Na última semana, pesquisadores em segurança digital identificaram uma série de ameaças avançadas que demonstram como grupos criminosos vêm combinando furtividade técnica e cooperação estratégica para ampliar seus ataques.
Malware oculto em máquinas virtuais Hyper-V
O grupo Curly COMrades, alinhado a interesses geopolíticos russos, foi flagrado explorando o hypervisor Hyper-V, da Microsoft, em máquinas Windows comprometidas. Os invasores habilitaram o Hyper-V via Deployment Image Servicing and Management (DISM), baixaram um arquivo RAR disfarçado de vídeo MP4 e importaram, com PowerShell, uma máquina virtual Alpine Linux oculta batizada de “WSL”. Dentro do ambiente virtual, carregaram os malwares CurlyShell e CurlyCat, operando fora da visibilidade do sistema hospedeiro e de ferramentas EDR/XDR.
Para mascarar o tráfego malicioso, a interface Default Switch foi configurada para que a comunicação externa parecesse vir do próprio endereço IP da máquina Windows. A campanha foi observada em julho de 2025; as vítimas não foram divulgadas.
Whisper Leak revela tópicos de IA mesmo com tráfego criptografado
A Microsoft detalhou o Whisper Leak, ataque de canal lateral capaz de inferir temas de conversas com modelos de linguagem, mesmo quando o tráfego está criptografado. Adversários que monitorem a rede — provedores, usuários no mesmo Wi-Fi ou observadores locais — podem descobrir se o prompt trata de determinado assunto. Testes de prova de conceito mostraram taxa de acerto superior a 98 % em modelos da Alibaba, DeepSeek, Mistral, Microsoft, OpenAI e xAI. As quatro últimas já aplicaram mitigação.
Zero-day em Samsung Galaxy instala spyware LANDFALL
Uma falha corrigida em abril de 2025 (CVE-2025-21042) em dispositivos Samsung Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4 foi explorada para distribuir o spyware LANDFALL em ataques direcionados ao Iraque, Irã, Turquia e Marrocos. O código malicioso coleta áudio, localização, fotos, contatos, SMS, arquivos e registros de chamadas. A Unit 42, da Palo Alto Networks, não encontrou evidências de zero-click no WhatsApp, mas acredita que a cadeia de exploração possa dispensar interação do usuário.
“Bombas-lógicas” em pacotes NuGet
Nove bibliotecas NuGet publicadas pelos usuários “shanhai666” em 2023 e 2024 contêm rotinas que disparam cargas maliciosas após datas específicas — agosto de 2027 e novembro de 2028. O pacote Sharp7Extend ativa o código logo após a instalação e funciona até 6 de junho de 2028, podendo sabotear bancos de dados e sistemas industriais.
Falhas no Microsoft Teams permitem falsificar remetentes
Quatro vulnerabilidades já corrigidas no Microsoft Teams possibilitavam alterar mensagens sem exibir rótulo de edição, modificar notificações e trocar nomes de exibição em chats e chamadas. Segundo a Check Point, isso abriria caminho para golpes de engenharia social com remetentes e executivos falsificados.
Imagem: Internet
Ameaças se unem: Scattered LAPSUS$ Hunters
Os grupos Scattered Spider, LAPSUS$ e ShinyHunters formaram a aliança Scattered LAPSUS$ Hunters (SLH), que desde 8 de agosto de 2025 já mudou 16 vezes de canal no Telegram. A coalizão promove extorsão como serviço e testa o ransomware “Sh1nySp1d3r”, combinando reputação e táticas dos três coletivos para intensificar ataques financeiros.
CVE em destaque
Pelo menos 30 identificadores de vulnerabilidade críticos receberam atenção na semana, entre eles CVE-2025-20354, CVE-2025-62626 (AMD) e sete falhas no pacote django-allauth. Especialistas recomendam priorizar correções antes que grupos explorem as brechas.
Panorama global
- Cephalus Ransomware invade contas RDP sem MFA, desativa o Windows Defender e usa chave AES-CTR única.
- WhatsApp testará modo de proteção avançada para usuários sob alto risco, bloqueando mídia de desconhecidos e restringindo convites a grupos.
- Provedora alemã aurologic GmbH é apontada como centro de hospedagem para infraestruturas maliciosas sancionadas.
- Austrália sanciona Kimsuky, Lazarus, Andariel, Chosun Expo e o hacker Park Jin Hyok por cybercrimes ligados à Coreia do Norte.
- Operadoras do Reino Unido bloquearão spoofing de números britânicos por centrais de chamadas estrangeiras.
Outros alertas incluem falha no Advanced Installer, detecção de jailbreak no Microsoft Authenticator a partir de 2026, exploração de vulnerabilidades no SimpleHelp RMM para implantar Medusa e DragonForce, e campanhas de phishing que distribuem o carregador TamperedChef/BaoLoader usando instaladores falsos.
A série de incidentes evidencia a rápida evolução do cibercrime, que combina técnicas de evasão, exploração de cadeias de suprimento e alianças entre grupos para ampliar alcance e impacto.
Com informações de The Hacker News