2026-w03 - RunkIntel

# CTI Weekly - 2026-W03 > Período: 2026-01-12 a 2026-01-18 · Edição #3 · Atualizado em 2026-03-30 > Fontes primárias: Microsoft, The Hacker News, BleepingComputer, Cisco, Fortinet, Black Lotus Labs, Kaspersky, CISA. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **12-18 jan** | 🟧 **Médio** | **6+** | **4+** | **16+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-20393\|CVE-2025-20393]]** (Cisco AsyncOS) - CVSS 10.0, zero-day explorado por UAT-9686 (China-nexo), RCE como root | > | 🟥 P1 | **[[cve-2026-20805\|CVE-2026-20805]]** (Windows) - Ativamente explorada, corrigida no Patch Tuesday de janeiro (114 falhas) | > | 🟥 P1 | **[[cve-2026-23550\|CVE-2026-23550]]** (WordPress Modular DS) - CVSS 10.0, escalação de privilégios sem autenticação, 40.000+ sites | > | 🟧 P2 | **[[g0129-mustang-panda\|Mustang Panda]]** / LOTUSLITE - Spear phishing com tema Venezuela contra entidades de política dos EUA | > | 🟧 P2 | **AISURU/Kimwolf Botnet** - 2M+ dispositivos Android infectados, 550+ servidores C2 neutralizados | > | 🟧 P2 | **[[blackbasta\|Black Basta]]** - Líder russo adicionado à lista de mais procurados da UE e INTERPOL Red Notice | ```mermaid pie title Distribuição por Categoria - W03/2026 "Vulnerabilidades Críticas" : 6 "Ameaças Estatais (China)" : 3 "Malware/Botnets" : 4 "Supply Chain/Cloud" : 2 "Ransomware" : 1 ``` --- ## Sumário Executivo A semana W03/2026 foi dominada pelo **Patch Tuesday de janeiro da Microsoft**, que corrigiu **114 vulnerabilidades** — incluindo 8 críticas e uma ativamente explorada ([[cve-2026-20805|CVE-2026-20805]]). Este foi o terceiro maior Patch Tuesday de janeiro da história, atrás apenas de 2025 e 2022, sinalizando uma tendência de crescimento na superfície de ataque do ecossistema Windows. Paralelamente, a **Cisco** corrigiu o [[cve-2025-20393|CVE-2025-20393]] (CVSS 10.0), um zero-day no Secure Email Gateway explorado pelo grupo de acesso inicial **UAT-9686** (China-nexo) contra infraestrutura de email corporativo — um vetor de comprometimento com impacto direto em organizações brasileiras que utilizam a plataforma. No cenário de ameaças estatais, três operações com nexo na China convergiram na mesma semana: **UAT-9686** explorando Cisco AsyncOS, **UAT-8837** explorando zero-day no Sitecore contra infraestrutura crítica norte-americana, e **[[g0129-mustang-panda|Mustang Panda]]** implantando o backdoor **LOTUSLITE** via spear phishing com tema Venezuela. A escolha temática da Venezuela indica interesse ativo de inteligência chinesa na geopolítica latino-americana — relevante para organizações diplomáticas brasileiras. Na frente de botnets, o **Black Lotus Labs** (Lumen) neutralizou mais de 550 servidores de comando e controle da botnet **AISURU/Kimwolf**, que havia comprometido mais de 2 milhões de dispositivos Android — incluindo equipamentos de streaming com ADB exposto. O grupo **[[blackbasta|Black Basta]]** também sofreu golpe significativo com a identificação e adição de seu líder russo, Oleg Nefedov, à lista de mais procurados da UE e à Red Notice da INTERPOL. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-20393\|CVE-2025-20393]] | 10.0 | Cisco AsyncOS (Secure Email Gateway) | ✅ Ativa - UAT-9686 (China-nexo) | ✅ | **Patch imediato** | | [[cve-2026-20805\|CVE-2026-20805]] | Crítico | Microsoft Windows | ✅ Ativa | ✅ | **Patch Tuesday** | | [[cve-2026-23550\|CVE-2026-23550]] | 10.0 | WordPress Modular DS Plugin | ✅ Ativa - 40.000+ sites | ❌ | **Atualizar para 2.5.2+** | | [[cve-2025-64155\|CVE-2025-64155]] | 9.4 | Fortinet FortiSIEM | ⚠️ Não confirmada | ❌ | **Patch imediato** | | [[cve-2025-12420\|CVE-2025-12420]] | 9.3 | ServiceNow AI Platform | ⚠️ Não confirmada | ❌ | Verificar patch (out 2025) | | [[cve-2025-62507\|CVE-2025-62507]] | 8.8 | Redis 8.2+ | ⚠️ Não confirmada | ❌ | Atualizar para 8.3.2+ | --- ### CVE em Destaque: [[cve-2025-20393|CVE-2025-20393]] — Cisco AsyncOS RCE (CVSS 10.0) O [[cve-2025-20393|CVE-2025-20393]] é uma vulnerabilidade de **execução remota de código com privilégios root** no Cisco AsyncOS, afetando o **Secure Email Gateway** e o **Secure Email and Web Manager**. A falha reside na validação insuficiente de requisições HTTP pelo recurso de **Spam Quarantine**, permitindo que um atacante não autenticado execute comandos arbitrários no sistema operacional subjacente. **Por que é urgente:** - **CVSS 10.0** — pontuação máxima: vetor de rede, sem autenticação, sem interação do usuário - **Zero-day explorado por UAT-9686** — grupo de acesso inicial com nexo na China, confirmado por pesquisadores - **Impacto em email corporativo** — o Secure Email Gateway processa e filtra todo o tráfego de email de uma organização; comprometimento permite interceptação, manipulação e persistência **Impacto para o Brasil e LATAM:** O Cisco Secure Email Gateway é amplamente utilizado por grandes corporações, instituições [[financial|financeiras]] e órgãos de [[government|governo]] no Brasil. Um gateway comprometido oferece ao atacante posição privilegiada para interceptar comunicações corporativas, coletar credenciais, e usar a infraestrutura de email como pivô para movimentação lateral. O setor [[financial|financeiro]] brasileiro — que depende fortemente de comunicações por email para operações regulatórias — é particularmente exposto. **Mitigação imediata:** 1. Aplicar patch Cisco imediatamente em todas as instâncias de Secure Email Gateway 2. Verificar logs do Spam Quarantine para requisições HTTP anômalas 3. Monitorar processos com privilégios elevados originados do serviço AsyncOS 4. Isolar instâncias não patcheadas da internet até aplicação do fix > [!danger] Ação Imediata > Aplicar o patch Cisco para AsyncOS. A exploração é pré-autenticação e resulta em execução como root. Organizações que não podem aplicar o patch devem desabilitar o recurso de Spam Quarantine como medida temporária e restringir acesso à interface web por ACL. --- ### [[cve-2026-23550|CVE-2026-23550]] — WordPress Modular DS: CVSS 10.0 com 40.000+ Sites Expostos O [[cve-2026-23550|CVE-2026-23550]] é uma vulnerabilidade de **escalação de privilégios sem autenticação** no plugin WordPress **Modular DS** (versões anteriores a 2.5.2), com mais de **40.000 instalações ativas**. A falha permite que um atacante não autenticado obtenha acesso administrativo completo ao WordPress. **Mecanismo:** Um atacante envia uma requisição HTTP especialmente crafted ao endpoint vulnerável do plugin, explorando falha na verificação de permissões. O resultado é acesso administrativo completo ao painel WordPress, permitindo upload de webshells, defacement, injeção de malware em páginas, e comprometimento de dados de usuários. **Para o Brasil e LATAM:** WordPress é a plataforma CMS mais utilizada em sites governamentais, institucionais e de e-commerce na região. A exploração ativa em massa contra 40.000+ sites representa risco de defacement e comprometimento de dados em escala. Sites de [[government|governo]] e [[healthcare|saúde]] que utilizam o plugin são os mais expostos. **Mitigação:** Atualizar imediatamente para versão 2.5.2 ou superior. Auditar logs de acesso administrativo para atividade não autorizada. Se não for possível atualizar, desativar o plugin. --- ## Campanhas e Threat Actors ### Operações China-Nexo: Três Campanhas Convergentes A semana W03/2026 registrou convergência incomum de **três operações de acesso inicial** com nexo na China, cada uma explorando vetores distintos: #### UAT-9686 — Exploração de Cisco AsyncOS Zero-Day O grupo **UAT-9686** explorou o [[cve-2025-20393|CVE-2025-20393]] contra instâncias de Cisco Secure Email Gateway. O foco em infraestrutura de email corporativo indica objetivo de **coleta de inteligência** — interceptação de comunicações estratégicas e coleta de credenciais para acesso a redes internas. TTPs observados: - [[t1190-exploit-public-facing-application|T1190]] — Exploração de aplicação exposta à internet - [[t1059-004-unix-shell|T1059.004]] — Execução via shell Unix (pós-exploração como root) #### UAT-8837 — Zero-Day em Sitecore contra Infraestrutura Crítica O grupo **UAT-8837** explorou um zero-day no **Sitecore** (CMS enterprise) para acesso inicial a organizações de infraestrutura crítica na América do Norte. Após o acesso, o grupo implantou ferramentas open-source para coleta de credenciais e movimentação lateral. TTPs observados: - [[t1190-exploit-public-facing-application|T1190]] — Exploração de CMS exposto - [[t1003-os-credential-dumping|T1003]] — Dumping de credenciais pós-comprometimento #### [[g0129-mustang-panda|Mustang Panda]] — LOTUSLITE via Spear Phishing com Tema Venezuela O grupo [[g0129-mustang-panda|Mustang Panda]] (APT chinês ativo desde pelo menos 2012) implantou o backdoor **LOTUSLITE** contra entidades de política e governo dos EUA utilizando spear phishing com **tema Venezuela**. A cadeia de infecção utiliza **DLL side-loading** — técnica característica do grupo. **Relevância para LATAM:** A escolha de Venezuela como tema de engenharia social indica interesse ativo de inteligência chinesa na geopolítica latino-americana. Organizações diplomáticas brasileiras, think tanks de política externa e entidades com relações na América do Sul devem elevar a vigilância contra campanhas similares. TTPs observados: - [[t1566-001-spearphishing-attachment|T1566.001]] — Spearphishing Attachment com tema geopolítico - [[t1574-002-dll-side-loading|T1574.002]] — DLL Side-Loading (técnica signature do Mustang Panda) - [[t1071-001-web-protocols|T1071.001]] — C2 via protocolos web > [!warning] Convergência China-Nexo > Três grupos de acesso inicial com nexo na China operando simultaneamente em uma única semana é um padrão relevante. O foco em infraestrutura de email (Cisco), CMS enterprise (Sitecore) e engenharia social com tema LATAM (Venezuela) sugere operações coordenadas de coleta de inteligência com alvos diversificados. --- ### [[blackbasta|Black Basta]] — Líder Identificado e Adicionado à Lista de Mais Procurados Em 17 de janeiro, autoridades da Ucrânia e Alemanha confirmaram a identificação de **Oleg Evgenievich Nefedov** (russo, 35 anos) como líder da operação de ransomware-as-a-service **[[blackbasta|Black Basta]]**. Nefedov foi adicionado à **lista de mais procurados da UE** e recebeu uma **Red Notice da INTERPOL**. Duas associados ucranianos foram identificados como especialistas em **extração de credenciais** para o grupo. A ação representa um golpe significativo contra a estrutura de comando do [[blackbasta|Black Basta]], embora a operação provavelmente continue sob nova liderança — padrão observado em takedowns anteriores de grupos RaaS. **Para o Brasil:** O [[blackbasta|Black Basta]] tem histórico de ataques contra organizações brasileiras e latino-americanas. A identificação do líder pode causar turbulência operacional temporária no grupo, mas afiliados podem migrar para outras plataformas RaaS ([[lockbit|LockBit]], [[qilin|Qilin]], [[g1024-akira|Akira]]). --- ## LATAM / Brasil > [!info] Panorama Regional ### Impacto Direto: Cisco AsyncOS e Setor Financeiro Brasileiro O [[cve-2025-20393|CVE-2025-20393]] no Cisco Secure Email Gateway tem impacto direto e imediato no Brasil: - **Bancos e instituições [[financial|financeiras]]** — os maiores bancos brasileiros utilizam Cisco para filtragem de email corporativo; um gateway comprometido permite interceptação de comunicações regulatórias (BACEN, CVM) e credenciais de funcionários - **Órgãos de [[government|governo]]** — ministérios e autarquias federais com infraestrutura Cisco devem priorizar o patch - **Telecomunicações** — operadoras que oferecem serviços de email gerenciado com Cisco AsyncOS são ponto de falha para seus clientes ### WordPress no Ecossistema Brasileiro O [[cve-2026-23550|CVE-2026-23550]] (WordPress Modular DS) afeta o ecossistema web brasileiro de forma desproporcional: - **Prefeituras e câmaras municipais** frequentemente utilizam WordPress com plugins vulneráveis - **E-commerce brasileiro** — sites de pequeno e médio porte no WordPress são alvos de web skimming e defacement - **Universidades públicas** com portais WordPress devem auditar plugins instalados ### Mustang Panda e a Geopolítica LATAM O uso de tema Venezuela pelo [[g0129-mustang-panda|Mustang Panda]] é significativo para o Brasil: - **Itamaraty e embaixadas** com relações Venezuela/BRICS podem ser alvos secundários - **Think tanks de política externa** e organizações multilaterais sediadas no Brasil devem monitorar phishing com temas geopolíticos - O padrão de DLL side-loading do Mustang Panda é consistente e detectável — equipes de SOC podem criar regras específicas ### AISURU/Kimwolf Botnet e Dispositivos Android no Brasil A botnet AISURU/Kimwolf, com **2 milhões+ de dispositivos Android infectados** (incluindo TV boxes e equipamentos de streaming com ADB exposto), é relevante para o Brasil — mercado com alta penetração de **TV boxes Android não certificadas pela Anatel**, frequentemente com ADB habilitado por padrão. A neutralização de 550+ servidores C2 pelo Black Lotus Labs é positiva, mas o volume de dispositivos comprometidos sugere que a ameaça persiste. --- ## Malware e Ameaças Emergentes ### GootLoader — Nova Técnica de Evasão com ZIP Concatenados O **GootLoader** (loader JavaScript ativo desde 2020) adotou nova técnica de evasão: **500 a 1.000 arquivos ZIP concatenados** em um único arquivo. A técnica explora o fato de que o descompactador nativo do Windows processa apenas o último arquivo da cadeia, enquanto ferramentas como WinRAR e 7-Zip exibem apenas o primeiro — criando discrepância que dificulta análise automatizada e manual. ### VoidLink — Malware Linux Avançado para Ambientes Cloud O **VoidLink** (descoberto em dezembro de 2025) é um framework modular avançado para Linux com arquitetura baseada em **Plugin API customizada**, projetado para acesso persistente e furtivo a **ambientes cloud e containers**. Inclui loaders customizados, implants e rootkits. A modularidade permite que operadores adaptem o payload ao ambiente-alvo — desde Kubernetes até VMs tradicionais. **Para o Brasil:** Organizações migrando para cloud (AWS, Azure, GCP) e adotando containers devem incluir detecção de rootkits Linux e monitoramento de processos anômalos no escopo de segurança cloud-native. ### c-ares DLL Side-Loading — Cadeia de Distribuição Multi-Malware Múltiplos grupos criminosos foram observados abusando da biblioteca **c-ares** (resolução DNS assíncrona) para DLL side-loading, utilizando o binário legítimo `ahost.exe` com uma `libcares-2.dll` maliciosa. A cadeia distribui: [[remcos-rat|Remcos RAT]], Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Quasar RAT, DCRat e XWorm. Os alvos primários são profissionais de finanças, procurement e supply chain. --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2025-20393\|CVE-2025-20393]] (Cisco AsyncOS) CVSS 10.0 | Patch imediato + auditar logs Spam Quarantine | | 🟥 P1 | [[cve-2026-20805\|CVE-2026-20805]] (Windows) Patch Tuesday | Aplicar KB de janeiro em todos os endpoints | | 🟥 P1 | [[cve-2026-23550\|CVE-2026-23550]] (WordPress Modular DS) CVSS 10.0 | Atualizar plugin para 2.5.2+ ou desativar | | 🟧 P2 | [[cve-2025-64155\|CVE-2025-64155]] (FortiSIEM) CVSS 9.4 | Patchear FortiSIEM 6.7-7.3 imediatamente | | 🟧 P2 | [[g0129-mustang-panda\|Mustang Panda]] / LOTUSLITE (phishing Venezuela) | Monitorar DLL side-loading + phishing geopolítico | | 🟧 P2 | UAT-9686 / UAT-8837 (China-nexo) | Auditar Sitecore e Cisco SEG expostos | | 🟧 P2 | [[cve-2025-12420\|CVE-2025-12420]] (ServiceNow AI Platform) CVSS 9.3 | Verificar aplicação do patch de outubro 2025 | | 🟧 P2 | AISURU/Kimwolf Botnet (2M+ Android) | Bloquear ADB em dispositivos corporativos | | 🟧 P2 | [[blackbasta\|Black Basta]] — líder identificado | Monitorar migração de afiliados para outros RaaS | | 🟨 P3 | GootLoader (ZIP concatenados) | Atualizar regras de detecção de arquivos ZIP | | 🟨 P3 | VoidLink (Linux cloud malware) | Auditar containers e VMs Linux por rootkits | | 🟨 P3 | c-ares DLL side-loading (multi-malware) | Monitorar `ahost.exe` + `libcares-2.dll` anômalo | | 🟨 P3 | [[cve-2025-62507\|CVE-2025-62507]] (Redis) CVSS 8.8 | Atualizar Redis para 8.3.2+ | | 🟨 P3 | Reprompt Attack (Microsoft Copilot) | Revisar políticas de DLP para AI assistants | | 🟦 P4 | Extensões Chrome maliciosas (Workday, NetSuite) | Auditar extensões instaladas via políticas GPO | | 🟦 P4 | Web skimming (Magecart) — campanha desde 2022 | Monitorar scripts de terceiros em páginas de checkout | --- ## Referências da Semana - [1] [The Hacker News - Microsoft Fixes 114 Windows Flaws, One Actively Exploited](https://thehackernews.com) - 2026-01-14 - [2] [The Hacker News - Cisco Patches Zero-Day RCE in AsyncOS [[cve-2025-20393|CVE-2025-20393]]](https://thehackernews.com) - 2026-01-16 - [3] [The Hacker News - Critical WordPress Modular DS Plugin Flaw [[cve-2026-23550|CVE-2026-23550]]](https://thehackernews.com) - 2026-01-15 - [4] [Fortinet - FortiSIEM Advisory FG-IR-2025-64155](https://www.fortiguard.com) - 2026-01-14 - [5] [The Hacker News - LOTUSLITE Backdoor Attributed to Mustang Panda](https://thehackernews.com) - 2026-01-16 - [6] [The Hacker News - China-Linked UAT-8837 Exploited Sitecore Zero-Day](https://thehackernews.com) - 2026-01-16 - [7] [The Hacker News - Researchers Null-Route 550+ AISURU/Kimwolf Botnet C2 Servers](https://thehackernews.com) - 2026-01-14 - [8] [The Hacker News - Black Basta Ransomware Leader Added to EU Most Wanted](https://thehackernews.com) - 2026-01-17 - [9] [ServiceNow - Patch Advisory [[cve-2025-12420|CVE-2025-12420]]](https://support.servicenow.com) - 2026-01-13 - [10] [The Hacker News - GootLoader Uses Concatenated ZIP Archives](https://thehackernews.com) - 2026-01-16 - [11] [The Hacker News - New VoidLink Linux Malware Targets Cloud Environments](https://thehackernews.com) - 2026-01-13 - [12] [The Hacker News - DLL Side-Loading via c-ares Library](https://thehackernews.com) - 2026-01-14 - [13] [The Hacker News - Reprompt Attack Against Microsoft Copilot](https://thehackernews.com) - 2026-01-15 - [14] [The Hacker News - Five Malicious Chrome Extensions Target Enterprise Users](https://thehackernews.com) - 2026-01-16 - [15] [The Hacker News - Web Skimming Campaign Active Since 2022](https://thehackernews.com) - 2026-01-13 - [16] [The Hacker News - Redis Vulnerability [[cve-2025-62507|CVE-2025-62507]]](https://thehackernews.com) - 2026-01-15 --- *Próximo: [[2026-w04|W04]] · Anterior: [[2026-w02|W02]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]