Microsoft investiga um problema em Exchange Online que está marcando e movendo mensagens legítimas para quarentena. Não há detalhes públicos sobre escala ou causa; equipes devem auditar quarentenas e contatar suporte.
Pesquisa publica PoC de minifilter (Sanctum/fs_minifilter) que intercepta eventos de escrita e renomeação no Windows para detectar padrões de ransomware, incluindo renomeações para extensões ligadas a IOCs e análise de entropia. Projeto inclui simulador em Rust e propostas de melhorias.
Autoridades da Comissão Europeia identificaram sinais de um incidente em sistemas de Mobile Device Management (MDM). A publicação pública é limitada: não há confirmação de escopo, IOCs ou exploração de dados. A investigação está em curso.
Fortinet divulgou CVE-2026-21643, uma SQL Injection em FortiClientEMS (CVSSv3 9.1) que pode permitir execução remota sem autenticação. A Fortinet recomenda atualizar 7.4.4 para 7.4.5; FortiEMS Cloud e branches 8.0/7.2 não são afetadas. Ainda não há provas públicas de exploração ativa.
Campanha identificada pela Morphisec ativa repositórios GitHub reativados para distribuir PyStoreRAT, um loader persistente que entrega stealers (ex.: Rhadamanthys) e adapta sua execução quando detecta produtos de segurança. Alvo declarado: administradores de TI e profissionais de OSINT. Recomendações incluem defesa comportamental e bloqueio de execução de scripts não verificados.
SlowMist e Koi Security identificaram centenas de skills maliciosas no marketplace ClawHub do OpenClaw. Atacantes esconderam comandos Base64 em SKILL.md que acionavam curl|bash para baixar stealers (ex.: Atomic macOS Stealer), exfiltrando Keychain e pastas do usuário. Pesquisas listam domínios, IPs e hashes como IOCs.
Symantec observou campanhas do Black Basta que embutem um driver vulnerável (NsecSoft NSecKrnl) no próprio payload para neutralizar soluções de segurança (BYOVD). A exploração associada ao CVE‑2025‑68947 permite requisições I/O control maliciosas para terminar agentes de proteção, facilitando a criptografia sem bloqueio pelos EDRs.
Campanha de phishing observada pela Cyfirma manipula fluxos legítimos de autenticação do Telegram para obter sessões autorizadas sem roubar senhas. Páginas hospedadas em domínios efêmeros direcionam o usuário a aprovar prompts no app, criando acesso persistente. Não há evidência de exploração em servidores do Telegram; trata‑se de abuso de fluxo de autorização e engenharia social.
Relatos apontam exploração ativa de CVE‑2026‑21509 em Microsoft Office por um grupo associado à Rússia (APT28) para distribuir o framework Covenant via documentos de phishing. O ataque emprega WebDAV, COM hijacking e usa Filen.io como C2; o CERT‑UA recomenda mitigação por registro e bloqueio de IOCs.
A infraestrutura de hospedagem previamente usada pelo Notepad++ foi comprometida entre junho e dezembro de 2025, redirecionando atualizações a servidores maliciosos. O projeto lançou a versão v8.8.9 com validações fortalecidas e anunciou futura exigência de XMLDSig. A matéria não traz IOCs nem estimativa de vítimas; equipes devem atualizar e aguardar dados técnicos adicionais.
Relatório do BleepingComputer aponta que um grupo alinhado a um Estado, identificado como TGR-STA-1030/UNC6619, conduziu a operação "Shadow Campaigns", com alvos em infraestrutura governamental de 155 países. A cobertura inicial divulga escopo e denominações do ator, mas não traz IOCs, técnicas nem atribuição definitiva.
Reportagem do G1 descreve como igrejas e líderes religiosos têm incorporado IA — de GPTs que geram materiais a avatares em confessionários — e discute riscos como imprecisões factuais, dilemas éticos e possíveis danos psicológicos ligados ao uso de chatbots.
BfV e BSI emitiram alerta sobre campanha de espionagem que usa phishing no Signal para comprometer contas de militares, diplomatas, políticos e jornalistas. Técnicas descritas incluem falso suporte que pede códigos PIN e QR codes de vinculação para leitura silenciosa de mensagens; agências recomendam checar "Linked Devices" e não compartilhar códigos de verificação.
BridgePay confirmou que um ataque de ransomware derrubou sistemas críticos e causou interrupções generalizadas em sua plataforma de pagamentos. A cobertura indica impacto nacional nos EUA, mas detalhes sobre o ator, dados exfiltrados e alcance exato ainda não foram divulgados.
OpenClaw publicou a versão v2026.2.6 com scanner de segurança para skills, suporte a novos modelos (Opus 4.6, GPT‑5.3‑Codex, Grok) e anunciou parceria com o VirusTotal para varredura automatizada do marketplace ClawHub. A medida surge após relatos de centenas de skills maliciosos e problemas no tratamento de segredos.