Operação OAST em Google Cloud mira sistemas no Brasil
Pesquisadores identificaram uma operação privada de Out‑of‑Band Application Security Testing (OAST) hospedada em infraestrutura do Google Cloud que realizou centenas de tentativas de exploração, com foco em alvos no Brasil.
Descoberta e escopo / O que mudou agora
Relatório encontrado no feed indica que, entre outubro e novembro de 2025, foram observadas cerca de 1.400 tentativas de exploração associadas a uma operação privada de OAST. A infraestrutura usada incluía múltiplos endereços IP do Google Cloud, com um host identificado em 34.136.22.26. Os pesquisadores classificaram a iniciativa como uma operação massiva de varredura/exploração, direcionada a mais de 200 vulnerabilidades.
Vetor e exploração / Mitigações
A operação utilizou templates padrão de scanners (Nuclei) e payloads personalizados. Foi documentado um domínio associado, detectors-testing.com, e um diretório público que continha um arquivo Java modificado (TouchFile.class) ligado a exploração de Fastjson 1.2.47. As ações observadas combinaram automação de varredura com exploração adaptada de bibliotecas públicas e ferramentas de prova de conceito.
Impacto e alcance / Setores afetados
Os relatos apontam que o principal alvo foram sistemas com exposição pública, com concentração de eventos direcionados ao Brasil. Não há indicação no material de vítimas nomeadas ou de vazamento de dados confirmado; o impacto real depende das versões e exposições específicas dos serviços alvo.
Limites das informações / O que falta saber
O material disponível não permite confirmar autoria ou motivação (pesquisa vs. atacante) nem se a operação obteve exploração bem‑sucedida e persistência. Também não há lista pública de alvos afetados nem evidências públicas de exfiltração. As observações vêm de um diretório acessível e do tráfego ligado aos IPs do Google Cloud; falta coordenação completa com provedores para mapear comandos e cargas úteis.
Repercussão / Próximos passos / LGPD
Organizações com aplicações expostas devem verificar logs de acesso, revisar versões de dependências (como Fastjson) e bloquear tráfego suspeito vindo de IPs identificados. Equipes de segurança devem revisar regras Nuclei e assinaturas de detecção para bloquear padrões de exploração usados por esta operação. Para empresas brasileiras, o risco regulatório só existe se houver comprovação de exfiltração de dados pessoais, hipótese que não foi confirmada pelas fontes; portanto, avaliações de incidentes e planos de resposta devem ser preparados.
- Recomendações técnicas: isolar serviços públicos críticos, aplicar correções de bibliotecas (ex.: Fastjson), monitorar padrões Nuclei e bloquear hosts maliciosos.
- Observação: as informações derivam do material coletado em um diretório público e de assinaturas de rede; a autoria e a intenção não foram estabelecidas.