_feed - RunkIntel

# Feed de Inteligência CTI Inteligência de ameaças curada para **Brasil e América Latina**. Monitoramos 100+ fontes OSINT e correlacionamos com MITRE ATT&CK, CISA KEV e NVD para entregar inteligência acionável em português - priorizada por severidade real, não por volume de notícias. | Fontes | CVEs KEV | Atores | Campanhas | Risco LATAM | Tendência | Semana | |:------:|:-------:|:------:|:---------:|:-----------:|:---------:|:------:| | **100+** | **71** | **213** | **84** | 🟥 **Alto** | **↑** Crescente | **W14** | > [!danger]- Alertas Ativos - 30 mar 2026 > | P | Alerta | Ação | > |---|--------|------| > | 🟥 | **CVE-2025-53521** (F5 BIG-IP APM) - KEV, prazo FEDERAL **AMANHÃ 30/03**, backdoor BRICKSTORM China-nexo | **Patch HOJE** | > | 🟥 | **CVE-2026-33634** (Trivy) - supply chain TeamPCP, CI/CD comprometido, prazo KEV **09/04** | Rotacionar secrets | > | 🟥 | **CVE-2026-33017** (Langflow) - KEV, exploração ativa, weaponizado em 20h | Patch imediato | > | 🟧 | **Silver Fox APT** - confirmado no Brasil (ESET), phishing fiscal com ValleyRAT/Python stealer | Alertar time de email | > > [CVE-2025-53521](https://publish.obsidian.md/runkintel/vulnerabilities/2025/CVE-2025-53521) · [CVE-2026-33634](https://publish.obsidian.md/runkintel/vulnerabilities/2026/CVE-2026-33634) · [CVE-2026-33017](https://publish.obsidian.md/runkintel/vulnerabilities/2026/CVE-2026-33017) > [!example]- Navegue pelo RunkIntel > | Seção | Conteúdo | Acesso | > |-------|----------|--------| > | **CTI** | 213 grupos, 412 malware, 91 tools, 84 campanhas | [[_cti\|Abrir]] | > | **TTPs** | 737 técnicas MITRE ATT&CK | [[_techniques\|Abrir]] | > | **Defesas** | 44 mitigações, 2.500+ detecções, 18 playbooks | [[_defenses\|Abrir]] | > | **Vulnerabilidades** | 130+ CVEs com CVSS, EPSS, KEV | [[_vulnerabilities\|Abrir]] | > | **Market** | Setores, vendors, 5 regiões, 16 regulações | [[_market\|Abrir]] | > [!tip]- Relatórios e Análises > | Tipo | Frequência | Acesso | > |------|-----------|--------| > | **Relatório Semanal** | Domingo | [[_weekly\|Abrir]] | > | **Insights LATAM** | Trimestral | [[insights\|Abrir]] | > | **Timeline CTI** | 20 eventos históricos | [[_timeline\|Abrir]] | > | **Fontes OSINT** | 100+ fontes monitoradas | [[sources\|Abrir]] | > | **Changelog** | Evolução da plataforma | [[changelog\|Abrir]] | > [!warning]- Prioridade e Métodologia > | Nível | Critério | > |-------|----------| > | 🟥 **P1** | KEV ativo + exploit, campanha LATAM, impacto nacional | > | 🟧 **P2** | CVSS 9.0+, KEV sem exploit, APT com novos TTPs | > | 🟨 **P3** | CVSS 7.0+, tendência relevante, malware novo | > | 🟦 **P4** | Pesquisa, contexto, conscientização | --- ```mermaid pie title Distribuição por Categoria - W13/2026 "Vulnerabilidades" : 17 "Ransomware" : 9 "Malware/Tools" : 9 "Espionagem/APT" : 8 "Supply Chain" : 6 "LATAM/Brasil" : 7 ``` --- ## 30 mar 2026 ### 🟧 P2 | [[silver-fox|Silver Fox APT]] · ESET Confirma Expansão para Brasil - Phishing Fiscal com ValleyRAT e Python Stealer 📅 29 mar · `Espionagem` `APT` `LATAM` · Score **77** O **ESET** publicou pesquisa confirmando que o grupo [[silver-fox|Silver Fox]] (também rastreado como Void Arachne) está ativamente operando no **Brasil**, além de Taiwan, Japão, Índia, Indonésia, Austrália e Reino Unido - expandindo dramaticamente o escopo de um grupo que foi primariamente Asia-Pacific até 2025. O Silver Fox conduz campanhas de phishing com lures temáticos de **auditorias fiscais e conformidade tributária**, entregando inicialmente o RAT modular [[valleyrat|ValleyRAT]] via DLL side-loading e, em 2026, um Python stealer compilado camuflado como aplicativo "WhatsApp Backup" que coleta credenciais de navegadores e as exfiltra para o C2 `xqwmwru[.]top` com User-Agent customizado "WhatsAppBackup/1.0". Para o Brasil, o vetor de phishing fiscal é especialmente ameaçador: a complexidade tributária do SPED/eSocial/DCTF e os períodos de entrega de declarações oferecem ao grupo material abundante para criação de lures convincentes - funcionários de departamentos financeiros, contabilidade e RH são os alvos primários. O grupo demonstra capacidade técnica consistente com patrocínio estatal chinês, combinando espionagem com ganho financeiro oportunista. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1574-002-dll-side-loading|T1574.002]] · [[t1059-006-python|T1059.006]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Atores:** [[silver-fox|Silver Fox]] **Software:** [[valleyrat|ValleyRAT]] · [[winos-40|Winos 4.0]] **Setores:** [[financial|Financeiro]] · [[healthcare|Saúde]] · [[technology|Tecnologia]] **Mitigação:** Bloquear e-mails com temas fiscais de domínios desconhecidos - especialmente durante períodos de declaração do IRPF/SPED. Verificar execuções de Python em endpoints corporativos e monitorar conexões para `xqwmwru[.]top`. Treinar equipes financeiras/contabilidade sobre phishing tributário. **Fontes:** [1](https://www.welivesecurity.com/en/business-security/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season/) [2](https://blog.sekoia.io/silver-fox-the-only-tax-audit-where-the-fine-print-installs-malware/) [3](https://www.infosecurity-magazine.com/news/silver-fox-cyber-dual-espionage/) --- ### 🟨 P3 | Alp-001 · Novo Grupo de Ransomware Compromete Polsat, Kyocera e Mídia Global 📅 29 mar · `Ransomware` · Score **62** O **Alp-001**, grupo de ransomware recém-emergente, publicou em 29 de março quatro novas vítimas em seu portal dark web: **Polsat** (maior emissora independente da Polônia, 148,5M de receita, 75GB exfiltrados, prazo 08/04), **Kyocera Document Solutions Europe** (Reading, UK, 154M de receita, 75GB exfiltrados, prazo 08/04), **LACOR** (Espanha, 9M de receita, 182GB exfiltrados, prazo 08/04) e **KOB 4 News** (Albuquerque, EUA). O padrão de vitimização sugere foco oportunista em organizações de médio porte em múltiplos países, com volume de dados exfiltrados relativamente baixo. O grupo está em fase inicial de operações e pode estar construindo reputação antes de escalar ataques - padrão observado em outros grupos emergentes como [[qilin|Qilin]] em seus primeiros meses. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] **Setores:** [[technology|Mídia]] · [[technology|Tecnologia]] **Mitigação:** Verificar exposição de sistemas de acesso remoto e VPN. Monitorar em ransomware.live para novos anúncios do Alp-001 - grupo em fase de crescimento ativo. **Fontes:** [1](https://www.ransomware.live) [2](https://twitter.com/DarkWebInformer) --- ### 🟨 P3 | Infiniti Stealer · Novo Infostealer macOS Evade ClickFix com Técnica de Entrega Inovadora 📅 29 mar · `macOS` · Score **66** O pesquisador **Patrick Wardle** demonstrou que as proteções anti-ClickFix do **BlockBlock** são eficazes contra o recém-descoberto **Infiniti Stealer** para macOS - confirmando ao mesmo tempo a existência do stealer como ameaça ativa. O Infiniti Stealer representa a mais recente família de malware macOS com técnica de entrega baseada em ClickFix (engenharia social para auto-execução de comandos no terminal), visando roubo de credenciais, carteiras de criptomoedas e dados de navegadores em sistemas Apple. O crescimento de infostealers para macOS é tendência documentada desde 2024 - o macOS já não é imune e organizações com ambientes BYOD ou desenvolvimento de software (onde Macs são predominantes) precisam considerar controles de segurança endpoint específicos para a plataforma. **TTPs:** [[t1204-002-malicious-file|T1204.002]] · [[t1555-credentials-from-password-stores|T1555]] · [[t1539-steal-web-session-cookie|T1539]] **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] · [[technology|Criptomoedas]] **Mitigação:** Implementar ferramenta de segurança endpoint em Macs corporativos (BlockBlock, LuLu ou EDR como CrowdStrike Falcon). Monitorar execuções de comandos suspeitos via Terminal em macOS. Verificar carteiras de cripto e credenciais de navegadores em Macs que executam softwares de fontes não verificadas. **Fontes:** [1](https://twitter.com/patrickwardle) [2](https://objective-see.org/blog.html) --- ## 28 mar 2026 ### 🟥 P1 | [[cve-2025-53521|CVE-2025-53521]] · F5 BIG-IP APM RCE - Prazo CISA KEV Amanhã, Nexo China com BRICKSTORM Backdoor 📅 28 mar · `CVSS 9.8` `KEV` `Prazo 30/03` `Espionagem` · Score **98** A CISA adicionou ao catálogo KEV em 27 de março o [[cve-2025-53521|CVE-2025-53521]], vulnerabilidade crítica de execução remota de código não autenticada no módulo **F5 BIG-IP APM** (Access Policy Manager) - com prazo federal de remediação em **30 de março** (amanhã). Um ator estado-nação com nexo na China está ativamente explorando a falha, implantando o backdoor **BRICKSTORM** em dispositivos comprometidos e modificando componentes de integridade do sistema. Esta exploração é consequência direta do comprometimento da infraestrutura interna da [[_f5|F5 Networks]] por ator estado-nação em agosto de 2025, que incluiu acesso ao código-fonte de BIG-IP, BIG-IQ e F5OS - reduzindo dramaticamente o tempo de weaponização do adversário. O BIG-IP APM é componente crítico da borda de rede em setores [[financial|financeiro]], [[government|governo]] e [[telecom|Telecom]] no Brasil e LATAM: um dispositivo comprometido oferece ao atacante posição privilegiada para interceptação de credenciais em trânsito e movimentação lateral ampla. Versões afetadas: 15.x até 15.1.10, 16.x até 16.1.5, 17.x até 17.5.1. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1203-exploitation-client-execution|T1203]] · [[t1505-003-web-shell|T1505.003]] · [[t1070-001-clear-windows-event-logs|T1070.001]] **Atores:** [[g0125-silk-typhoon|Silk Typhoon]] **Setores:** [[financial|Financeiro]] · [[government|Governo]] · [[telecom|Telecom]] **Vendors:** [[_f5|F5 Networks]] **Mitigação:** Aplicar patches F5 HOJE (17.1.0.4+, 16.1.4.3+ ou 15.1.10.2+). Se impossível antes de 30/03, restringir acesso externo a servidores virtuais APM no perímetro. Verificar IOCs em todos os sistemas F5 acessíveis pela internet (F5 K000156741 e K000160486). Realizar verificação de integridade pós-patch - o adversário pode ter pré-posicionado acesso. **Fontes:** [1](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) [2](https://nvd.nist.gov/vuln/detail/CVE-2025-53521) [3](https://thecyberthrone.in/2026/03/28/cisa-adds-CVE-2025-53521-f5-big-ip-apm-to-kev/) [4](https://www.socdefenders.ai/item/c38e45d5-e370-4655-bd13-71e0cd96b71f) --- ### 🟧 P2 | [[red-menshen|Red Menshen]] · Campanha BPFDoor em Redes de Telecom - Espionagem Silenciosa de Longo Prazo 📅 28 mar · `Espionagem` `APT` `Telecom` · Score **79** O grupo chinês **Red Menshen** conduz campanha de espionagem cibernética de longa duração contra redes de Telecom no Oriente Médio e Ásia desde 2021, utilizando o implant de kernel Linux **BPFDoor** como peça central de suas operações. O BPFDoor utiliza a funcionalidade Berkeley Packet Filter para monitorar tráfego de rede sem detecção, permanecendo dormante até receber um "magic packet" especialmente criado que aciona o implant - técnica que o torna práticamente invisível para ferramentas de detecção convencionais. O grupo visa específicamente appliances VPN e firewalls voltados à internet como ponto de entrada, implantando backdoors de nível de kernel que sobrevivem a reinicializações e mantêm acesso persistente por anos. A relevância para a [[latam|América Latina]] é crescente: o Brasil, maior receptor de investimento chinês na LATAM, deve monitorar seus operadores de [[telecom|Telecom]] por este padrão de comprometimento silencioso e de longa duração. **TTPs:** [[t1205-traffic-signaling|T1205]] · [[t1059-004-unix-shell|T1059.004]] · [[t1014-rootkit|T1014]] · [[t1571-non-standard-port|T1571]] **Atores:** [[red-menshen|Red Menshen]] **Software:** [[s1161-bpfdoor|BPFDoor]] **Setores:** [[telecom|Telecom]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Auditar appliances VPN/firewall Linux por processos anômalos e tráfego BPF suspeito. Implementar monitoramento de integridade de kernel em dispositivos de borda. Isolar sistemas de Telecom críticos por segmentação de rede. Monitorar "magic packets" BPF como indicador de implant ativo. **Fontes:** [1](https://www.cyware.com/resources/threat-briefings/daily-threat-briefing/cyware-daily-threat-intelligence-march-27-2026) [2](https://securityaffairs.com/184076/security/old-linux-kernel-flaw-CVE-2024-1086-resurfaces-in-ransomware-attacks.html) --- ### 🟧 P2 | [[infiniti-stealer|Infiniti Stealer]] · Novo Infostealer macOS com ClickFix e Nuitka - Keychain, Cripto e .env Files 📅 28 mar · `macOS` `Infostealer` `ClickFix` `Nuitka` · Score **78** O **Infiniti Stealer** (identificado inicialmente como "NukeChain" - nome real revelado por painel do operador exposto acidentalmente) é um novo infostealer macOS descoberto pelo Malwarebytes Labs que combina duas tendências relevantes: entrega via **ClickFix** (fake Cloudflare CAPTCHA que induz usuário a colar comando Terminal) e payload Python compilado com **Nuitka** - compilador Python-para-C que elimina bytecode, tornando análise estática e assinaturas baseadas em bytecode completamente ineficazes. O stealer (Stage 3: `UpdateHelper.bin`) coleta credenciais de browsers, entradas do macOS Keychain, carteiras de criptomoeda, seed phrases, chaves privadas e arquivos `.env` de desenvolvedores - exfiltrando via HTTP POST para `update-check[.]com` com notificação ao operador via Telegram. O dropper Bash compartilha template com MacSync e SHub, indicando builder MaaS compartilhado no ecossistema de ameaças macOS. A técnica Nuitka representa evolução relevante na evasão de defesas: ferramentas de detecção que dependem de análise de bytecode Python são completamente cegas a este payload. **TTPs:** [[t1566-002-spearphishing-link|T1566.002]] · [[t1204-002-malicious-file|T1204.002]] · [[t1497-virtualizationsandbox-evasion|T1497]] · [[t1555-003-credentials-from-web-browsers|T1555.003]] · [[t1113-screen-capture|T1113]] · [[t1071-001-web-protocols|T1071.001]] **Software:** [[infiniti-stealer|Infiniti Stealer]] **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] (cripto/wallets) **Mitigação:** Bloquear `update-check[.]com` em DNS/proxies corporativos. Alertar sobre `xattr -dr com.apple.quarantine` em fluxos de execução. Detectar arquivos `/tmp/.bs_debug.log` como IOC de comprometimento. Conscientizar usuários macOS sobre o padrão ClickFix (nunca colar comandos Terminal de páginas web). SHA256: `1e63be724bf651bb17bcf181d11bacfabef6a6360dcdfda945d6389e80f2b958` **Fontes:** [1](https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka) [2](https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/) --- ### 🟧 P2 | [[teampcp|TeamPCP]] · Update 003 - Telnyx PyPI Comprometido, Esteganografia em WAV e Parceria com Ransomware Vect 📅 28 mar · `Supply Chain` `PyPI` `Ransomware` · Score **82** O terceiro boletim da série TeamPCP confirma que o grupo entrou na fase de monetização: após comprometer o `trivy-action` ([[cve-2026-33634|CVE-2026-33634]], KEV) e o `litellm` nas semanas anteriores, o [[teampcp|TeamPCP]] publicou versões maliciosas **4.87.1 e 4.87.2** do pacote Python `telnyx` no PyPI em 27 de março. O diferencial técnico desta fase é a esteganografia - o payload foi ocultado dentro de arquivos de áudio WAV, técnica que evade ferramentas de DLP e proxies corporativos, que raramente inspecionam conteúdo de áudio. Criptografia AES-256 + RSA-4096 para exfiltração e persistência via binário `msbuild.exe` na pasta Startup (Windows) completam o kit. A pausa de 48h sem novos comprometimentos de pacotes sinaliza mudança de foco: o grupo está monetizando os acessos obtidos - confirmada a parceria com o grupo [[vect-ransomware|Vect Ransomware]], o que eleva dramaticamente o risco para organizações que executaram os pacotes comprometidos. Supply chain attacks tradicionais (roubo de credenciais) agora se tornaram pré-posicionamento para ransomware em larga escala. **TTPs:** [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1027-003-steganography|T1027.003]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1547-001-registry-run-keys|T1547.001]] **Atores:** [[teampcp|TeamPCP]] · [[vect-ransomware|Vect Ransomware]] **Software:** Telnyx PyPI 4.87.1/4.87.2 (malicioso) · LiteLLM 1.82.7/1.82.8 (malicioso) **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] **Mitigação:** Verificar versões `pip show telnyx` - remover 4.87.1 e 4.87.2 imediatamente. Auditar todos os ambientes que executaram `import telnyx` entre 17-27 março. Tratar host como potencialmente comprometido e iniciar triagem forense. Monitorar binários `msbuild.exe` anômalos em pastas Startup. Bloquear canister ICP `tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io` em firewall/proxy. Parceria com [[vect-ransomware|Vect]] indica negociações de ransomware podem estar ativas - iniciar resposta a incidente preventiva. **Fontes:** [1](https://isc.sans.edu/diary/rss/32842) [2](https://www.reddit.com/r/cybersecurity/comments/1s4zpwi/) --- ### 🟧 P2 | [[cve-2026-4681|CVE-2026-4681]] · PTC Windchill PLM Crítico - Polícia Alemã Alertou Presencialmente 📅 28 mar · `CVSS Critical` `PLM` `Manufatura` `ICS` · Score **75** Uma vulnerabilidade crítica no **PTC Windchill** - sistema de PLM (Product Lifecycle Management) mais utilizado na indústria manufatureira global - recebeu nível de atenção incomum: autoridades policiais alemãs realizaram alertas presenciais a organizações afetadas, indicando evidências de exploração ativa ou iminente contra alvos industriais identificados. O Windchill é o backbone de gestão de dados de engenharia em setores como automotivo, aeroespacial e manufatura avançada - a exploração pode expor designs de produtos, propriedade intelectual sensível e potencialmente permitir sabotagem de processos de fabricação. A relevância para o [[brasil|Brasil]] é direta: o PTC Windchill é usado por **Embraer**, montadoras e indústrias manufatureiras no país. Em contexto de campanhas APT focadas em indústria de defesa e manufatura ([[g1017-volt-typhoon|Volt Typhoon]], APT40), vulnerabilidades em sistemas PLM têm alto potencial de espionagem industrial de Estado. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1213-data-from-information-repositories|T1213]] **Setores:** [[critical-infrastructure|Infraestrutura Crítica]] · [[manufacturing|Manufatura]] · [[aerospace|Aeroespacial]] **Mitigação:** Aplicar patch PTC imediatamente. Verificar se Windchill está acessível pela internet - se sim, isolar. Auditar logs de acesso recentes e exportações de dados de projetos. Alerta especial para setores automotivo, aeroespacial e manufatura de defesa. **Fontes:** [1](https://www.securityweek.com/cisa-flags-critical-ptc-vulnerability-that-had-german-police-mobilized/) [2](https://www.bleepingcomputer.com/news/security/ptc-warns-of-imminent-threat-from-critical-windchill-flexplm-rce-bug/) --- ### 🟧 P2 | Coruna iOS Exploit Kit · Kernel Exploit Atualizado - Continuidade da Operação Triangulação 📅 28 mar · `iOS` `Espionagem` `Zero-Day` `APT` · Score **72** Pesquisadores identificaram o kit de exploits **Coruna** para iOS como uma atualização técnica da [[operation-triangulation|Operação Triangulação]] - a sofisticada campanha de espionagem descoberta pela Kaspersky em 2023 que explorava quatro zero-days do iOS. O Coruna contém versão atualizada do exploit de kernel original, adaptado para versões mais recentes do iOS, indicando que o grupo por trás da operação (amplamente atribuído a atores estado-nação com nexo russo) permanece ativo e investindo na evolução de capacidades iOS. A Operação Triangulação foi notável por explorar uma falha em instrução não documentada do processador Apple - o aproveitamento desse conhecimento em novo kit indica maturidade técnica excepcional. Dispositivos iOS de alto valor ([[government|governo]], diplomacia, jornalismo investigativo) permanecem alvos prioritários desta classe de ameaça. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1430-location-tracking|T1430]] · [[t1417-input-capture-android|T1417 (Mobile)]] **Atores:** Atribuição não confirmada - nexo russo presumido **Setores:** [[government|Governo]] · [[telecom|Telecom]] **Mitigação:** Atualizar iOS para versão mais recente imediatamente. Para alvos de alto risco (diplomatas, jornalistas, ativistas), ativar Modo de Isolamento (Lockdown Mode). Usar MVT (Mobile Verification Toolkit) para triagem forense de dispositivos suspeitos. **Fontes:** [1](https://www.securityweek.com/coruna-ios-exploit-kit-likely-an-update-to-operation-triangulation/) [2](https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/) --- ### 🟧 P2 | CVEs AI/LLM — LangChain RCE, Langflow IDOR, Ruby LSP e Clerk SSRF · Março 2026 📅 28 mar · `AI Security` `RCE` `IDOR` `SSRF` · Score **55** Um lote expressivo de vulnerabilidades em ferramentas AI/LLM foi divulgado em 28 de março, revelando um padrão preocupante: frameworks de IA frequentemente tratam input de usuário como código confiável. O item mais crítico é **CVE-2026-34172** - RCE no método `ChatWorkflow.chat()` via injeção de template Jinja2 não-sandboxed, permitindo execução arbitrária de código Python ao passar strings de usuário diretamente como templates. **CVE-2026-34070** afeta o LangChain core: funções em `langchain_core.prompts.loading` deserializam configs com path traversal, permitindo leitura de arquivos arbitrários. **CVE-2026-34046** é um IDOR crítico no [[langflow|Langflow]] quando `AUTO_LOGIN` está desabilitado - qualquer usuário autenticado pode acessar, modificar ou deletar fluxos de outros usuários via `GET/PATCH/DELETE /api/v1/flow/{flow_id}`. **CVE-2026-34076** afeta o `@clerk/backend` com SSRF que vaza a `Clerk-Secret-Key` para servidores controlados por atacante. Adicionalmente, **CVE-2026-34060** no Ruby LSP para VS Code permite execução de código Ruby ao abrir projetos com `.vscode/settings.json` malicioso - relevante para qualquer dev que abre repositórios não confiáveis. Para fintechs e startups de IA no [[brasil|Brasil]] que expõem endpoints LangChain/Langflow internamente, os riscos de acesso não autorizado a fluxos e execução de código são imediatos. **TTPs:** [[t1059-command-and-scripting-interpreter|T1059]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1552-unsecured-credentials|T1552]] **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] (fintechs com LLM) **Mitigação:** Atualizar LangChain, Langflow, `@clerk/backend` e Ruby LSP imediatamente. Auditar deployments Langflow expostos e verificar acessos a fluxos. Rotacionar Clerk-Secret-Key se **CVE-2026-34076** for aplicável. Não abrir repositórios não confiáveis sem revisar `.vscode/settings.json`. **Fontes:** [1](https://api.github.com/advisories/GHSA-frv4-x25r-588m) [2](https://api.github.com/advisories/GHSA-qh6h-p6c9-ff54) [3](https://api.github.com/advisories/GHSA-8c4j-f57c-35cf) [4](https://api.github.com/advisories/GHSA-gjxx-92w9-8v8f) --- ### 🟧 P2 | CVEs Cloud-Native — Flannel RCE em Nó Kubernetes, Traefik Auth Bypass, act Cache, MinIO 📅 28 mar · `Kubernetes` `Cloud-Native` `RCE` `Auth Bypass` · Score **50** Lote de vulnerabilidades em componentes centrais de infraestrutura cloud-native públicado no GitHub Advisory Database em 28 de março. **CVE-2026-32241** no Flannel (plugin de rede Kubernetes): o backend Extension usa comandos shell armazenados em annotations do Kubernetes - um atacante com permissão de criar/modificar annotations pode injetar comandos arbitrários executados como root no nó, resultando em RCE com escalada de privilégios completa. **CVE-2026-33433** no **Traefik**: quando `headerField` usa nome HTTP não-canônico nos middlewares de autenticação Basic/Digest, atacante autenticado pode injetar o header canônico para impersonar outro usuário - bypass efetivo de autenticação em qualquer aplicação protegida pelo Traefik. **CVE-2026-34042** no `act` (runner local de GitHub Actions): servidor de cache built-in aceita conexões de qualquer IP sem autenticação, expondo segredos, artefatos de build e tokens CI/CD para qualquer pessoa na internet que saiba a porta. **CVE-2026-34204** no **MinIO**: usuário com permissão `s3:PutObject` pode injetar metadados internos de criptografia SSE via headers `X-Minio-Replication-*` falsificados, contornando controles de criptografia server-side. Equipes DevOps brasileiras que usam Kubernetes, Traefik como ingress controller e MinIO como object store devem priorizar estes patches. **TTPs:** [[t1610-deploy-container|T1610]] · [[t1552-004-private-keys|T1552.004]] · [[t1557-adversary-in-the-middle|T1557]] **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] (infraestrutura cloud) **Mitigação:** Não usar backend Extension do Flannel em produção. Atualizar Traefik e MinIO. Nunca expor o servidor cache do `act` à internet - usar apenas em ambientes isolados. Auditar permissões de annotations de nodes no Kubernetes. **Fontes:** [1](https://api.github.com/advisories/GHSA-vchx-5pr6-ffx2) [2](https://api.github.com/advisories/GHSA-qr99-7898-vr7c) [3](https://api.github.com/advisories/GHSA-x34h-54cw-9825) [4](https://api.github.com/advisories/GHSA-3rh2-v3gr-35p9) --- ### 🟨 P3 | Venom Stealer · Site Falso da Avast como Isca - Roubo de Credenciais e Carteiras Crypto 📅 28 mar · `Infostealer` `Engenharia Social` `Crypto` · Score **25** Um site que replica a interface da **Avast** exibe uma falsa varredura de vírus alegando detectar infecções - ao clicar em "remover ameaças", a vítima baixa e executa o **Venom Stealer**, um infostealer com foco em credenciais de browsers, cookies de sessão e carteiras de criptomoeda. A técnica explora a confiança em marcas estabelecidas de segurança: usuários que temem estar infectados são os mais vulneráveis à isca. O Venom Stealer é particularmente relevante para o [[brasil|Brasil]] dado o alto volume de usuários domésticos com baixo treinamento em segurança e a crescente adoção de criptomoedas - seed phrases e chaves privadas armazenadas localmente são o alvo de maior valor. O vetor é engenharia social pura, sem exploração de vulnerabilidades - o defensor precisa agir na conscientização. **TTPs:** [[t1566-002-spearphishing-link|T1566.002]] · [[t1555-003-credentials-from-web-browsers|T1555.003]] · [[t1539-steal-web-session-cookie|T1539]] **Setores:** [[financial|Financeiro]] (usuários individuais, carteiras crypto) **Mitigação:** Conscientizar: nenhum site faz varredura real do PC via browser. Baixar software de segurança apenas de domínios oficiais. Usar hardware wallet para cripto de alto valor. Não salvar seed phrases em arquivos locais não criptografados. **Fontes:** [1](https://www.malwarebytes.com/blog/threat-intel/2026/03/bogus-avast-website-fakes-virus-scan-installs-venom-stealer-instead) --- ### 🟨 P3 | Bearlyfy/GenieLocker · Hacktivismo Ucraniano com Ransomware Customizado - 70+ Empresas Russas 📅 28 mar · `Hacktivismo` `Ransomware` `Geopolítico` · Score **35** O grupo Bearlyfy (também identificado como Labubu), de orientação pró-ucraniana, foi atribuído a mais de 70 ataques contra empresas russas desde janeiro de 2025, usando cepa customizada de ransomware Windows chamada **GenieLocker**. O grupo se descreve como de "duplo propósito" - dano financeiro máximo combinado com operações de inteligência. O impacto direto para o [[brasil|Brasil]] é baixo (foco exclusivo em alvos russos), mas a relevância estratégica é alta: hacktivistas agora desenvolvem e operam ransomware customizado com sofisticação comparável a grupos criminosos, borrando as linhas entre hacktivismo, cibercrime e operações de estado. O uso de tooling customizado também dificulta detecção baseada em assinaturas conhecidas. Este padrão - grupos com motivação geopolítica adotando capacidades de ransomware - tende a se expandir para outros contextos de conflito cibernético. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1489-service-stop|T1489]] · [[t1490-inhibit-system-recovery|T1490]] **Setores:** [[government|Governo]] · [[technology|Tecnologia]] (contexto russo) **Mitigação:** Não aplicável diretamente (foco em alvos russos). Manter backups offline testados como prática geral de resiliência. Monitorar TTPs de hacktivismo para adaptação geopolítica regional. **Fontes:** [1](https://thehackernews.com/2026/03/bearlyfy-hits-70-russian-firms-with.html) --- ### 🟨 P3 | Ransomware — [[qilin|Qilin]], Payload e [[nightspire-ransomware|Nightspire]] Publicam Novas Vítimas em 28/03 📅 28 mar · `Ransomware` `Óleo e Gás` `Dupla Extorsão` `LATAM Watch` · Score **45** Três grupos de ransomware publicaram novas vítimas em 28 de março de 2026. O [[qilin|Qilin]] reivindicou dois ataques — o instituto de educação alemão **IBB Institut für Bildung und Beratung** e a empresa de construção **TR Construya** (nome sugere origem hispânica, possivelmente América Latina — a confirmar). O grupo **Payload** concentrou seus dois ataques no setor de [[energy|energia/óleo e gás]]: Q2 Artificial Lift Services e Don-Nan, ambas fornecedoras de infraestrutura crítica para extração no Canadá/EUA. O [[nightspire-ransomware|Nightspire]] publicou dois registros com vítimas parcialmente censuradas — processo de negociação em andamento. A concentração do Payload no setor energético em um único dia é operacionalmente relevante: ataques a fornecedores de serviços de extração têm impacto em cascata na cadeia produtiva de petróleo e gás. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1657-financial-theft|T1657]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] **Atores:** [[qilin|Qilin]] · [[nightspire-ransomware|Nightspire]] **Setores:** [[energy|energia]] · [[education|educação]] · [[construction|construção]] **Mitigação:** Verificar backups offline atualizados. Monitorar TTPs conhecidos do Qilin (exploração de dispositivos de borda). Confirmar origem de TR Construya para avaliação de relevância LATAM. **Fontes:** [1](https://www.ransomware.live/id/VFIgQ29uc3RydXlhQHFpbGlu) [2](https://www.ransomware.live/id/UTIgQXJ0aWZpY2lhbCBMaWZ0IFNlcnZpY2VzQHBheWxvYWQ=) [3](https://www.ransomware.live/id/SUJCIEluc3RpdHV0IGbDvHIgQmlsZHVuZyB1bmQgQmVyYXR1bmdAcWlsaW4=) ### 🟨 P3 | path-to-regexp ReDoS · **CVE-2026-4923**, **CVE-2026-4926**, **CVE-2026-4867** — Regex Catastrófico em Roteamento Node.js 📅 28 mar · `ReDoS` `Node.js` `Supply Chain` `NPM` · Score **60** Lote de três vulnerabilidades ReDoS (Regular Expression Denial of Service) publicadas no pacote `path-to-regexp`, usado em frameworks de roteamento Node.js como Express.js e Fastify. Um input especialmente construído pode levar o motor de regex a processar de forma exponencial — paralisando o servidor com 100% de CPU por períodos prolongados. O impacto é DoS efetivo em qualquer aplicação que aceite rotas dinâmicas via input não sanitizado do usuário. O `path-to-regexp` tem mais de **90 milhões de downloads semanais no npm** — cobrindo uma fração enorme do ecossistema backend JavaScript. Para a cena de startups e fintechs brasileiras com stacks Node.js/Express em produção, este lote requer atenção especial: APIs públicas com parâmetros de rota dinâmicos são o vetor de ataque. **TTPs:** [[t1499-endpoint-denial-of-service|T1499]] · [[t1190-exploit-public-facing-application|T1190]] **Setores:** [[technology|Tecnologia]] · [[financial|Financeiro]] **Mitigação:** Atualizar `path-to-regexp` para versão corrigida (`npm audit fix`). Implementar rate limiting e sanitização de input em APIs com rotas dinâmicas. Validar que upgrade não quebra sintaxe de rotas existentes. **Fontes:** [1](https://github.com/pillarjs/path-to-regexp/security/advisories) [2](https://www.npmjs.com/package/path-to-regexp) ### 🟧 P2 | European Commission · Breach AWS com 350 GB Exfiltrados e Leak Público Planejado 📅 28 mar · `Breach` `Cloud` `Geopolítico` · Score **75** A Comissão Europeia confirmou em 27 de março que um ator não identificado comprometeu uma conta AWS usada para hospedar a plataforma web Europa.eu, detectada em 24 de março. O atacante alega ter exfiltrado **350 GB de dados** incluindo múltiplos bancos de dados e acesso a um servidor de e-mail de funcionários da Comissão — screenshots foram fornecidos como prova ao BleepingComputer. A AWS confirmou que sua infraestrutura não foi violada: o comprometimento foi na camada de credenciais do cliente. O ator declarou que **não pretende extorsão**, mas planeja leak público dos dados em data futura. Este é o segundo incidente da CE em dois meses — o primeiro (janeiro 2026) envolveu a plataforma MDM Ivanti EPMM, vinculado a campanha mais ampla contra instituições europeias. O CSIRT da CE conteve rapidamente o ataque; sistemas internos não foram afetados. **TTPs:** [[t1078-004-cloud-accounts\|T1078.004]] · [[t1530-data-from-cloud-storage\|T1530]] · [[t1567-exfiltration-over-web-service\|T1567]] **Setores:** [[government\|Governo]] **Mitigação:** Auditar contas AWS com acesso a sistemas web públicos. Implementar MFA resistente a phishing para todas as contas cloud de infraestrutura. Monitorar acessos anômalos a buckets S3 e serviços de e-mail. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-account-hack/) [2](https://techcrunch.com/2026/03/27/european-commission-confirms-cyberattack-on-cloud-infrastructure/) ### 🟨 P3 | [[cve-2026-3055|CVE-2026-3055]] · Citrix NetScaler - Reconhecimento Ativo Detectado em Honeypots Globais 📅 28 mar · `CVSS 9.3` `Recon Ativo` `Citrix` `SAML IDP` · Score **68** Cinco dias após o advisory Citrix (23 mar), watchTowr Labs e Defused Cyber confirmaram que atacantes estão ativamente sondando appliances NetScaler ADC e Gateway em honeypots globais, testando o endpoint `/cgi/GetAuthMethods` para identificar instâncias configuradas como **SAML Identity Provider** - pré-condição para explorar a leitura de memória fora dos limites. A falha permite vazamento de credenciais e tokens de sessão ativos via requisições não autenticadas ao módulo SAML. O padrão de reconhecimento em massa é o mesmo observado antes da exploração explosiva do [[cve-2023-4966|CitrixBleed]] e [[cve-2023-3519|CVE-2023-3519]]. Para o Brasil: appliances NetScaler são amplamente adotados nos setores [[financial|financeiro]], [[government|governo]] e saúde - uma janela de ataque aberta com reconhecimento ativo indica que exploits podem estar em desenvolvimento privado. **TTPs:** [[t1595-002-vulnerability-scanning|T1595.002]] · [[t1190-exploit-public-facing-application|T1190]] **Vendors:** [[_citrix|Citrix]] **Setores:** [[financial|financeiro]] · [[government|governo]] **Mitigação:** Aplicar patch CTX696300 imediatamente. Se não for possível, desabilitar configuração SAML IDP (`add authentication samlIdPProfile`) até aplicar patch. Monitorar logs de acesso ao endpoint `/cgi/GetAuthMethods` para detectar reconhecimento. **Fontes:** [1](https://labs.watchtwr.com) [2](https://www.rapid7.com/blog/post/etr-CVE-2026-3055-citrix-netscaler-adc-and-netscaler-gateway-out-of-bounds-read/) [3](https://thehackernews.com/2026/03/citrix-netscaler-under-active-recon-for.html) --- ## 27 mar 2026 ### 🟥 P1 | [[cve-2026-33634|CVE-2026-33634]] · Trivy Supply Chain Compromete CI/CD - Rotacionar Todos os Secrets Imediatamente 📅 27 mar · `CVSS 9.4` `KEV` `Supply Chain` `CI/CD` · Score **97** O grupo **TeamPCP** (também rastreado como DeadCatx3, PCPcat, ShellForce) comprometeu o Trivy, scanner de vulnerabilidades open-source mais amplamente adotado no ecossistema cloud-native, em ataque multi-fase iniciado em fevereiro de 2026. Em 19 de março, usando credenciais roubadas em incidente anterior com rotação incompleta, os atacantes force-pushearam 76 de 77 version tags do `aquasecurity/trivy-action` e públicaram binário malicioso v0.69.4 - qualquer pipeline CI/CD que referênciava tags mutáveis executou automaticamente código malicioso. O payload lia diretamente da memória do runner via `/proc/<pid>/mem`, bypassando o mascaramento nativo do GitHub Actions para extrair AWS/GCP/Azure tokens, SSH keys, Kubernetes tokens, Docker credentials e database passwords - tudo cifrado com AES-256-CBC + RSA-4096 e exfiltrado para `scan[.]aquasecurtiy[.]org`. Como fallback, o malware criava repos públicos `tpcp-docs` na conta da vítima. Em 22 de março, o TeamPCP desfez todos os 44 repositórios internos da org `aquasec-com`. A CISA adicionou o CVE ao KEV em 26 de março. Para [[technology|equipes de desenvolvimento]] com Trivy no pipeline: tratar qualquer execução entre 19-23 de março como comprometida e rotacionar **todos** os secrets. **TTPs:** [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1552-unsecured-credentials|T1552]] · [[t1059-006-python|T1059.006]] · [[t1567-exfiltration-over-web-service|T1567]] **Atores:** [[teampcp|TeamPCP]] **Setores:** [[technology|Tecnologia]] · [[technology|DevOps]] **Mitigação:** Verificar se Trivy v0.69.4 executou no pipeline entre 19-23 mar - rotacionar absolutamente todos os secrets acessiveis. Atualizar para trivy-action v0.35.0 e setup-trivy v0.2.6 (seguros). Pinar GitHub Actions por commit SHA imutavel, nunca por tag mutavel. Buscar repos `tpcp-docs` na org como indicador de exfiltração confirmada. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2026-33634) [2](https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/) [3](https://thehackernews.com/2026/03/trivy-hack-spreads-infostealer-via.html) [4](https://www.legitsecurity.com/blog/the-trivy-supply-chain-compromise-what-happened-and-playbooks-to-respond) --- ### 🟥 P1 | [[gopix|GoPix]] · Trojan Bancário Brasileiro com Técnicas APT-Level e MitM via PAC Files 📅 27 mar · `LATAM` `Brasil` · Score **93** O Kaspersky GReAT revelou em 16 de março nova campanha do [[gopix|GoPix]], trojan bancário de origem brasileira que atingiu nível de sofisticação sem precedente em malware do país - 90.000 tentativas de infecção registradas. Ativo desde dezembro de 2022, o GoPix evoluiu para usar implantes memory-only com zero artefatos em disco, tornando caça com regras YARA ineficaz. A inovação central é o ataque MitM via arquivos **Proxy AutoConfig (PAC)** com checksums CRC32 que mascaram domínios-alvo: o malware roteia tráfego de instituições financeiras brasileiras por proxy local, injeta certificado digital falso diretamente na memória do navegador (invisível ao sistema operacional), interceptando sessões HTTPS ativas em sites bancários legítimos - sem que o usuário perceba qualquer anomalia. O grupo brasileiro por trás do GoPix adota técnicas de APTs para persistência e stealth: C2s com vida útil de horas, troca dinâmica de processos e desativação potencial de software de segurança. Além de PIX, agora manipula boletos bancários e endereços de carteiras crypto na área de transferência. Distribuição via malvertising no Google Ads impersonando WhatsApp, Chrome e [[financial|Correios]]. **TTPs:** [[t1185-browser-session-hijacking|T1185]] · [[t1557-adversary-in-the-middle|T1557]] · [[t1036-masquerading|T1036]] · [[t1620-reflective-code-loading|T1620]] · [[t1027-obfuscated-files-or-information|T1027]] **Software:** [[gopix|GoPix]] **Setores:** [[financial|Financeiro]] · [[financial|Bancário]] · [[financial|Cripto]] **Mitigação:** Não clicar em anúncios patrocinados do Google ao buscar WhatsApp, Chrome ou Correios. Verificar certificados SSL por anomalias (emitidos por CA desconhecida) em sessões bancárias. Implementar EDR com capacidade de scan de memória em endpoints Windows corporativos. Monitorar tráfego de rede por PAC files suspeitos e conexões de proxy local inesperadas. **Fontes:** [1](https://securelist.com/gopix-banking-trojan/119173/) [2](https://www.kaspersky.com/about/press-releases/kaspersky-reveals-gopix-unprecedentedly-complex-techniques-the-trojan-compromises-customers-of-financial-institutions-in-brazil) --- ### 🟧 P2 | [[g0007-apt28|APT28]] Arsenal Renovado · BeardShell e Covenant com Linhagem do DNC Hack de 2016 📅 27 mar · `Espionagem` `APT` · Score **82** A ESET divulgou em 10 de março pesquisa confirmando que o time avançado de desenvolvimento do [[g0007-apt28|APT28]] (GRU Unit 26165 / [[g0007-apt28|Forest Blizzard]]) voltou a operar com arsenal sofisticado desde abril de 2024, implantando dois tools em tandem contra alvos militares ucranianos: **BeardShell**, implant C++ que usa a API privada do Icedrive como C2 e emprega técnica de ofuscação opaque predicate idêntica ao XTunnel usado no hack do DNC em 2016 - ligação direta que confirma continuidade do mesmo time de desenvolvedores; e **Covenant**, framework .NET open-source (descontinuado em 2021) extensivamente modificado com identificadores determinísticos por host, fluxo de execução alterado para evasão comportamental e comunicação C2 via Filen cloud (anteriormente pCloud e Koofr). O Covenant é o implant primário; BeardShell é fallback. O terceiro componente, **SlimAgent**, evolução do XAgent (usado no hack do DNC), realiza keylogging, screenshots e captura de clipboard com code lineage demonstrável de 2018 a 2024. O APT28 também explorou [[cve-2026-21509|CVE-2026-21509]] (MSHTML, 72h de turnaround patching-to-exploitation) e [[cve-2026-21513|CVE-2026-21513]] em campanhas paralelas. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1059-001-powershell|T1059.001]] · [[t1102-web-service|T1102]] · [[t1055-process-injection|T1055]] **Atores:** [[g0007-apt28|APT28]] · [[g0007-apt28|Forest Blizzard]] **Software:** [[beardshell|BeardShell]] · [[slimagent|SlimAgent]] **Setores:** [[government|Governo]] · [[defense|Defesa]] **Mitigação:** Bloquear acesso a serviços cloud de storage não corporativos (Icedrive, Filen, pCloud, Koofr) em endpoints críticos. Auditar execuções PowerShell em memória sem artefatos em disco. Patchear [[cve-2026-21509|CVE-2026-21509]] (Microsoft Office) e [[cve-2026-21513|CVE-2026-21513]] (MSHTML) imediatamente - APT28 demonstrou 72h de weaponization. **Fontes:** [1](https://thehackernews.com/2026/03/apt28-uses-beardshell-and-covenant.html) [2](https://www.bleepingcomputer.com/news/security/apt28-hackers-deploy-customized-variant-of-covenant-open-source-tool/amp/) [3](https://securityaffairs.com/189230/apt/apt28-conducts-long-term-espionage-on-ukrainian-forces-using-custom-malware.html) --- ### 🟧 P2 | Microsoft Office RCE · [[cve-2026-26110|CVE-2026-26110]] e [[cve-2026-26113|CVE-2026-26113]] Exploráveis via Painel de Visualização 📅 27 mar · `CVSS 8.4` `Preview Pane` · Score **76** O Patch Tuesday de março de 2026 da Microsoft corrigiu 84 CVEs, com dois de destaque operacional imediato: [[cve-2026-26110|CVE-2026-26110]] e [[cve-2026-26113|CVE-2026-26113]], ambas RCE críticas (CVSS 8.4) no Microsoft Office que podem ser exploradas sem autenticação e **sem interação do usuário além de abrir o Painel de Visualização** - vetores de ataque via Preview Pane. Um atacante pode executar código local apenas enviando um documento malicioso ao alvo, sem que a vítima precise abrir o arquivo. A [[cve-2026-21536|CVE-2026-21536]] (CVSS 9.8, Microsoft Devices Pricing Program RCE) é notável por ter sido descoberta por **XBOW**, agente autônomo de pentest com IA - primeiro CVE de alta severidade descoberto por IA sem acesso ao código-fonte, indicando aceleração da descoberta de vulnerabilidades por IA. A [[cve-2026-26118|CVE-2026-26118]] (CVSS 8.8, Azure MCP Server EoP) afeta organizações que usam Azure Model Context Protocol. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Vendors:** [[_microsoft|Microsoft]] **Mitigação:** Aplicar Patch Tuesday de março de 2026 imediatamente, priorizando [[cve-2026-26110|CVE-2026-26110]] e [[cve-2026-26113|CVE-2026-26113]]. Desabilitar o Preview Pane no Outlook como mitigação temporária em ambientes de alto risco. Patchear Azure MCP Server para eliminar [[cve-2026-26118|CVE-2026-26118]]. **Fontes:** [1](https://thehackernews.com/2026/03/microsoft-patches-84-flaws-in-march.html) [2](https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-march-2026/) [3](https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/) --- ## 26 mar 2026 ### 🟥 P1 | [[cve-2026-32746|CVE-2026-32746]] · GNU InetUtils telnetd RCE Crítico Sem Patch Disponível 📅 26 mar · `CVSS 9.8` `Sem Patch` `IoT/OT` · Score **98** Vulnerabilidade de execução remota de código (RCE) crítica em **todas as versões** do GNU InetUtils telnetd até 2.7 permite que atacantes não autenticados obtenham controle root com uma única conexão Telnet - **não há patch disponível**. A criticidade para a [[latam|América Latina]] é máxima: infraestrutura crítica brasileira ([[energy|Energia]], [[telecom|Telecom]], logística, manufatura) usa amplamente sistemas Linux legados e dispositivos [[critical-infrastructure|IoT/OT]] com Telnet exposto. O Brasil registrou 470.677 ataques DDoS via IoT comprometido no H2/2025 (Netscout), muitos via botnets que exploram exatamente este tipo de vulnerabilidade em dispositivos sem SSH. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-004-unix-shell|T1059.004]] · [[t1078-valid-accounts|T1078]] **Setores:** [[critical-infrastructure|Infraestrutura Crítica]] · [[energy|Energia]] · [[telecom|Telecom]] **Mitigação:** Desabilitar Telnet imediatamente. Substituir por SSH. Bloquear porta 23 externamente. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2026-32746) [2](https://labs.watchtowr.com/a-32-year-old-bug-walks-into-a-telnet-server-gnu-inetutils-telnetd-CVE-2026-32746/) --- ### 🟥 P1 | DarkSword · Cadeia iOS de 6 Zero-Days com Malware de Vigilância Comercial 📅 26 mar · `KEV` `Exploração Ativa` `Zero-Day` `Espionagem` · Score **95** O Google GTIG revelou **DarkSword**, cadeia de exploração iOS encadeando **6 zero-days** ([[cve-2025-31277|CVE-2025-31277]], [[cve-2025-43510|CVE-2025-43510]], [[cve-2025-43520|CVE-2025-43520]] + 3 adicionais) para comprometimento completo de dispositivos iOS 18.4–18.7. Três atores distintos - [[unc6748|UNC6748]], **PARS Defense** (fornecedor israelense) e [[unc6353|UNC6353]] (suspeita russa) - utilizaram a cadeia em campanhas de watering hole contra jornalistas, ativistas e diplomatas na Arábia Saudita, Turquia, Malásia e Ucrânia. As três famílias de malware implantadas ([[ghostblade|GHOSTBLADE]], [[ghostknife|GHOSTKNIFE]], [[ghostsaber|GHOSTSABER]]) capturam keystrokes, áudio, câmera e localização em tempo real - sofisticação comparável ao Pegasus/NSO, modelo de vigilância comercial multivenda. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1059-007-javascript|T1059.007]] **Atores:** [[unc6353|UNC6353]] · [[unc6748|UNC6748]] · PARS Defense **Software:** [[ghostblade|GHOSTBLADE]] · [[ghostknife|GHOSTKNIFE]] · [[ghostsaber|GHOSTSABER]] **Mitigação:** Atualizar todos os dispositivos Apple para iOS 18.8+. Ativar Lockdown Mode para perfis de alto risco. **Fontes:** [1](https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html) [2](https://zimperium.com/blog/darksword-the-hit-and-run-successor-to-the-coruna-ios-exploit-kit) --- ### 🟥 P1 | [[cve-2026-33017|CVE-2026-33017]] · Langflow RCE Confirmado no CISA KEV com IoCs e Kill Chain Publicados 📅 26 mar · `CVSS 9.3` `KEV` `Exploração Ativa` · Score **93** O [[cve-2026-33017|CVE-2026-33017]] (Langflow RCE) foi adicionado ao **CISA KEV** em 25/03/2026, confirmando exploração ativa por múltiplos grupos. A Sysdig publicou kill chain completa (TLP:WHITE): varredura automatizada de instâncias Langflow públicas → scripts Python para exfiltração de `/etc/passwd` e `.env` → payload stage-2 em `173.212.205[.]251:8443` → C2 em `143.110.183[.]86:8080`. Quatro IPs distintos de scanning foram identificados, indicando automação em escala. Organizações usando Langflow devem **rotacionar todos os secrets imediatamente** - credenciais de API de LLMs (OpenAI, Anthropic, Azure) podem ter sido exfiltradas. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-006-python|T1059.006]] · [[t1552-unsecured-credentials|T1552]] · [[t1071-application-layer-protocol|T1071]] **Setores:** [[technology|Tecnologia]] · [[technology|AI/ML]] **Mitigação:** Atualizar Langflow para versão patcheada imediatamente. Rotacionar todos os secrets e chaves de API de LLMs (OpenAI, Anthropic, Azure). Bloquear IPs maliciosos: `173.212.205[.]251` e `143.110.183[.]86` nos controles de perímetro. **Fontes:** [1](https://sysdig.com/blog/langflow-CVE-2026-33017/) [2](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- ### 🟥 P1 | Wave Android Bancária Brasil 2026 · 6 Famílias de Malware Mirando PIX 📅 26 mar · `LATAM` `Brasil` · Score **92** CYFIRMA e Zimperium confirmaram **seis novas famílias** de malware Android operando exclusivamente contra o ecossistema bancário brasileiro: [[pixrevolution|PixRevolution]], [[beatbanker|BeatBanker]], [[taxispy-rat|TaxiSpy RAT]], [[mirax-rat|Mirax RAT]] (MaaS - $2.500/mês), [[oblivion-rat|Oblivion RAT]] e [[surxrat|SURXRAT]]. Todas abusam de Serviços de Acessibilidade Android para hijacking de transações [[financial|PIX]]. O [[mirax-rat|Mirax RAT]] como MaaS indica demanda organizada de mercado para atacar o sistema financeiro brasileiro - 150 milhões de usuários PIX estão potencialmente expostos. Distribuição confirmada via páginas falsas do Google Play impersonando Correios, Nubank, STJ e Sicredi. **TTPs:** [[t1056-input-capture|T1056]] · [[t1185-browser-session-hijacking|T1185]] · [[t1036-masquerading|T1036]] · [[t1539-steal-web-session-cookie|T1539]] **Software:** [[pixrevolution|PixRevolution]] · [[beatbanker|BeatBanker]] · [[taxispy-rat|TaxiSpy RAT]] · [[mirax-rat|Mirax RAT]] · [[oblivion-rat|Oblivion RAT]] · [[surxrat|SURXRAT]] **Setores:** [[financial|Financeiro]] · [[financial|Bancário]] **Mitigação:** Instalar apps bancários exclusivamente pela Google Play Store oficial. Revogar permissões de Acessibilidade para apps não reconhecidos em dispositivos corporativos via MDM. Monitorar logs de transações PIX para padrões anômalos. **Fontes:** [1](https://www.cyfirma.com/research/mobile-banking-malware-brazil-2026/) [2](https://www.crowdfundinsider.com/2026/03/268383-malware-targeting-latam-organizations-examined-in-digital-security-report/) --- ### 🟧 P2 | Operation GhostMail · APT28/GRU Explora Zimbra XSS contra Ucrânia 📅 26 mar · `KEV` `Exploração Ativa` `APT` · Score **85** A Seqrite Labs identificou **Operation GhostMail**, campanha do [[g0007-apt28|APT28]] (GRU Unit 26165 / [[g0007-apt28|Forest Blizzard]]) explorando [[cve-2025-66376|CVE-2025-66376]] (XSS no Zimbra) contra a Agência Hidrográfica do Estado da Ucrânia. O JavaScript malicioso executa diretamente no navegador **sem dropar arquivos no disco**, coletando credenciais, tokens 2FA, senhas salvas e 90 dias de histórico de inbox - exfiltração via DNS + HTTPS duplo canal. Organizações [[government|governamentais]] brasileiras que usam Zimbra devem aplicar patch imediatamente - a técnica de browser-resident stealer é facilmente reaproveitável. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1185-browser-session-hijacking|T1185]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[g0007-apt28|APT28]] · [[g0007-apt28|Forest Blizzard]] **Setores:** [[government|Governo]] · [[education|Educação]] **Mitigação:** Aplicar patch do Zimbra para [[cve-2025-66376|CVE-2025-66376]] imediatamente. Ativar filtragem de conteúdo CSS em e-mails HTML no gateway. Implementar MFA resistente a phishing (FIDO2) para todos os usuários Zimbra. **Fontes:** [1](https://securityaffairs.com/189628/) [2](https://securityonline.info/exploited-in-wild-cisa-kev-catalog-sharepoint-zimbra-vulnerabilities/) --- ### 🟧 P2 | Chrome Zero-Days · [[cve-2026-3909|CVE-2026-3909]] e [[cve-2026-3910|CVE-2026-3910]] com Deadline KEV Amanhã 📅 26 mar · `KEV` `Exploração Ativa` `Zero-Day` · Score **82** A CISA adicionou ao KEV duas vulnerabilidades do Google Chrome - [[cve-2026-3909|CVE-2026-3909]] (Skia OOB write, CVSS 8.8) e [[cve-2026-3910|CVE-2026-3910]] (V8 RCE, CVSS 8.8) - com **deadline federal amanhã, 27 de março**. Ambas permitem execução remota de código via páginas web maliciosas e estão sendo exploradas ativamente. Priorizar atualização do Chrome em toda a organização **imediatamente**. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] **Mitigação:** Atualizar Google Chrome e todos os navegadores Chromium imediatamente. Forçar atualização automática via GPO/MDM em todos os endpoints corporativos - deadline KEV federal era 27 de março, remediação urgente necessária. **Fontes:** [1](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) [2](https://securityaffairs.com/189411/security/u-s-cisa-adds-google-chrome-flaws-to-its-known-exploited-vulnerabilities-catalog.html) --- ## 24 mar 2026 ### 🟥 P1 | [[cve-2026-20131|CVE-2026-20131]] · Cisco FMC Zero-Day RCE Explorado Ativamente pelo Interlock 📅 24 mar · `CVSS 10.0` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **100** Vulnerabilidade crítica de severidade máxima no [[_cisco|Cisco]] [[firewall-management-center|Firewall Management Center]] permite execução remota de código não autenticada como root via desserialização insegura de byte stream Java na interface web de gerenciamento. O [[interlock-ransomware|Interlock Ransomware]] explora ativamente a falha desde janeiro de 2026, com cadeia que inclui mapeamento de rede, exfiltração e implantação de ransomware via RATs customizados - a CISA adicionou ao catálogo KEV com prazo federal em 22 de março, e o patch da Cisco está disponível desde 4 de março. Dado que o [[firewall-management-center|Cisco FMC]] é amplamente implantado em infraestruturas corporativas na América Latina, o impacto regional é significativo especialmente em setores [[financial|Financeiro]], [[government|Governo]] e [[telecom|Telecom]]. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-001-powershell|T1059.001]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[interlock-ransomware|Interlock Ransomware]] **Campanha:** [[cisco-fmc-exploitation-campaign-2026]] **Setores:** [[financial|Financeiro]] · [[government|Governo]] · [[telecom|Telecom]] **Mitigação:** Aplicar o patch da Cisco disponível desde 4 de março imediatamente (FMC 7.4.2+). Restringir acesso à interface web de gerenciamento do FMC à rede interna. Verificar logs por execução remota não autenticada desde janeiro de 2026. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2026-20131) [2](https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/) [3](https://securityaffairs.com/189628/security/u-s-cisa-adds-microsoft-sharepoint-and-zimbra-flaws-to-its-known-exploited-vulnerabilities-catalog.html) --- ### 🟥 P1 | Ransomware no Brasil · Marborges, FGV e JBS entre Vítimas em Março de 2026 📅 24 mar · `LATAM` · Score **92** Três ataques de ransomware com confirmação de vazamento de dados foram registrados contra organizações brasileiras em março de 2026: o grupo [[exitium-ransomware|Exitium]] reivindicou a **Marborges Agroindustria** em 23 de março, o [[dragonforce-ransomware|DragonForce]] comprometeu a **Fundação Getulio Vargas (FGV)** com dados jurídicos e de TI em negociação desde 2 de março, e o grupo [[coinbasecartel-ransomware|Coinbasecartel]] afirma ter roubado 3 TB de dados da **JBS Brazil** em 5 de março. O Brasil acumula 403 vítimas de ransomware rastreadas em 2026, com os setores agroindustrial, alimentício, engenharia e educação como alvos recorrentes - a diversidade de grupos operando simultaneamente indica que o mercado brasileiro está no radar de múltiplas operações RaaS. O histórico da JBS é agravante: a empresa já havia sofrido ataque devastador em 2021 que interrompeu operações globais. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1657-financial-theft|T1657]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] · [[t1078-valid-accounts|T1078]] **Atores:** [[exitium-ransomware|Exitium]] · [[dragonforce-ransomware|DragonForce]] · [[coinbasecartel-ransomware|Coinbasecartel]] **Setores:** [[agriculture|Agroindustrial]] · [[agriculture|Alimentício]] · [[education|Educação]] **Mitigação:** Manter backups offline testados semanalmente. Segmentar rede OT/IT nos setores agroindustrial e alimentício. Monitorar IOCs do Exitium, DragonForce e Coinbasecartel nos controles de perímetro. **Fontes:** [1](https://ransomware.live/#/profiles) [2](https://rsmus.com/insights/industries/food-beverage/ransomware-pressure-rises-for-food-agriculture-businesses.html) [3](https://www.crowdfundinsider.com/2026/03/268383-malware-targeting-latam-organizations-examined-in-digital-security-report/) --- ### 🟥 P1 | [[cve-2026-20963|CVE-2026-20963]] · Microsoft SharePoint RCE Não Autenticado Adicionado ao CISA KEV 📅 24 mar · `CVSS 8.8` `KEV` `Exploração Ativa` · Score **90** A [[cve-2026-20963|CVE-2026-20963]], falha de desserialização de dados não confiáveis no [[sharepoint|Microsoft SharePoint]], foi adicionada ao catálogo CISA KEV com prazo federal de remediação até 21 de março de 2026 - a exploração ativa permite que atacantes não autenticados executem código arbitrário em servidores SharePoint. O comprometimento de instâncias SharePoint pode resultar em acesso a documentos sensíveis, credenciais armazenadas e movimentação lateral ampla dentro de redes corporativas e governamentais, onde a plataforma é amplamente adotada como ferramenta de colaboração. A adição ao **KEV** confirma que exploits funcionais já circulam ativamente - organizações com SharePoint exposto à internet devem aplicar o patch da [[_microsoft|Microsoft]] com urgência máxima. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1078-valid-accounts|T1078]] · [[t1550-use-alternate-authentication-material|T1550]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] **Mitigação:** Aplicar patch da Microsoft para [[cve-2026-20963|CVE-2026-20963]] imediatamente. Remover instâncias SharePoint expostas à internet sem necessidade. Monitorar logs IIS por requisições anômalas de desserialização. **Fontes:** [1](https://securityaffairs.com/189628/security/u-s-cisa-adds-microsoft-sharepoint-and-zimbra-flaws-to-its-known-exploited-vulnerabilities-catalog.html) [2](https://securityonline.info/exploited-in-wild-cisa-kev-catalog-sharepoint-zimbra-vulnerabilities/) [3](https://securityboulevard.com/2026/03/CVE-2026-20963-sharepoint-deserialization-remote-code-execution-vulnerability/) --- ### 🟥 P1 | DarkSword · Cadeia de Exploit iOS com Três Zero-Days Apple em Campanhas de Espionagem 📅 24 mar · `KEV` `Exploração Ativa` `Zero-Day` · Score **88** O Google Cloud Threat Intelligence revelou a cadeia **DarkSword**, que encadeia [[cve-2025-31277|CVE-2025-31277]] (CVSS 8.8, corrupção WebKit), [[cve-2025-43510|CVE-2025-43510]] e [[cve-2025-43520|CVE-2025-43520]] (ambas corrupção de memória no kernel iOS) para comprometimento completo de dispositivos iOS 18.4–18.7 - as três CVEs foram adicionadas ao **KEV** com prazo federal até 3 de abril de 2026. O grupo [[unc6353|UNC6353]], suspeito de espionagem russa, incorporou o DarkSword em campanhas de watering hole contra ucranianos, implantando três famílias de malware pós-exploração: [[ghostblade|GHOSTBLADE]], [[ghostknife|GHOSTKNIFE]] e [[ghostsaber|GHOSTSABER]]. A sofisticação da cadeia - comparável ao Pegasus - indica desenvolvimento por broker de exploits de alto nível, com alvos na Arábia Saudita, Turquia, Malásia e Ucrânia, incluindo jornalistas, ativistas e diplomatas. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1059-007-javascript|T1059.007]] · [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Atores:** [[unc6353|UNC6353]] **Software:** [[ghostblade|GHOSTBLADE]] · [[ghostknife|GHOSTKNIFE]] · [[ghostsaber|GHOSTSABER]] **Mitigação:** Atualizar todos os dispositivos Apple para iOS 18.8+ imediatamente (prazo KEV: 3 de abril). Ativar Lockdown Mode em dispositivos de perfis de alto risco (governo, jornalistas, ativistas). Revisar apps instalados por usuários sensíveis. **Fontes:** [1](https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html) [2](https://zimperium.com/blog/darksword-the-hit-and-run-successor-to-the-coruna-ios-exploit-kit) [3](https://securityaffairs.com/189776/security/u-s-cisa-adds-apple-laravel-livewire-and-craft-cms-flaws-to-its-known-exploited-vulnerabilities-catalog.html) --- ### 🟥 P1 | [[cve-2025-32432|CVE-2025-32432]] e [[cve-2025-54068|CVE-2025-54068]] · Craft CMS e Laravel Livewire Adicionados ao CISA KEV 📅 24 mar · `CVSS 10.0` `KEV` `Exploração Ativa` `LATAM` · Score **85** A CISA adicionou em 20 de março duas vulnerabilidades críticas de RCE ao catálogo KEV com prazo federal até 3 de abril de 2026: [[cve-2025-32432|CVE-2025-32432]] no [[craft|Craft CMS]] (CVSS 10.0) é uma falha de injeção de código que permite RCE não autenticado via endpoint de transformação de imagens, explorada como zero-day desde fevereiro de 2025 pelo grupo Mimo para mineração de criptomoeda; [[cve-2025-54068|CVE-2025-54068]] no Laravel Livewire (CVSS 9.8) foi vinculada ao grupo iraniano [[g0069-mango-sandstorm|MuddyWater]] em campanhas contra setores de [[energy|energia]] e marítimo. O Laravel com Livewire é especialmente popular no ecossistema de desenvolvimento web brasileiro e latino-americano, elevando o risco regional para aplicações não atualizadas. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-006-python|T1059.006]] · [[t1496-resource-hijacking|T1496]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[g0069-mango-sandstorm|MuddyWater]] **Setores:** [[energy|Energia]] · [[energy|Marítimo]] **Mitigação:** Atualizar Craft CMS para versão 5.5.3+/4.13.3+ e Laravel Livewire para versão patcheada imediatamente. Desabilitar endpoint de transformação de imagens do Craft se não utilizado. Auditar logs de acesso por atividade do grupo Mimo ou MuddyWater. **Fontes:** [1](https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html) [2](https://securityaffairs.com/189776/security/u-s-cisa-adds-apple-laravel-livewire-and-craft-cms-flaws-to-its-known-exploited-vulnerabilities-catalog.html) [3](https://cyberpress.org/cisa-craft-cms-code-injection-flaw/) [4](https://cybersecuritynews.com/cms-code-injection-vulnerability-exploited/) --- ### 🟧 P2 | Horabot · Trojan Bancário Brasileiro Mira América Latina com Campanhas Renovadas 📅 24 mar · `LATAM` · Score **87** A Kaspersky reportou em março de 2026 campanha ativa do [[horabot|Horabot]], trojan bancário de origem brasileira que expandiu operações contra a América Latina com foco primário no México - 93% dos 5.384 dispositivos infectados rastreados desde maio de 2025. O malware se propaga via sites falsos de CAPTCHA e PDFs de [[t1566-phishing|phishing]] em espanhol, roubando credenciais bancárias corporativas, e passou por melhorias significativas em 2026 com novas capacidades de evasão e persistência. O caso ilustra um fenômeno crescente: malware desenvolvido no Brasil sendo refinado e redistribuído contra países vizinhos, com prevalência no México sugerindo expansão iminente para Argentina, Colômbia e Chile. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1056-input-capture|T1056]] · [[t1071-application-layer-protocol|T1071]] · [[t1539-steal-web-session-cookie|T1539]] **Software:** [[horabot|Horabot]] **Setores:** [[financial|Financeiro]] · [[technology|Corporativo]] **Mitigação:** Bloquear domínios de CAPTCHA falsos identificados na campanha nos proxies web. Implementar treinamento antiphishing para equipes de RH e financeiro. Monitorar comportamento anômalo de credenciais em sistemas bancários corporativos. **Fontes:** [1](https://fintechreview.net/kaspersky-warns-of-horabot-malware-targeting-latin-america/) [2](https://www.crowdfundinsider.com/2026/03/268383-malware-targeting-latam-organizations-examined-in-digital-security-report/) --- ### 🟧 P2 | Perseus · Novo Malware Android Bancário com Device Takeover Evolui de Cerberus e Phoenix 📅 24 mar · `LATAM` · Score **77** O ThreatFabric divulgou o [[perseus-malware|Perseus]], nova família de malware Android bancário que evolui a partir de [[cerberus-malware|Cerberus]] e Phoenix com foco em Device Takeover (DTO), distribuído via sites de phishing disfarçando apps IPTV (Rojá App Directa, TvTApp, PolBox Tv). O malware abusa de Serviços de Acessibilidade para streaming de tela em tempo real, sobreposição de apps bancários e criptográficos, keylogging e - inovação inédita - varredura de apps de notas em busca de senhas e seed phrases de carteiras cripto. Embora os alvos atuais incluam Turquia, Itália e Portugal, a herança do código Cerberus (amplamente usado contra bancos brasileiros) e a ênfase em aplicativos cripto sugerem expansão iminente para o Brasil, maior mercado de cripto da América Latina. **TTPs:** [[t1056-input-capture|T1056]] · [[t1185-browser-session-hijacking|T1185]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1059-007-javascript|T1059.007]] **Software:** [[perseus-malware|Perseus]] · [[cerberus-malware|Cerberus]] **Setores:** [[financial|Financeiro]] · [[cryptocurrency|Cripto]] **Mitigação:** Bloquear instalação de APKs de fontes externas em dispositivos corporativos via MDM. Monitorar apps com permissões de Acessibilidade e sobreposição de tela. Alertar usuários sobre apps IPTV falsos como vetor de distribuição. **Fontes:** [1](https://thehackernews.com/2026/03/new-perseus-android-banking-malware.html) [2](https://www.scworld.com/brief/perseus-android-malware-evolves-from-cerberus-and-phoenix-for-device-takeover) --- ### 🟧 P2 | Qilin Ransomware · Quatro Novos Ataques em Março com 400+ Vítimas em 2026 📅 24 mar · Score **75** O [[qilin|Qilin Ransomware]] reivindicou quatro novos ataques em 18 de março de 2026 - L.H. Lacy (Texas), Productos La Aguadillana (Porto Rico), Jácob & Sons (Pensilvânia) e BTX Global Logistics (Connecticut) - empregando dupla extorsão com criptografia combinada a exfiltração e ameaça de publicação. Com mais de 400 vítimas reivindicadas só em 2026, o Qilin é atualmente o grupo de ransomware mais ativo contra organizações norte-americanas, superando [[g1024-akira|Akira]] e [[clop|Clop]] com foco crescente na exploração de dispositivos de borda como VPNs e firewalls como vetor de acesso inicial. A diversidade setorial - construção, alimentos, varejo e logística - demonstra que nenhuma indústria está imune. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] · [[t1657-financial-theft|T1657]] **Atores:** [[qilin|Qilin Ransomware]] **Setores:** [[critical-infrastructure|Construção]] · [[agriculture|Alimentos]] · [[retail|Varejo]] · [[critical-infrastructure|Logística]] **Mitigação:** Auditar e patchear dispositivos de borda (VPNs, firewalls) - vetor de acesso inicial preferencial do Qilin. Implementar segmentação de rede rigorosa. Manter backups offline e testar restauração mensalmente. **Fontes:** [1](https://www.bitdefender.com/en-us/blog/businessinsights/ransomware-attacks-targeting-us-organizations-2026) [2](https://www.cynet.com/blog/qilin-green-blood-0apt-ransomware-groups-to-watch-march-2026/) [3](https://www.swktech.com/swk-technologies-march-2026-cybersecurity-news-recap/) --- ### 🟧 P2 | Zimperium · 34 Famílias de Malware Bancário Android Miram 1.243 Apps em 90 Países 📅 24 mar · `LATAM` · Score **75** O relatório **2026 Mobile Banking Heist** da Zimperium documenta 34 famílias ativas de malware Android visando 1.243 apps financeiros em 90 países, com crescimento de 67% em transações fraudulentas induzidas por malware em 2025 - as famílias [[tsarbot|TsarBot]], [[copybara|CopyBara]] e [[hook-malware|Hook]] coletivamente miram mais de 60% das aplicações bancárias globais analisadas. Para o [[latam|Brasil]], o relatório é especialmente relevante: mais de 80% das transações bancárias nacionais ocorrem via app, e a família Hook já foi documentada em campanhas contra bancos brasileiros. A convergência de malware bancário com capacidades de ransomware cria duplo risco - roubo imediato de credenciais somado a potencial extorsão posterior. **TTPs:** [[t1056-input-capture|T1056]] · [[t1185-browser-session-hijacking|T1185]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1036-masquerading|T1036]] **Software:** [[tsarbot|TsarBot]] · [[copybara|CopyBara]] · [[hook-malware|Hook]] **Setores:** [[financial|Financeiro]] · [[financial|Bancário]] **Mitigação:** Implementar Mobile Threat Defense (MTD) em dispositivos corporativos com acesso a apps financeiros. Configurar detecção de sobreposição de tela nos sistemas de autenticação. Revisar cobertura de segurança para as famílias TsarBot, CopyBara e Hook. **Fontes:** [1](https://www.infosecurity-magazine.com/news/financial-brands-mobile-banking/) [2](https://betanews.com/article/surge-in-mobile-banking-malware-as-attackers-hijack-financial-apps/) --- ### 🟧 P2 | Medusa Ransomware · Hospital Universitário e Condado nos EUA com Demandas de US$800k 📅 24 mar · Score **72** O [[g1051-medusa-ransomware|Medusa Ransomware]] (RaaS) comprometeu dois alvos críticos em março de 2026: o University of Mississippi Medical Center (UMMC), com exfiltração de +1 TB de dados de saúde de pacientes, fechamento de 35 clínicas e 9 dias de interrupção do sistema EHR Epic, seguido do condado de Passaic (NJ, 600.000 moradores) com comprometimento de toda a administração pública. As demandas foram de US$800.000 em ambos os casos, demonstrando capacidade crescente de atingir alvos de alta criticidade com tolerância mínima ao downtime - a exfiltração prévia de dados de saúde cria obrigações legais de notificação mesmo que o resgate seja pago. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1657-financial-theft|T1657]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1078-valid-accounts|T1078]] **Atores:** [[g1051-medusa-ransomware|Medusa Ransomware]] **Setores:** [[healthcare|Saúde]] · [[government|Governo]] **Mitigação:** Segmentar sistemas de saúde críticos (EHR, PACS) do restante da rede. Implementar backup imutável offline para dados de pacientes. Garantir plano de continuidade operacional que não dependa de sistemas digitais para procedimentos críticos. **Fontes:** [1](https://www.cynet.com/blog/qilin-green-blood-0apt-ransomware-groups-to-watch-march-2026/) [2](https://www.bitdefender.com/en-us/blog/businessinsights/ransomware-attacks-targeting-us-organizations-2026) --- ### 🟧 P2 | Gunra Ransomware · RaaS Usa Abuso de GPO e Ataca VMware ESXi em Escala 📅 24 mar · Score **72** O [[gunra-ransomware|Gunra Ransomware]], operação RaaS derivada do [[conti|Conti]] ativa desde abril de 2025, usa phishing de credenciais distribuindo o [[lumma-stealer|Lumma Stealer]] como acesso inicial, seguido de abuso de **Group Policy Objects (GPO)** para implantação de ransomware em escala em todos os endpoints do domínio Windows - e variantes ELF64 específicas para VMware ESXi, maximizando impacto ao criptografar infraestrutura de virtualização crítica. A criptografia ChaCha20/Salsa20 com encapsulamento RSA-2048/4096 gera arquivos .ENCRT, e resgates entre US$7M e US$10M são exigidos via portais Tor com prazos de 5 dias. A Microsoft publicou em março de 2026 estudo de caso demonstrando como o Defender for Endpoint bloqueou proativamente um ataque Gunra via GPO. **TTPs:** [[t1484-domain-or-tenant-policy-modification|T1484]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1071-application-layer-protocol|T1071]] · [[t1078-valid-accounts|T1078]] **Atores:** [[gunra-ransomware|Gunra Ransomware]] **Software:** [[lumma-stealer|Lumma Stealer]] **Mitigação:** Auditar GPOs existentes e restringir quem pode criar/modificar políticas de grupo (AD Tiering). Habilitar Microsoft Defender for Endpoint com proteção comportamental. Bloquear instalação do Lumma Stealer via regras de detecção para arquivos ZIP de phishing. **Fontes:** [1](https://www.microsoft.com/en-us/security/blog/2026/03/23/case-study-predictive-shielding-defender-stopped-gpo-based-ransomware-before-started/) [2](https://blog.alphahunt.io/gunra-ransomware-conti-derived-double-extortion-threat-targeting-global-critical-sectors/) --- ### 🟧 P2 | [[cve-2025-66376|CVE-2025-66376]] · Zimbra XSS Persistente via E-mail Adicionado ao CISA KEV 📅 24 mar · `CVSS 7.2` `KEV` `Exploração Ativa` · Score **72** A [[cve-2025-66376|CVE-2025-66376]], falha de XSS persistente no Zimbra Collaboration Suite Classic UI, foi adicionada ao **CISA KEV** com prazo federal até 1 de abril de 2026 - a vulnerabilidade permite injeção de JavaScript via diretivas CSS @import em e-mails HTML, executados automaticamente quando a vítima abre o e-mail no Zimbra Web Client sem necessidade de clique em link. Diferente do XSS refletido convencional, esta falha é entregue passivamente via e-mail corporativo, tornando-a especialmente perigosa em organizações governamentais, universidades e entidades de médio porte da América Latina e Europa Oriental que adotam o Zimbra como alternativa open-source ao Exchange. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1185-browser-session-hijacking|T1185]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1071-application-layer-protocol|T1071]] **Setores:** [[government|Governo]] · [[education|Educação]] **Mitigação:** Aplicar patch do Zimbra para [[cve-2025-66376|CVE-2025-66376]] imediatamente (prazo KEV: 1 de abril). Desabilitar o Zimbra Classic UI se possível. Configurar filtragem de CSS em e-mails HTML no gateway de e-mail para bloquear diretivas @import maliciosas. **Fontes:** [1](https://securityaffairs.com/189628/security/u-s-cisa-adds-microsoft-sharepoint-and-zimbra-flaws-to-its-known-exploited-vulnerabilities-catalog.html) [2](https://securityonline.info/exploited-in-wild-cisa-kev-catalog-sharepoint-zimbra-vulnerabilities/) --- ### 🟧 P2 | [[cve-2025-71275|CVE-2025-71275]] · RCE Crítico no Zimbra Collaboration Suite via Command Injection SMTP 📅 24 mar · `CVSS 9.8` `LATAM` · Score **55** Uma vulnerabilidade crítica de command injection no serviço **PostJournal** do Zimbra Collaboration Suite 8.8.15 permite que atacantes não autenticados executem comandos arbitrários via exploração do parâmetro `RCPT TO` com injeção SMTP - sem necessidade de autenticação e com vetor de rede. O Zimbra é amplamente utilizado em organizações governamentais e corporativas na América Latina como solução de e-mail, e o histórico da plataforma evidência incorporação rápida de novas CVEs em campanhas de espionagem e ransomware: [[cve-2023-37580|CVE-2023-37580]] e [[cve-2024-45519|CVE-2024-45519]] são precedentes recentes de exploração massiva. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-004-unix-shell|T1059.004]] · [[t1071-003-mail-protocols|T1071.003]] · [[t1078-valid-accounts|T1078]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] **Mitigação:** Aplicar patch do Zimbra 8.8.15 para [[cve-2025-71275|CVE-2025-71275]] ou desabilitar o serviço PostJournal se não utilizado. Restringir acesso SMTP ao servidor de e-mail por IP. Monitorar logs SMTP por injeções no parâmetro RCPT TO. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2025-71275) [2](https://vulncheck.com/advisories/zimbra-collaboration-suite-postjournal-unauthenticated-remote-code-execution-via-smtp-injection) --- ### 🟧 P2 | LiteLLM 1.82.7–1.82.8 · Comprometido via Supply Chain pelo Grupo TeamPCP 📅 24 mar · Score **50** O grupo [[teampcp|TeamPCP]] - já identificado no comprometimento do [[trivy-supply-chain-2026|Trivy]] e do KICS - publicou versões maliciosas **1.82.7 e 1.82.8** do pacote Python LiteLLM no PyPI, contendo harvester de credenciais, toolkit de movimento lateral em Kubernetes e backdoor persistente, confirmados de forma independente pela Endor Labs e JFrog. O LiteLLM é especialmente sensível por funcionar como camada de proxy para múltiplos provedores de LLM (OpenAI, Anthropic, Azure), significando que credenciais de API e prompts de usuários poderiam ser interceptados em escala - e o toolkit Kubernetes amplia o risco para comprometimento de clusters cloud inteiros em ambientes afetados. **TTPs:** [[t1195-001-compromise-software-dependencies-and-development-tools|T1195.001]] · [[t1552-unsecured-credentials|T1552]] · [[t1071-application-layer-protocol|T1071]] · [[t1078-004-cloud-accounts|T1078.004]] **Atores:** [[teampcp|TeamPCP]] **Mitigação:** Remover imediatamente pacotes LiteLLM 1.82.7 e 1.82.8 do ambiente. Fazer rollback para versão 1.82.6 ou anterior. Rotacionar todas as chaves de API de LLMs e auditar clusters Kubernetes por sinais de comprometimento (TeamPCP IOCs). **Fontes:** [1](https://thehackernews.com/2026/03/teampcp-backdoors-litellm-versions.html) [2](https://cyberscoop.com/trivy-supply-chain-attack-aqua-security-downstream-extortion-fallout/) --- ### 🟧 P2 | Trivy · Ataque Supply Chain com Onda de Extorsão Atinge Milhares de Organizações 📅 24 mar · Score **45** Atacantes comprometeram o **Trivy**, ferramenta open-source da Aqua Security amplamente utilizada para scanning de vulnerabilidades em containers e infraestrutura cloud, públicando versões maliciosas que afetaram a cadeia de suprimentos de organizações que dependem da ferramenta em pipelines CI/CD - o [[trivy-supply-chain-2026|comprometimento do Trivy]] é rastreado como campanha ativa. A **Mandiant** alerta que o impacto pode atingir até 10.000 vítimas downstream, com onda de extorsão descrita como "loud and aggressive" já em andamento - o comprometimento de uma ferramenta de scanning de segurança é especialmente grave pois as vítimas confiam implicitamente nessas soluções em seus ambientes DevSecOps. **TTPs:** [[t1195-001-compromise-software-dependencies-and-development-tools|T1195.001]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1657-financial-theft|T1657]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[teampcp|TeamPCP]] **Mitigação:** Verificar integridade dos artefatos Trivy via checksums SHA256 oficiais da Aqua Security e atualizar para versão limpa confirmada. Auditar pipelines CI/CD por execuções suspeitas durante o período de comprometimento. Avaliar exposição à onda de extorsão - não pagar sem verificar escopo real do comprometimento. **Fontes:** [1](https://cyberscoop.com/trivy-supply-chain-attack-aqua-security-downstream-extortion-fallout/) [2](https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/) --- ### 🟧 P2 | Malvertising Fiscal · ScreenConnect com BYOVD para Desabilitar EDR 📅 24 mar · Score **40** Campanha de malvertising ativa desde janeiro de 2026 explora Google Ads para servir instaladores maliciosos do ConnectWise [[s0591-connectwise|ScreenConnect]] a usuários americanos que buscam documentos fiscais, implantando após comprometimento inicial a ferramenta [[hwaudkiller|HwAudKiller]] que utiliza BYOVD ([[t1068-exploitation-for-privilege-escalation|T1068]]) com driver vulnerável da Huawei para desabilitar soluções de EDR no endpoint. A combinação malvertising + ferramenta RMM legítima + BYOVD representa cadeia de ataque que contorna múltiplas camadas de defesa, refletindo tendência crescente de grupos de ransomware e APTs para neutralizar proteções de endpoint. **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1219-remote-access-tools|T1219]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1036-masquerading|T1036]] **Software:** [[hwaudkiller|HwAudKiller]] · [[s0591-connectwise|ScreenConnect]] **Mitigação:** Bloquear o driver HwAudKiller via regras WDAC/AppLocker. Implementar políticas de uso de ferramentas RMM - apenas ferramentas autorizadas com whitelist. Monitorar carregamento de drivers não assinados pela Microsoft via EDR. **Fontes:** [1](https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html) [2](https://www.huntress.com/blog/w2-malvertising-to-kernel-mode-edr-kill) --- ### 🟨 P3 | M-Trends 2026 · Mandiant: Ransomware Migra de Roubo de Dados para Destruição de Recuperação 📅 24 mar · Score **80** O relatório **M-Trends 2026** da **Mandiant**/Google Cloud revela mudança fundamental nos objetivos de ransomware: o foco migrou para **negação deliberada de recuperação**, com destruição sistemática de backups e serviços de identidade - o tempo médio de permanência do atacante subiu de 11 para 14 dias, enquanto campanhas norte-coreanas com trabalhadores de TI falsos registram 122 dias de permanência média. O vishing disparou de 2% para 11% como vetor de acesso inicial (segundo lugar, atrás apenas da exploração de vulnerabilidades com 32%), e a Mandiant rastreou 661 novos clusters de ameaças e 714 novas famílias de malware em 2025. A conclusão central para equipes de IR: atacantes buscam tornar a recuperação técnicamente impossível sem pagamento, destruindo [[t1490-inhibit-system-recovery|backups]] e infraestrutura de identidade como [[active-directory|Active Directory]]. **TTPs:** [[t1490-inhibit-system-recovery|T1490]] · [[t1562-impair-defenses|T1562]] · [[t1078-valid-accounts|T1078]] · [[t1566-004-spearphishing-voice|T1566.004]] **Mitigação:** Revisar controles de proteção de backups conforme recomendações M-Trends 2026 - backups offline e imutáveis são essenciais. Implementar detecção de vishing no treinamento de conscientização. Testar resiliência de AD e serviços de identidade contra destruição deliberada. **Fontes:** [1](https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2026) [2](https://www.securityweek.com/m-trends-2026-initial-access-handoff-shrinks-from-hours-to-22-seconds/) --- ### 🟨 P3 | Sophos CISO Report 2026 · Ransomware Estimado em US$74 Bilhões em 2026 e US$275B até 2031 📅 24 mar · Score **68** O **2026 CISO Report** da Sophos projeta ransomware em US$74 bilhões globais em 2026, escalando para US$275 bilhões até 2031, com crime cibernético geral estimado em US$12,2 trilhões anuais - o dobro do nível de 2021. O relatório identifica MSPs e MSSPs como multiplicadores críticos para PMEs sem CISO dedicado, e destaca o ataque do grupo iraniano Handala à fabricante Stryker usando o [[_microsoft|Microsoft Intune]] para apagar dados de 200.000 sistemas em 79 países como caso exemplar de abuso de ferramentas legítimas de MDM para destruição massiva. Para o Brasil, onde PMEs representam mais de 99% das empresas e a maioria opera sem equipe de segurança dedicada, a dependência de MSSPs é estruturalmente crítica. **TTPs:** [[t1485-data-destruction|T1485]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1195-002-supply-chain-compromise|T1195.002]] **Mitigação:** Revisar controles de MDM/Intune - restringir quem pode executar limpeza remota em massa. Garantir que MSPs/MSSPs parceiros adotem segurança mínima alinhada ao relatório Sophos 2026. Implementar segmentação para limitar impacto de abuso de ferramentas legítimas. **Fontes:** [1](https://www.barradvisory.com/resource/top-5-cybersecurity-headlines-march-2026/) --- ### 🟨 P3 | Phishing com Currículos Falsos · Criptominerador e Infostealer via VBScript Ofuscado 📅 24 mar · Score **40** Campanha de phishing direcionada a ambientes corporativos francófonos utiliza currículos falsos com arquivos VBScript altamente ofuscados para implantação de criptomineradores e infostealers em sistemas de RH, combinando roubo de credenciais imediato com monetização persistente via cryptomining - pesquisa conduzida pela Securonix. O vetor de currículos falsos é eficaz por explorar processos legítimos de recrutamento e dificultar bloqueio sem impactar operações, sendo facilmente adaptável para português em campanhas futuras contra organizações brasileiras. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1059-005-visual-basic|T1059.005]] · [[t1496-resource-hijacking|T1496]] · [[t1056-input-capture|T1056]] **Setores:** [[technology|RH]] · [[technology|Corporativo]] **Mitigação:** Bloquear execução de VBScript em endpoints corporativos via GPO (desabilitar WSH ou usar WDAC). Treinar equipes de RH para verificar candidatos antes de abrir anexos. Monitorar processos spawned por wscript.exe/cscript.exe nos sistemas de HR. **Fontes:** [1](https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html) --- ## 13 mar 2026 ### 🟥 P1 | Chrome Double Zero-Day · [[cve-2026-3909|CVE-2026-3909]] e [[cve-2026-3910|CVE-2026-3910]] Adicionados ao CISA KEV 📅 13 mar · `CVSS 8.8` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **88** O Google corrigiu dois zero-days descobertos em 10 de março e patcheados em 13 de março: [[cve-2026-3909|CVE-2026-3909]] (CVSS 8.8, out-of-bounds write no motor gráfico Skia) e [[cve-2026-3910|CVE-2026-3910]] (CVSS 8.8, falha no motor JavaScript V8) - ambos adicionados ao CISA KEV com prazo até 27 de março, representando o terceiro zero-day do Chrome em 2026. As vulnerabilidades afetam todos os navegadores baseados em Chromium (Chrome, Edge, Brave, Opera), e a combinação de falhas no renderizador gráfico e no motor JS amplia significativamente as possibilidades de exploit chains para drive-by compromise. Com o Chrome dominando aproximadamente 85% do market share no Brasil, a exposição regional é massiva - organizações devem forçar atualização automática em todos os endpoints e verificar versões em dispositivos gerenciados. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] **Setores:** todos os setores **Mitigação:** Atualizar Google Chrome e todos navegadores Chromium para versão 122.0.6261.111 ou superior. Forçar atualização automática via GPO/MDM em toda a organização. Verificar versões em dispositivos não gerenciados com acesso a recursos corporativos. **Fontes:** [1](https://www.bleepingcomputer.com/news/google/google-fixes-two-new-chrome-zero-days-exploited-in-attacks/) [2](https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html) [3](https://securityaffairs.com/189373/hacking/google-fixed-two-new-actively-exploited-flaws-in-the-chrome-browser.html) --- ## 11 mar 2026 ### 🟥 P1 | Patch Tuesday Março 2026 · Microsoft Corrige 4 Zero-Days com Exploração Ativa 📅 11 mar · `KEV` `Exploração Ativa` `Zero-Day` · Score **95** O Patch Tuesday de março 2026 da [[_microsoft|Microsoft]] corrigiu 67 vulnerabilidades incluindo 4 zero-days ativamente explorados: uma use-after-free no subsistema Win32 Kernel para escalação a SYSTEM (usada em chains pós-compromisso), falhas no NTFS e no Microsoft Management Console. A CISA adicionou todas ao catálogo KEV com prazo de remediação de 21 dias. Agências federais e todas as organizações devem tratar como emergência - atores de estado-nação confirmados como exploitadores. **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1078-valid-accounts|T1078]] · [[t1055-process-injection|T1055]] · [[t1059-001-powershell|T1059.001]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar o Patch Tuesday de março 2026 da Microsoft em regime de emergência (4 zero-days KEV). Priorizar a correção de escalação de privilégios no Win32 Kernel. Verificar deploy nos sistemas de agências federais com prazo de 21 dias. **Fontes:** [1](https://kensai.app/blog/microsoft-patches-4-zero-days-march-2026-patch-tuesday.html) [2](https://www.malwarebytes.com/blog/news/2026/03/march-2026-patch-tuesday-fixes-two-zero-day-vulnerabilities) --- ### 🟧 P2 | Handala vs Stryker · Grupo Iraniano Apaga 200.000 Sistemas via Microsoft Intune 📅 11 mar · Score **80** O grupo hacktivista iraniano [[void-manticore|Handala]] reivindicou ataque destrutivo contra a fabricante de tecnologia médica **Stryker**, utilizando o Microsoft Intune (MDM legítimo da empresa) para apagar dados de 200.000 sistemas em 79 países. O abuso de ferramentas de gerenciamento legítimas para destruição massiva representa evolução tática significativa - organizações que confiam em MDM para proteção podem ter a própria ferramenta usada como arma. **TTPs:** [[t1485-data-destruction|T1485]] · [[t1072-software-deployment-tools|T1072]] · [[t1562-impair-defenses|T1562]] **Atores:** [[void-manticore|Handala]] **Setores:** [[healthcare|Saúde]] · [[critical-infrastructure|Manufatura]] **Mitigação:** Restringir permissões de limpeza remota em massa no MDM/Intune a apenas administradores autorizados com MFA. Monitorar ações administrativas do Intune em tempo real. Implementar aprovação dupla para ações destrutivas em mais de 100 dispositivos. **Fontes:** [1](https://www.barradvisory.com/resource/top-5-cybersecurity-headlines-march-2026/) [2](https://www.swktech.com/swk-technologies-march-2026-cybersecurity-news-recap/) --- ## 09 mar 2026 ### 🟥 P1 | [[cve-2026-1603|CVE-2026-1603]] · Ivanti EPM Auth Bypass Adicionado ao CISA KEV 📅 09 mar · `CVSS 8.6` `KEV` `Exploração Ativa` · Score **85** A [[cve-2026-1603|CVE-2026-1603]] (CVSS 8.6) no [[_ivanti|Ivanti]] Endpoint Manager permite bypass de autenticação com roubo remoto de credenciais sem necessidade de autenticação prévia - patcheada no EPM 2024 SU5 (fevereiro de 2026) e adicionada ao CISA KEV em 9 de março com prazo até 23 de março. O Shadowserver identificou mais de 700 instâncias EPM expostas à internet, e a combinação de bypass de autenticação com roubo de credenciais cria cenário ideal para movimentação lateral e escalação de privilégios em ambientes corporativos. O histórico da Ivanti com zero-days explorados em massa (EPMM, Connect Secure, Policy Secure) reforça que produtos Ivanti devem ser tratados como superfície de ataque de alta prioridade. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Mitigação:** Atualizar Ivanti EPM para versão 2024 SU5 imediatamente (patch disponível desde fevereiro de 2026). Isolamento de rede para instâncias EPM expostas enquanto patch não for aplicado. Verificar indicadores de comprometimento nas 700+ instâncias identificadas pelo Shadowserver. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-recently-patched-ivanti-epm-flaw-now-actively-exploited/) [2](https://www.zerodayinitiative.com/advisories/ZDI-26-0142/) [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- ### 🟧 P2 | [[cve-2025-26399|CVE-2025-26399]] · SolarWinds Web Help Desk RCE - Terceiro Bypass da Mesma Falha 📅 09 mar · `KEV` · Score **80** A [[cve-2025-26399|CVE-2025-26399]], vulnerabilidade de desserialização não autenticada no SolarWinds Web Help Desk que permite RCE, representa o terceiro bypass da mesma classe de falha - após [[cve-2024-28988|CVE-2024-28988]] e [[cve-2024-28986|CVE-2024-28986]], demonstrando que correções anteriores foram insuficientes para resolver o problema arquitetural subjacente. A CISA adicionou ao KEV em 9 de março com prazo agressivo até 12 de março, e o Canadian Centre for Cyber Security (Cyber.gc.ca) emitiu advisory independente. A recorrência de bypasses no mesmo produto evidencia padrão preocupante: organizações que aplicaram patches anteriores podem estar vulneráveis novamente, exigindo monitoramento contínuo de advisories do SolarWinds. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Mitigação:** Atualizar SolarWinds Web Help Desk para versão 12.8.4+ (terceiro bypass resolvido). Restringir acesso à interface de administração por IP. Monitorar continuamente advisories SolarWinds - padrão recorrente de bypasses da mesma classe de falha. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2025-26399) [2](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) [3](https://www.cyber.gc.ca/en/alerts-advisories/solarwinds-security-advisory-2026-03-09) --- ### 🟧 P2 | Intel 471 · Ransomware na América Latina Sobe 78% com Brasil Concentrando 30% das Vítimas 📅 09 mar · `LATAM` · Score **88** O relatório **Latin América Cyber Threat Landscape** da Intel 471 revela escalada dramática de ransomware na região: breaches saltaram de 250+ para 450+ (aumento de 78% em 2025), com o Brasil concentrando 30% de todas as vítimas latino-americanas - as variantes ativas quase dobraram de 48 para 79, com [[qilin|Qilin]], TheGentlemen, SafePay, [[g1024-akira|Akira]] e Inc liderando as operações. Mais de 200 initial access brokers visaram 17 países da região, e o sistema **Pix** brasileiro foi alvo de ataque que desviou US$148 milhões, confirmando que infraestrutura financeira digital é target prioritário. Organizações latino-americanas enfrentam em média 2.640 ataques por semana - 35% acima da média global - posicionando a região como uma das mais visadas do mundo para operações de cibercrime e ransomware. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1657-financial-theft|T1657]] **Setores:** [[financial|Financeiro]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Revisar controles de segurança conforme relatório Intel 471 - organizações LATAM enfrentam 2.640 ataques/semana. Monitorar IOCs das variantes Qilin, SafePay e Akira. Implementar programa de monitoramento de initial access brokers para credenciais corporativas expostas. **Fontes:** [1](https://www.kiteworks.com/cybersecurity-risk-management/latin-america-cyber-threat-landscape-2026-intel-471-report/) [2](https://industrialcyber.co/reports/latin-america-sees-sharp-rise-in-ransomware-hacktivist-attacks-in-2025-amid-expanding-fraud-and-phishing-threats/) --- ## 04 mar 2026 ### 🟥 P1 | Tycoon 2FA Takedown · Europol e Microsoft Derrubam Plataforma PhaaS com 64.000 Ataques 📅 04 mar · Score **90** Operação coordenada entre Europol, [[_microsoft|Microsoft]] e 11 empresas de segurança em 6 países resultou na derrubada do **Tycoon 2FA**, a maior plataforma de phishing-as-a-service (PhaaS) com bypass de MFA - responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft em 2025. Foram apreendidos 330 domínios de infraestrutura, com a plataforma vinculada a 64.000 ataques e 3 milhões de mensagens de phishing apenas em fevereiro de 2026, afetando 100.000 organizações globalmente incluindo escolas, hospitais e instituições públicas. **TTPs:** [[t1566-phishing|T1566]] · [[t1111-multi-factor-authentication-interception|T1111]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1078-valid-accounts|T1078]] **Mitigação:** Migrar para MFA resistente a phishing (FIDO2/passkeys) - o Tycoon 2FA contorna TOTP e SMS. Implementar detecção de proxy AiTM nos sistemas de autenticação. Revisar logs de autenticação por sessões suspeitas do período de atividade da plataforma (2024-2026). **Fontes:** [1](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) [2](https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/) [3](https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action) --- ### 🟧 P2 | Citrix NetScaler · [[cve-2026-3055|CVE-2026-3055]] e [[cve-2026-4368|CVE-2026-4368]] RCE em ADC e Gateway 📅 04 mar · `CVSS 9.3` · Score **78** A [[_citrix|Citrix]] publicou atualizações de segurança para duas vulnerabilidades críticas no [[netscaler-adc|NetScaler ADC]] e NetScaler Gateway: [[cve-2026-3055|CVE-2026-3055]] (CVSS 9.3) e [[cve-2026-4368|CVE-2026-4368]] (CVSS 7.7), ambas permitindo execução remota de código. Dado o histórico do [[netscaler-adc|NetScaler]] como alvo prioritário de grupos de ransomware ([[cve-2023-4966|CVE-2023-4966]] "Citrix Bleed" afetou milhares de organizações), a aplicação imediata de patches é crítica para ambientes corporativos. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1078-valid-accounts|T1078]] **Setores:** [[technology|Corporativo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar os patches da Citrix para [[cve-2026-3055|CVE-2026-3055]] e [[cve-2026-4368|CVE-2026-4368]] no NetScaler ADC e Gateway imediatamente. Verificar integridade de configurações de VPN pós-patch. Revisar logs de acesso retroativos - o NetScaler é alvo histórico prioritário de grupos de ransomware. **Fontes:** [1](https://www.swktech.com/swk-technologies-march-2026-cybersecurity-news-recap/) [2](https://thehackernews.com/2026/03/citrix-urges-patching-critical.html) --- ## 03 mar 2026 ### 🟥 P1 | [[cve-2026-22719|CVE-2026-22719]] · VMware Aria Operations RCE Adicionado ao CISA KEV 📅 03 mar · `CVSS 8.1` `KEV` `Exploração Ativa` · Score **84** A [[cve-2026-22719|CVE-2026-22719]] (CVSS 8.1), vulnerabilidade de command injection no VMware Aria Operations, permite RCE não autenticado durante operações de migração - adicionada ao CISA KEV em 3 de março junto com [[cve-2026-22720|CVE-2026-22720]] (XSS) e [[cve-2026-22721|CVE-2026-22721]] (escalação de privilégios), formando trio de vulnerabilidades que afeta Aria Operations 8.x e VMware Cloud Foundation. O CERT belga emitiu advisory urgente reforçando a criticidade, e a Broadcom publicou patches para todas as três falhas simultaneamente. Para a América Latina, o VMware é amplamente implantado em ambientes enterprise e governamentais - o comprometimento de ferramentas de gerenciamento de operações cloud pode expor visibilidade completa sobre infraestrutura virtualizada. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar os patches da Broadcom para [[cve-2026-22719|CVE-2026-22719]], [[cve-2026-22720|CVE-2026-22720]] e [[cve-2026-22721|CVE-2026-22721]] no VMware Aria Operations 8.x imediatamente. Restringir acesso à interface de gerenciamento à rede interna. Auditar logs de migração por execuções anômalas de comandos. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-flags-vmware-aria-operations-rce-flaw-as-exploited-in-attacks/) [2](https://thehackernews.com/2026/03/cisa-flags-vmware-aria-operations-rce.html) [3](https://support.broadcom.com/web/ecx/support-content?segment=EN&id=VMSA-2026-0001) --- ### 🟥 P1 | [[cve-2026-21385|CVE-2026-21385]] · Qualcomm Android Zero-Day em 234+ Chipsets com Exploração Confirmada 📅 03 mar · `CVSS 7.8` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **83** O Google confirmou "exploração limitada e direcionada" da [[cve-2026-21385|CVE-2026-21385]] (CVSS 7.8), integer overflow com corrupção de memória no driver de gráficos Qualcomm presente em 234+ chipsets - potencialmente vinculada a operações de spyware comercial. O boletim de segurança Android de março de 2026 corrige 129 vulnerabilidades no total, mas esta é a única com exploração confirmada in-the-wild. Para o Brasil e América Latina, onde o Android é o sistema operacional móvel dominante com market share superior a 80%, a vulnerabilidade em chipsets Qualcomm amplamente utilizados representa risco direto para centenas de milhões de dispositivos - a atualização de segurança deve ser aplicada assim que disponibilizada pelos fabricantes. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** todos os setores · [[technology|Mobile]] **Mitigação:** Instalar a atualização de segurança Android de março 2026 nos dispositivos Qualcomm assim que disponível pelo fabricante. Priorizar atualização de dispositivos de alto risco (governo, jornalistas) - suspeita de uso por spyware comercial. Monitorar indicadores de comprometimento no MDM. **Fontes:** [1](https://thehackernews.com/2026/03/google-confirms-CVE-2026-21385-in.html) [2](https://www.bleepingcomputer.com/news/security/google-patches-android-zero-day-actively-exploited-in-attacks/) [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- ## 01 mar 2026 ### 🟥 P1 | Operation Epic Fury · Ofensiva Cibernética Conjunta EUA-Israel Contra Irã Desencadeia Escalada Global 📅 01 mar · `LATAM` · Score **95** A **Operation Epic Fury**, ofensiva cibernética conjunta entre Estados Unidos e Israel contra o Irã lançada em 28 de fevereiro, representa o maior evento de guerra cibernética de 2026: Israel executou o que chamou de "maior ciberataque da história", reduzindo a conectividade de internet do Irã a 1-4%, enquanto o US Cyber Command atuou como "first mover" antes de strikes cinéticos. O [[g0069-mango-sandstorm|MuddyWater]] implantou 6 novas famílias de malware em 3 semanas, e grupos como [[g0049-oilrig|APT34/OilRig]], [[g0059-magic-hound|APT35]], [[cyberav3ngers|CyberAv3ngers]] e [[void-manticore|Handala]] escalaram operações simultaneamente - mais de 60 grupos hacktivistas se ativaram globalmente até 2 de março, e o Qatar prendeu 10 operativos do IRGC em 4 de março. Para a América Latina, hacktivistas alinhados ao Irã expandiram targeting globalmente, com setores de [[energy|Energia]] e petróleo sob risco elevado em países com infraestrutura exposta. **TTPs:** [[t1498-network-denial-of-service|T1498]] · [[t1583-acquire-infrastructure|T1583]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[g0069-mango-sandstorm|MuddyWater]] · [[g0049-oilrig|APT34]] · [[g0059-magic-hound|APT35]] · [[cyberav3ngers|CyberAv3ngers]] · [[void-manticore|Handala]] **Setores:** [[government|Governo]] · [[energy|Energia]] · [[telecom|Telecom]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Elevar nível de alerta para setores de energia e petróleo na América Latina - grupos hacktivistas pró-Irã com targeting global expandido. Revisar controles de acesso a sistemas SCADA/OT. Monitorar TTPs do MuddyWater (6 novas famílias de malware implantadas em março 2026). **Fontes:** [1](https://unit42.paloaltonetworks.com/iran-cyber-operations-epic-fury/) [2](https://www.tenable.com/blog/threat-landscape-iran-cyber-operations-2026) [3](https://attackiq.com/blog/2026/03/iran-cyber-escalation/) [4](https://flashpoint.io/blog/iran-cyberattacks-epic-fury-2026/) [5](https://www.defense.gov/News/Releases/Release/Article/) --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]