2026-w02 - RunkIntel

# CTI Weekly - 2026-W02 > Período: 2026-01-05 a 2026-01-11 · Edição #2 · Atualizado em 2026-03-30 > Fontes primárias: The Hacker News, CISA KEV, Kaspersky, FIRST, Dark Reading, SANS ISC, BleepingComputer, Securelist. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **05-11 jan** | 🟧 **Médio** | **8+** | **5+** | **12+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-37164\|CVE-2025-37164]]** (HPE OneView) - CVSS 10.0, RCE pré-auth, adicionado ao CISA KEV | > | 🟥 P1 | **[[cve-2026-21858\|CVE-2026-21858]]** + **[[cve-2026-21877\|CVE-2026-21877]]** (n8n) - CVSS 10.0 ambos, RCE em plataforma de automação | > | 🟧 P2 | **[[astaroth\|Astaroth]]** "Boto Cor-de-Rosa" - worm bancário via WhatsApp, propagação automática no Brasil | > | 🟧 P2 | **[[kimsuky\|Kimsuky]]** - campanha "Quishing" com QR codes maliciosos contra think tanks e governo dos EUA | > | 🟧 P2 | **[[muddywater\|MuddyWater]]** - novo RAT **RustyWater** (Rust) contra entidades diplomáticas e telecom no Oriente Médio | > | 🟧 P2 | **Supply chain npm** - NodeCordRAT escondido em pacotes bitcoin, 3.400+ downloads | ```mermaid pie title Distribuição por Categoria - W02/2026 "Vulnerabilidades Críticas" : 8 "Ameaças LATAM/Brasil" : 3 "Supply Chain" : 2 "Inteligência Estatal" : 4 "Fraude/Crime Organizado" : 2 ``` --- ## Sumário Executivo A segunda semana de 2026 marcou o retorno das operações normais após o período de festas, com uma explosão de vulnerabilidades críticas em plataformas de automação e infraestrutura. Três CVEs com **CVSS 10.0** foram divulgados na plataforma **[[n8n\|n8n]]** (automação de workflows) e três adicionais no **[[coolify\|Coolify]]** (self-hosting), expondo organizações que adotam ferramentas open-source sem hardening adequado. O [[cve-2025-37164\|CVE-2025-37164]] no **HPE OneView** foi adicionado ao catálogo CISA KEV, confirmando exploração ativa contra infraestrutura de gerenciamento de servidores — risco direto para data centers corporativos no Brasil e LATAM. No cenário de ameaças estatais, quatro grupos APT demonstraram operações ativas simultaneamente: **[[kimsuky\|Kimsuky]]** (Coreia do Norte) introduziu técnica de "quishing" com QR codes maliciosos para forçar vítimas a dispositivos móveis desprotegidos; **[[muddywater\|MuddyWater]]** (Irã) revelou o **RustyWater**, RAT escrito em Rust com capacidades modulares avançadas; **[[g0007-apt28\|APT28]]** (Rússia) conduziu coleta de credenciais contra agências de energia nuclear turcas e think tanks europeus; e **UAT-7290** (China) construiu infraestrutura ORB para espionagem contra telecoms na Ásia e Europa. Para o Brasil, o destaque crítico foi a campanha **"Boto Cor-de-Rosa"** do banking trojan [[astaroth\|Astaroth]] (Guildma) — que adicionou um módulo worm em Python capaz de sequestrar a lista de contatos do WhatsApp e enviar mensagens maliciosas automaticamente para todos os contatos da vítima. Dado que o WhatsApp é o principal canal de comunicação de ~170 milhões de brasileiros, o potencial de propagação exponencial é alarmante. Paralelamente, a [[FIRST]] publicou projeções de mais de **50.000 CVEs** para 2026 — um recorde absoluto que exige automação urgente em processos de triagem de vulnerabilidades. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-37164\|CVE-2025-37164]] | 10.0 | HPE OneView (< 11.00) | ✅ Ativa | ✅ | **Patch imediato** | | [[cve-2026-21858\|CVE-2026-21858]] | 10.0 | n8n (automação workflows) | ⚠️ Não confirmada | ❌ | Atualizar para 1.121.3 | | [[cve-2026-21877\|CVE-2026-21877]] | 10.0 | n8n (≥0.123.0 <1.121.3) | ⚠️ Não confirmada | ❌ | Atualizar para 1.121.3 | | [[cve-2025-66209\|CVE-2025-66209]] | 10.0 | Coolify (backup DB) | ⚠️ Não confirmada | ❌ | Atualizar + isolar | | [[cve-2025-66210\|CVE-2025-66210]] | 10.0 | Coolify (import DB) | ⚠️ Não confirmada | ❌ | Atualizar + isolar | | [[cve-2025-66211\|CVE-2025-66211]] | 10.0 | Coolify (PostgreSQL init) | ⚠️ Não confirmada | ❌ | Atualizar + isolar | | [[cve-2025-69258\|CVE-2025-69258]] | 9.8 | Trend Micro Apex Central | ⚠️ Não confirmada | ❌ | Patch planejado | | [[cve-2026-20029\|CVE-2026-20029]] | 4.9 | Cisco ISE/ISE-PIC | ⚠️ Não confirmada | ❌ | Monitorar advisory | --- ### CVE em Destaque: [[cve-2025-37164|CVE-2025-37164]] — HPE OneView RCE Pré-Autenticado O [[cve-2025-37164\|CVE-2025-37164]] é uma falha crítica de **execução remota de código sem autenticação** no **HPE OneView** — plataforma de gerenciamento convergente usada por data centers corporativos para administrar servidores ProLiant, storage e redes. **Por que é urgente:** - **CVSS 10.0** — vetor de rede, sem autenticação, sem interação do usuário - **CISA KEV** — adicionado ao catálogo com exploração ativa confirmada - **Todas as versões anteriores à 11.00** são afetadas - Superfície de ataque ampla: qualquer instância exposta à rede é exploitável **Impacto:** Um atacante que explore com sucesso pode obter controle total do servidor OneView, acessar credenciais de gerenciamento de toda a infraestrutura de servidores, storage e switches gerenciados pela plataforma, e usá-lo como pivô para movimentação lateral em todo o data center. **Para o Brasil e LATAM:** HPE OneView é amplamente utilizado em data centers de grandes corporações nos setores [[financial\|financeiro]], [[government\|governo]] e [[telecom\|Telecom]]. Uma instância comprometida oferece acesso privilegiado a toda a infraestrutura física do ambiente — servidores, storage arrays e switches de rede. **Mitigação imediata:** 1. Atualizar para HPE OneView 11.00 ou superior 2. Restringir acesso de rede ao console OneView (VPN/segmentação) 3. Auditar logs de acesso à API REST do OneView 4. Rotacionar credenciais de gerenciamento se houver suspeita de comprometimento --- ### [[cve-2026-21858|CVE-2026-21858]] + [[cve-2026-21877|CVE-2026-21877]] — n8n: Duplo CVSS 10.0 em Plataforma de Automação A plataforma **[[n8n\|n8n]]** — ferramenta open-source de automação de workflows amplamente adotada por equipes de DevOps e operações no Brasil — foi afetada por duas vulnerabilidades de severidade máxima: - **[[cve-2026-21858\|CVE-2026-21858]]** (CVSS 10.0): acesso não autenticado a arquivos via workflows baseados em formulários — permite a um atacante ler arquivos arbitrários do servidor sem credenciais - **[[cve-2026-21877\|CVE-2026-21877]]** (CVSS 10.0): execução remota de código autenticado em versões ≥0.123.0 <1.121.3 A combinação das duas falhas é devastadora: a primeira permite extrair credenciais e tokens do sistema de arquivos, e a segunda permite executar código arbitrário com essas credenciais. Instâncias n8n expostas à internet são imediatamente exploitáveis. **Mitigação:** Atualizar para n8n 1.121.3 imediatamente. Restringir acesso por IP/VPN. Auditar workflows que utilizam formulários públicos. --- ## Ameaças Regionais LATAM ### Astaroth "Boto Cor-de-Rosa" — Worm Bancário via WhatsApp no Brasil O banking trojan [[astaroth\|Astaroth]] (também conhecido como Guildma) — uma das famílias de malware mais persistentes do ecossistema brasileiro — lançou a campanha **"Boto Cor-de-Rosa"** com uma evolução técnica significativa: um **módulo worm escrito em Python** que sequestra a lista de contatos do WhatsApp da vítima e envia mensagens maliciosas automaticamente para todos os contatos. **Cadeia de infecção:** - Mensagem WhatsApp maliciosa → link para download → Astaroth (Delphi) → módulo worm Python → exfiltração de contatos WhatsApp → propagação automática para todos os contatos **Por que importa para o Brasil:** O WhatsApp é o principal canal de comunicação de ~170 milhões de brasileiros. A propagação via contatos reais aumenta dramaticamente a taxa de clique — a vítima recebe o link de um contato de confiança. O vetor é especialmente eficaz contra o setor [[financial\|financeiro]], onde funcionários e clientes usam WhatsApp como canal de atendimento. **Detecção e Mitigação:** 1. Monitorar tráfego de rede para C2 conhecido do Astaroth 2. Alertar equipes sobre links suspeitos recebidos via WhatsApp — mesmo de contatos conhecidos 3. Implementar EDR com capacidade de detecção de processos Python anômalos 4. Bloquear execução de scripts Python não autorizados em estações de trabalho --- ### Cenário Regulatório — Início de 2026 O início de 2026 traz mudanças regulatórias relevantes para o Brasil: - **[[lgpd\|LGPD]]** — A ANPD anunciou foco em fiscalização ativa (não apenas reativa) em 2026, com sanções proporcionais ao faturamento - **[[bacen\|BACEN]]** — Novas exigências para o [[financial\|setor financeiro]] incluem testes de resiliência cibernética e planos de resposta a incidentes atualizados - **Marco Civil da Internet** — Discussões sobre atualização para contemplar ameaças de IA generativa --- ## Campanhas e Threat Actors ### [[kimsuky\|Kimsuky]] — "Quishing" com QR Codes Maliciosos O grupo norte-coreano [[kimsuky\|Kimsuky]] (APT43, Black Banshee, Emerald Sleet, Velvet Chollima) introduziu técnica de **"quishing"** — QR codes maliciosos embutidos em emails de spear-phishing — contra think tanks, instituições acadêmicas e entidades governamentais dos EUA. A estratégia é sofisticada: o QR code **força a vítima a migrar de uma máquina corporativa protegida para um dispositivo móvel pessoal** — geralmente sem EDR, sem proxy corporativo e sem MFA de hardware. Uma vez no dispositivo móvel, o payload captura credenciais e tokens de sessão. **Técnicas:** [[t1566-001-spearphishing-attachment\|T1566.001 - Spearphishing Attachment]], [[t1204-002-malicious-file\|T1204.002 - Malicious File]] --- ### [[muddywater\|MuddyWater]] — RustyWater RAT (Rust) O grupo iraniano [[muddywater\|MuddyWater]] (Mango Sandstorm) revelou evolução técnica significativa com o **RustyWater** — um novo RAT escrito em Rust com capacidades assíncronas de C2, anti-análise, persistência via registro e expansão modular pós-compromisso. **Alvos:** Entidades diplomáticas, marítimas, financeiras e de [[telecom\|Telecom]] no Oriente Médio. A mudança para Rust indica profissionalização do grupo — reduzindo dependência de ferramentas legítimas de acesso remoto (como o Atera e ScreenConnect que usavam anteriormente) para um implante proprietário mais difícil de detectar. --- ### [[g0007-apt28\|APT28]] — Coleta de Credenciais em Energia Nuclear O [[g0007-apt28\|APT28]] (BlueDelta / GRU) conduziu campanha de coleta de credenciais com lures em turco, direcionada a **agências de energia e nuclear da Turquia**, think tanks europeus, governo da Macedônia do Norte e Uzbequistão. O foco em infraestrutura nuclear reforça a prioridade estratégica do grupo em alvos de inteligência militar e energética. --- ### UAT-7290 (China-nexo) — Espionagem Telecom e Construção de Infraestrutura ORB O grupo **UAT-7290**, ativo desde 2022, expandiu operações de espionagem contra telecoms no **Sul da Ásia e Sudeste da Europa** utilizando os malware **RushDrop**, **DriveSwitch** e **SilentRaid**. O diferencial operacional é a construção de nós **ORB (Operational Relay Box)** — infraestrutura de proxy que serve como trampolim para outros grupos chineses, indicando coordenação entre múltiplos atores estatais. --- ## Supply Chain e Outros Eventos ### NodeCordRAT — Supply Chain npm via Pacotes Bitcoin Três pacotes npm maliciosos com temática de bitcoin foram identificados distribuindo o **NodeCordRAT** — um RAT com capacidade de roubo de credenciais do Chrome e tokens de API: | Pacote | Downloads | |--------|-----------| | `bitcoin-main-lib` | 2.300 | | `bitcoin-lib-js` | 193 | | `bip40` | 970 | O C2 opera via servidores Discord, dificultando a detecção por firewalls tradicionais que permitem tráfego Discord. Autor registrado como "wenmoonx". **Ação:** Verificar `npm ls` em projetos Node.js. Remover imediatamente se encontrado. Rotacionar credenciais Chrome e tokens de API. ### CISA Encerra 10 Diretivas de Emergência (2019-2024) A CISA encerrou formalmente **10 diretivas de emergência** emitidas entre 2019 e 2024, incluindo as de **SolarWinds**, **Microsoft Exchange** e **comprometimento de email corporativo Microsoft**. O encerramento indica que as organizações federais dos EUA mitigaram suficientemente estas ameaças — mas as lições operacionais permanecem relevantes. ### Black Axe — Prisões na Espanha A Europol coordenou a prisão de **34 membros** da organização criminosa **Black Axe** na Espanha (Sevilha, Madri, Málaga, Barcelona), responsável por **€5,93 milhões** em fraudes cibernéticas. O grupo operava um modelo integrado de crime cibernético, tráfico de drogas e tráfico humano. --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2025-37164\|CVE-2025-37164]] (HPE OneView) - KEV ativo | **Patch imediato** para v11.00+ | | 🟥 P1 | [[cve-2026-21858\|CVE-2026-21858]] + [[cve-2026-21877\|CVE-2026-21877]] (n8n) CVSS 10.0 | Atualizar para 1.121.3 + restringir acesso | | 🟥 P1 | [[cve-2025-66209\|CVE-2025-66209]]/66210/66211 (Coolify) CVSS 10.0 ×3 | Atualizar + isolar instâncias de internet | | 🟧 P2 | [[astaroth\|Astaroth]] "Boto Cor-de-Rosa" - worm WhatsApp Brasil | Alertar equipes + monitorar C2 + bloquear Python não autorizado | | 🟧 P2 | [[cve-2025-69258\|CVE-2025-69258]] (Trend Micro Apex Central) CVSS 9.8 | Aplicar patch Trend Micro | | 🟧 P2 | [[kimsuky\|Kimsuky]] Quishing - QR codes em spear-phishing | Treinar equipes sobre QR codes maliciosos + MFA FIDO2 | | 🟧 P2 | [[muddywater\|MuddyWater]] RustyWater RAT | Monitorar IOCs + auditar conexões Rust-based suspeitas | | 🟧 P2 | NodeCordRAT npm supply chain (bitcoin-main-lib) | Auditar `npm ls` + remover pacotes + rotacionar tokens | | 🟨 P3 | [[g0007-apt28\|APT28]] coleta credenciais energia/nuclear | Revisar defesas contra spearphishing em organizações de energia | | 🟨 P3 | UAT-7290 espionagem telecom (ORB nodes) | Auditar tráfego de proxy em operadoras telecom | | 🟨 P3 | [[cve-2026-20029\|CVE-2026-20029]] (Cisco ISE) | Planejar atualização | | 🟦 P4 | FIRST projeta 50.000+ CVEs para 2026 | Adotar EPSS + automação de triagem de vulnerabilidades | | 🟦 P4 | LGPD — ANPD anuncia fiscalização ativa | Revisar programa de privacidade e conformidade | --- ## Referências - [1] [The Hacker News - Kimsuky Quishing Campaign](https://thehackernews.com/2026/01/kimsuky-quishing-qr-codes.html) - 2026-01-07 - [2] [The Hacker News - Astaroth "Boto Cor-de-Rosa" WhatsApp Worm](https://thehackernews.com/2026/01/astaroth-banking-trojan-whatsapp.html) - 2026-01-06 - [3] [The Hacker News - MuddyWater RustyWater RAT](https://thehackernews.com/2026/01/muddywater-rustywater-rat.html) - 2026-01-08 - [4] [The Hacker News - n8n Critical Vulnerabilities CVE-2026-21858/21877](https://thehackernews.com/2026/01/n8n-workflow-automation-critical-flaws.html) - 2026-01-09 - [5] [The Hacker News - Coolify Triple CVSS 10.0](https://thehackernews.com/2026/01/coolify-command-injection.html) - 2026-01-08 - [6] [CISA KEV - CVE-2025-37164 HPE OneView adicionado](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-01-07 - [7] [The Hacker News - UAT-7290 Telecom Espionage](https://thehackernews.com/2026/01/uat-7290-china-telecom-espionage.html) - 2026-01-06 - [8] [The Hacker News - NodeCordRAT npm Supply Chain](https://thehackernews.com/2026/01/nodecordrat-npm-bitcoin-packages.html) - 2026-01-10 - [9] [FIRST - CVE Forecast 2026: 50,000+ Vulnerabilities Projected](https://www.first.org/blog/20260106-cve-forecast-2026) - 2026-01-06 - [10] [The Hacker News - APT28 Turkish Energy Nuclear Credential Harvesting](https://thehackernews.com/2026/01/apt28-turkey-energy-nuclear.html) - 2026-01-09 - [11] [Europol - Black Axe Arrests Spain](https://www.europol.europa.eu/media-press/newsroom/news/2026-01-08-black-axe) - 2026-01-08 - [12] [Trend Micro Advisory - CVE-2025-69258 Apex Central](https://success.trendmicro.com/en-US/solution/000296933) - 2026-01-07 --- *Próximo: [[2026-w03|W03]] · Anterior: [[2026-w01|W01]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]