Pesquisadores da CloudSEK documentaram que o MuddyWater (APT ligado ao Irã) passou a usar documentos Word com macros para instalar um implante em Rust — RustyWater — capaz de evitar AV/EDR, persistir via Run e se comunicar usando a biblioteca reqwest.
Pesquisa documenta campanha de phishing que usa GitHub Pages e redirecionamentos seletivos para imitar o portal de download da Fortinet, roubar credenciais VPN e distribuir payloads a partir de hosts maliciosos. Indicadores incluem vpn-fortinet.github.io, fortinet-vpn.com e myfiles2.download.
O OWASP Core Rule Set (CRS) publicou correções para CVE‑2026‑21876, uma falha crítica (CVSS 9.3) na regra 922110 que permitia bypass da validação de charset em requisições multipart. Versões afetadas incluem CRS 3.3.x (até 3.3.7) e 4.0.0–4.21.0. O projeto recomenda atualização imediata para CRS 3.3.8 ou 4.22.0; as correções verificam cada parte multipart individualmente.
Reportagem do SecurityWeek aponta que um exploit utilizado contra três vulnerabilidades do VMware ESXi — divulgadas como zero‑days em março de 2025 — pode ter sido desenvolvido até um ano antes da divulgação pública. A notícia descreve ataques recentes aproveitando as falhas e destaca a necessidade de patch rápido, segmentação de gerenciamento e monitoramento de hypervisors.
Gulshan Management Services, empresa que opera postos de combustíveis no Texas, informou ter sido alvo de um ataque de ransomware que expôs dados de 377.000 pessoas. A notificação às autoridades foi confirmada, mas detalhes técnicos e a natureza exata das informações comprometidas ainda não foram divulgados. Especialistas recomendam revisar contratos com fornecedores, ativar playbooks de resposta e monitorar IOCs.
CVE-2025-12543 afeta o servidor Undertow e componentes usados por WildFly/JBoss EAP, permitindo manipulação de Host headers que pode levar a sequestro de sessões, cache poisoning e acesso indevido. Red Hat publicou correções nos boletins RHSA-2026:0386 e RHSA-2026:0383; aplicação imediata é recomendada.
Atualizações do Microsoft Defender começaram a sinalizar o utilitário open‑source MAS (Microsoft Activation Scripts) como 'Trojan:PowerShell/FakeMas', afetando execuções legítimas a partir do domínio get.activated.win. Usuários relatam quarentenas e soluções temporárias; não há correção oficial divulgada nas matérias consultadas.
Trend Micro liberou o Critical Patch Build 7190 para Apex Central on‑premise (Windows) para corrigir três vulnerabilidades, incluindo CVE-2025-69258 (CVSS 9,8) — um LoadLibraryEX que pode permitir execução remota de código com privilégios SYSTEM. As versões abaixo do build 7190 devem ser atualizadas imediatamente; a Trend Micro recomenda restringir acesso de rede aos consoles enquanto aplica o patch.
GreyNoise registrou 91.403 sessões de ataque contra implantações de LLMs (out/2025–jan/2026). Campanhas usaram SSRF e enumeração para mapear endpoints (varredura massiva, fingerprint JA4H). Mitigue bloqueando conexões de saída e aplicando controles em webhooks.
CVE-2025-52691 é uma RCE pré‑autenticação (CVSS 10.0) em SmarterMail que explora /api/upload via path traversal no parâmetro GUID. A correção está na build 9413; PoC e artefatos de detecção foram publicados.
Relatório aponta que um ator sofisticado, ligado à China, usa malware Linux para atacar provedores de telecomunicações via exploits em dispositivos de borda; operações foram ampliadas ao sudeste da Europa. A matéria não traz detalhes técnicos sobre vetores ou famílias de malware.
O Google lançou o “AI Inbox” para Gmail, que usa o modelo Gemini para resumir e‑mails. A empresa afirmou que não usará o conteúdo das mensagens para treinar seus modelos. A matéria não detalha aspectos operacionais — como opt‑in, isolamento de dados e impacto sob a LGPD — que são relevantes para CISOs e DPOs.
A CPPA multou a Datamasters por comprar e revender listas com dados de milhões de pessoas com Alzheimer, dependência química e outras condições sensíveis. A reportagem não detalha o valor da multa nem os compradores finais dos dados.
Pesquisadores detectaram que um SonicWall comprometido foi usado para entregar um toolkit de exploração contra VMware ESXi; o toolkit aparenta ter sido desenvolvido mais de um ano antes das vulnerabilidades públicas correspondentes.
Atores clonaram uma extensão AI para Chrome e exfiltraram dados de ~900 mil usuários, incluindo interações com ChatGPT e DeepSeek, enviando tudo a um servidor C2. A matéria não lista IOCs nem as extensões alvo.