GreyNoise contabiliza mais de 8,1 milhões de sessões explorando o React2Shell (CVE-2025-55182). A exploração usa infraestrutura em cloud, AMSI bypass e centenas de milhares de sessões diárias; defesa requer patch imediato, monitoramento de PowerShell e bloqueio dinâmico.
Relatório da Cisco Talos descreve a operação do grupo UAT-7290 contra operadoras de telecomunicações no Sul da Ásia, usando um conjunto modular para Linux (RushDrop, DriveSwitch, SilentRaid). Atores ampliaram alcance ao Sudeste da Europa; recomendações incluem hardening de borda, monitoramento DNS e análise de persistência.
Microsoft lança ferramenta nativa no Microsoft 365 Admin Center para migrar canais do Slack para o Teams. O fluxo usa export ZIP no Azure Blob com URL SAS; preview começou em dezembro de 2025 e GA será entre janeiro e março de 2026.
Relatos públicos apontam que as falhas ShadowLeak e ZombieAgent permitiam exfiltrar dados de serviços conectados ao ChatGPT (Gmail, Outlook, GitHub, Google Drive) explorando Connectors e Memory. A Radware reportou os vetores; OpenAI aplicou correções em 2025.
Microsoft anuncia enforcement de MFA para acessos ao Microsoft 365 Admin Center a partir de 9 de fevereiro de 2026. A medida afeta portais administrativos e pode bloquear logins de administradores sem MFA configurado, segundo a empresa.
Gendigital detalha AuraStealer: infostealer entregue via cracks e campanhas em redes sociais, vendido por assinatura (US$295–585/mês). Usa geofencing, detecção de VM, obfuscação de fluxo e outros mecanismos anti‑análise; rouba dados de navegadores, carteiras e tokens. Indicadores e mitigação são possíveis via EDR e políticas de execução.
CVE‑2026‑20029 permite que administradores autenticados no Cisco ISE enviem XML malicioso para ler arquivos arbitrários do sistema. PoC público existe; Cisco publicou patches (3.2 Patch 8, 3.3 Patch 8, 3.4 Patch 4). A recomendação é aplicar correções ou isolar interfaces administrativas imediatamente.
Duas falhas em Snort 3 (CVE‑2026‑20026 e CVE‑2026‑20027) permitem negação de serviço e vazamento de dados na engine de detecção da Cisco. Affects Secure FTD 7.0.0+ e Meraki; Cisco lançou Snort 3.9.6.0 e hotfixes. Recomenda‑se aplicar atualizações e monitorar reinicializações anômalas.
Pesquisadores documentaram o ConsentFix: ataque OAuth que usa fluxos legítimos do Microsoft Entra para extrair códigos de autorização expostos em páginas de erro e permitir que invasores resgatem tokens, contornando Conditional Access. A detecção depende de correlação entre sign‑ins interativos e não interativos na janela de validade do código (~10 minutos).
O TLP 1.9.1 corrige CVE‑2025‑67859, um bypass de Polkit em TLP 1.9.0 que permitia a substituição de PID na autenticação D‑Bus. A atualização também aborda cookies previsíveis, DoS e falhas de tratamento de exceção; administradores devem atualizar imediatamente.
GitLab liberou correções de emergência (18.7.1, 18.6.3, 18.5.5) em 7/1/2026 para oito vulnerabilidades, incluindo CVE‑2025‑9222 (XSS armazenada, CVSS 8.7). Administradores self‑hosted devem atualizar imediatamente; single‑node requer migração com downtime.
Pesquisadores da Outflank documentaram um método que oculta processos no Windows manipulando estruturas de dados do kernel (ActiveProcessLinks). A técnica opera dentro das validações do PspProcessDelete, reparando ponteiros no momento de término para evitar falhas de integridade, e exige um driver em nível de kernel e assinatura válida.
Três pacotes npm (bitcoin-main-lib, bitcoin-lib-js, bip40) entregam o RAT NodeCordRAT via postinstall, usando Discord como C2 para roubar logins de navegador, .env e dados MetaMask. Descoberta por Zscaler ThreatLabz em novembro de 2025.
BlueDelta, grupo associado ao GRU, intensificou campanhas de phishing direcionadas a OWA, Google e Sophos VPN, usando PDFs legítimos como isca e infraestrutura descartável para capturar credenciais. Analistas documentaram fluxo de redirecionamento e coleta automatizada de dados.
A CISA incluiu vulnerabilidades que afetam Microsoft Office e HPE OneView em seu catálogo de Known Exploited Vulnerabilities, citando exploração ativa. A medida eleva a urgência por correções e mitigação em ambientes corporativos e governamentais.