Pesquisadores relataram uma campanha de espionagem do grupo China‑Nexus que explora CVE‑2025‑8088 no WinRAR e usa DLL sideloading (OBS, Adobe) para instalar backdoors com C2 em public.megadatacloud[.]com e 104.234.37.45; operações visam governos e mídia no Sudeste Asiático.
SolarWinds liberou correções para três vulnerabilidades críticas no Serv‑U que podem permitir execução remota de código. A matéria notifica a disponibilidade dos patches, mas não lista CVEs ou versões afetadas — equipes devem priorizar atualização e consultar o advisory oficial.
Pesquisa demonstra que agentes autônomos de IA podem ser sequestrados para subverter objetivos e que a interação entre agentes é um vetor para comprometer sistemas mais amplos. As matérias apresentam risco conceitual e recomendações gerais de controle, sem publicar exploits ou métricas de incidentes.
Reportagens destacam que leis nacionais de dados forçam adaptações locais que podem fragmentar arquiteturas e criar pontos de vulnerabilidade. O diagnóstico ressalta a necessidade de visibilidade centralizada, governança e coordenação entre jurídico e segurança, mas as matérias não trazem métricas empíricas.
Um segundo zero-day em appliances WAF da Fortinet está sendo explorado em ataques ativos, segundo reportagens. As matérias levantam dúvidas sobre as práticas de divulgação do fabricante, mas não trazem CVE, versões afetadas ou IOCs; recomenda-se reforço de monitoramento e contato com o fornecedor.
CVE‑2025‑11001, em 7‑Zip, permite RCE ao explorar symbolic links em ZIPs; PoC público e exploração ativa foram observados. A correção está em 7‑Zip 25.00; a NHS emitiu advisory urgente em 18/11/2025.
A Seraphic anunciou proteção nativa para aplicações Electron (ChatGPT desktop, Teams, Slack) e lançou recursos GenAI para visibilidade e DLP em interações com IA, prometendo cobertura sem mudanças infraestruturais.
A Secure.com anunciou uma captação de US$4,5 milhões e o lançamento do Digital Security Teammate (DST), agentes baseados em IA voltados para investigação, triagem e escalonamento de incidentes, com promessa de aliviar carga dos SOCs.
Especialistas de threat intelligence da Amazon registraram dois episódios em que operações cibernéticas ligadas ao Irã foram usadas para apoiar ataques cinéticos. As divulgações públicas confirmam a ligação entre espionagem digital e ações físicas, mas não trazem IOCs ou detalhes operacionais completos.
Pesquisa da SquareX descreve uma API oculta no AI Browser Comet (chrome.perplexity.mcp.addStdioServer) que permite extensões embutidas executar comandos locais sem consentimento do usuário; PoC demonstrou execução arbitrária via Agentic extension e periféricos riscos de cadeia de confiança.
CVE‑2025‑11001, uma RCE em 7‑Zip com CVSS 7.0, está sendo explorada ativamente; a falha foi corrigida em 7‑Zip 25.00 (julho/2025). Organizações devem atualizar e aplicar controles de isolamento ao processar arquivos compactados de origens não confiáveis.
Operation WrtHug comprometeu aproximadamente 50.000 endereços IP por meio de falhas em firmwares ASUS WRT, usando certificados TLS anômalos e backdoors SSH; modelos RT-AC1200HP, GT-AC5300 e DSL-AC68U estão entre os mais afetados. ASUS recomenda atualização de firmware e desativação do AiCloud.
Uma campanha que usa um worm baseado em Python e sequestro de contas do WhatsApp está distribuindo o banking trojan Eternidade Stealer com foco em usuários no Brasil; o adversário usa IMAP para recuperar dinamicamente endereços C2, aumentando a resiliência da infraestrutura de comando.
Nova Stealer substitui apps legítimos de carteiras macOS por versões falsas para capturar frases-semente e arquivos sensíveis (Ledger Live, Trezor Suite, Exodus). O malware usa scripts modulares, persistência via LaunchAgent e exfiltra arquivos críticos a cada ~20 horas; captura de keystrokes é enviada a endpoints /seed e /seed2 com delay por tecla.
Atacantes exploram falta de autenticação em clusters do framework Ray para comprometer nós expostos, implantar payloads gerados por LLMs e instalar miners de criptomoeda. A falha, com cerca de dois anos, permite abuso de recursos e execução remota quando clusters ficam acessíveis sem controles adequados.