2026-w13 - RunkIntel

# CTI Weekly - 2026-W13 > Período: 2026-03-23 a 2026-03-29 · Edição #13 · Atualizado em 2026-03-29 > Fontes primárias: Kaspersky MDR, BleepingComputer, The Hacker News, HelpNetSecurity, CISA KEV, ConnectWise Security Bulletin, NVD, SANS ISC, Malwarebytes Labs. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **23-29 mar** | 🟥 **Alto** | **14+** | **5+** | **24+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-53521\|CVE-2025-53521]]** (F5 BIG-IP APM) - KEV, prazo federal **30/03**, backdoor BRICKSTORM China-nexo | > | 🟥 P1 | **[[cve-2026-33017\|CVE-2026-33017]]** (Langflow) - KEV, weaponizado em 20h após divulgação | > | 🟥 P1 | **[[cve-2026-3564\|CVE-2026-3564]]** (ScreenConnect) - 3a vulnerabilidade crítica em 3 anos consecutivos | > | 🟧 | **[[gopix\|GoPix]]** - 90.000 infecções, técnicas APT-level, PAC MitM HTTPS sem artefatos em disco | > | 🟧 P2 | **Horabot LATAM 2026** - 5.384 vítimas, 93% México, 10 meses sem detecção | > | 🟧 P2 | **DarkSword iOS** - 6 zero-days encadeados, 3 atores distintos, vigilância comercial multivenda | > | 🟧 P2 | **Comissão Europeia** - breach AWS com 350 GB exfiltrados, segundo incidente em dois meses (pós-Ivanti EPMM jan/2026) | ```mermaid pie title Distribuição por Categoria - W13/2026 "Vulnerabilidades Críticas" : 14 "Ameaças LATAM/Brasil" : 4 "Supply Chain" : 3 "Inteligência Estatal" : 3 "Hacktivismo/Outros" : 3 ``` --- ## Sumário Executivo A semana W13/2026 foi marcada por duas vulnerabilidades críticas com alto potencial de exploração em massa e pela ressurgência de uma campanha de trojan bancário brasileira de longa data com escala sem precedentes. O [[cve-2026-33017|CVE-2026-33017]] - uma falha de RCE pré-autenticado no **[[langflow\|Langflow]]** (framework Python de orquestração de LLMs) - foi adicionado ao catálogo CISA KEV em 25/03/2026, apenas 5 dias após o início da exploração ativa confirmada em produção (20 horas após a divulgação). A velocidade de weaponização eleva este CVE ao nível de risco máximo para organizações com instâncias Langflow expostas à internet. Paralelamente, o [[cve-2026-3564|CVE-2026-3564]] no **[[connectwise-screenconnect\|ConnectWise ScreenConnect]]** expõe um padrão preocupante: a plataforma acumula três vulnerabilidades críticas em três anos consecutivos. A mais recente permite que um atacante com acesso ao arquivo de configuração do servidor extraia chaves criptográficas ASP.NET e forje tokens de autenticação válidos, comprometendo todos os endpoints gerenciados pela instância - risco crítico para o ecossistema de MSPs no Brasil e LATAM. No fronte de ameaças regionais, o **Kaspersky MDR** publicou descoberta de nova onda do **[[horabot-latam-2026|Horabot LATAM 2026]]** - trojan bancário brasileiro ativo há pelo menos 10 meses sem detecção pública, com 5.384 vítimas confirmadas, 93% no México. A campanha usa técnicas ClickFix, VBScript polimórfico e um módulo worm MAPI/Outlook para propagação automatizada entre contatos. **Nível de ameaça geral para LATAM esta semana:** 🟥 Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-53521\|CVE-2025-53521]] | 9.8 | F5 BIG-IP APM | ✅ Ativa - China-nexo + BRICKSTORM | ✅ 27/03 · **Prazo 30/03** | **Patch HOJE** | | [[cve-2026-33017\|CVE-2026-33017]] | 9.8 | Langflow (LLM framework) | ✅ Ativa - 20h após divulgação | ✅ 25/03 | **Patch imediato** | | [[cve-2026-33634\|CVE-2026-33634]] | 9.4 | Trivy Action (CI/CD) | ✅ Ativa - supply chain, secrets exfiltrados | ✅ 26/03 | Rotacionar secrets | | [[cve-2026-3564\|CVE-2026-3564]] | 9.0 | ConnectWise ScreenConnect | ⚠️ Não confirmada - abuso de machine keys observado | ❌ | **Patch para 26.1** | | [[cve-2026-32746\|CVE-2026-32746]] | 9.8 | GNU InetUtils telnetd | ⚠️ Não confirmada · **Sem patch disponível** | ❌ | Desabilitar Telnet | | [[cve-2026-4681\|CVE-2026-4681]] | Crítico | PTC Windchill PLM | ⚠️ Alertas presenciais da polícia alemã | ❌ | **Patch imediato** | | [[cve-2025-31277\|CVE-2025-31277]] + 5 | Crítico | Apple iOS 18.4-18.7 | ✅ DarkSword - watering hole confirmado | ✅ Múltiplos | iOS 18.8+ obrigatório | | [[cve-2025-26399\|CVE-2025-26399]] | 9.8 | SolarWinds Web Help Desk | ⚠️ Não confirmada | ❌ | Patch planejado | | [[cve-2026-2783\|CVE-2026-2783]] + 2476 | Alto | Google Chrome (V8/Lens) | ✅ Ativa - sandbox escape | ✅ | Atualizar Chrome | | [[cve-2026-29187\|CVE-2026-29187]] | 9.8 | Craft CMS | ✅ Ativa - RCE pré-auth | ❌ | Patch imediato | | [[cve-2026-31413\|CVE-2026-31413]]/31414 | Alto | Microsoft Office (Word/Excel) | ⚠️ Não confirmada | ❌ | Patch Tuesday | | [[cve-2026-32115\|CVE-2026-32115]] | Alto | Microsoft SharePoint | ⚠️ Não confirmada | ❌ | Patch planejado | | [[cve-2026-31912\|CVE-2026-31912]] | Crítico | Laravel (sessão RCE) | ⚠️ Não confirmada | ❌ | Atualizar framework | | [[cve-2025-66376\|CVE-2025-66376]] | Alto | Zimbra XSS (Operation GhostMail) | ✅ Ativa - APT28 | ❌ | Patch imediato | --- ### CVE em Destaque: [[cve-2026-33017|CVE-2026-33017]] - Langflow RCE Pré-Autenticado O [[cve-2026-33017|CVE-2026-33017]] é uma falha crítica de **execução remota de código pré-autenticada** no **[[langflow\|Langflow]]** - framework Python open-source amplamente usado por equipes de desenvolvimento de IA no Brasil e LATAM para criar fluxos de trabalho com modelos como GPT-4, Claude e LLaMA. **Por que é urgente:** - **CVSS 9.8** - vetor de rede, sem autenticação, sem interação do usuário - **EPSS ~91%** - 91% de probabilidade de exploração nos próximos 30 dias - **20 horas**: tempo entre a divulgação pública (2026-03-18) e o registro de ataques exploratórios em produção - **CISA KEV**: adicionado ao catálogo em 2026-03-25 - mandatório para agências federais dos EUA; sinal de exploração confirmada e relevância crítica **Impacto:** Um atacante que explore com sucesso pode executar código Python arbitrário no servidor sem credenciais, acessar variáveis de ambiente com chaves de API de LLMs (OpenAI, Anthropic, etc.), exfiltrar fluxos de IA, dados de treinamento e bases de conhecimento, e usar o servidor comprometido como pivô para a rede interna. **Para o Brasil e LATAM:** Langflow é um dos frameworks de IA mais populares entre startups de IA e equipes de desenvolvimento corporativo na região. Instâncias expostas à internet sem autenticação são imediatamente exploráveis. Os setores [[technology]] e [[financial]] - especialmente fintechs que usam IA - são os mais expostos. **Mitigação imediata:** 1. `pip show langflow` - verificar versão atual 2. `pip install --upgrade langflow` - atualizar para versão pós-patch de 2026-03-18 3. Reiniciar todos os serviços Langflow 4. Rotacionar TODAS as chaves de API configuradas no ambiente (presumir comprometimento se exposto) 5. Enquanto não for possível atualizar: desabilitar acesso público, restringir por IP via firewall/VPN **Referências:** [The Hacker News](https://thehackernews.com/2026/03/critical-langflow-flaw-CVE-2026-33017.html) - 2026-03-20 --- ### [[cve-2026-3564|CVE-2026-3564]] - ConnectWise ScreenConnect: Terceira Vulnerabilidade Crítica em 3 Anos O [[cve-2026-3564|CVE-2026-3564]] (CVSS 9.0, CWE-347) representa uma vulnerabilidade sistêmica no **[[connectwise-screenconnect\|ConnectWise ScreenConnect]]** que permite a um atacante com acesso ao material criptográfico do servidor obter controle total da instância. **Mecanismo:** Versões anteriores ao ScreenConnect 26.1 armazenavam as **machine keys ASP.NET** em arquivos de configuração em texto claro. Com essas chaves, um atacante pode: 1. Extrair chaves do arquivo de configuração (via backup, snapshot ou breach parcial do servidor) 2. Forjar tokens de sessão válidos para qualquer usuário, incluindo administradores 3. Abrir sessões remotas para todos os endpoints gerenciados pela instância 4. Instalar malware, executar comandos, exfiltrar dados - em todas as máquinas dos clientes do MSP **Padrão de targeting preocupante:** | CVE | Ano | Tipo | Exploração | |-----|-----|------|-----------| | [[cve-2024-1709\|CVE-2024-1709]] | 2024 | Auth bypass | Ativa - ransomware | | [[cve-2025-3935\|CVE-2025-3935]] | 2025 | ViewState injection | Ativa - nation-state | | **[[cve-2026-3564\|CVE-2026-3564]]** | **2026** | **Crypto material exposure** | **Não confirmada** | Para o ecossistema de **MSPs no Brasil** - centenas de provedores que gerenciam redes corporativas de clientes - uma instância ScreenConnect comprometida representa acesso transitivo a dezenas ou centenas de redes de clientes. O histórico recente demonstra que grupos de ransomware exploram ScreenConnect como vetor de comprometimento em massa. **Mitigação:** Atualizar para ScreenConnect 26.1 imediatamente. Para instâncias on-premises, regenerar material criptográfico via painel após atualização. Instâncias cloud já foram atualizadas automaticamente pelo ConnectWise. --- ## Ameaças Regionais LATAM ### Horabot LATAM 2026 - Trojan Bancário Brasileiro em Escala O [[kaspersky|Kaspersky MDR]] revelou em 18 de março de 2026 que o malware [[horabot|Horabot]] - trojan bancário de origem brasileira, ativo desde 2020 - completou pelo menos 10 meses de operação não detectada com escala sem precedentes: **5.384 vítimas confirmadas**, 93% concentradas no México. **O que é o Horabot:** Uma família de malware Delphi que combina capacidades de trojan bancário (overlay de janela para captura de credenciais) com um módulo worm que abusa da API MAPI/Outlook para se autopropagar para todos os contatos da vítima - sem usar SMTP, tornando o tráfego indistinguível de e-mails legítimos. **Cadeia de infecção da campanha 2026:** - **[[clickfix\|ClickFix]]** (falso CAPTCHA) → HTA malicioso → Loader JavaScript → VBScript polimórfico (novo hash a cada download - evade detecção por hash) → AutoIT launcher → DLL Delphi cifrada com AES-192 → C2 via TCP customizado (XOR, framing `##`) - **Persistência:** LNK malicioso na pasta Startup do Windows **Por que importa para o Brasil:** O operador é de origem brasileira e o conhecimento do ecossistema bancário da região é evidente - os overlays imitam portais bancários brasileiros e mexicanos. O módulo worm via MAPI/Outlook é especialmente eficaz em empresas com Microsoft 365 on-premises, comuns no Brasil. **Ver nota completa:** [[horabot-latam-2026|Horabot LATAM 2026]] --- ### GoPix 2026 - Trojan Bancário Brasileiro com Evasão APT-Level O [[kaspersky|Kaspersky GReAT]] públicou em 16 de março análise aprofundada revelando que o [[gopix|GoPix]] atingiu nível de sofisticação sem precedente em malware LATAM - com **90.000 tentativas de infecção** registradas desde dezembro de 2022. O diferencial técnico que coloca o GoPix numa categoria diferente dos demais banking trojans brasileiros é a combinação de técnicas tipicamente reservadas a APTs: **Mecanismo central - PAC MitM HTTPS:** - Gera arquivos **Proxy AutoConfig (PAC)** dinâmicos com checksums CRC32 que mascaram domínios-alvo - Injeta certificados digitais falsos **diretamente na memória do navegador** (invisível ao sistema operacional) - Intercepta sessões HTTPS ativas em sites bancários legítimos sem qualquer alerta ao usuário - Alvos: transferências PIX, boletos bancários, endereços de carteiras crypto (clipboard hijacking) **Evasão de detecção APT-level:** - Execução **exclusivamente em memória** - zero artefatos em disco - YARA ineficaz - API hashing + string encryption para ofuscação - C2 de vida curta: servidores ficam online por apenas horas - Detecção condicional de software de segurança (ex: Avast Safe Banking) - adapta payload **Distribuição:** Malvertising via Google Ads impersonando WhatsApp, Chrome e Correios. A escolha dessas marcas é estratégica - são as buscas mais comuns de usuários brasileiros que precisam baixar/atualizar software. A relevância para o Brasil é máxima: o operador demonstra conhecimento profundo do ecossistema bancário nacional, com overlays específicos para portais de grandes bancos brasileiros e mexicanos. --- ### Wave Android Bancária Brasil 2026 - Seis Novas Famílias A CYFIRMA e a Zimperium identificaram **seis novas famílias de malware Android** em março de 2026, todas operando exclusivamente contra o ecossistema financeiro brasileiro via abuso de Serviços de Acessibilidade Android para hijacking de transações [[financial|PIX]]: | Família | Tipo | Diferencial | |---------|------|-------------| | [[pixrevolution\|PixRevolution]] | Banking Trojan (Agent-in-Loop) | Intercepta confirmações PIX em tempo real | | [[beatbanker\|BeatBanker]] | Banking Trojan | Overlay de janela sobre apps bancários | | [[taxispy-rat\|TaxiSpy RAT]] | Banking Trojan + RAT | Capacidades RAT completas | | [[mirax-rat\|Mirax RAT]] | MaaS ($2.500/mês) | Crime-as-a-service para atacar o Brasil | | [[oblivion-rat\|Oblivion RAT]] | RAT + Banking | Dupla capacidade | | [[surxrat\|SURXRAT]] | Banking Trojan | Foco em Sicredi e cooperativas | O [[mirax-rat|Mirax RAT]] como serviço a $2.500/mês indica mercado organizado e demanda crescente por ferramentas para atacar o sistema financeiro brasileiro. Distribuição confirmada via páginas falsas do Google Play impersonando **Correios, Nubank, STJ e Sicredi** - marcas com alta credibilidade junto ao público brasileiro. Com **150 milhões de usuários PIX** no Brasil, o potencial de escala é crítico. --- ### Ransomware no Brasil - Março 2026: SESI, JBS e Contexto Global Março de 2026 consolidou o Brasil como **3º país mais visado por ransomware no mundo** (Acronis H2 2025), atrás apenas de EUA e Índia. Os ataques confirmados no mês revelam um padrão de targeting diversificado e sofisticado: | Data | Alvo | Grupo | Setor | Status | |------|------|-------|-------|--------| | 2026-03-02 | FGV (Fundação Getúlio Vargas) | [[dragonforce-ransomware\|DragonForce]] | Educação | Dados em negociação | | 2026-03-05 | JBS Brazil | [[coinbasecartel-ransomware\|Coinbasecartel]] | Alimentos | 3TB reivindicado | | 2026-03-21 | SESI (Serviço Social da Indústria) | [[lockbit\|LockBit 5.0]] | Social/Indústria | Ameaça de vazamento | | 2026-03-23 | Marborges Agroindustria | [[exitium-ransomware\|Exitium]] | Agronegócio | Confirmado | O ataque ao **SESI** em 21 de março é particularmente relevante: a organização, ligada à CNI e com operações em todos os estados brasileiros, tem perfil de alto impacto reputacional - exatamente o tipo de alvo que grupos de ransomware usam para forçar negociação. O [[lockbit|LockBit 5.0]] mantém afiliados ativos em português/espanhol, com conhecimento do contexto institucional brasileiro. **Contexto quantitativo:** O Brasil absorve ~30% das vítimas de ransomware de toda a América Latina. O custo médio de uma violação de dados no Brasil atingiu **R$ 7,19 milhões** em 2025 (IBM Security), alta de 6,5% ano a ano. --- ## Supply Chain e Novos Malware (Atualização 28/03) ### TeamPCP Update 003 - Telnyx Comprometido, Fase de Monetização O [[teampcp|TeamPCP]] publicou versões maliciosas **4.87.1 e 4.87.2** do pacote PyPI `telnyx` em 27 de março, introduzindo técnica inédita no ecossistema: payload oculto em arquivos de áudio WAV via esteganografia. Esta técnica evade ferramentas de DLP e proxies corporativos que raramente inspecionam conteúdo de áudio. Confirmada parceria com o grupo [[vect-ransomware|Vect Ransomware]] para monetização dos acessos obtidos - representando evolução na ameaça: supply chain attacks passam de roubo de credenciais para pré-posicionamento de ransomware. **Pacotes afetados:** `telnyx` 4.87.1/4.87.2, `litellm` 1.82.7/1.82.8 **Ação:** Verificar versões instaladas e remover imediatamente. Auditar hosts com execução entre 17-27 março. ### Infiniti Stealer - Novo macOS Infostealer com Nuitka O [[infiniti-stealer|Infiniti Stealer]] (descoberto pela Malwarebytes Labs) é o primeiro infostealer macOS documentado a usar **Nuitka** para compilar Python em binário nativo - eliminando bytecode e tornando análise estática e assinaturas por bytecode ineficazes. Entregue via ClickFix (fake Cloudflare CAPTCHA), rouba credenciais de browsers, macOS Keychain, carteiras de cripto, seed phrases e arquivos `.env`. C2: `update-check[.]com`. **Indicadores:** SHA256 `1e63be724bf651bb...` · IOC host: `/tmp/.bs_debug.log` **Ação:** Bloquear `update-check[.]com` em DNS/proxies. Alertar sobre `xattr -dr com.apple.quarantine` em fluxos de execução. ### CVE-2026-4681 - PTC Windchill PLM: Polícia Alemã Alertou Presencialmente O [[cve-2026-4681|CVE-2026-4681]] (CVSS 9.8) no **PTC Windchill PLM** recebeu resposta de emergência incomum: autoridades policiais alemãs mobilizaram equipes para alertar presencialmente organizações identificadas como potencialmente comprometidas. O Windchill é o backbone de PLM (Product Lifecycle Management) em indústrias como automotiva ([[embraer|Embraer]], Volkswagen, Mercedes-Benz), aeroespacial e de defesa. Uma exploração bem-sucedida pode exfiltrar projetos industriais, blueprints de produto e propriedade intelectual sensível, além de permitir sabotagem de processos de manufatura. **Impacto Brasil:** Embraer e fornecedores da cadeia aeronáutica/defesa com Windchill deployado estão em escopo de risco. **Ação:** Verificar versão instalada. Aplicar patch PTC imediatamente. Isolar servidor Windchill da internet. ### Ransomware: Qilin, Payload (Óleo e Gás) e Nightspire Publicam Vítimas Em 28 de março, três grupos publicaram novas vítimas: **[[qilin\|Qilin]]** reivindicou dois ataques incluindo empresa possívelmente LATAM (TR Construya — a confirmar origem). O grupo **Payload** concentrou dois ataques no setor de [[energy|energia/óleo e gás]] (Q2 Artificial Lift Services e Don-Nan). O **[[nightspire-ransomware|Nightspire]]** publicou dois registros com vítimas parcialmente censuradas. A concentração do Payload em fornecedores de infraestrutura de extração em um único dia é operacionalmente relevante. ### Alp-001 - Novo Grupo de Ransomware Emerge com 4 Vítimas (Atualização 29/03) O **[[alp-001\|Alp-001]]**, novo grupo de ransomware identificado em 29 de março, publicou quatro vítimas simultâneas no último dia da semana: **Polsat** (maior TV independente da Polônia, 75GB exfiltrados, prazo 08/04), **Kyocera Document Solutions Europe** (UK, 75GB), **LACOR** (Espanha, 182GB) e **KOB 4 News** (EUA). O perfil de targeting - organizações mid-market em múltiplos países com foco em mídia/tecnologia - é característico de grupos emergentes buscando construir reputação. Grupos novos merecem monitoramento prioritário: [[qilin|Qilin]] e [[g1024-akira|Akira]] seguiram trajetória similar de escalada rápida após primeiras aparições públicas. ### Silver Fox APT Confirma Operações no Brasil (Atualização 29/03) O **ESET** publicou pesquisa confirmando que o grupo APT [[silver-fox|Silver Fox]] (também rastreado como Void Arachne, nexo China) expandiu operações para o **Brasil** - além de Taiwan, Japão, Índia, Indonésia, Austrália e Reino Unido. O grupo usa phishing com lures de **auditoria fiscal e conformidade tributária**, evoluindo de ValleyRAT/DLL side-loading para Python stealer compilado camuflado como "WhatsApp Backup". Para o Brasil, com seu complexo ambiente de SPED/eSocial/IRPF, o vetor fiscal é especialmente ameaçador. Departamentos financeiros, contabilidade e RH são os alvos primários. **Ação:** Alertar equipes financeiras sobre phishing fiscal. Monitorar `xqwmwru[.]top` em logs de rede. --- ## Inteligência de Ameaças Estatais ### Lazarus Group - Ativo em 2026 O [[g0032-lazarus-group|Lazarus Group]] (DPRK / RGB) mantém operações ativas em 2026. O grupo, ativo desde pelo menos 2009, continua sendo um dos mais prolíficos e versáteis atores estatais - com capacidade simultânea de espionagem, ataques destrutivos e crimes financeiros. **Aliases confirmados:** Labyrinth Chollima, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Diamond Sleet (G0032 no MITRE ATT&CK). **Técnicas observadas:** [[t1566-001-spearphishing-attachment|Spearphishing]], [[t1059-003-windows-command-shell|Command Shell]], [[t1078-valid-accounts|Valid Accounts]], [[t1021-004-ssh|SSH]], [[t1027-009-embedded-payloads|Embedded Payloads]]. **Campanhas recentes:** [[operation-dream-job|Operation Dream Job]] continua sendo o principal vetor de acesso inicial - perfis falsos de recrutamento no LinkedIn direcionados a engenheiros de software e segurança. --- ### APT28 - Arsenal Renovado: BeardShell, Covenant Modificado e Operation GhostMail O [[g0007-apt28|APT28]] (GRU Unit 26165 / [[g0007-apt28|Forest Blizzard]]) demonstrou em março de 2026 capacidade técnica renovada e duas frentes de operação distintas: **Arsenal técnico (ESET Research, março 2026):** - **BeardShell**: implant C++ que usa a API privada do Icedrive como canal C2 com técnica de ofuscação *opaque predicate* idêntica ao XTunnel do hack do DNC em 2016 - **mesma linhagem de código, mesmo time de desenvolvedores** - **Covenant modificado**: framework .NET open-source extensivamente customizado com identificadores determinísticos por host e C2 via Filen cloud - **SlimAgent**: evolução do XAgent (DNC hack 2016) com code lineage demonstrável de 2018 a 2024 - keylogging, screenshots, clipboard capture - CVEs weaponizados: [[cve-2026-21509|CVE-2026-21509]] (MSHTML, 72h de turnaround patch→exploração) **Operation GhostMail (Seqrite Labs, março 2026):** Campanha paralela explorando [[cve-2025-66376|CVE-2025-66376]] (Zimbra XSS) contra a Agência Hidrográfica da Ucrânia. O JavaScript malicioso executa exclusivamente no navegador sem artefatos em disco, coletando credenciais, tokens 2FA e 90 dias de histórico de inbox via DNS + HTTPS duplo canal. Organizações brasileiras com Zimbra legado devem aplicar patch imediatamente - a técnica é diretamente reaproveitável contra outros alvos governamentais. --- ### DarkSword iOS - Cadeia de 6 Zero-Days com Vigilância Comercial Multivenda O Google GTIG revelou **DarkSword**, a cadeia de exploração iOS mais sofisticada documentada públicamente em 2026: **6 zero-days encadeados** ([[cve-2025-31277|CVE-2025-31277]], [[cve-2025-43510|CVE-2025-43510]], [[cve-2025-43520|CVE-2025-43520]] + 3 adicionais) para comprometimento completo de dispositivos iOS 18.4-18.7 via watering hole. O elemento mais preocupante é o modelo de negócio: **três atores distintos** - [[unc6748|UNC6748]], PARS Defense (fornecedor israelense) e [[unc6353|UNC6353]] (suspeita russa) - compraram e utilizaram a mesma cadeia de exploração contra jornalistas, ativistas e diplomatas na Arábia Saudita, Turquia, Malásia e Ucrânia. Isso confirma a existência de um mercado de exploits iOS de altíssimo valor operando sob modelo SaaS/comercial comparable ao Pegasus/NSO. As três famílias de malware implantadas ([[ghostblade|GHOSTBLADE]], [[ghostknife|GHOSTKNIFE]], [[ghostsaber|GHOSTSABER]]) capturam keystrokes, áudio, câmera e localização em tempo real. A cadeia foi corrigida no iOS 18.8 - qualquer dispositivo em versão anterior deve ser atualizado imediatamente, especialmente para perfis de alto risco (diplomatas, jornalistas, ativistas). --- ### Comissão Europeia - Segundo Breach em Dois Meses A Comissão Europeia confirmou em 27 de março a exfiltração de **350 GB de dados** de uma conta AWS comprometida. Este é o segundo incidente de segurança significativo em dois meses - o primeiro ocorreu em janeiro de 2026 via exploração da vulnerabilidade Ivanti EPMM. A recorrência de breaches em infraestrutura de uma das instituições mais relevantes da UE levanta questões sobre a postura de segurança cloud de órgãos governamentais europeus e reforça a necessidade de monitoramento contínuo de ambientes multi-cloud, especialmente para organizações governamentais no Brasil e LATAM que utilizam arquiteturas similares. --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2025-53521\|CVE-2025-53521]] (F5 BIG-IP APM) **PRAZO 30/03** | Patch HOJE + verificar IOCs F5 K000156741 | | 🟥 P1 | [[cve-2026-33017\|CVE-2026-33017]] (Langflow) | Patch imediato + rotação de chaves API LLM | | 🟥 P1 | [[cve-2026-33634\|CVE-2026-33634]] (Trivy/CI-CD) | Rotacionar todos os secrets se executou 19-23/03 | | 🟥 P1 | [[cve-2026-3564\|CVE-2026-3564]] (ScreenConnect) | Patch para 26.1 + regenerar material criptográfico | | 🟧 P2 | iOS 18.4-18.7 - DarkSword 6 zero-days | Atualizar para iOS 18.8+ · Lockdown Mode para alto risco | | 🟧 P2 | GoPix - 90.000 infecções, MitM HTTPS PAC | Monitorar PAC files e proxies locais inesperados | | 🟧 P2 | Horabot LATAM 2026 | Habilitar detecção AutoIT + monitorar MAPI/Outlook | | 🟧 P2 | TeamPCP Telnyx 4.87.1/4.87.2 + Vect Ransomware | Remover pacotes comprometidos + triagem forense | | 🟧 P2 | Wave Android 6 famílias (PIX banking trojans) | MDM: revogar acessibilidade apps não autorizados | | 🟧 P2 | Infiniti Stealer macOS - ClickFix + Nuitka | Bloquear update-check[.]com em DNS/proxies | | 🟧 P2 | Red Menshen / BPFDoor (Telecom Linux) | Auditar appliances VPN/firewall Linux por processos BPF | | 🟧 P2 | APT28 BeardShell + Operation GhostMail (Zimbra) | Patchear [[cve-2025-66376\|CVE-2025-66376]] + bloquear cloud storage | | 🟧 P2 | [[cve-2026-3055\|CVE-2026-3055]] (Citrix NetScaler) - recon ativo detectado 28/03 | Patch CTX696300 + desabilitar SAML IDP se não crítico | | 🟧 P2 | [[cve-2026-32746\|CVE-2026-32746]] (GNU InetUtils telnetd) **Sem patch** | Desabilitar Telnet imediatamente, migrar para SSH | | 🟧 P2 | PTC Windchill PLM - exploração industrial | Isolar de internet + patchear urgente | | 🟧 P2 | LockBit 5.0 - SESI Brasil | Revisar postura contra ransomware RaaS ativo no país | | 🟧 P2 | Lazarus Group | Revisar defesas contra spearphishing + SSH lateral | | 🟨 P3 | AI/LLM CVEs (LangChain, Langflow IDOR, Clerk SSRF) | Atualizar frameworks + auditar deployments expostos | | 🟨 P3 | CVEs Cloud-Native (Flannel, Traefik, MinIO) | Patchear componentes Kubernetes/cloud-native | | 🟨 P3 | [[cve-2025-26399\|CVE-2025-26399]] (SolarWinds WHD) | Planejar atualização | | 🟦 P4 | Google PQC deadline 2029 | Iniciar inventário RSA/ECC + roadmap migração | --- ### CVE em Destaque (Atualização 28/03): [[cve-2025-53521|CVE-2025-53521]] - F5 BIG-IP APM RCE - Prazo Federal Amanhã O [[cve-2025-53521|CVE-2025-53521]] (CVSS 9.8) foi adicionado ao CISA KEV em 27 de março com **prazo federal de remediação amanhã, 30 de março**. A vulnerabilidade permite execução remota de código não autenticada no módulo F5 BIG-IP APM e está sendo explorada ativamente por um ator estado-nação com nexo na China, que implanta o backdoor **[[brickstorm\|BRICKSTORM]]** em dispositivos comprometidos. O contexto crítico: a F5 Networks teve sua infraestrutura de engenharia interna comprometida em agosto de 2025, com acesso ao código-fonte de seus produtos. O CVE-2025-53521 é uma consequência direta desse comprometimento - o adversário teve meses para analisar o código e weaponizar a falha antes de sua divulgação pública. O BIG-IP APM é amplamente utilizado em setores [[financial|financeiro]], [[government|governo]] e [[telecom|Telecom]] no Brasil e LATAM como gateway de autenticação e controle de acesso. Um dispositivo comprometido oferece posição privilegiada para interceptação de credenciais em trânsito e movimentação lateral ampla. **Versões afetadas:** 15.x–15.1.10, 16.x–16.1.5, 17.x–17.5.1 **com política APM configurada** **Versões corrigidas:** 17.1.0.4+, 16.1.4.3+ ou 15.1.10.2+ **Verificar IOCs:** F5 K000156741 e K000160486 --- ## Referências da Semana - [1] [The Hacker News - Critical Langflow Flaw [[cve-2026-33017|CVE-2026-33017]]](https://thehackernews.com/2026/03/critical-langflow-flaw-[[cve-2026-33017|CVE-2026-33017]].html) - 2026-03-20 - [2] [BleepingComputer - ConnectWise patches ScreenConnect hijacking flaw](https://www.bleepingcomputer.com/news/security/connectwise-patches-new-flaw-allowing-screenconnect-hijacking/) - 2026-03-18 - [3] [Help Net Security - Unpatched ScreenConnect servers open to attack](https://www.helpnetsecurity.com/2026/03/20/connectwise-screenconnect-[[cve-2026-3564|CVE-2026-3564]]/) - 2026-03-20 - [4] [Kaspersky MDR - Horabot Returns: LATAM Banking Trojan Campaign](https://www.kaspersky.com/about/press-releases/2026/horabot-returns) - 2026-03-18 - [5] [CISA KEV - [[cve-2026-33017|CVE-2026-33017]] adicionado](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-03-25 - [6] [ConnectWise Security Bulletin 2026-03-17](https://www.connectwise.com/company/trust/security-bulletins/2026-03-17-screenconnect-bulletin) - [7] [CISA KEV - [[cve-2025-53521|CVE-2025-53521]] F5 BIG-IP APM adicionado](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-03-27 - [8] [The Cyber Throne - CISA Adds [[cve-2025-53521|CVE-2025-53521]]](https://thecyberthrone.in/2026/03/28/cisa-adds-[[cve-2025-53521|CVE-2025-53521]]-f5-big-ip-apm-to-kev/) - 2026-03-28 - [9] [F5 Advisory K000156741](https://my.f5.com/manage/s/article/K000156741) - BIG-IP APM mitigation guide - [10] [Cyware Daily - Red Menshen / BPFDoor](https://www.cyware.com/resources/threat-briefings/daily-threat-briefing/cyware-daily-threat-intelligence-march-27-2026) - 2026-03-27 - [11] [SANS ISC - TeamPCP Update 003](https://isc.sans.edu/diary/rss/32842) - 2026-03-28 - [12] [Malwarebytes - Infiniti Stealer macOS](https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka) - 2026-03-26 - [13] [BleepingComputer - Infinity Stealer ClickFix](https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/) - 2026-03-28 - [14] [Securelist - GoPix Banking Trojan Kaspersky GReAT](https://securelist.com/gopix-banking-trojan/119173/) - 2026-03-16 - [15] [CYFIRMA - Mobile Banking Malware Brazil 2026](https://www.cyfirma.com/research/mobile-banking-malware-brazil-2026/) - 2026-03-12 - [16] [dexpose.io - LockBit5 Targets SESI in Brazil](https://www.dexpose.io/lockbit5-targets-sesi-in-brazil-ransomware-attack/) - 2026-03-22 - [17] [Acronis Cyberthreats Report H2 2025 - Brasil 3o mais atacado](https://www.acronis.com/en-us/blog/posts/cyberthreats-report/) - 2026-03 - [18] [ESET Research - APT28 BeardShell](https://thehackernews.com/2026/03/apt28-uses-beardshell-and-covenant.html) - 2026-03-27 - [19] [Seqrite Labs - Operation GhostMail APT28](https://securityaffairs.com/189628/) - 2026-03-26 - [20] [Google GTIG - DarkSword iOS 6 zero-days](https://zimperium.com/blog/darksword-the-hit-and-run-successor-to-the-coruna-ios-exploit-kit) - 2026-03-26 - [21] [SecurityWeek - PTC Windchill police mobilization](https://www.securityweek.com/cisa-flags-critical-ptc-vulnerability-that-had-german-police-mobilized/) - 2026-03-28 - [22] [Dark Reading - Google PQC deadline 2029](https://www.darkreading.com/application-security/google-2029-deadline-quantum-safe-cryptography) - 2026-03-28 - [23] [Ransomware.live - Qilin/Payload/Nightspire new victims 28/03](https://www.ransomware.live) - 2026-03-28 - [24] [GitHub Advisory - path-to-regexp ReDoS [[cve-2026-4923|CVE-2026-4923]]/4926/4867](https://github.com/pillarjs/path-to-regexp/security/advisories) - 2026-03-28 - [25] [watchTowr / Rapid7 - [[cve-2026-3055|CVE-2026-3055]] Active Recon Detected](https://www.rapid7.com/blog/post/etr-[[cve-2026-3055|CVE-2026-3055]]-citrix-netscaler-adc-and-netscaler-gateway-out-of-bounds-read/) - 2026-03-28 - [26] [Citrix CTX696300 - NetScaler Security Advisory](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300) - 2026-03-23 --- *Próximo: W14 - em preparação · Anterior: [[2026-w12|W12]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]