Campanha ativa entre novembro de 2025 e janeiro de 2026 abusou de páginas hospedadas na Vercel para entregar uma cópia assinada do GoTo Resolve como ferramenta de acesso remoto. A cadeia usa browser fingerprinting e filtragem via Telegram para selecionar vítimas e evitar pesquisadores.
Campanha PHALT#BLYX usa phishing com falso BSOD e técnica ClickFix para induzir execução de MSBuild.exe e instalar uma variante ofuscada do DCRat; payload usa AES-256 e C2 em asj77/asj88/asj99:3535.
Pesquisadores da Huntress documentaram exploração ativa da CVE‑2025‑51683 em Mjobtime v15.7.2: requisições POST ao IIS habilitam xp_cmdshell no MSSQL, permitindo execução de comandos de sistema e oferecendo foothold para movimento lateral.
Um repositório público de ~96 GB expôs 149.404.754 credenciais colhidas por infostealers e keyloggers, incluindo milhões de contas Gmail, Instagram, Facebook e serviços financeiros; o provedor demorou quase um mês para suspender o índice.
O 1Password passou a exibir avisos pop-up ao identificar URLs suspeitos de phishing, com o objetivo de impedir que usuários compartilhem credenciais em páginas fraudulentas. A matéria relata a nova proteção, mas não detalha método de detecção, disponibilidade por plataforma ou cronograma de rollout.
Relatos indicam que atualizações de janeiro de 2026 para Windows 11 têm causado falhas de inicialização com o erro UNMOUNTABLE_BOOT_VOLUME. A Microsoft afirma que investiga os incidentes; não há confirmação pública sobre a extensão, número de máquinas afetadas ou causa definitiva. Equipes de TI devem conter deploys em massa, coletar logs e seguir runbooks de recuperação enquanto aguardam orientação oficial.
Pesquisas identificaram uma campanha de phishing que usa homoglyphs — substituir “m” por “rn” — para criar domínios visualmente iguais aos de Microsoft e Marriott. Domínios como rnicrosoft.com e rnarriottinternational.com foram detectados; ataque é especialmente eficaz em dispositivos móveis. Recomenda‑se bloqueio imediato dos IOCs e medidas anti‑autofill.
A CISA adicionou a CVE-2024-37079 (falha de out-of-bounds write no DCERPC) ao catálogo Known Exploited Vulnerabilities, confirmando exploração ativa contra o VMware vCenter Server. Broadcom liberou patches e a CISA fixou prazo de remediação para agências federais até 13/02/2026. A falha permite RCE sem autenticação e exige ação imediata de administradores de virtualização.
A agência estatal Xinhua informou que Zhang Youxia, o oficial uniformizado mais sênior da China, e Liu Zhenli foram colocados sob investigação após deliberação do Comitê Central do Partido Comunista. O comunicado não detalha acusações nem desdobramentos, deixando em aberto o impacto na cadeia de comando do Exército.
A Microsoft marcará no Microsoft 365 Roadmap (ID 488800) uma funcionalidade do Teams que atualiza automaticamente a localização de trabalho com base em SSIDs corporativos. O recurso, previsto para março de 2026, é off by default e requer habilitação pelo admin e opt‑in do usuário. Ainda faltam clarificações sobre retenção de logs, auditoria e integrações com RH.
Pesquisadores da Fortinet reportaram uma campanha de phishing em múltiplas etapas que atinge usuários na Rússia, combinando o trojan Amnesia RAT com cargas de ransomware. O ataque parte de documentos empresariais aparentemente legítimos. Ainda não há dados públicos sobre o número de vítimas, IOCs completos ou a família específica de ransomware empregada; equipes de segurança devem acompanhar novas divulgações para obter hashes e domínios identifi
Relatos públicos atribuem ao grupo Sandworm uma tentativa de ataque à rede elétrica da Polônia no fim de dezembro de 2025, com uso do malware DynoWiper. Autoridades dizem que a ação foi detectada e impedida; não há, porém, relatório técnico público consolidado sobre vetores, IOCs ou extensão do comprometimento.
Microsoft informou que forneceu chaves de recuperação do BitLocker ao FBI para desbloquear três laptops ligados a uma fraude de auxílio-desemprego em Guam. O caso destaca o dilema entre conveniência de recuperação em nuvem e o risco de acesso por autoridades, e traz recomendações práticas para gestão de chaves.
O coletivo ShinyHunters reivindicou uma onda de ataques por vishing a contas de Single Sign‑On (SSO) em provedores como Okta, Microsoft e Google, que teriam permitido invasões a plataformas SaaS e exfiltração de dados para extorsão. A reivindicação ainda não tem confirmação técnica pública nem números de vítimas.
Pesquisadores documentaram uma campanha que usa atalhos .lnk com PDFs isca para distribuir o RAT MoonPeak em Windows. A cadeia inclui PowerShell ofuscado, carregamento em memória a partir de repositórios GitHub e comunicação com C2 em 27.102.137[.]88:443. O alvo principal parece ser investidores sul‑coreanos.