O DOJ indiciou 54 pessoas por um esquema que usou o malware Ploutus para forçar ATMs a dispensar dinheiro (jackpotting). Procuradores afirmam que os recursos foram direcionados à Tren de Aragua; os réus enfrentam longas penas em caso de condenação.
Relatório da Resecurity descreve o DIG AI, uma IA hospedada no darknet que opera sem filtros e facilita geração de código malicioso, deepfakes e CSAM. A ferramenta oferece modelos especializados e opções premium, criando um modelo de Crime‑as‑a‑Service que amplia riscos técnicos e regulatórios.
Duas vulnerabilidades críticas no FortiCloud SSO (CVE‑2025‑59718 e CVE‑2025‑59719) estão sendo exploradas ativamente, permitindo bypass SAML e acesso administrativo a FortiGate, FortiWeb, FortiProxy e FortiSwitchManager. Fortinet liberou patches e recomenda a desativação temporária do SSO quando necessário.
A campanha PCPcat explorou vulnerabilidades em Next.js e React (CVE‑2025‑29927, CVE‑2025‑66478), comprometendo mais de 59.000 servidores em menos de 48 horas e instalando túnel e persistência (GOST, FRP). Recomenda‑se patch imediato, rotação de credenciais e investigação forense.
Exploração ativa de CVE‑2025‑20393 em AsyncOS permite execução remota e entrega do backdoor 'AquaShell' via requisições HTTP POST não autenticadas. Cisco recomenda aplicação imediata de medidas de hardening, segmentação e monitoramento; não havia patch completo no momento da publicação.
Pesquisadores da SafeBreach detectaram nova atividade atribuída ao grupo APT Infy (Prince of Persia), quase cinco anos após observações anteriores contra alvos na Suécia, Países Baixos e Turquia. A empresa afirma que a escala das operações é maior que o esperado; contudo, o item RSS consultado não traz IOCs, detalhes técnicos ou referências a vítimas brasileiras. Analistas e times de resposta devem acompanhar relatórios oficiais para obter indica
GitHub passou a oferecer o modelo Claude Opus 4.5 (Anthropic) no Copilot. A opção aparece no model picker do Copilot Chat em múltiplas IDEs e exige ativação administrativa em contas Business/Enterprise; assinantes individuais podem habilitar localmente.
O Departamento de Justiça dos EUA indiciou 54 pessoas por um esquema multimilionário de jackpotting de caixas eletrônicos que usou o malware Ploutus para forçar ATMs a dispensar dinheiro. A acusação liga os réus ao grupo Tren de Aragua, segundo a matéria.
Microsoft começou a liberar o Baseline Security Mode no M365 Admin Center: painel opt-in que consolida 18–20 políticas para Office, SharePoint, Exchange, Teams e Entra, com simulação e aplicação gradual. Rollout global previsto para jan/2026; GCC/DoD/GCCH até mar/2026.
CISA, NSA e o Centro Canadense publicaram IOCs e regras Sigma/YARA para BRICKSTORM, um backdoor ELF atribuído a atores estatais da RPC que mira VMware vSphere. O advisório documenta 11 variantes e descreve técnicas como TLS aninhado, DoH e proxies SOCKS; um incidente relatado incluiu comprometimento de controladores de domínio e extração de chaves.
Dois ex-profissionais de segurança — um ex-supervisor de resposta a incidentes e um ex-negociador de resgates — declararam-se culpados por conspiração para extorsão, segundo processo federal. O grupo usou o ransomware ALPHV (BlackCat) e teria obtido mais de US$1 milhão em um caso envolvendo uma empresa de dispositivos médicos na Flórida. As empresas demitiram os funcionários e cooperam com as autoridades.
Pesquisadores revelaram uma campanha de phishing que usa SVGs maliciosos e documentos Office (explorando CVE‑2017‑11882) para entregar um loader que distribui RATs e stealers. A cadeia em quatro estágios envolve JS ofuscado, esteganografia em PNGs, uma assembly trojanizada derivada do TaskScheduler e injeção por process hollowing. Técnicas incluem execução em memória e um bypass de UAC; não há, por ora, indicação pública de vítimas no Brasil.
Autoridades na Nigéria prenderam três indivíduos ligados ao desenvolvimento da plataforma de phishing Raccoon0365, usada em ataques direcionados contra contas Microsoft 365, segundo BleepingComputer. A matéria indica prisões, mas não divulga números de vítimas, evidências técnicas ou desdobramentos legais detalhados. Times de segurança devem reforçar MFA e monitoramento.
Reportagem da DarkReading descreve duas campanhas distintas que miraram infraestrutura de acesso remoto e serviços de email associados à Cisco: uma campanha "de cinco alarmes" e outra do tipo "spray-and-pray". A matéria não traz indicadores técnicos nem confirmação oficial da Cisco; equipes de segurança devem endurecer controles, habilitar MFA e monitorar logs enquanto aguardam comunicados técnicos.
Conferência em Bangkok lançou uma iniciativa internacional para combater fraudes online; membros da ASEAN já haviam feito compromissos similares nos meses anteriores. A cobertura disponível não detalha participantes, medidas ou cronograma.