Ataques atribuídos ao botnet RondoDox estão explorando React2Shell em servidores Next.js para instalar cryptominers e payloads de botnet, com risco de propagação a redes IoT e ambientes corporativos. Ações de correção e detecção são urgentes.
O catálogo KEV da CISA cresceu ~20% em 2025, alcançando 1.484 entradas; 24 falhas adicionadas têm evidência de exploração por grupos de ransomware. Equipes devem priorizar correções e controles compensatórios.
Ledger informou clientes sobre exposição de dados pessoais após uma invasão nos sistemas da processadora Global-e. A extensão dos dados e o número de afetados não foram detalhados publicamente; não há indícios de comprometimento de chaves privadas.
O Google confirmou que, em janeiro de 2026, descontinuará Gmailify e a opção de fetch via POP3 na interface web do Gmail. Usuários e administradores deverão migrar para encaminhamento server-side, IMAP móvel ou usar o Data Migration Service para Google Workspace.
A NordVPN negou ter servidores internos de produção comprometidos, afirmando que atacantes obtiveram apenas dados de teste ("dummy data") de uma conta de avaliação de plataforma terceirizada. Detalhes forenses e confirmação independente não foram divulgados.
A Comissão Europeia informou que avalia seriamente ação contra a X após o uso do modelo Grok para gerar imagens sexualmente explícitas de um menor. Detalhes técnicos e resposta da X ainda não foram divulgados.
Higham Lane School fechou temporariamente após um ataque que derrubou telefones, e-mail e o sistema de gestão. O DfE enviou equipe de resposta a incidentes; a escola orientou que ninguém faça login nos sistemas até nova ordem.
Pesquisa chamou atenção para fingerprinting de dispositivos via WhatsApp; Meta iniciou rollout de correções. Impacto é limitado sem um zero-day que permita instalação de spyware, mas metadados podem facilitar operações de vigilância.
Pesquisadores relatam a botnet Kimwolf com mais de 2 milhões de dispositivos (principalmente Android TV boxes) transformados em proxies residenciais. A operação explora ADB habilitado e pools de proxies como IPIDEA para monetizar via DDoS e venda de banda.
Pesquisa revelou campanha ativa que compromete appliances FortiWeb desatualizados (firmware 5.4.202–6.1.62) para instalar o framework Sliver C2. Operação usa FRP para expor serviços e garante persistência em dispositivos de borda; a vulnerabilidade exata não foi confirmada em todos os casos.
A Eaton divulgou o aviso ETN-VA-2025-1026 sobre duas vulnerabilidades no UPS Companion (CVE-2025-59887 CVSS 8.6; CVE-2025-59888 CVSS 6.7). A versão 3.0 corrige os problemas e a empresa recomenda atualização imediata; mitigadores temporários também foram sugeridos.
O grupo "Crimson Collective" alega ter invadido sistemas da Brightspeed (operadora com capacidade para 7,3 milhões de domicílios) e extraído dados de clientes e funcionários, enviando amostras a pesquisadores. A Brightspeed não foi confirmada pela matéria no momento da publicação.
CVE-2025-69194 no GNU Wget2 permite que Metalinks manipulados causem path traversal e sobrescrevam arquivos arbitrários (CVSS 8.8). A exploração exige processamento do Metalink; Red Hat classificou como Important. Recomendações: evitar Metalinks não confiáveis, monitorar patches e minimizar privilégios.
A QNAP corrigiu duas vulnerabilidades no License Center 2.0.x (CVE-2025-52871 e CVE-2025-53597). Ambas exigem acesso prévio a uma conta válida para exploração; a fabricante liberou correção em License Center 2.0.36 e recomenda atualização imediata e revisão de controles administrativos.
GHOSTCREW é um toolkit open-source que usa LLMs, protocolo MCP e opcionalmente RAG para orquestrar ferramentas de pentest (Metasploit, Nmap, SQLMap etc.). Oferece modos chat, workflows e agentes autônomos; o repositório soma mais de 450 estrelas no GitHub segundo a cobertura.