2026-w05 - RunkIntel

# CTI Weekly - 2026-W05 > Período: 2026-01-26 a 2026-02-01 · Edição #5 · Atualizado em 2026-03-30 > Fontes primárias: CISA KEV, Zscaler ThreatLabz, The Hacker News, BleepingComputer, NVD, Red Piranha, SOCRadar, Kaspersky, Acronis TRU, Cisco, SecurityWeek. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **26 jan - 01 fev** | 🟧 **Médio-Alto** | **9+** | **4+** | **18+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-34026\|CVE-2025-34026]]** (Versa Concerto SD-WAN) - KEV 22/01, CVSS 9.2, auth bypass com exploração ativa | > | 🟥 P1 | **[[cve-2025-68645\|CVE-2025-68645]]** (Zimbra) - KEV 22/01, RFI ativa desde 14/01, risco para governo BR | > | 🟥 P1 | **[[cve-2026-20045\|CVE-2026-20045]]** (Cisco Unified CM) - zero-day RCE, 30M usuários expostos, KEV 26/01 | > | 🟧 P2 | **[[g0134-transparent-tribe\|APT36]]** - campanhas Gopher Strike + Sheet Attack com C2 via Google Sheets e GitHub | > | 🟧 P2 | **[[astaroth\|Astaroth/Guildma]]** - worm via WhatsApp ativo no Brasil, autopropagação por contatos | > | 🟧 P2 | **[[ransomhub\|RansomHub]]** vs Luxshare - 1TB+ de dados Apple/Nvidia exfiltrados, supply chain | > | 🟧 P2 | **WorldLeaks** vs Nike - 1,4TB exfiltrados, rebrand de Hunters International | ```mermaid pie title Distribuição por Categoria - W05/2026 "Vulnerabilidades Críticas" : 9 "Ameaças LATAM/Brasil" : 3 "Supply Chain" : 3 "Espionagem Estatal" : 2 "Ransomware" : 3 ``` --- ## Sumário Executivo A semana W05/2026 foi marcada por uma convergência incomum de adições ao catálogo CISA KEV: **nove vulnerabilidades** adicionadas entre 22 e 26 de janeiro, incluindo o [[cve-2026-20045|CVE-2026-20045]] — um zero-day crítico no **Cisco Unified Communications Manager** (CVSS 8.2) que permite execução remota de código sem autenticação em uma plataforma com 30 milhões de usuários globais. Simultaneamente, o [[cve-2025-34026|CVE-2025-34026]] no **[[versa-concerto|Versa Concerto]]** SD-WAN (CVSS 9.2) e o [[cve-2025-68645|CVE-2025-68645]] no **[[zimbra|Zimbra]]** (RFI explorada ativamente desde 14 de janeiro) completam um trio de vulnerabilidades de impacto crítico para infraestrutura corporativa, com prazo federal de remediação em 12 de fevereiro. No cenário de ameaças avançadas, a **Zscaler ThreatLabz** publicou em 28 de janeiro análises detalhadas de duas campanhas atribuídas com confiança média ao [[g0134-transparent-tribe|APT36]] (Transparent Tribe, nexo Paquistão): **Gopher Strike** e **Sheet Attack**. O diferencial técnico está no uso de serviços legítimos — GitHub, Google Sheets e Firebase — como infraestrutura de comando e controle, tornando a detecção por IOCs tradicionais ineficaz. O arsenal inclui ferramentas inéditas em Go (GOGITTER, GITSHELLPAD, GOSHELL) e backdoors que abusam de APIs do Google (SHEETCREEP, FIREPOWER, MAILCREEP). Na frente de ransomware e extorsão, a semana trouxe dois incidentes de alto perfil: o [[ransomhub|RansomHub]] reivindicou a exfiltração de **mais de 1TB** de dados da **Luxshare** — parceira-chave de fabricação da Apple, Nvidia e Tesla — incluindo esquemáticos CAD 3D e documentação de engenharia. O grupo **WorldLeaks** (rebrand de Hunters International) publicou **1,4TB** de dados internos da **Nike**, focados em processos de design e manufatura. No Brasil, o trojan bancário [[astaroth|Astaroth/Guildma]] ressurgiu com módulo worm via WhatsApp, atingindo mais de 95% das vítimas em território nacional. Adicionalmente, o grupo **0APT** emergiu em 28 de janeiro reivindicando 71 vítimas em 48 horas, mas análises subsequentes da Red Piranha e GuidePoint confirmaram que se trata de uma **operação fraudulenta** — sem ransomware real, apenas engenharia social e dados fabricados. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio-Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-34026\|CVE-2025-34026]] | 9.2 | Versa Concerto SD-WAN | ✅ Ativa - auth bypass | ✅ 22/01 · Prazo 12/02 | **Patch urgente** | | [[cve-2025-68645\|CVE-2025-68645]] | Crítico | Zimbra Collaboration Suite | ✅ Ativa - RFI desde 14/01 | ✅ 22/01 · Prazo 12/02 | **Patch + verificar IOCs** | | [[cve-2026-20045\|CVE-2026-20045]] | 8.2 | Cisco Unified CM / Webex | ✅ Ativa - zero-day RCE | ✅ 26/01 · Prazo 11/02 | **Patch imediato** | | [[cve-2025-54313\|CVE-2025-54313]] | Crítico | eslint-config-prettier | ✅ Ativa - supply chain npm | ✅ 22/01 · Prazo 12/02 | **Auditar dependências npm** | | [[cve-2025-31125\|CVE-2025-31125]] | 5.3 | Vite Dev Server | ✅ Ativa | ✅ 22/01 · Prazo 12/02 | **Atualizar Vite** | | [[cve-2026-21509\|CVE-2026-21509]] | Alto | Microsoft Office | ✅ Ativa - security feature bypass | ✅ 26/01 | **Aplicar patch** | | [[cve-2025-52691\|CVE-2025-52691]] | Alto | SmarterTools SmarterMail | ✅ Ativa - upload irrestrito | ✅ 26/01 | **Patch imediato** | | [[cve-2026-23760\|CVE-2026-23760]] | Alto | SmarterTools SmarterMail | ✅ Ativa - auth bypass | ✅ 26/01 | **Patch imediato** | | [[cve-2026-24061\|CVE-2026-24061]] | Alto | GNU InetUtils | ✅ Ativa - argument injection | ✅ 26/01 | **Desabilitar Telnet** | --- ### CVE em Destaque: [[cve-2026-20045|CVE-2026-20045]] - Cisco Unified Communications Zero-Day RCE O [[cve-2026-20045|CVE-2026-20045]] é uma vulnerabilidade de **execução remota de código zero-day** (CVSS 8.2) que afeta múltiplos produtos Cisco de comunicação unificada: **Unified Communications Manager (CM)**, **Unified CM Session Management Edition**, **Unified CM IM & Presence**, **Unity Connection** e ambientes **Webex Calling Dedicated Instance**. **Por que é urgente:** - **Zero-day com exploração ativa confirmada** — CISA adicionou ao KEV em 26/01/2026 - **30 milhões de usuários** impactados globalmente via Cisco UCM - Permite que atacante não autenticado execute comandos arbitrários via requisições HTTP maliciosas à interface web de gerenciamento - Escalonamento de privilégios para **root** — controle total do sistema operacional subjacente - Prazo federal de remediação: **11 de fevereiro de 2026** **Impacto:** Um atacante que explore com sucesso obtém acesso inicial com privilégios de usuário e pode escalonar para root, comprometendo toda a infraestrutura de voz, vídeo e conferência da organização. Em ambientes onde Cisco UCM gerencia telefonia IP corporativa, o comprometimento permite interceptação de chamadas, acesso a gravações e movimentação lateral na rede. **Para o Brasil e LATAM:** Cisco UCM é amplamente adotado em organizações dos setores [[financial|financeiro]], [[government|governo]] e [[telecom|Telecom]] no Brasil. Provedores de telefonia IP e contact centers que utilizam a plataforma estão em escopo de risco imediato. **Mitigação imediata:** 1. Aplicar os patches de emergência publicados pela Cisco 2. Restringir acesso à interface web de gerenciamento por ACLs e VPN 3. Monitorar logs HTTP do UCM para requisições anômalas 4. Segmentar a rede de voz/colaboração do restante da infraestrutura **Referências:** [Cisco Security Advisory](https://sec.cloudapps.cisco.com/) - 2026-01-26 · [The Hacker News](https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html) - 2026-01-26 --- ### [[cve-2025-34026|CVE-2025-34026]] - Versa Concerto SD-WAN Authentication Bypass O [[cve-2025-34026|CVE-2025-34026]] é uma vulnerabilidade de **bypass de autenticação** com CVSS 9.2 que afeta o [[versa-concerto|Versa Concerto]], plataforma de orquestração SD-WAN utilizada por provedores de serviço e grandes empresas. A falha permite que um atacante remoto não autenticado obtenha acesso administrativo completo ao sistema de gerenciamento. A gravidade é amplificada pelo papel central que plataformas SD-WAN ocupam na infraestrutura de rede moderna: um comprometimento dá ao atacante visibilidade e controle sobre toda a malha de rede gerenciada. Provedores de serviço brasileiros que utilizam Versa Concerto devem priorizar remediação imediata. > [!danger] Ação Recomendada > Organizações utilizando Versa Concerto devem aplicar patch imediatamente. Verificar logs de acesso administrativo para acessos não autorizados retroativos a janeiro de 2026. Isolar a interface de gerenciamento em segmento de rede dedicado com ACLs restritivas. --- ## Campanhas e Threat Actors ### Gopher Strike - [[g0134-transparent-tribe|APT36]] (Transparent Tribe) A campanha **Gopher Strike**, analisada pela Zscaler ThreatLabz em relatório publicado em 28/01/2026, utiliza um arsenal sofisticado de ferramentas desenvolvidas em Go, direcionado a entidades governamentais indianas: - **GOGITTER** — downloader que se comunica via repositórios GitHub - **GITSHELLPAD** — backdoor com C2 baseado em GitHub Gists - **GOSHELL** — loader que entrega payloads de [[s0154-cobalt-strike|Cobalt Strike]] - Vetor inicial: **spear-phishing com PDFs** contendo temas governamentais (atualização falsa do Adobe Acrobat Reader) TTPs observados: - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] — PDFs maliciosos como vetor de entrada - [[t1102-web-service|T1102 - Web Service]] — GitHub como infraestrutura de C2 - [[t1059-001-powershell|T1059.001 - PowerShell]] — Scripts PowerShell para coleta de dados - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] — HTTPS para exfiltração ### Sheet Attack - [[g0134-transparent-tribe|APT36]] Operação paralela do mesmo grupo (atribuição com confiança média — pesquisadores consideram possível subgrupo ou grupo paquistanês paralelo), com destaque para: - **SHEETCREEP** — backdoor que utiliza **Google Sheets como canal de C2** - **FIREPOWER** — módulo de reconhecimento via Firebase - **MAILCREEP** — exfiltração via email - **PowerShell Stealer** — coleta de credenciais e documentos > [!warning] Infraestrutura de C2 Legítima > O uso de Google Sheets, Firebase e GitHub como C2 dificulta significativamente a detecção, pois o tráfego para estes serviços é considerado legítimo na maioria das organizações. Equipes de SOC devem implementar detecções comportamentais, não apenas baseadas em IOCs. --- ## Ameaças Regionais LATAM ### Astaroth/Guildma — Worm via WhatsApp Atinge o Brasil O trojan bancário [[astaroth|Astaroth]] (também conhecido como Guildma) ressurgiu em janeiro de 2026 com uma evolução significativa: um **módulo worm implementado em Python** que sequestra a lista de contatos do WhatsApp da vítima e envia automaticamente mensagens maliciosas para todos os contatos, propagando-se sem intervenção humana. A campanha, batizada de **Boto Cor-de-Rosa** pela Acronis Threat Research Unit, está ativa desde pelo menos setembro de 2025: - **Vetor:** Arquivos ZIP contendo script downloader (PowerShell ou Python) + instalador MSI - **Propagação:** Módulo Python coleta contatos via WhatsApp Web e reenvia ZIP malicioso - **Payload:** Trojan bancário Delphi com overlay de janela para captura de credenciais bancárias - **Monitoramento:** Módulo que vigia URLs de bancos visitados no navegador e ativa captura em tempo real - **Distribuição geográfica:** **Mais de 95% das vítimas no Brasil**, restante em EUA e Áustria **Por que importa:** O WhatsApp é o principal canal de comunicação corporativa e pessoal no Brasil. A propagação via contatos legítimos da vítima confere credibilidade excepcional às mensagens maliciosas — o destinatário recebe o arquivo de um contato conhecido e confiável. TTPs observados: - [[t1204-002-malicious-file|T1204.002 - Malicious File]] — ZIP via WhatsApp - [[t1059-001-powershell|T1059.001 - PowerShell]] — Download de payloads - [[t1185-man-in-the-browser|T1185 - Man in the Browser]] — Overlay bancário - [[t1534-internal-spearphishing|T1534 - Internal Spearphishing]] — Autopropagação via contatos --- ### Relevância das CVEs para o Brasil - **[[zimbra|Zimbra]]** ([[cve-2025-68645|CVE-2025-68645]]): amplamente utilizado em órgãos governamentais brasileiros e universidades. A exploração ativa desde 14 de janeiro aumenta a probabilidade de comprometimentos não detectados no Brasil - **Cisco UCM** ([[cve-2026-20045|CVE-2026-20045]]): amplamente adotado em setores [[financial|financeiro]], [[government|governo]] e [[telecom|Telecom]] no Brasil — contact centers e telefonia IP corporativa em risco direto - **SD-WAN** ([[cve-2025-34026|CVE-2025-34026]]): provedores de serviço brasileiros que utilizam Versa Concerto devem priorizar remediação - **Supply chain npm** ([[cve-2025-54313|CVE-2025-54313]]): ecossistema de desenvolvimento brasileiro é altamente dependente de pacotes npm — risco propagado ### Tendências Regionais - O [[astaroth|Astaroth]] via WhatsApp representa evolução crítica: banking trojans brasileiros migraram de email para o canal de comunicação dominante no país - Grupos de ransomware continuam expandindo alvos para LATAM, com foco em [[financial|setor financeiro]] e [[government|governo]] - O targeting de supply chain (Luxshare/Apple) demonstra que fornecedores na cadeia produtiva são vetores de acesso privilegiado a dados corporativos --- ## Supply Chain e Ransomware ### RansomHub vs Luxshare — Supply Chain Attack contra Ecossistema Apple O grupo [[ransomhub|RansomHub]] reivindicou em 21 de janeiro a exfiltração de **mais de 1TB** de dados da **Luxshare Precision Industry** — fabricante chinesa responsável pela montagem de AirPods, iPhones e Vision Pro da Apple, além de componentes para Nvidia e Tesla. A relação comercial com a Apple representa aproximadamente 70% da receita da Luxshare. **Dados exfiltrados alegados:** - Modelos CAD 3D e esquemáticos de placas de circuito - Documentação de engenharia de produtos (2019-2025) - Projetos potencialmente não lançados da Apple **Risco:** Engenharia reversa de produtos, fabricação de dispositivos falsificados, e ataques direcionados a firmware/hardware facilitados pelo conhecimento detalhado dos layouts de componentes. Nem Apple nem Luxshare confirmaram o incidente. ### WorldLeaks vs Nike — 1,4TB de Propriedade Intelectual O grupo **WorldLeaks** (rebrand de [[hunters-international|Hunters International]], ativo desde 2023) adicionou a Nike ao seu site de vazamento em 22 de janeiro e públicou **1,4TB** (188.347 arquivos) em 24 de janeiro. O grupo opera exclusivamente por extorsão — sem criptografia, apenas roubo de dados e ameaça de públicação. **Dados públicados:** Focados em processos de design e manufatura (Women's Sportswear, Men's Sportswear, Training Resource — Factory, Garment Making Process). Não há evidência de dados pessoais de clientes (PII) comprometidos. A Nike confirmou investigação em andamento. ### 0APT — Grupo Fraudulento Desmascarado O grupo **0APT** emergiu em 28 de janeiro reivindicando **71 vítimas em 48 horas** com modelo de dupla extorsão. Análises aprofundadas da **Red Piranha** e **GuidePoint Security** concluíram que se trata de uma **operação fraudulenta**: - Dados de "prova" consistem em **padrões de bytes nulos** — sem documentos, credenciais ou PII reais - Nenhuma evidência de ransomware funcional ou exfiltração genuína - Operação baseada exclusivamente em engenharia social e domínios de phishing - Reivindicações escalonaram para 190+ vítimas, todas sem evidência verificável > [!info] Lição Operacional > A emergência do 0APT reforça a importância da **verificação independente** antes de reagir a reivindicações de grupos de ransomware. Equipes de IR devem válidar evidências antes de acionar processos de resposta a incidentes. --- ## Inteligência de Ameaças Estatais ### [[g0134-transparent-tribe|APT36]] — Evolução do Arsenal com Serviços Legítimos O [[g0134-transparent-tribe|APT36]] (Transparent Tribe, nexo Paquistão) demonstrou em janeiro de 2026 uma evolução significativa em seu arsenal, migrando de infraestrutura C2 tradicional para serviços legítimos: **Padrão de C2 observado:** | Campanha | Serviço C2 | Ferramenta | Linguagem | |----------|-----------|-----------|-----------| | Gopher Strike | GitHub Repos/Gists | GOGITTER, GITSHELLPAD | Go | | Gopher Strike | HTTPS direto | GOSHELL + [[s0154-cobalt-strike\|Cobalt Strike]] | Go | | Sheet Attack | Google Sheets | SHEETCREEP | — | | Sheet Attack | Firebase | FIREPOWER | — | | Sheet Attack | Email SMTP | MAILCREEP | — | A diversificação de canais C2 entre serviços legítimos em uma única operação indica maturidade operacional crescente. O uso simultâneo de Go e ferramentas customizadas em paralelo com [[s0154-cobalt-strike|Cobalt Strike]] sugere uma cadeia de ataque redundante projetada para persistência. --- ## TTPs em Destaque ### [[t1102-web-service|T1102 - Web Service]] — Uso de Serviços Web Legítimos como C2 As campanhas Gopher Strike e Sheet Attack do [[g0134-transparent-tribe|APT36]] demonstram uma tendência crescente: uso de serviços legítimos (GitHub, Google Sheets, Firebase) como infraestrutura de comando e controle. **Por que é eficaz:** - Tráfego para google.com e github.com raramente é bloqueado - Comúnicações são criptografadas via HTTPS nativo dos serviços - Difícil distinguir de uso legítimo sem inspeção comportamental **Detecção:** - Monitorar chamadas de API incomuns para Google Sheets/Docs (volumes anormais, horários fora do expediente) - Implementar DLP que detecte padrões de dados estruturados em tráfego para serviços de nuvem - Alertar sobre processos não-browser fazendo requisições frequentes para APIs do Google - Correlacionar criação de Gists GitHub com execução de scripts em endpoints --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2026-20045\|CVE-2026-20045]] (Cisco UCM) — zero-day RCE com exploração ativa | Patch imediato + restringir interface web | | 🟥 P1 | [[cve-2025-34026\|CVE-2025-34026]] (Versa Concerto) — CVSS 9.2, auth bypass | Patch urgente + isolar gerenciamento SD-WAN | | 🟥 P1 | [[cve-2025-68645\|CVE-2025-68645]] (Zimbra) — RFI ativa desde 14/01 | Patch + verificar IOCs retroativos | | 🟥 P1 | [[cve-2025-54313\|CVE-2025-54313]] (eslint-config-prettier) — supply chain npm | Auditar `package-lock.json` + remover versões comprometidas | | 🟧 P2 | [[astaroth\|Astaroth/Guildma]] — worm WhatsApp ativo no Brasil | Alertar usuários + bloquear hashes conhecidos | | 🟧 P2 | [[cve-2026-21509\|CVE-2026-21509]] (Microsoft Office) — security bypass ativo | Aplicar patch + monitorar documentos maliciosos | | 🟧 P2 | [[cve-2025-52691\|CVE-2025-52691]] + [[cve-2026-23760\|CVE-2026-23760]] (SmarterMail) — dupla vuln | Patch imediato para ambas | | 🟧 P2 | [[ransomhub\|RansomHub]] vs Luxshare — supply chain Apple/Nvidia | Revisar segurança de parceiros na cadeia produtiva | | 🟧 P2 | APT36 — C2 via GitHub/Google Sheets | Implementar detecção comportamental de C2 legítimo | | 🟨 P3 | [[cve-2025-31125\|CVE-2025-31125]] (Vite) — dev server exposto | Atualizar Vite + restringir acesso dev servers | | 🟨 P3 | [[cve-2026-24061\|CVE-2026-24061]] (GNU InetUtils) — argument injection | Desabilitar Telnet, migrar para SSH | | 🟨 P3 | WorldLeaks vs Nike — extorsão sem criptografia | Monitorar tendência de data-only extortion | | 🟦 P4 | 0APT — grupo fraudulento desmascarado | Nenhuma ação necessária — validar reivindicações antes de reagir | --- ## Referências da Semana - [1] [CISA - Adds Four Known Exploited Vulnerabilities to Catalog](https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog) - 2026-01-22 - [2] [CISA - Adds Five Known Exploited Vulnerabilities to Catalog](https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalog) - 2026-01-26 - [3] [Zscaler ThreatLabz - APT Attacks Using GOGITTER, GITSHELLPAD, and GOSHELL](https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-gogitter-gitshellpad-and-goshell) - 2026-01-28 - [4] [Zscaler ThreatLabz - APT Attacks Using SHEETCREEP, FIREPOWER, and MAILCREEP](https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-sheetcreep-firepower-and) - 2026-01-28 - [5] [The Hacker News - Experts Detect Pakistan-Linked Cyber Campaigns Against India](https://thehackernews.com/2026/01/experts-detect-pakistan-linked-cyber.html) - 2026-01-28 - [6] [The Hacker News - Cisco Fixes Actively Exploited Zero-Day [[cve-2026-20045|CVE-2026-20045]]](https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html) - 2026-01-26 - [7] [BleepingComputer - Cisco Fixes Unified Commúnications RCE Zero Day](https://www.bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/) - 2026-01-26 - [8] [Dark Reading - Exploited Zero-Day Flaw in Cisco UC Could Affect Millions](https://www.darkreading.com/endpoint-security/exploited-zero-day-flaw-cisco-uc-affect-millions) - 2026-01-27 - [9] [The Hacker News - WhatsApp Worm Spreads Astaroth Banking Trojan Across Brazil](https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html) - 2026-01-27 - [10] [Acronis TRU - Boto Cor-de-Rosa: Astaroth WhatsApp-Based Worm](https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/) - 2026-01 - [11] [Help Net Security - RansomHub Claims Alleged Breach of Apple Partner Luxshare](https://www.helpnetsecurity.com/2026/01/21/luxshare-data-breach-apple-ransomhub/) - 2026-01-21 - [12] [Infosecurity Magazine - WorldLeaks Ransomware Group Claims 1.4TB Nike Data Breach](https://www.infosecurity-magazine.com/news/worldleaks-ransomware-14tb-nike/) - 2026-01-24 - [13] [The Register - Data Thieves Claim 1.4TB from Nike](https://www.theregister.com/2026/01/26/data_thieves_claim_nike_data_haul/) - 2026-01-26 - [14] [Red Piranha - Threat Intelligence Report January 27 to February 2, 2026](https://redpiranha.net/news/threat-intelligence-report-january-27-february-2-2026) - 2026-02-02 - [15] [SOCRadar - Dark Web Profile: 0APT Ransomware](https://socradar.io/blog/dark-web-profile-0apt-ransomware/) - 2026-01-30 - [16] [GuidePoint Security - GRITREP: 0APT and the Victims Who Weren't](https://www.guidepointsecurity.com/blog/gritrep-0apt-and-the-victims-who-werent/) - 2026-02 - [17] [NVD - [[cve-2025-34026|CVE-2025-34026]] Detail](https://nvd.nist.gov/vuln/detail/CVE-2025-34026) - [18] [NVD - [[cve-2025-68645|CVE-2025-68645]] Detail](https://nvd.nist.gov/vuln/detail/CVE-2025-68645) --- *Próximo: [[2026-w06|W06]] · Anterior: [[2026-w04|W04]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]