18 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a threat-actor.
Pesquisadores identificaram o uso de ferramentas nativas do Windows e do próprio EDR por um initial access broker identificado como Storm-0249 para carregar malware e estabelecer persistência antes de operações de ransomware. A técnica explora a confiança em utilitários legítimos e exige revisão de allowlisting, regras comportamentais no EDR e segmentação de rede.
Sophos investigou quase 40 intrusões ligadas ao cluster STAC6565 entre fev/2024 e ago/2025, e avalia com alta confiança sobreposições com o grupo Gold Blade. Cerca de 80% dos ataques tiveram alvos no Canadá; o ator associou‑se ao ransomware QWCrypt.
A CISA divulgou detalhes sobre BRICKSTORM, um backdoor sofisticado usado por atores ligados ao PRC para manter persistência em ambientes VMware vSphere e Windows; o advisory traz recomendações operacionais, sem quantificar vítimas ou listar CVEs públicos.
Kimsuky e Lazarus coordenam uma campanha que combina spear-phishing com exploração do CVE-2024-38193 para instalar backdoors (InvisibleFerret) e exfiltrar fundos e inteligência; caso documentado incluiu US$32 milhões em 48 horas.
O ator autodenominado "888" publicou amostras que, segundo ele, provam o vazamento de repositórios de código, arquivos de configuração, bancos SQL e credenciais hardcoded/SMTP ligados à LG Electronics. A divulgação ocorreu em 16/11/2025 via plataformas que monitoram a dark web; a LG ainda não se posicionou oficialmente, e especialistas citados recomendam varredura e rotação de chaves.
Um ator autodenominado "888" afirma ter publicado repositórios de código-fonte, arquivos de configuração, bases SQL e credenciais hardcoded supostamente extraídas da LG Electronics. Amostras divulgadas sugerem gigabytes de dados e exposição de chaves SMTP; a LG ainda não se manifestou oficialmente. Especialistas apontam risco de abuso para phishing, pivot e exposição de propriedade intelectual, e recomendam rotação imediata de credenciais e audit
Pesquisadores identificaram que o grupo por trás da campanha Contagious Interview passou a utilizar serviços públicos de armazenamento JSON (JSON Keeper, JSONsilo, npoint.io) para hospedar e entregar payloads maliciosos ligados a projetos de código trojanizados.
Relatório reproduzido pelo The Hacker News documenta que o grupo identificado como TA585 tem distribuído o malware comercial MonsterV2 via campanhas de phishing. O Proofpoint descreve a atividade como sofisticada, com uso de web injections e verificações de filtragem; fontes não quantificam vítimas nem detalham IoCs.