F5 identifica roubo de código-fonte
A F5 informou ter descoberto, em 9 de agosto de 2025, que agentes não identificados permaneceram pelo menos 12 meses em sua rede e extraíram arquivos com partes do código-fonte do BIG-IP, além de detalhes sobre falhas ainda não divulgadas. A investigação aponta o uso do malware BRICKSTORM, atribuído ao grupo de espionagem chinês UNC5221. A GreyNoise registrou três picos de varredura direcionada ao BIG-IP em 23 de setembro, 14 e 15 de outubro, mas afirma que esses eventos podem não estar ligados diretamente à invasão.
Levantamento da Censys encontrou mais de 680 mil balanceadores e gateways F5 BIG-IP acessíveis na internet, principalmente nos Estados Unidos, Alemanha, França, Japão e China. Especialistas recomendam inventariar, restringir acesso e aplicar correções preventivas nesses sistemas.
Novas táticas e malwares
Coreia do Norte adota EtherHiding
O grupo norte-coreano UNC5342 (Famous Chollima) passou a ocultar malware em contratos inteligentes da Binance Smart Chain por meio da técnica EtherHiding. O método foi observado em campanhas de engenharia social no LinkedIn, Telegram e Discord, nas quais candidatos a vagas são induzidos a executar código malicioso que instala o downloader JADESNOW e, depois, o script InvisibleFerret.
LinkPro: rootkit eBPF para Linux
Uma investigação de infraestrutura hospedada na AWS revelou o rootkit LinkPro, que injeta dois módulos eBPF para se esconder e pode ser ativado remotamente por um pacote TCP SYN com janela 54321. Entre os comandos, estão criação de shell interativo, operações em arquivos e túnel SOCKS5. O objetivo parece financeiro; não há atribuição confirmada.
Operação Zero Disco explora falha da Cisco
A Trend Micro detectou o uso da vulnerabilidade CVE-2025-20352 (nota CVSS 7,7) em IOS e IOS XE para instalar rootkits Linux em switches Cisco 9400, 9300 e 3750G. O ataque, batizado Zero Disco, explora estouro de pilha no SNMP para execução remota de código. Nenhum ator foi apontado até o momento.
Pixnapping atinge Android
Imagem: Internet
Pesquisadores identificaram o ataque de canal lateral “Pixnapping”, capaz de capturar códigos 2FA, histórico do Google Maps e outros dados em aparelhos Google e Samsung. O problema foi catalogado como CVE-2025-48561 (CVSS 5,5) e recebeu correção no boletim de segurança de setembro; novos ajustes chegam em dezembro.
Flax Typhoon usa ArcGIS como shell
O grupo chinês Flax Typhoon comprometeu um servidor ArcGIS público, modificando uma extensão Java (SOE) para criar um web shell com chave hardcoded, mantendo backdoor por mais de um ano. O acesso persistiu mesmo após backups e recuperações de sistema.
Vulnerabilidades em destaque
Entre as falhas mais visadas da semana estão CVE-2025-24990, CVE-2025-59230 (Windows), CVE-2025-47827 (IGEL OS), CVE-2025-2611 (ICTBroadcast), CVE-2025-11756 (Chrome) e CVE-2025-49553 (Adobe Connect), entre outras listadas por especialistas.
Movimentação no setor
A Microsoft anunciou que partes do kernel do Windows 11 foram reescritas em Rust para reduzir vulnerabilidades de corrupção de memória. A empresa acrescentou restrições para agentes de IA, que deverão operar com permissões limitadas e assinatura criptográfica obrigatória.
— Fim —
Com informações de The Hacker News
