O CERT da Polônia relatou um ataque destrutivo contra instalações de energia que explorou credenciais padrão em equipamentos ICS. O caso destaca falhas operacionais básicas e reforça a necessidade de segmentação, gestão de credenciais e monitoramento voltado a OT.
CERT‑UA e Microsoft confirmaram exploração ativa da CVE‑2026‑21509 em documentos Office usados em campanhas contra órgãos ucranianos e instituições da UE. O exploit baixa atalhos com código malicioso e entrega o framework COVENANT via Filen para C2.
Censys e cobertura técnica identificaram 21.639 instâncias do assistente OpenClaw visíveis na internet. Interfaces administrativas e integrações com e‑mail, calendário e smart‑home podem expor credenciais e dados pessoais, exigindo correções imediatas nas práticas de implantação.
O SecurityWeek reporta que a Microsoft planeja desabilitar o protocolo NTLM por padrão nas próximas grandes releases do Windows e Windows Server. A mudança exige que equipes de identidade inventariem dependências, testem impactos e planejem migrações para métodos de autenticação modernos. O artigo original não traz cronograma detalhado nem orientações técnicas completas.
SecurityWeek compilou percepções de líderes de segurança sobre o impacto da inteligência artificial em malware, ransomware e ataques centrados em identidade. O texto aponta aumento da automação ofensiva, necessidade de telemetria e análise comportamental e urgência em fortalecer controles de identidade. O artigo público é qualitativo e recomenda acompanhamento por relatórios com métricas.
Pesquisadores da Cyble descreveram o ShadowHS, um framework fileless para Linux que executa payloads cifrados em memória via file descriptors anônimos. O malware inclui rotinas de fingerprint de EDR, módulos latentes para roubo de credenciais, movimentação lateral, exfiltração por túneis em espaço de usuário e até capacidades de mineração. A operação exclusiva em memória complica resposta a incidentes e requer coleta de memória ativa.
Análise revela campanha Arsink RAT que distribui APKs disfarçados de apps populares, exfiltra SMS, contatos, localização e gravações. Foram identificados ~45.000 IPs de vítimas, 1.216 APKs e 317 endpoints Firebase; maior incidência no Egito e Indonésia.
Relatos apontam comprometimento de um provedor de hospedagem que permitiu um ataque à cadeia de suprimento afetando clientes do Notepad++. O acesso teria durado meses e servido para segmentar vítimas; detalhes técnicos e indicadores não foram publicados nas fontes consultadas.
NationStates confirmou uma violação de segurança e tirou o site do ar para investigação. As informações públicas até agora são limitadas: não há escopo, vetores ou números de afetados detalhados divulgados pelas fontes consultadas.
Relatórios públicos descrevem uma campanha automatizada que localiza instâncias MongoDB expostas, apaga dados e insere notas de resgate. Cerca de 3.100 instâncias sem controle foram confirmadas; ~45,6% exibem notas de resgate e pagamentos concentraram‑se em uma carteira Bitcoin.
Em 30/01/2026 quatro extensões publicadas pelo autor 'oorzc' no registro Open VSX receberam versões maliciosas que embutiam o GlassWorm. O ataque aproveitou recursos da conta do desenvolvedor para distribuir malware via updates de extensão.
A infraestrutura de atualização do antivírus eScan (MicroWorld) foi usada para distribuir um downloader persistente por meio de updates maliciosos. A reportagem aponta comprometimento da cadeia de atualização, mas não traz métricas de alcance nem IoCs confirmados.
Pesquisadores da depthfirst detalharam uma cadeia de exploração “one‑click” no OpenClaw que permite RCE crítico (CVSS 9.8+). A falha combina ingestão insegura de gatewayUrl, conexão automática e vazamento de authToken; correção disponível em v2026.1.24-1.
Microsoft liberou o preview KB5074105 que exige UAC ao acessar Settings > System > Storage em Windows 11 24H2 e 25H2. O pacote inclui SSU (KB5074104) e atualizações a componentes de IA (modelos 1.2601.1268.0). Administradores devem testar compatibilidade antes do rollout.
A CISA republicou o aviso da Johnson Controls sobre CVE-2025-26385, uma falha de SQL injection com CVSS 10.0 que afeta seis produtos de controle industrial (ADS, ADX, LCS8500, NAE8500, SCT, CCT). A exploração pode permitir alteração, exclusão ou exfiltração de dados. Não há registro público de exploração até 27/01/2026; a agência recomenda isolamento de redes, segmentação, uso de VPNs seguras e reporte de atividades suspeitas.