nulltropic

NULLTROPIC

Agentes LLM na Pós-Exploração: Ataque ao Marimo Expõe Nova Tática Cibernética

Pela primeira vez, um agente baseado em Large Language Model (LLM) foi observado em atividade coordenando ações de pós-exploração após um ataque bem-sucedido. O incidente, documentado pela Sysdig TRT em 10 de maio de 2026, marca um divisor de águas na segurança cibernética: o momento em que a inteligência artificial deixou de ser apenas alvo de ataques e se tornou ferramenta operacional dos adversários.

O Cenário: Marimo CVE-2026-39987

O Marimo é um framework moderno de notebooks Python reativos, com aproximadamente 19.600 estrelas no GitHub e amplamente adotado em ambientes de ciência de dados, machine learning e desenvolvimento. Em 8 de abril de 2026, foi divulgada a CVE-2026-39987, uma vulnerabilidade crítica de Remote Code Execution (RCE) sem autenticação — classificada com CVSS 9.8 (Critical).

A falha reside no endpoint WebSocket /terminal/ws, que aceita conexões sem chamar validate_auth() ou usar qualquer decorador de autenticação. Diferentemente de outros endpoints como /ws, que corretamente exigem validação, o terminal WebSocket apenas verifica o modo de execução e suporte de plataforma antes de spawnar um shell PTY completo via pty.fork().

Um atacante pode conectar-se ao /terminal/ws sem credenciais para obter um shell interativo completo e executar comandos arbitrários no sistema hospedeiro. — Safety Vulnerability Database

A Linha do Tempo da Exploração

O que torna esta vulnerabilidade particularmente alarmante é a velocidade com que foi explorada:

  • 8 de abril, 21:50 UTC: Advisory publicado no GitHub (GHSA-2679-6mx9-h9xc)
  • 9 de abril, 07:31 UTC: Primeira exploração observada — apenas 9 horas e 41 minutos após a divulgação
  • 11 a 14 de abril: 11 IPs únicos de 10 países geraram 662 eventos de exploração
  • 12 de abril: Implantação do NKAbuse via HuggingFace
  • 13 a 14 de abril: Movimentação lateral bem-sucedida para PostgreSQL e Redis
  • 10 de maio: Uso de agente LLM para pós-exploração documentado pela Sysdig

O Ataque com Agente LLM: Análise Técnica

O incidente mais inovador ocorreu em 10 de maio. Um ator de ameaças desconhecido comprometeu um notebook Marimo acessível pela internet explorando a CVE-2026-39987 e, em seguida, utilizou um agente LLM para conduzir ações pós-comprometimento de forma autônoma.

A kill chain observada pela Sysdig foi a seguinte:

  1. Comprometimento inicial: Exploração do CVE-2026-39987 no Marimo exposto
  2. Extração de credenciais: Duas credenciais de nuvem foram extraídas do ambiente comprometido (env | grep -iE 'key|secret|token|api|pass|db')
  3. Replay via pool de egresso: As credenciais foram reproduzidas através de um pool de egresso distribuído para evitar detecção por análise de origem
  4. Acesso ao AWS Secrets Manager: O agente LLM orquestrou chamadas de API contra o AWS Secrets Manager para recuperar uma chave privada SSH
  5. SSH ao bastion: Autenticação SSH no servidor bastion usando a chave recuperada
  6. Oito sessões paralelas: Lançamento de oito sessões SSH simultâneas contra um servidor downstream para exfiltrar um banco PostgreSQL interno

O que diferencia este ataque é que as ações pós-exploração (passos 3 a 6) foram coordenadas por um agente LLM autônomo, não por um operador humano. Isso significa que a janela entre o comprometimento inicial e a exfiltração de dados foi drasticamente reduzida — de horas ou dias para minutos.

A Conexão NKAbuse: Blockchain Botnet via HuggingFace

Paralelamente ao ataque com agente LLM, a Sysdig observou a implantação de uma variante inédita do NKAbuse, um backdoor em Go que utiliza a blockchain NKN para comunicação C2 (Command & Control). O vetor de entrega foi um HuggingFace Space typosquatteado: vsccode-modetx.hf.space.

O payload, um binário Go compactado com UPX e nomeado kagent (mimetizando uma ferramenta legítima do Kubernetes), estabelece persistência via systemd user services, crontab e macOS LaunchAgents. Suas capacidades incluem:

  • Monitoramento heartbeat com C2 via blockchain NKN (descentralizado, difícil de derrubar)
  • Execução remota de comandos shell
  • WebRTC/ICE para travessia NAT
  • Ofuscação de tráfego via protocolo blockchain legítimo

Contexto Adicional: PAN-OS e ChatGPT

Na mesma newsletter, outras duas vulnerabilidades merecem atenção:

PAN-OS CVE-2026-0257: Authentication Bypass em Exploração Ativa

A CVE-2026-0257 afeta o GlobalProtect portal/gateway do PAN-OS e Prisma Access. Classificada como severidade média (CVSS), mas tratada como crítica pela Rapid7, a vulnerabilidade permite que um atacante remoto não autenticado estabeleça uma conexão VPN indevida. O problema reside na função main_DecryptAppAuthCookie, que descriptografa cookies sem verificar a assinatura — permitindo a forja de cookies de autenticação se o certificado usado for o mesmo do HTTPS. Já adicionada ao CISA KEV.

ChatGPhish: Phishing via Resumos do ChatGPT

Pesquisadores revelaram uma vulnerabilidade no ChatGPT que explora a confiança implícita em links e imagens Markdown para desencadear prompt injections. Batizada de ChatGPhish, a técnica permite que um atacante crie resumos web que parecem legítimos mas redirecionam vítimas para páginas de phishing.

Recomendações para Defensores

Com base nos incidentes analisados, as seguintes ações são prioritárias:

  1. Patch imediato do Marimo: Atualizar para versão 0.23.0 ou superior. Verificar instâncias expostas na internet.
  2. Rotacionar credenciais: Todas as AWS keys, tokens de API e senhas de banco de dados em variáveis de ambiente nos hosts Marimo devem ser rotacionadas imediatamente.
  3. PAN-OS: Desabilitar o recurso “authentication override” se não for essencial. Se necessário, usar certificado exclusivo para override (não compartilhado com HTTPS). Aplicar patches conforme tabela da Rapid7.
  4. Threat hunting: Procurar pelo diretório ~/.kagent/ e serviço kagent.service no systemd. Monitorar atividade não autorizada de psql ou redis-cli.
  5. Bloqueio de rede: Bloquear o domínio vsccode-modetx.hf.space. Monitorar tráfego NKN (protocolo blockchain).
  6. Monitoramento comportamental: Implementar detecção em nível de syscall para redirecionamento de file descriptors para sockets de rede (reverse shells), acesso a .env e chaves SSH.

IOCs (Indicadores de Comprometimento)

# NKAbuse
Payload: https://vsccode-modetx.hf.space/install-linux.sh
SHA256 (kagent): f2960805f89990cb28898e892bbdc5a2f86b6089c68f4ab7f2f5e456a8d0c21d
SHA256 (script): 25e4b2c4bb37f125b693a9c57b0e743eab2a3d98234f7519cd389e788252fd13
DNS: bskke4.dnslog.cn
IP (deployer): 38.147.173.172 (Hong Kong)
IP (shell): 159.100.6.251 (Germany)

# PAN-OS CVE-2026-0257
IP: 104.207.144.154 (Vultr)
IP: 146.19.216.119/120/125 (Dromatics Systems)
GP-CLIENT (Linux exploitation)
DESKTOP-GP01 (Windows exploitation)

Conclusão

A convergência entre vulnerabilidades críticas em ferramentas de desenvolvimento (Marimo), infraestrutura de rede (PAN-OS) e o uso operacional de agentes LLM para pós-exploração representa um salto qualitativo nas capacidades dos adversários. O ataque documentado pela Sysdig em 10 de maio de 2026 não é um incidente isolado — é um preview do novo paradigma de ataques cibernéticos.

Organizações que ainda confiam em tempos de resposta humanos na janela pós-comprometimento precisam repensar suas estratégias. Com agentes LLM operando em escala de minutos, a automação defensiva — detecção em tempo real, resposta orquestrada e isolamento automático — deixa de ser opcional e se torna requisito fundamental de sobrevivência.

Pesquisa e análise: N00TROP1C — NULLTROPIC, 2026.
Fontes: The Hacker News, Sysdig Threat Research Team, Rapid7 MDR, Palo Alto Networks, Safety DB, Tenable, CISA KEV.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *