A confirmação do Tenente-General Joshua M. Rudd como novo comandante do US Cyber Command e diretor da NSA, em votação de 71-29 no Senado, marca um momento crítico para a cibersegurança nacional. A nomeação encerra um período de quase um ano sem um líder permanente nas agências, após a demissão do General Timothy Haugh. Apesar da experiência de Rudd no Comando Indo-Pacífico, críticos apontam sua falta de histórico direto em operações cibernéticas e de inteligência como um ponto de preocupação. Sua liderança começa em um cenário de dois conflitos militares ativos, onde o CyberCom já afirmou ter conduzido operações de perturbação contra sistemas inimigos.
Ataques e Incidentes: Configurações Erradas e Vetores Emergentes
Um relatório do auditor do governo da Austrália Ocidental atribuiu um grande vazamento de dados a configurações inadequadas no Microsoft 365. Agências usavam métodos de autenticação legados, MFA fraco e não haviam habilitado controles de DLP, resultando no roubo de dados de residentes e em uma perda financeira de ASD$71.000 via ataque BEC. Paralelamente, ataques cibernéticos atingiram a agência eleitoral da Colômbia durante as eleições parlamentares, com um aumento de sites clonados disseminando desinformação.
No repositório de código, a vulnerabilidade “Pwn Request” foi explorada para comprometer o pacote Kubernetes-el do GitHub. Separadamente, uma ação maliciosa do GitHub, comprometendo a ação Xygeni, foi usada para implantar shells reversos em projetos dependentes. O vetor de ataque por vulnerabilidades ganhou destaque: pela primeira vez, a exploração de falhas em software superou o abuso de credenciais fracas como principal ponto de entrada em ambientes Google Cloud, representando quase metade das intrusões no segundo semestre de 2025.
Campanhas de Ameaças e Malware em Evolução
Uma campanha de phishing sofisticada, detalhada pelo FBI, está se passando por governos locais, usando informações precisas sobre zoneamento e permissões para enganar vítimas. Ataques direcionados ao console AWS usam Adversário no Meio (AitM), com credenciais sendo abusadas em até 20 minutos após o comprometimento. Ataques do tipo “ClickFix” evoluíram, com uma nova variante visando especificamente o aplicativo Windows Terminal, em vez do método tradicional de execução via prompt de comando.
No cenário de malware, o RAT TaxiSpy visa bancos russos no Android, enquanto o BeatBanker, também para Android, ataca instituições brasileiras e agora inclui um componente de cryptomining. Uma descoberta notável é o ClipXDaemon, possivelmente o primeiro sequestrador de área de transferência (clipboard hijacker) direcionado a usuários Linux, substituindo endereços de criptomoeda. O botnet KadNap, infectando mais de 14.000 dispositivos desde agosto, é comercializado como um serviço de proxy residencial chamado Doppelganger.
APT e Operações de Influência: Foco Geopolítico
O grupo chinês Camaro Dragon rapidamente direcionou o Catar após os ataques dos EUA e Israel ao Irã, usando imagens dos bombardeios como isca em documentos maliciosos. Hackers estatais russos lançaram uma campanha global para comprometer contas de Signal e WhatsApp de diplomatas e militares estrangeiros, usando engenharia social para obter códigos de segurança. A ESET analisou novos malwares usados pelo APT28/Sednit nos últimos três anos, incluindo slimAgent, BeardShell e a ferramenta de red team de código aberto Covenant.
Relatório mensal do TikTok sobre operações de influência identificou campanhas promovendo o partido de Viktor Orbán na Hungria e a saída da Polônia da UE. A maior rede, operada na China, direcionava audiências globais com mensagens pró-PCC. Uma investigação jornalística expôs mais de 100 domínios ligados à rede de desinformação russa Doppelgänger, após análise de um dump de backend.
Vulnerabilidades e Pesquisa: Patch Tuesday e Exploração Ativa
O Patch Tuesday de março de 2026 trouxe atualizações de múltiplos fornecedores. A Microsoft corrigiu 79 CVEs, sem zero-days ativamente explorados. No entanto, a CISA adicionou a CVE-2026-1603, uma vulnerabilidade de bypass de autenticação no Ivanti Endpoint Manager, ao seu catálogo KEV devido a relatos de exploração ativa. Uma análise técnica profunda da BishopFox detalha a CVE-2026-21643, uma injeção SQL crítica no FortiClient EMS da Fortinet.
O Google corrigiu nove vulnerabilidades no Looker Studio que poderiam permitir que atacantes escapassem de tenants e roubassem dados de outros clientes. Em uma descoberta de pesquisa, nove falhas no portal de admissões de uma grande faculdade técnica indiana, incluindo a completa falta de autenticação de API, levantaram questões sobre a educação em segurança no local.
Indústria e Ferramentas: Reorganizações e Novas Defesas
A fabricante de spyware DefensePrime (também Palm Beach Networks) encerrou suas operações na Flórida e transferiu ativos para uma empresa em Barcelona, Espanha, em um movimento descrito como “lavagem jurisdicional”. A OpenAI adquiriu a plataforma de segurança de IA Promptfoo e lançou em preview o Codex Security, um agente de IA focado em AppSec.
Novas ferramentas de segurança de código aberto foram lançadas, incluindo a edição comunitária do framework VulHunt da Binarly, o navegador efêmero Bromure e a extensão Electric Eye para Firefox, que detecta ataques de phishing AitM em tempo real analisando impressões digitais TLS e cabeçalhos HTTP localmente via WebAssembly.
Análise baseada no Risky Bulletin (10/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário