PacificNews#230: Tinker Tailor Soldier Spy
ATA: A IA de cibersegurança mais ambiciosa da Amazon até o momento
A Amazon acaba de revelar sua IA de cibersegurança mais ambiciosa até o momento: o sistema interno chamado Análise Autônoma de Ameaças (ATA). A empresa utiliza o ATA para capacitar suas equipes de segurança, permitindo-lhes identificar proativamente vulnerabilidades em suas plataformas. O sistema também é usado para realizar análises de variantes – buscando rapidamente falhas semelhantes – e, em seguida, desenvolver soluções e recursos de detecção para corrigi-las antes que os invasores as encontrem.
O ATA nasceu de um hackathon interno da Amazon em agosto de 2024 e não se trata de um único agente de IA desenvolvido para realizar testes de segurança. Em vez disso, a big tech desenvolveu vários agentes de IA especializados que competem entre si em duas equipes para investigar rapidamente técnicas de ataque reais e as diferentes maneiras pelas quais elas poderiam ser usadas contra os sistemas da Amazon. Em seguida, o sistema propõe controles de segurança para revisão humana.
De acordo com Steve Schmidt, diretor de segurança da Amazon, “Cobertura limitada significa que você não consegue analisar todo o software ou todos os aplicativos porque simplesmente não tem pessoal suficiente. E é ótimo analisar um conjunto de softwares, mas se você não mantiver os próprios sistemas de detecção atualizados com as mudanças no cenário de ameaças, você estará perdendo metade da visão.”
A grande inovação reside no fato de que os agentes especializados do ATA trabalham juntos em equipes — cada um contribuindo com sua expertise para um objetivo maior. Isso imita a forma como os humanos colaboram em testes de segurança e no desenvolvimento de defesas. A diferença que a IA proporciona, segundo Michael Moran, engenheiro de segurança da Amazon, é a capacidade de gerar rapidamente novas variações e combinações de técnicas ofensivas e, em seguida, propor soluções em uma escala que seria proibitivamente demorada para humanos sozinhos.
Rastreando as mudanças de um atacante cibernético avançado chinês
O Grupo de Inteligência de Ameaças do Google (GTIG) está rastreando uma campanha de atacantes cibernéticos de longa data e detalhando como as táticas dos atacantes foram mudando ao longo do tempo. O agente malicioso em questão é o APT24, patrocinado pelo Estado da China em uma campanha que já dura mais de 03 anos. Durante este tempo, foi observado o malware BADAUDIO, extremamente ofuscado e responsável por estabelecer acesso permanente à rede das vítimas.
O BADAUDIO é um malware escrito em C++ que faz o download, descriptografa e instala um payload de um servidor de comando e controle (C2), responsável por coletar informações básicas do sistema. A sua particularidade é contar com uma técnica avançada de ofuscação, que desmonta de forma sistemática a lógica natural e estruturada do programa e dificulta sua engenharia reversa.
A execução do BABAUDIO costuma ocorrer através de exploração de programas legítimos, uma vez que o mesmo se manifesta como uma DLL maliciosa. As variantes recentes observadas indicam uma cadeia de execução mais refinada: arquivos compactados e criptografados contendo DLLs do BADAUDIO junto com arquivos VBS, BAT e LNK.
Em um primeiro momento, os operadores do BADAUDIO usavam estratégias mais amplas, focadas em aplicações externas, para comprometer sites expostos e poucos seguros e distribuir o malware. Isso era especialmente comum de se observar nos últimos meses de 2022, quando a campanha ganhou mais tração. Desde 2024, no entanto, o APT24 está usando vetores de ataque mais sofisticados.
Em julho de 2024, o grupo APT24 invadiu uma empresa regional de marketing digital em Taiwan, em um ataque à cadeia de suprimentos que afetou mais de 1.000 domínios. A empresa chegou a ser comprometida várias vezes ao longo do último ano, mostrando a persistência do grupo em manter a operação ativa.
Na primeira fase desse ataque à cadeia de suprimentos, o APT24 inseriu um script malicioso em uma biblioteca JavaScript amplamente utilizada e distribuída pela empresa de marketing digital. Para tornar o golpe ainda mais convincente, o grupo usou um domínio criado por typosquatting para se passar por uma verdadeira CDN e distribuir o código adulterado sem levantar suspeitas.
Mas não era só na web que o APT24 estava presente. Também foram conduzidas campanhas de engenharia social altamente direcionadas. Iscas, como e-mails que supostamente vinham de uma organização de resgate de animais, exploravam técnicas de persuasão para incentivar a interação do usuário e levar ao download direto de malware a partir de domínios controlados pelos atacantes. Seus emails incluíam links com pixel tracking, capazes de confirmar a abertura do e-mail e, potencialmente, medir o interesse do alvo para futuras ações maliciosas.
Essa campanha, que já dura quase três anos, é um exemplo claro da evolução contínua das capacidades operacionais do APT24 e evidencia o nível de sofisticação de agentes de ameaça ligados à China. O uso de técnicas avançadas como comprometimento de cadeia de suprimentos, engenharia social em múltiplas camadas e o abuso de serviços legítimos de nuvem demonstra a habilidade do grupo em manter operações de espionagem persistentes e adaptáveis.
Investigações revelam expansão de ataques contra aplicativos de mensagens
Usuários de Whatsapp e Signal estão sendo visados por campanhas de spyware comercial e trojans de acesso remoto (RATs). O alerta foi emitido pela Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), que identificou uma onda crescente de ataques em dispositivos móveis.
Segundo a agência, grupos maliciosos utilizam diferentes vetores para comprometer as vítimas, como mensagens de phishing, QR codes falsos, ataques zero-click e até aplicativos criados para imitar versões legítimas do Whatsapp e Signal para obter acesso não autorizado às contas.Como explica a CISA, “esses agentes maliciosos utilizam técnicas sofisticadas de direcionamento e engenharia social para entregar o spyware e obter acesso não autorizado ao aplicativo de mensagens da vítima, facilitando a instalação de cargas maliciosas adicionais que podem comprometer ainda mais o dispositivo móvel.”
Embora parte dos ataques seja oportunista, o maior foco está em alvos valiosos, como autoridades governamentais, militares, figuras políticas e membros da sociedade civil em regiões como Estados Unidos, Oriente Médio e Europa.
A CISA descreve operações recentes que incluem atores alinhados à Rússia explorando o recurso de dispositivos vinculados do Signal, variantes de spyware para Android como ProSpy e ToSpy se passando por Signal e ToTok nos Emirados Árabes Unidos e o ClayRat circulando pelo Telegram e por aplicativos falsos do WhatsApp, Google e TikTok na Rússia. A agência também identificou ataques que combinaram falhas no iOS e no WhatsApp (CVE-2025-43300 e CVE-2025-55177) contra menos de duzentos usuários, além de uma vulnerabilidade da Samsung (CVE-2025-21042) usada para instalar o spyware LANDFALL em dispositivos Galaxy no Oriente Médio.
Para reduzir riscos, a agência recomenda que usuários adotem as práticas descritas em seus guias “Mobile Communications Best Practices” e “Mitigating Cyber Threats with Limited Resources”, que apresentam orientações para fortalecer a segurança de aplicativos de mensagens.
Patches & Updates
Bastion: Foi descoberta uma vulnerabilidade de bypass de autenticação no Azure Bastion. A CVE-2025-49752 (CVSS score de 10.0) potencialmente permite que um atacante remoto obtenha privilégios administrativos em todas as VMs acessíveis via Bastion. Sua exploração envolve a interceptação e reutilização de tokens ou credenciais válidas para obter acesso não autorizado. Acredita-se que todas as implementações do Azure Bastion anteriores à atualização de segurança lançada em 20 de novembro de 2025 estão vulneráveis. Até o momento, nenhum detalhe do código-fonte ou prova de conceito foi publicado, e não há relatos de exploração ativa em um ambiente real.
Oracle: A agência de cibersegurança CISA confirmou que a CVE-2025-61757, recentemente corrigida no Oracle Identity Manager (um produto da sua plataforma Fusion Middleware) com os patches de outubro de 2025, foi explorada em ataques reais. Trata-se de uma falha que pode ser explorada por um atacante não autenticado para execução remota de código. Segundo informações técnicas divulgadas pela Searchlight, o SANS Technology Institute verificou os registros do seu honeypot em busca de sinais de possível exploração e encontrou o que pareciam ser tentativas de ataque originadas de diversos endereços IP entre 30 de agosto e 9 de setembro. Tais endereços também foram observados realizando varreduras na web em busca de outras vulnerabilidades de produtos, além de varreduras relacionadas a programas de recompensas por bugs.
Google: Celulares Google Pixel irão ganhar interoperabilidade para compartilhamento de arquivos entre o Quick Share, do Android, e o Apple AirDrop, do iPhone. Até o momento, apenas dispositivos Pixel série 10 possuem suporte a transmissão e recepção de dados, mas a expectativa é que o Google adicione mais modelos Android nesta lista. O Quick Share é o sistema nativo do Android para enviar arquivos (fotos, vídeos e documentos) entre dispositivos Android usando Bluetooth ou Wi-Fi Direct. O AirDrop é o sistema equivalente da Apple, usado para compartilhar arquivos entre iPhones, iPads e Macs. A ideia é a integração destes dois sistemas para que usuários de Android e iPhone possam trocar arquivos entre si.
Destaques pelo mundo
Iberia: A companhia aérea espanhola notificou seus clientes sobre um incidente de segurança de dados decorrente de uma invasão em um de seus fornecedores. Os dados comprometidos podem incluir: Nome e sobrenome do cliente; Endereço de e-mail e Número de identificação do cartão de fidelidade (Iberia Club). O momento da divulgação ocorre cerca de uma semana após uma alegação feita por um agente malicioso online de que ele tinha acesso a 77 GB de supostos dados da Iberia e estava tentando vendê-los por US$150.000.
Black Friday: Nesta sexta-feira acontece a Black Friday, um evento comercial com grandes descontos em produtos e serviços. Além dos consumidores, os golpistas também estão de olho nesta data e estão personificando grandes marcas, como Walmart, Coca-Cola, Louis Vuitton, LEGO, Starlink e outras para enganar consumidores e roubar suas carteiras. Os criminosos exibem pesquisas “sobre a marca” com aparência profissional, usando logos, datas falsas e até cronômetros para gerar urgência. O prêmio prometido muda conforme a marca copiada e, depois de responder a pesquisa, o usuário é informado de que só resta um prêmio e que a oferta expira em poucos minutos. Para receber o suposto item, é cobrada uma pequena taxa de envio. Para pagar essa taxa, você precisa preencher o formulário com nome completo, endereço, e-mail, telefone e todos os dados do cartão, incluindo o CVV. A partir daí, os criminosos podem usar ou revender essas informações para outras fraudes. Desconfie do que parece bom demais para ser verdade!
Harvard: A Universidade Harvard divulgou que, durante o fim de semana, alguns de seus sistemas foram comprometidos após um ataque de vishing (golpe por chamada telefônica), expondo informações pessoais de estudantes, ex-alunos, doadores, funcionários e membros do corpo docente. Entre os dados acessados estão e-mails, números de telefone, endereços residenciais e comerciais, histórico de participação em eventos, detalhes de doações e informações biográficas usadas em atividades de engajamento e arrecadação da universidade. Segundo Klara Jelinkova, Vice-Presidente e CIO de Harvard, e Jim Husson, Vice-Presidente de Alumni Affairs and Development, não foram expostos números de Seguro Social, senhas, dados de cartões de pagamento ou outras informações financeiras.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
