoor, PeerTime e BruteEntry — visando Windows, Linux e dispositivos de borda.
Lançamentos de Ferramentas de Segurança e Indústria
A OpenAI lançou o Codex Security em prévia de pesquisa — um scanner de segurança agêntico que constrói modelos de ameaça em nível de projeto e valida achados em ambientes sandboxed. Analisou 1,2M de commits, encontrou 10.561 problemas de alta severidade com redução de mais de 50% em falsos positivos em relação a iterações anteriores. Gratuito por 30 dias para usuários ChatGPT Pro/Enterprise/Business. Relevância para KENSAI: Potencial concorrente na detecção de vulnerabilidades com IA — mas opera no nível de código, não no nível de infraestrutura como o KENSAI.
Starkiller — Nova Plataforma de Phishing-as-a-Service (Alerta de Ameaça)
A nova plataforma PhaaS "Starkiller" usa Chrome headless em contêineres Docker para fazer proxy dinâmico de páginas de login reais (Apple, Google, Microsoft, etc.), capturando credenciais e tokens MFA em tempo real. Usa o truque de "@" na URL para ilusão visual (ex.: login.microsoft.com@malicious.ru). Analisado pela Abnormal AI. Contorna a detecção tradicional de phishing estático.
Rodadas de Investimento: ArmorCode (US$ 16M) e Evervault (US$ 25M Série B)
ArmorCode levantou US$ 16M para sua plataforma de gerenciamento de exposição. Evervault levantou US$ 25M Série B (total de US$ 46M) para criptografia e orquestração de dados focada em desenvolvedores. Ambos sinalizam o apetite contínuo dos investidores por ferramentas de AppSec e segurança de dados.
Padrões de Ameaças Emergentes
Armamentização da IA Atinge Massa Crítica
A Microsoft alertou que hackers estão abusando da IA "em todas as etapas dos ciberataques" — desde reconhecimento até geração de payloads e pós-exploração. Combinado com o "vibeware" do Transparent Tribe (malware produzido em massa por IA) e ataques falsos de Claude Code InstallFix, estamos vendo três padrões convergentes:
1. Malware gerado por IA em escala — APTs usando ferramentas de IA para produzir implantes descartáveis em alto volume em linguagens exóticas
2. Falsificação de ferramentas de IA — guias de instalação falsos para Claude Code, Codex e outros CLIs de IA entregando infostealers
3. Defesa com IA — OpenAI Codex Security entrando no mercado como agente de segurança com IA
1. Malware gerado por IA em escala — APTs usando ferramentas de IA para produzir implantes descartáveis em alto volume em linguagens exóticas
2. Falsificação de ferramentas de IA — guias de instalação falsos para Claude Code, Codex e outros CLIs de IA entregando infostealers
3. Defesa com IA — OpenAI Codex Security entrando no mercado como agente de segurança com IA
Google: Metade dos 90 Zero-Days de 2025 Miraram Empresas
A análise anual de zero-days do Google mostra que 45 dos 90 zero-days explorados em 2025 visaram produtos empresariais (não consumidores). Fornecedores de spyware e atores estatais chineses lideram a atribuição. A mudança em direção ao alvo empresarial continua acelerando — dispositivos de rede, ferramentas de segurança e plataformas de colaboração são os alvos primários.
Reformulação da Estratégia Cibernética dos EUA Sob a Administração Trump
A nova Estratégia Cibernética dos EUA pede dissuasão mais forte contra adversários cibernéticos, modernização das redes federais, mandatos de proteção de infraestrutura crítica e investimento em IA e criptografia pós-quântica. Novo CISO do Pentágono James "Aaron" Bishop nomeado, substituindo David McKeown.
🎯 Itens de Ação KENSAI
- Detecção ClickFix/InstallFix: O Termite ransomware e guias falsos de instalação de CLI de IA usam variantes do ClickFix — atualizar assinaturas de detecção e publicar sobre essa tendência no blog
- Inteligência competitiva: O OpenAI Codex Security está ativo — diferenciar a varredura em nível de infraestrutura do KENSAI vs. a abordagem em nível de código do Codex nos materiais de marketing
- Ângulo NIS2: O vazamento de saúde da TriZetto (3,4M de registros) é um estudo de caso perfeito para conteúdo de conformidade NIS2 no setor de saúde
- ICS/OT: A exploração da Rockwell confirma que sistemas ICS legados sem patch continuam sendo alvos de alto valor — relevante para as capacidades de varredura de infraestrutura do KENSAI
- Cadeia de suprimentos: Mais de 100 repositórios maliciosos no GitHub (BoryptGrab) reforçam a necessidade de SBOM e varredura de dependências — oportunidade de recurso para o KENSAI