Pesquisa da Forcepoint detalha campanha que usa arquivos .lnk com dupla extensão para entregar o ransomware Global Group (linha Mamona/Phorpiex). O malware opera em modo offline e emprega técnicas anti‑forense.
Pesquisadores documentaram o SSHStalker, um botnet Linux com pipeline de mass‑compromise que teria infectado cerca de 7.000 sistemas. A operação usa scanners e payloads automatizados para comprometer hosts expostos via SSH.
Microsoft vai permitir que usuários do Defender for Office 365 Plan 1 reportem mensagens suspeitas no Teams (recurso antes restrito ao Plan 2). O rollout está previsto para final de março de 2026 (Roadmap ID 531760). A funcionalidade é opt‑in e requer ativação administrativa; reports fluem para a página "User reported" no Defender ou para mailbox configurada para triagem.
Um ator declarou ter vazado o banco de dados do WormGPT, plataforma de IA orientada ao crime. Relatórios indicam exposição de cerca de 19.000 usuários — e‑mails, IDs e metadados de cobrança. Pesquisadores descrevem o output do WormGPT como altamente persuasivo, aumentando riscos de phishing e BEC. Defensores devem reforçar gateways de e‑mail e monitoramento de campanhas.
CVE-2026-25646 é uma falha de heap buffer overflow em png_set_quantize() do libpng. Mantida por décadas, a vulnerabilidade permite crashs determinísticos e, potencialmente, execução remota. A correção está em libpng 1.6.55; equipes devem priorizar atualização em sistemas, navegadores e bibliotecas que embutem o projeto.
Crypto Scanner, da Quantum Shield Labs, é um CLI open‑source que identifica criptografia vulnerável em código, configs e certificados. Voltado a equipes que precisam mapear ativos antes da migração para algoritmos resistentes a quantum, oferece integração com CI/CD e relatórios JSON/HTML. O anúncio destaca a ameaça "Harvest Now, Decrypt Later" e recomenda testes em staging antes de bloquear commits em produção.
Análises apontam que o downloader GuLoader (CloudEyE) evoluiu para usar hospedagem em serviços de cloud legítimos e código polimórfico, dificultando detecção por reputação e assinaturas. O loader distribui payloads como Remcos, Vidar e Raccoon e explora anexos ZIP/ISO com VBScript ou instaladores NSIS.
Autoridades da Holanda confirmaram que a Dutch Data Protection Authority (AP) e o Council for the Judiciary (Rvdr) tiveram sistemas impactados por ataques que exploraram vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). Relatos indicam exposição de dados de contato de funcionários; detalhes sobre volume e técnica de exploração ainda não foram divulgados.
Analistas identificaram que operativos da RPDC estão usando perfis reais do LinkedIn para se candidatar a vagas remotas, frequentemente com e‑mails e badges verificados, tornando a detecção por triagem inicial mais difícil. A técnica visa geração de receita e possível acesso a redes corporativas; recomenda‑se validação por mensagem/conexão direta na plataforma e avisos públicos em perfis supostamente afetados.
O Augustus, da Praetorian, é um scanner open‑source em binário Go que automatiza mais de 210 ataques adversariais contra 28 provedores de LLM. Projetado para integração em pentests e CI/CD, traz paralelismo por goroutines, sistema "Buff" para transformar probes e exportação em JSON/HTML. A iniciativa facilita testes operacionais de segurança em modelos de IA.
O grupo criminal Bloody Wolf (Stan Ghouls) lançou uma campanha direcionada usando spear‑phishing e um loader Java que instala o NetSupport RAT. A ação foca setores como manufatura, finanças e TI em Rússia e Uzbequistão; o malware usa janelas de erro falsas e três mecanismos de persistência (Startup, Run e tarefa agendada). Defensores devem monitorar ferramentas remotas e execuções vindas da pasta Startup.
O app móvel “Chat & Ask AI” expôs cerca de 300 milhões de mensagens de 25 milhões de usuários por conta de uma configuração incorreta no Google Firebase. O conjunto de dados continha históricos de conversas, timestamps, nomes de assistentes e tipos de modelo usados; uma amostra revelou consultas sensíveis, incluindo instruções ilegais e pedidos de orientação sobre suicídio. O problema é atribuído ao armazenamento inseguro do wrapper do app, não a
Relato do DarkReading indica que o grupo TeamPCP vem comprometendo ambientes de nuvem em escala, usando ataques automatizados do tipo worm contra serviços expostos. Não há, até agora, indicadores públicos detalhados, CVEs ou confirmação de provedores; recomendam‑se auditoria de exposição, logs centralizados e fortalecimento de IAM.
A SmarterTools confirmou invasão pela gangue Warlock após comprometimento de um sistema de e-mail; a empresa afirma que aplicações de negócio e dados de contas não foram afetados. A cobertura não detalha vetores técnicos nem alcance, recomendando revisão de logs, autenticação e investigação forense por clientes e integradores.
Pesquisas indicam exploração ativa de falhas no SolarWinds Web Help Desk (WHD) para execução remota de código e implantação de ferramentas legítimas de forense como Velociraptor, usadas para persistência. A matéria não detalha CVE, versões afetadas ou escala da campanha; recomenda-se isolar instâncias expostas, aplicar correções e buscar indicadores de compromisso.