2026-w01 - RunkIntel

# CTI Weekly - 2026-W01 > Período: 2026-01-01 a 2026-01-04 · Edição #1 · Atualizado em 2026-03-30 > Fontes primárias: Check Point Research, BleepingComputer, The Hacker News, SecurityWeek, CISA KEV, Kaspersky, CrowdStrike, Mandiant, Security Affairs. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **01-04 jan** | 🟧 **Médio** | **4+** | **3+** | **12+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-20393\|CVE-2025-20393]]** (Cisco AsyncOS) - CVSS 10.0, zero-day explorado por APT China-nexo UAT-9686, backdoor AquaShell | > | 🟥 P1 | **[[cve-2025-40602\|CVE-2025-40602]]** (SonicWall SMA1000) - KEV, encadeado com [[cve-2025-23006|CVE-2025-23006]] para RCE + escalação root | > | 🟧 P2 | **[[astaroth\|Astaroth/Guildma]]** - Worm via WhatsApp com módulo Python, 95% das vítimas no Brasil | > | 🟧 P2 | **ESA (Agência Espacial Europeia)** - 200 GB exfiltrados (código-fonte, tokens, CI/CD), ator "888" | > | 🟧 P2 | **Oltenia Energy Complex** - Ransomware [[gentlemen-ransomware\|Gentlemen]] em infraestrutura crítica romena (30% da eletricidade) | > | 🟧 P2 | **[[darkspectre\|DarkSpectre]]** - 8,8 milhões de navegadores infectados via extensões maliciosas, nexo China | ```mermaid pie title Distribuição por Categoria - W01/2026 "Vulnerabilidades Críticas" : 4 "Ameaças LATAM/Brasil" : 3 "Ransomware" : 3 "Supply Chain" : 2 "Inteligência Estatal" : 2 "Retrospectivas 2025" : 3 ``` --- ## Sumário Executivo A primeira semana de 2026 — curta, com apenas 4 dias úteis entre o Ano Novo e o domingo — foi marcada pela herança operacional de dezembro de 2025 e pelo início de campanhas que dominariam o primeiro trimestre. O destaque técnico foi o [[cve-2025-20393|CVE-2025-20393]], vulnerabilidade CVSS 10.0 no Cisco AsyncOS (Secure Email Gateway e Secure Email and Web Manager) adicionada ao CISA KEV em 17 de dezembro, com exploração ativa confirmada pelo grupo chinês **UAT-9686** desde 10 de dezembro. O atacante implanta o backdoor **AquaShell** (Python) nos appliances comprometidos — afetando organizações que dependem de gateways Cisco para filtragem de e-mail corporativo. A Cisco publicou patches em janeiro, mas appliances não atualizados permanecem em risco crítico. No front de ameaças regionais, o **[[astaroth|Astaroth/Guildma]]** ressurgiu com um vetor inédito: um módulo worm baseado em Python que se autopropaga via WhatsApp, enviando mensagens maliciosas automaticamente para todos os contatos da vítima. A campanha, batizada de **Boto Cor-de-Rosa** pela Acronis TRU, concentra mais de 95% das infecções no Brasil — usando lures culturalmente adaptados e conhecimento profundo do ecossistema bancário nacional. A combinação do payload Delphi clássico com o novo módulo Python demonstra evolução modular e investimento contínuo dos operadores brasileiros. O período de festas não impediu ataques a infraestrutura crítica: o **Oltenia Energy Complex**, maior produtor termelétrico da Romênia (30% da eletricidade nacional, 19.000 funcionários), foi comprometido pelo ransomware [[gentlemen-ransomware|Gentlemen]] em 26 de dezembro, com sistemas ERP, e-mail e website criptografados. Paralelamente, a **Agência Espacial Europeia (ESA)** confirmou breach com 200 GB de código-fonte, tokens de API e configurações CI/CD exfiltrados. Os principais vendors publicaram retrospectivas de 2025 com tendências preocupantes: breakout time médio de 29 minutos (CrowdStrike), hand-off em 22 segundos entre grupos (Mandiant), e 82% de ataques sem malware em disco. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-20393\|CVE-2025-20393]] | 10.0 | Cisco AsyncOS (Email Gateway) | ✅ Ativa - APT China UAT-9686 + AquaShell | ✅ 17/12 · Prazo 24/12 | **Patch imediato** | | [[cve-2025-40602\|CVE-2025-40602]] | 6.6 | SonicWall SMA1000 AMC | ✅ Ativa - encadeado com [[cve-2025-23006\|CVE-2025-23006]] | ✅ 17/12 · Prazo 24/12 | **Patch + restringir AMC** | | [[cve-2025-59374\|CVE-2025-59374]] | 9.3 | ASUS Live Update | ✅ Ativa - supply chain ShadowHammer/[[g0096-apt41\|APT41]] | ✅ 17/12 · Prazo 07/01 | **Descontinuar ASUS Live Update** | | [[cve-2025-59718\|CVE-2025-59718]] | Crítico | Fortinet Multiple Products | ✅ Ativa - assinatura criptográfica bypass | ✅ 16/12 | **Atualizar firmware** | --- ### CVE em Destaque: [[cve-2025-20393|CVE-2025-20393]] — Cisco AsyncOS Zero-Day (CVSS 10.0) O [[cve-2025-20393|CVE-2025-20393]] é a vulnerabilidade mais crítica do período — uma falha de **execução remota de código com privilégios root** no Cisco AsyncOS Software, afetando o **Cisco Secure Email Gateway** e o **Cisco Secure Email and Web Manager**. **Por que é urgente:** - **CVSS 10.0** — severidade máxima, vetor de rede, sem autenticação, sem interação do usuário - **Zero-day**: exploração ativa confirmada desde 10 de dezembro de 2025, antes do patch - **Ator estado-nação**: grupo chinês **UAT-9686** identificado pela Cisco Talos como responsável pela exploração - **Backdoor AquaShell**: implant Python para persistência com acesso root nos appliances comprometidos - **Pré-requisito**: feature Spam Quarantine habilitada (não é padrão, mas amplamente ativada em ambientes corporativos) **Impacto:** Um atacante que explore com sucesso a falha pode executar comandos arbitrários com privilégios root no appliance, interceptar e-mails em trânsito, exfiltrar dados corporativos, e usar o gateway comprometido como pivô para a rede interna. Appliances de e-mail são alvos de alto valor para espionagem — todo e-mail corporativo transita por eles. **Para o Brasil e LATAM:** O Cisco Secure Email Gateway é amplamente utilizado em organizações dos setores [[financial|financeiro]], [[government|governo]] e [[telecom|Telecom]] na região. Organizações com Spam Quarantine habilitado que não aplicaram o patch estão em risco crítico de comprometimento por ator estado-nação. **Mitigação imediata:** 1. Atualizar Cisco Email Security Gateway para AsyncOS v15.0.5-016+, 15.5.4-012+ ou 16.0.4-016+ 2. Atualizar Secure Email and Web Manager para AsyncOS v15.0.2-007+, 15.5.4-007+ ou 16.0.4-010+ 3. Verificar se Spam Quarantine está habilitado — se sim, priorizar patch 4. Auditar logs do appliance para IOCs associados ao AquaShell 5. Monitorar conexões outbound suspeitas do gateway de e-mail **Referências:** [Cisco Security Advisory](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4) — 2025-12-17 · [Arctic Wolf](https://arcticwolf.com/resources/blog/CVE-2025-20393/) — 2025-12-18 --- ## Campanhas e Threat Actors ### Astaroth/Guildma — Worm WhatsApp com Módulo Python (Brasil) O banking trojan [[astaroth|Astaroth]] (também conhecido como Guildma), ativo desde 2015, ressurgiu no início de janeiro de 2026 com uma capacidade inédita: um **módulo worm implementado em Python** que se autopropaga via WhatsApp. A campanha foi batizada de **Boto Cor-de-Rosa** pela Acronis Threat Research Unit. **Cadeia de infecção:** - Mensagem WhatsApp com arquivo ZIP malicioso → script VBS → download de dois componentes: payload Astaroth (Delphi) + worm WhatsApp (Python) - O módulo Python extrai a lista de contatos WhatsApp da vítima e envia automaticamente mensagens maliciosas para cada contato — propagação exponencial - **95% das infecções** concentradas no Brasil; restante disperso nos EUA **Por que importa para o Brasil:** O uso do WhatsApp como vetor de distribuição é especialmente eficaz no Brasil — país com mais de 150 milhões de usuários da plataforma. A propagação via contatos conhecidos aumenta drasticamente a taxa de abertura das mensagens maliciosas. O payload Delphi clássico do Astaroth realiza overlay de janela para captura de credenciais bancárias. **Detecção:** Monitorar execução de scripts Python não autorizados + atividade anômala de API WhatsApp Web/Desktop. Bloquear execução de VBS em endpoints corporativos. **Ver nota completa:** [[astaroth|Astaroth/Guildma]] --- ### DarkSpectre — 8,8 Milhões de Navegadores Infectados via Extensões O grupo **[[darkspectre|DarkSpectre]]** (nexo China, rastreado pela Koi Security) foi exposto em dezembro de 2025 após comprometer **8,8 milhões de usuários** de Chrome, Edge e Firefox através de extensões de navegador maliciosas operando por mais de **7 anos**. Três campanhas distintas foram identificadas: | Campanha | Vítimas | Objetivo | |----------|---------|----------| | ShadyPanda | 5,6M | Vigilância de longo prazo + fraude de afiliados e-commerce | | Zoom Stealer | 2,2M | Inteligência corporativa via 28+ plataformas de videoconferência | | GhostPoster | 1,05M | Redes sociais e comunicação | **Técnica distintiva:** Extensões "bomba-relógio" — funcionam legitimamente por **anos** antes de ativar payload malicioso. Uma extensão ("New Tab – Customized Dashboard") esperou 3 dias pós-instalação antes de conectar ao C2 em infraestrutura Alibaba Cloud. **Ação:** Auditar extensões de navegador instaladas em endpoints corporativos. Implementar políticas de whitelist para extensões aprovadas. --- ### Ransomware: Gentlemen (Oltenia), TridentLocker (Sedgwick), Cl0p (Korean Air) O período de festas foi alvo de três operações de ransomware significativas: | Data | Alvo | Grupo | Setor | Impacto | |------|------|-------|-------|---------| | 2025-12-26 | Oltenia Energy Complex (Romênia) | [[gentlemen-ransomware\|Gentlemen]] | [[energy\|Energia]] | ERP, e-mail, website criptografados — 30% da eletricidade romena | | 2025-12-29 | Korean Air (via KC&D Service) | [[cl0p\|Cl0p]] | Aviação | 30.000 registros de funcionários via Oracle EBS zero-day | | 2025-12-31 | Sedgwick Government Solutions (EUA) | TridentLocker | [[government\|Governo]] | 3,4 GB exfiltrados — provedor de claims para DHS, ICE, CISA | O ataque ao **Oltenia Energy Complex** é particularmente relevante: o grupo [[gentlemen-ransomware|Gentlemen]], emergido em agosto de 2025, comprometeu infraestrutura crítica de energia durante o recesso de Natal — padrão tático de atacar quando equipes de resposta estão reduzidas. O **[[cl0p|Cl0p]]** continuou sua campanha de exploração de supply chain via [[cve-2025-61882|CVE-2025-61882]] (Oracle E-Business Suite zero-day), afetando Korean Air através de seu fornecedor KC&D Service. --- ### ESA (Agência Espacial Europeia) — Breach de 200 GB A **Agência Espacial Europeia (ESA)** confirmou em janeiro de 2026 um breach originado em dezembro de 2025, no qual o ator **"888"** exfiltrou **200 GB de dados** incluindo repositórios Bitbucket privados, código-fonte, configurações CI/CD, tokens de API, credenciais hardcoded e arquivos Terraform. O atacante manteve acesso por aproximadamente uma semana antes da detecção. A ESA declarou que apenas servidores externos foram impactados — mas o volume e a natureza dos dados (pipeline de CI/CD, credentials, infra-as-code) representam risco significativo de ataques secundários. O incidente reforça a criticidade de proteger ambientes de desenvolvimento e não apenas sistemas de produção. --- ## LATAM / Brasil > [!warning] Panorama Regional — Astaroth WhatsApp Eleva Nível de Ameaça Apesar do recesso de Ano Novo, o panorama de ameaças para LATAM não foi de calmaria total. A campanha **Boto Cor-de-Rosa** do [[astaroth|Astaroth]] com propagação via WhatsApp elevou o nível de ameaça regional para **Médio**, dado o potencial de propagação exponencial em um país com 150+ milhões de usuários da plataforma. ### Contexto para 2026 O cenário de ameaças projetado pelos vendors para LATAM em 2026 é moldado por fatores estruturais e tendências confirmadas: - **Ransomware escalando** — O Brasil encerrou 2025 entre os 5 países mais atacados por ransomware globalmente. A região LATAM apresenta crescimento médio de 25% ao ano em incidentes divulgados na última década - **WhatsApp como vetor** — A campanha Astaroth/Boto Cor-de-Rosa inaugura 2026 com worm via WhatsApp, explorando a onipresença da plataforma no Brasil - **PIX como alvo** — Fraudes via PIX acumularam R$ 130 milhões em perdas em 2025, com tendência de intensificação via banking trojans Android - **Banking trojans em evolução** — Operadores brasileiros investem em modularidade (Python + Delphi), evasão sofisticada e distribuição via canais confiáveis - **Hacktivismo crescente** — 119 ataques hacktivistas documentados em 15 países LATAM em 2025, Brasil liderando em volume ### Previsões dos Vendors para 2026 - **CrowdStrike**: breakout time médio caiu para 29 minutos (queda de 65% vs 2024); 82% dos ataques são malware-free - **Mandiant**: hand-off entre grupos em apenas 22 segundos; vishing subiu para 2º vetor de acesso inicial (11%) - **Kaspersky**: atores (APTs, hacktivistas, ransomware) devem intensificar operações em Ásia, Oriente Médio e **América Latina** - **FIRST**: projeção de 50.000+ CVEs para 2026 — recorde histórico --- ## Inteligência de Ameaças Estatais ### UAT-9686 (China) — Campanha Contra Gateways de E-mail Cisco O grupo **UAT-9686** (nexo China), identificado pela Cisco Talos, conduziu campanha sofisticada explorando o [[cve-2025-20393|CVE-2025-20393]] contra appliances Cisco Secure Email Gateway globalmente. O grupo implanta o backdoor **AquaShell** (Python) para persistência com acesso root, priorizando interceptação de comunicações corporativas. A exploração de gateways de e-mail como vetor de espionagem reflete a estratégia chinesa de 2025 de atacar infraestrutura de comunicações — consistente com as operações **Salt Typhoon** contra telecoms documentadas ao longo do ano anterior. ### APT41 / ShadowHammer — ASUS Live Update Supply Chain (Ativo) A CISA adicionou em 17 de dezembro o [[cve-2025-59374|CVE-2025-59374]] ao KEV, documentando formalmente a campanha **ShadowHammer** de supply chain via ASUS Live Update — originalmente executada em 2018-2019 pelo [[g0096-apt41|APT41]] (Brass Typhoon/Wicked Panda). A inclusão tardia no KEV indica que appliances comprometidos ainda estão em uso. A ASUS declarou end-of-support para o Live Update em dezembro de 2025, com prazo federal de remediação em 7 de janeiro de 2026. --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2025-20393\|CVE-2025-20393]] (Cisco AsyncOS) CVSS 10.0 | Patch imediato + auditar logs para AquaShell | | 🟥 P1 | [[cve-2025-40602\|CVE-2025-40602]] (SonicWall SMA1000) | Patch + restringir AMC a VPN/IPs admin | | 🟥 P1 | [[cve-2025-59374\|CVE-2025-59374]] (ASUS Live Update) **Prazo 07/01** | Descontinuar ASUS Live Update imediatamente | | 🟥 P1 | [[cve-2025-59718\|CVE-2025-59718]] (Fortinet Multiple Products) | Atualizar firmware — bypass de assinatura | | 🟧 P2 | Astaroth/Guildma — WhatsApp worm Brasil | Bloquear VBS + monitorar WhatsApp API anômala | | 🟧 P2 | DarkSpectre — extensões de navegador maliciosas | Auditar extensões + implementar whitelist | | 🟧 P2 | Gentlemen ransomware — infraestrutura energia | Reforçar defesas OT durante recesso | | 🟧 P2 | TridentLocker — Sedgwick Gov Solutions | Avaliar exposição de provedores gov terceirizados | | 🟧 P2 | [[cl0p\|Cl0p]] — Oracle E-Business Suite supply chain | Verificar versões Oracle EBS + patchear [[cve-2025-61882\|CVE-2025-61882]] | | 🟧 P2 | ESA breach — 200 GB código-fonte/credentials | Auditar segurança de ambientes CI/CD e repos privados | | 🟨 P3 | Retrospectivas 2025 — revisar lições aprendidas | Priorizar automação de patching + detecção identity-first | | 🟨 P3 | Kaspersky KSB 2026 — previsões LATAM escalada | Revisar postura contra banking trojans e hacktivismo | | 🟦 P4 | FIRST projeção 50.000+ CVEs 2026 | Avaliar capacidade de vulnerability management | --- ## Referências - [1] [Check Point Research — 5th January Threat Intelligence Report](https://research.checkpoint.com/2026/5th-january-threat-intelligence-report/) — 2026-01-05 - [2] [The Hacker News — WhatsApp Worm Spreads Astaroth Banking Trojan Across Brazil](https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html) — 2026-01-08 - [3] [Cisco Security Advisory — CVE-2025-20393 AsyncOS Zero-Day](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4) — 2025-12-17 - [4] [Arctic Wolf — CVE-2025-20393 Exploitation Analysis](https://arcticwolf.com/resources/blog/CVE-2025-20393/) — 2025-12-18 - [5] [Help Net Security — SonicWall CVE-2025-40602 Zero-Day Patched](https://www.helpnetsecurity.com/2025/12/17/sonicwall-CVE-2025-40602/) — 2025-12-17 - [6] [BleepingComputer — Romanian Energy Provider Hit by Gentlemen Ransomware](https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/) — 2026-01-02 - [7] [BleepingComputer — European Space Agency Confirms Breach](https://www.bleepingcomputer.com/news/security/european-space-agency-confirms-breach-of-external-servers/) — 2026-01-04 - [8] [SecurityWeek — Korean Air Data Compromised in Oracle EBS Hack](https://www.securityweek.com/korean-air-data-compromised-in-oracle-ebs-hack/) — 2025-12-29 - [9] [The Hacker News — CISA Flags ASUS Live Update Flaw CVE-2025-59374](https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html) — 2025-12-17 - [10] [The Hacker News — DarkSpectre Browser Extension Campaigns](https://thehackernews.com/2025/12/darkspectre-browser-extension-campaigns.html) — 2025-12-30 - [11] [CISA KEV — Known Exploited Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) — Acessado 2026-01-04 - [12] [CrowdStrike — 2026 Global Threat Report](https://www.crowdstrike.com/en-us/global-threat-report/) — 2026-01 --- *Próximo: [[2026-w02|W02]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]