Uma vulnerabilidade crítica do tipo zero-day no Adobe Reader está sendo explorada ativamente por hackers desde pelo menos dezembro de 2025, por meio de documentos PDF maliciosos cuidadosamente elaborados. A falha, até então desconhecida, permite a execução de ações avançadas nos sistemas das vítimas, sem que haja correções disponíveis até o momento.

A descoberta foi detalhada por Haifei Li, da empresa EXPMON, que identificou um artefato suspeito denominado “Invoice540.pdf”, inicialmente enviado à plataforma VirusTotal em novembro de 2025. Uma segunda amostra foi detectada em março de 2026, indicando a continuidade da campanha. O uso do nome do arquivo sugere uma estratégia de engenharia social, em que usuários são induzidos a abrir documentos aparentemente legítimos, como faturas.

Ao abrir o arquivo no Adobe Reader, o documento ativa automaticamente um código JavaScript ofuscado, capaz de coletar dados sensíveis da máquina comprometida e estabelecer comunicação com servidores remotos. Esse mecanismo permite não apenas o roubo de informações, mas também a entrega de cargas maliciosas adicionais, ampliando o impacto do ataque.

Análises adicionais indicam que os PDFs observados contêm iscas em idioma russo, com referências a eventos atuais relacionados ao setor de petróleo e gás, sugerindo possíveis alvos específicos ou campanhas geopolíticas direcionadas. O ataque também explora APIs privilegiadas do Acrobat, mesmo em versões atualizadas do software, o que aumenta a gravidade da ameaça.

Além da coleta de dados, o malware possui potencial para executar código remotamente (RCE) e escapar de ambientes isolados (sandbox), técnicas frequentemente utilizadas para comprometer sistemas de forma mais profunda e persistente. Os dados coletados são enviados para um servidor remoto, enquanto novos comandos podem ser recebidos para execução adicional.

Apesar de a etapa final do ataque ainda não estar totalmente documentada — possivelmente devido a mecanismos de filtragem baseados no ambiente da vítima —, especialistas alertam que a capacidade de coleta de informações e a possibilidade de exploração adicional tornam essa ameaça altamente crítica. O caso segue em desenvolvimento e mantém a comunidade de segurança em estado de alerta.