Pesquisadores identificaram uma operação privada de OAST hospedada em Google Cloud que, entre outubro e novembro de 2025, gerou cerca de 1.400 tentativas de exploração levando em conta mais de 200 CVEs e teve foco aparente em alvos no Brasil.
Descoberta e panorama
Uma investigação conduzida a partir de dados de Canary Intelligence e telemetria coletada por VulnCheck revelou a existência de um serviço de Out-of-Band Application Security Testing (OAST) privado operando em infraestrutura do Google Cloud sob domínios ligados a detectors-testing.com. Diferentemente de operações que usam serviços públicos como oast.fun ou interact.sh, os operadores desta campanha mantiveram domínio e backend próprios.
Escopo e números observados
- Período observado: outubro–novembro de 2025;
- Tentativas de exploração registradas: ~1.400;
- Vulnerabilidades probeadas: mais de 200 CVEs;
- Infraestrutura: múltiplos IPs do Google Cloud — seis endereços identificados como scanners e um dedicado ao OAST (34.136.22.26).
Abordagem técnica e vetores
Os pesquisadores encontraram um misto de templates Nuclei atuais e defasados usado para varredura, incluindo referências a templates antigos como grafana-file-read.yaml, removido do repositório oficial em outubro de 2025. Em um diretório aberto na porta 9000 foi recuperado um arquivo Java modificado nomeado TouchFile.class, originalmente associado a exemplos de exploração do Fastjson 1.2.47; a versão observada aceita parâmetros para executar comandos ou disparar requisições HTTP, o que amplia a flexibilidade do exploit.
Callback OAST e exemplos
O padrão de prova de exploração (OOB) usado pelos atacantes faz a máquina alvo realizar callbacks para subdomínios controlados pelos operadores, permitindo verificação de sucesso sem acesso direto aos hosts comprometidos. Um exemplo documentado envolve um teste para CVE-2025-4428 (Ivanti Endpoint Manager Mobile), cujo payload forçaria o alvo a contatar um subdomínio do tipo i-sh.detectors-testing.com.
Por que a escolha do Google Cloud importa
O uso de blocos de IPs de grandes provedores em nuvem traz vantagens operacionais para o atacante: tráfego originado dessas redes costuma misturar‑se ao ruído legítimo e, segundo os relatos, é menos propenso a bloqueios automáticos por defensores. As evidências levantadas apontam que a infraestrutura de exploit e o host OAST estavam alocados em endereços do Google Cloud, confirmando essa estratégia.
Impacto e limites das informações
O foco geográfico reportado — toda atividade observada concentrada em sistemas implantados no Brasil, segundo o dataset analisado — sugere um interesse regionalizado. As fontes não detalham lista de empresas ou setores específicos afetados nem quantos hosts únicos foram confirmados como vulneráveis; tampouco há expressão de atribuição a um grupo conhecido.
O que os defensores devem observar
- Monitorar callbacks inusuais para domínios e subdomínios novos ou desconhecidos, incluindo interações HTTP out-of-band;
- Auditar tentativas de varredura baseadas em Nuclei e identificar templates antigos em uso que possam sinalizar campanhas ampliadas;
- Investigar diretórios expostos e serviços em portas não convencionais (ex.: portas web em 9000) que possam abrigar payloads ou artefatos.
Fontes e contexto
As informações descritas nesta matéria foram compiladas a partir da análise publicada em Cyber Security News, com identificação técnica realizada por VulnCheck. As fontes originárias não apresentam lista pública de vítimas nem recomendações de mitigação detalhadas — nessa lacuna, cabe às equipes de defesa correlacionarem telemetria interna com os indicadores públicos citados.