changelog - RunkIntel

# Changelog > Documento vivo. Atualizado automáticamente com cada ciclo de enriquecimento. --- ## Painel do Vault > [!abstract] Estado Atual do RunkIntel > **Versão** `v0.3`  |  **Última atualização** 28 mar 2026  |  **Health** 85/100 > > | Seção | Notas | Estado | > |-------|-------|--------| > | cti/groups/ | 331 grupos | 🟩 ativo | > | cti/software/ | 1.086 malware + 106 tools | 🟩 ativo | > | cti/campaigns/ | 257 campanhas | 🟩 ativo | > | ttp/techniques/ | 740 técnicas | 🟨 em tradução | > | defenses/ | 44 mitigações + 32 playbooks + detecções | 🟩 ativo | > | vulnerabilities/ | 351 CVEs | 🟩 ativo | > | market/ | 21 regiões/setores/regulações | 🟩 ativo | > | _intel/weekly/ | 13 relatórios (W01-W13) | 🟩 ativo | > | _intel/timeline/ | 27 eventos (2017-2026) | 🟩 ativo | --- ## Atividade Recente ### Últimas Notas Modificadas %% ```dataview TABLE type AS "Tipo", file.folder AS "Seção", dateformat(file.mtime, "yyyy-MM-dd") AS "Modificado" FROM "cti/groups" OR "vulnerabilities" OR "cti/campaigns" OR "cti/software" OR "ttp/techniques" OR "defenses/playbooks" OR "_intel/timeline" OR "market/vendors" OR "market/sectors" OR "market/regions" OR "market/regulations" OR "_intel" OR "_intel/weekly" OR "defenses/mitigations" OR "defenses/detections" OR "defenses/data-sources" WHERE !contains(file.name, "_") SORT file.mtime DESC LIMIT 20 ``` %%   | Nota | Tipo | Seção | Modificado | | --------------------------------------------------------------------------------------- | ------------- | -------------------- | ---------- | | [[changelog\|Changelog - Atividade e Evolução]] | changelog | _intel/about | 2026-03-29 | | [[methodology\|Metodologia do Pipeline CTI]] | guide | _intel/about | 2026-03-29 | | [[_intel/about/faq.md\|FAQ - Perguntas Frequentes]] | guide | _intel/about | 2026-03-29 | | [[2026-w13\|CTI Weekly - 2026-W13]] | weekly-report | _intel/weekly | 2026-03-29 | | [[sources\|Fontes de Inteligencia]] | section-index | _intel | 2026-03-29 | | [[readme\|RunkIntel]] | section-index | _intel | 2026-03-29 | | [[contribute\|Contribua com o RunkIntel]] | page | _intel/about | 2026-03-29 | | [[cve-2025-3935\|CVE-2025-3935]] | cve | vulnerabilities/2025 | 2026-03-29 | | [[cve-2026-4923\|CVE-2026-4923]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[cve-2026-2783\|CVE-2026-2783]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[cve-2026-31912\|CVE-2026-31912]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[cve-2026-31413\|CVE-2026-31413]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[cve-2026-32115\|CVE-2026-32115]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[cve-2026-29187\|CVE-2026-29187]] | cve | vulnerabilities/2026 | 2026-03-29 | | [[targeting-western-logistics\|Targeting Western Logistics 2024-2025]] | campaign | cti/campaigns | 2026-03-29 | | [[zollo-ransomware\|Zollo Ransomware]] | threat-actor | cti/groups | 2026-03-29 | | [[xenotime\|XENOTIME]] | threat-actor | cti/groups | 2026-03-29 | | [[water-galura\|Water Galura]] | threat-actor | cti/groups | 2026-03-29 | | [[warlock-ransomware]] | \- | cti/groups | 2026-03-29 | | [[volt-typhoon\|Volt Typhoon]] | threat-actor | cti/groups | 2026-03-29 |  --- ### Últimas Notas Criadas %% ```dataview TABLE type AS "Tipo", file.folder AS "Seção", dateformat(daté(created), "yyyy-MM-dd") AS "Criado" FROM "cti/groups" OR "vulnerabilities" OR "cti/campaigns" OR "cti/software" OR "ttp/techniques" OR "defenses/playbooks" OR "_intel/timeline" OR "market/vendors" OR "market/sectors" OR "market/regions" OR "market/regulations" OR "_intel" OR "_intel/weekly" OR "defenses/mitigations" OR "defenses/detections" OR "defenses/data-sources" WHERE !contains(file.name, "_") AND created SORT created DESC LIMIT 20 ``` %%   | File | Tipo | Seção | Criado | | ---- | ---- | ----- | ------ |  --- ## Crescimento do Vault ```mermaid xychart-beta title "Notas por Seção (mar 2026)" x-axis ["cti/software", "ttp", "defenses", "cti/groups", "vulnerabilities", "campaigns", "market", "timeline"] y-axis "Quantidade de notas" 0 --> 1200 bar [1192, 740, 120, 331, 351, 257, 21, 27] ``` --- ```mermaid xychart-beta title "Evolução do Vault Health Score" x-axis ["fev/2026", "semana 12", "semana 13", "27 mar", "28 mar"] y-axis "Score (0-100)" 0 --> 100 line [30, 55, 63, 76, 85] ``` --- ## Marcos da Plataforma ### 🟥 28 mar 2026 - Sessão Intel Full + Advisor Architecture > [!success] Feed rolling 30 dias, advisor architecture, timeline reestruturada, 210 table wikilink fixes. > > **Vault Health:** 75/100 → 85/100 (+10 pontos) **Feed e publicação** - Rolling window expandido de 7 para 30 dias, 47 itens ativos cobrindo 01-28 mar - `feed-rotate.py` criado - rotação automática com archive mensal - Archive público (`publish: true`) com index `_archive.md` **Advisor architecture** - Sentinel eliminado, `/advisor` criado como Chief CTI Architect - 6 domínios: Threat, Process, Technology, People, Market, Experience - Modelo Opus, job semanal domingo 07:00 **Timeline** - Reestruturada em 10 subpastas por ano (2017-2026) com index pages individuais - 3 duplicatas removidas (30 → 27 eventos) **Qualidade** - 210 table wikilinks corrigidos em 54 arquivos + `fix-table-wikilinks.py` integrado ao pipeline - 270+ acentos corrigidos em 68+ arquivos - 28+ substituições de wikilinks Telecom - Footer padronizado em 12 páginas _intel/ - guide-learning adicionado ao readme - FAQ expandido com +7 perguntas - insights.md: 8 métricas atualizadas **Automação** - 4 LaunchAgent plists criados (intel-collect, full-cycle, orchestrate, full) **Scripts criados** - `system/scripts/feed-rotate.py` - rolling window 30 dias com archive automático - `system/scripts/fix-table-wikilinks.py` - escapa pipe em wikilinks dentro de tabelas --- ### 🟥 27 mar 2026 - Ciclo de Qualidade v0.3 > [!success] Maior ciclo de qualidade desde o bootstrap. 21 execucoes paralelas coordenadas. > > **Vault Health:** 63/100 → 76/100 (+13 pontos) **Pipeline e automação** - Weekly agora incremental via `/intel weekly-update` - digest alimenta rascunho diariamente - `/daily` eliminado - sinal sobre ruído, foco em feed + weekly - Hooks inteligentes: `feed-válidate.py` (válidação automática) e `note-link-check.py` (stubs para wikilinks órfãos) - Weekly auto-publish ativado (modelo inverso - usuário despublica se necessário) **Feed (carro-chefe)** - Escala P1-P4 implementada baseada em severidade CTI (CVSS/CISA, não SRE) - 67 itens reformatados com formato gold standard - 64 campos Mitigação adicionados (era 3, agora 67) - 49 setores convertidos para wikilinks com alias em português - 31 software/actors wikificados **Vault** - 1.965 wikilinks com aliases corrigidos em 56 index pages - 195 wikilinks removidos de blocos Mermaid (78 arquivos) - 974 travessões convertidos para traço simples - 89.102 wikilinks auditados vault-wide (96% OK, 1.734 slugs órfãos identificados) - W01-W13 corrigidos (tags deprecated, report-number sequencial, TTP slugs) - 46 campanhas com status corrigido (active - completed) - 3 duplicatas merged (SolarWinds, Operation DreamJob, APT28 Nearest Neighbor) - 3 RATs reclassificados de tools/ para malware/ (AsyncRAT, Remcos, QuasarRAT) **Market Intelligence (seção nova)** - 5 perfis regionais: Brasil, Argentina, Mexico, Colombia, Chile - 4 regulações: LGPD, BACEN 4893, PCI-DSS, ISO 27001 - 4 normas BACEN antifraude: Res. 4658, PIX Security, Open Finance, PLD/FT 3909 - 8 frameworks de segurança: MITRE ATT&CK, Cyber Kill Chain, NIST CSF, CIS Controls, Zero Trust, Diamond Model, STRIDE, NIS2 - market/regulations/ saiu de 0 para 16 notas **Timeline histórica** - 6 eventos adicionados: WannaCry (2017), NotPetya (2017), SolarWinds (2020), Colonial Pipeline (2021), Log4Shell (2021), MOVEit (2023) - Total: 20 eventos na timeline **Stubs criados (16 notas)** - 10 malware: PixRevolution, BeatBanker, Mirax RAT, Oblivion RAT, SURXRAT, TsarBot, CopyBara, HwAudKiller, Tycoon 2FA, DarkSword - 6 threat actors: Forest Blizzard, BlackMatter, UNC6748, UNC6353, GHOSTKNIFE, GHOSTSABER **Scripts batch criados (8)** - `fix-mermaid-wikilinks.py` - remove wikilinks de blocos Mermaid - `fix-em-dash.py` - travessão para traço em texto estrutural - `fix-index-pages.py` - tags, FROM paths, aliases em index pages - `fix-weekly-reports.py` - tags, em-dash, report-number, TTP wikilinks - `fix-feed-compliance.py` - TTPs bare, CVEs bare, wikilinks quebrados - `fix-broken-wikilinks.py` - audit vault-wide de wikilinks - `fix-empty-yaml-arrays.py` - YAML vazio em threat actors - `fix-campaigns-publish.py` - latam-impact e status em campanhas --- ### 🟧 24-26 mar 2026 - Reestruturação Intel (Semana 13) > [!info] Migração de tags + redesign do orquestrador /intel > > Skills Registry v1.3 com 12 skills e 28+ subcommands - Meta-orquestrador `/intel` redesenhado com 16 sub-comandos (13 granulares + 3 compostos) - 2.339 arquivos migrados de `#threat-intel/*` para taxonomia por seção (`#cti/*`, `#ttp/*`, `#defense/*`, `#vuln/*`, `#intel/*`) - Migração `_home/` para `_intel/` concluída - 29 arquivos atualizados - 12 setores criados em `market/sectors/` - Health check automatizado via `intel-health-check.py` - Orquestrador `/market` implementado com hub market/ --- ### 🟧 22-23 mar 2026 - Pipeline e Automação (Semana 12) > [!info] Pipeline de coleta automatizado + hierarquia vendor/produto - Pipeline com 7 LaunchAgents configurados - 11 novas fontes de inteligência documentadas (Tiers 1-4) - Hierarquia vendor/produto: 19 vendors, 53 produtos - Top 5 vendors com diagramas de CVEs e threat actors - Framework de priorização de CVEs (CVSS - CISA KEV - EPSS - cobertura) - Redesign da Home com diagramas Mermaid (Panorama de Ameaças e Pipeline CTI) - 19 index pages atualizadas com diagramas Mermaid - Dataview Serializer automatizado - tabelas atualizadas a cada sincronização - 28 novas notas de CVEs criadas --- ### 🟨 fevereiro 2026 - Fundação v0.1 > [!note] Bootstrap do vault - estrutura inicial e primeiras notas - Bootstrap com estrutura flat - Templates padronizados para cada tipo de nota - Convencoes de qualidade: mínimo 8 wikilinks, YAML obrigatorio, score 0-100 - Pipeline CODE implementado (capture - organize - distill - express) - Primeiras notas: Lazarus Group, APT28, APT29, Grandoreiro, principais CVEs - Integracao com Obsidian Publish ativada --- ## Roadmap > [!todo] Proximos passos da plataforma | Prioridade | Item | Descrição | |------------|------|-----------| | 🟥 P1 | Deploy GCP | Pipeline autonomo com 4 ritmos de coleta | | 🟥 P1 | Canal Telegram/Discord | Alertas P1, discussao, comunidade | | 🟧 P2 | Substack e LinkedIn | Distribuição semanal automatizada | | 🟧 P2 | Data-components DC-series | Completar seção de deteccoes | | 🟨 P3 | Busca semântica | Correlação de inteligência no vault | | 🟨 P3 | Traducao tracking | 737 técnicas precisam de PT-BR | | 🟦 P4 | Dashboard de metricas | Ameaças por setor, tendencias LATAM | --- --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]