O grupo Kraken opera desde agosto de 2025 com versões destinadas a Windows, Linux e VMware ESXi, empregando exploração SMB, roubo de credenciais, túneis reversos e dupla extorsão. Cisco Talos e outros pesquisadores documentaram a sofisticação técnica, incluindo RSA‑4096 e ChaCha20 e opções de configuração avançadas.
O grupo Cl0P afirma ter invadido a Entrust explorando o CVE‑2025‑61882, um RCE no Oracle E‑Business Suite com CVSS 9.8. Oracle publicou correção no CPU de outubro de 2025; Entrust confirmou investigação e disse não haver sinais de dados de clientes comprometidos até o momento.
Grupo Kraken, ativo desde agosto de 2025, opera um ransomware cross‑platform com builds para Windows, Linux e VMware ESXi, utilizando RSA‑4096 e ChaCha20, túneis reversos (Cloudflared) e técnicas de double‑extortion; Cisco Talos e outras análises documentam a cadeia de ataque e a capacidade de comprometer ambientes virtualizados.
Pesquisa da ASEC identifica campanha que usa páginas de download falsas para instalar versões manipuladas de LogMeIn Resolve e PDQ Connect e distribuir o backdoor PatoRAT. A campanha emprega instaladores com nomes enganosos e company IDs embutidos e permite execução remota via PowerShell; PatoRAT contém strings em português e armazena configuração cifrada por XOR (0xAA).
O NHS investiga uma listagem do grupo Cl0p que o associa a uma campanha explorando CVE-2025-61882 contra Oracle E-Business Suite. Oracle liberou patches em setembro; o NHS afirma que nenhum dado foi publicado até o momento e trabalha com o NCSC na apuração.
Operação coordenada pela Europol entre 10 e 14 de novembro de 2025 derrubou mais de mil servidores usados por Rhadamanthys, VenomRAT e Elysium. A ação envolveu 11 países, mais de 100 oficiais em The Hague e parceiros privados para sinkholing e análise; as fontes citam centenas de milhares de máquinas comprometidas e acesso a mais de 100.000 carteiras de criptomoedas via Rhadamanthys.
O grupo APT‑C‑08 explorou CVE‑2025‑6218 (WinRAR ≤7.11) para plantar um Normal.dotm malicioso que executa macros e lança um binário remoto; atualize WinRAR, desative macros e aplique allowlisting.
Zero-days em Citrix NetScaler (CVE-2025-5777) e Cisco ISE (CVE-2025-20337) foram explorados em larga escala para implantar um webshell em memória identificado como "IdentityAuditAction"; equipes de honeypot da Amazon detectaram a campanha.
Google acionou na Justiça operadores do kit de phishing 'Lighthouse', ligado ao grupo Smishing Triad, que teria usado mais de 194.000 domínios maliciosos em campanhas de larga escala. A ação mira a infraestrutura por trás do kit; detalhes sobre vítimas e efeitos financeiros não foram divulgados.
Relatório da Picus Security descreve o APT Ferocious Kitten usando o implante MarkiRAT desde 2015 para espionagem contra populações persa‑fônes. O malware realiza keylogging, captura de clipboard, screenshots e exfiltração via HTTP/HTTPS, além de técnicas de hijacking e uso do RTLO (U+202E) para enganar vítimas.
