Uma vulnerabilidade crítica do tipo zero-day no Adobe Reader está sendo explorada ativamente por hackers desde pelo menos dezembro de 2025, por meio de documentos PDF maliciosos cuidadosamente elaborados. A falha, até então desconhecida, permite a execução de ações avançadas nos sistemas das vítimas, sem que haja correções disponíveis até o momento. A descoberta foi detalhada por Haifei Li, da empresa EXPMON, que identificou um artefato suspeito denominado “Invoice540.pdf”, inicialmente enviado à plataforma VirusTotal em novembro de 2025. Uma segunda amostra foi detectada em março de 2026, indicando a continuidade da campanha. O uso do nome do arquivo sugere uma estratégia de engenharia social, em que usuários são induzidos a abrir documentos aparentemente legítimos, como faturas. Ao abrir o arquivo no Adobe Reader, o documento ativa automaticamente um código JavaScript ofuscado, capaz de coletar dados sensíveis da máquina comprometida e estabelecer comunicação com servidores remotos. Esse mecanismo permite não apenas o roubo de informações, mas também a entrega de cargas maliciosas adicionais, ampliando o impacto do ataque. Análises adicionais indicam que os PDFs observados contêm iscas em idioma russo, com referências a eventos atuais relacionados ao setor de petróleo e gás, sugerindo possíveis alvos específicos ou campanhas geopolíticas direcionadas. O ataque também explora APIs privilegiadas do Acrobat, mesmo em versões atualizadas do software, o que aumenta a gravidade da ameaça. Além da coleta de dados, o malware possui potencial para executar código remotamente (RCE) e escapar de ambientes isolados (sandbox), técnicas frequentemente utilizadas para comprometer sistemas de forma mais profunda e persistente. Os dados coletados são enviados para um servidor remoto, enquanto novos comandos podem ser recebidos para execução adicional. Apesar de a etapa final do ataque ainda não estar totalmente documentada — possivelmente devido a mecanismos de filtragem baseados no ambiente da vítima —, especialistas alertam que a capacidade de coleta de informações e a possibilidade de exploração adicional tornam essa ameaça altamente crítica. O caso segue em desenvolvimento e mantém a comunidade de segurança em estado de alerta.

A CIA promoveu discretamente sua divisão de ciberespionagem a um novo patamar estratégico, sinalizando uma mudança relevante na postura dos Estados Unidos no cenário digital. O Centro de Inteligência Cibernética (CCI), que desde 2015 operava dentro da Diretoria de Inovação Digital, foi elevado a um “mission center” — estrutura que garante maior autonomia, orçamento e prioridade dentro da agência. A decisão foi liderada pelo diretor John Ratcliffe como parte de uma reestruturação interna voltada a fortalecer a capacidade da agência de identificar, analisar e neutralizar ameaças cibernéticas estrangeiras. Com a mudança, a liderança do centro passa a se reportar diretamente ao diretor, além de ter acesso ampliado a recursos e equipes especializadas. Segundo representantes da agência , a reestruturação busca aumentar a eficiência das operações cibernéticas e garantir que nenhuma ameaça esteja fora do alcance das capacidades da CIA. Na prática, isso inclui não apenas inteligência defensiva, mas também o desenvolvimento de ferramentas ofensivas e técnicas avançadas de espionagem digital. A movimentação ocorre em paralelo a uma diretriz mais ampla da política de segurança nacional dos Estados Unidos , que vem adotando uma postura mais assertiva no ciberespaço. A estratégia nacional de cibersegurança divulgada recentemente pela Casa Branca reforça a intenção de utilizar operações ofensivas para responder a adversários e aumentar o custo de ataques contra o país. Internamente, a mudança também reflete a visão de Ratcliffe de tornar a agência menos avessa a riscos, especialmente diante da crescente sofisticação de ameaças digitais globais. O fortalecimento do CCI posiciona a CIA como um dos principais atores no campo da guerra cibernética, ampliando sua relevância estratégica ao lado de outras entidades como o Comando Cibernético dos EUA. O histórico da divisão reforça sua importância. Em 2017, documentos vazados pelo WikiLeaks, conhecidos como “Vault 7”, revelaram uma série de ferramentas avançadas utilizadas pela CIA, incluindo exploração de vulnerabilidades em sistemas como iOS, Android e Microsoft Windows, além de técnicas capazes de transformar dispositivos domésticos em ferramentas de espionagem. Com a elevação do centro, especialistas apontam que a CIA ganha ainda mais protagonismo na disputa digital global, em um cenário onde ataques cibernéticos se consolidam como instrumentos estratégicos de influência, espionagem e dissuasão entre nações.

Um novo movimento no cenário de ciberespionagem internacional acendeu alertas entre especialistas em segurança. O grupo hacker russo APT28, também conhecido como Forest Blizzard e Pawn Storm, foi associado a uma campanha sofisticada de ataques direcionados contra a Ucrânia e países aliados da OTAN. A operação utiliza um conjunto inédito de malwares chamado PRISMEX , projetado para espionagem avançada e possível sabotagem. De acordo com análises conduzidas pela Trend Micro , a campanha está ativa desde pelo menos setembro de 2025 e tem como alvos setores críticos, incluindo órgãos governamentais, defesa, logística ferroviária, transporte marítimo e até serviços meteorológicos — áreas diretamente ligadas à infraestrutura estratégica e ao suporte operacional em cenários de conflito. O ataque começa com campanhas de spear phishing altamente direcionadas, explorando vulnerabilidades recentes como CVE-2026-21509 e CVE-2026-21513. Em alguns casos, evidências indicam que o grupo já explorava essas falhas como zero-day antes mesmo de sua divulgação oficial, demonstrando um nível elevado de capacidade técnica e acesso antecipado a vulnerabilidades críticas. A cadeia de ataque é estruturada em múltiplas etapas. Inicialmente, uma falha força o sistema da vítima a baixar um arquivo malicioso no formato .LNK, que posteriormente explora outra vulnerabilidade para contornar mecanismos de segurança e executar códigos sem alertas ao usuário. Esse encadeamento reforça o uso de técnicas modernas de exploração combinada, aumentando significativamente a taxa de sucesso dos ataques. No estágio final, o PRISMEX entra em ação. O malware utiliza esteganografia para ocultar cargas maliciosas dentro de imagens aparentemente legítimas, além de empregar técnicas como hijacking de COM e abuso de serviços legítimos de cloud para comunicação com servidores de comando e controle. Essa abordagem dificulta a detecção por soluções tradicionais de segurança. O conjunto PRISMEX é composto por diferentes módulos, incluindo loaders, droppers e stagers, que operam de forma coordenada. Entre eles, destaca-se o uso do framework de comando e controle COVENANT, amplamente utilizado por grupos avançados. Em alguns casos, os ataques também envolvem o roubo de e-mails via Outlook e até a execução de comandos destrutivos capazes de apagar arquivos do sistema da vítima. Esse comportamento híbrido — combinando espionagem com potencial de destruição — reforça a hipótese de que a campanha não se limita à coleta de informações, mas também busca impactar operações críticas. O foco em cadeias de suprimento, rotas logísticas e serviços de suporte à Ucrânia sugere uma estratégia mais ampla de desestabilização. A análise também aponta conexões com campanhas anteriores, como a chamada Operation Neusploit, indicando evolução contínua das técnicas utilizadas pelo grupo. A utilização de serviços em nuvem legítimos para comunicação maliciosa e a sofisticação na ocultação de payloads evidenciam um avanço significativo na evasão de mecanismos de defesa. O cenário reforça o papel crescente da cibersegurança como componente estratégico em conflitos geopolíticos, onde ataques digitais são utilizados não apenas para espionagem, mas também como ferramentas de influência e interrupção operacional.

Uma nova linha de pesquisas acadêmicas revelou um cenário preocupante para a segurança de ambientes que utilizam alto poder computacional, especialmente em inteligência artificial e cloud. Um conjunto de técnicas, liderado pelo ataque denominado GPUBreach , demonstrou ser capaz de explorar falhas na memória de GPUs modernas para alcançar algo até então considerado improvável: o controle total do sistema, incluindo privilégios de nível root. O estudo, conduzido por especialistas da University of Toronto , expande os limites de uma vulnerabilidade já conhecida chamada RowHammer . Tradicionalmente associada à memória DRAM, essa falha permite a alteração de bits (de 0 para 1 ou vice-versa) por meio de acessos repetitivos à memória. Agora, os pesquisadores demonstraram que o mesmo princípio pode ser aplicado à memória GDDR6 utilizada em GPUs de alto desempenho, incluindo modelos da NVIDIA . O diferencial do GPUBreach está na sua capacidade de ir além da simples corrupção de dados. A técnica permite comprometer tabelas de páginas da GPU, possibilitando que um processo sem privilégios obtenha acesso de leitura e escrita arbitrária na memória. A partir daí, o ataque evolui para explorar falhas no driver do sistema, resultando na escalada de privilégios no CPU e, consequentemente, no controle total da máquina. Um dos pontos mais críticos é que o ataque consegue contornar proteções fundamentais de hardware, como o IOMMU (Input-Output Memory Management Unit), responsável por isolar dispositivos e evitar acessos indevidos à memória. Mesmo com esse mecanismo ativo, o GPUBreach manipula estados confiáveis do driver para provocar falhas no kernel, abrindo caminho para execução de código privilegiado . Além do GPUBreach, outros dois métodos — GDDRHammer e GeForge — também foram apresentados, todos explorando corrupção de memória em GPUs. Embora compartilhem o mesmo objetivo de acesso indevido à memória, o GPUBreach se destaca por conseguir escalar privilégios até o nível do sistema operacional, tornando-o mais perigoso. Os impactos vão além do comprometimento de sistemas. Os pesquisadores também demonstraram que essas técnicas podem degradar significativamente a precisão de modelos de machine learning — em alguns casos, com redução de até 80% na acurácia — além de permitir o vazamento de chaves criptográficas sensíveis. Em termos de mitigação, a ativação de ECC (Error-Correcting Code) pode reduzir parcialmente o risco, mas não é considerada uma solução definitiva. Estudos anteriores já demonstraram que ataques avançados conseguem contornar essa proteção. Em GPUs de consumo, onde ECC não está disponível, o cenário é ainda mais crítico, já que não existem contramedidas eficazes conhecidas até o momento. O avanço dessas técnicas reforça uma mudança importante no cenário de segurança: à medida que GPUs se tornam peças centrais em ambientes de IA, cloud e HPC, elas também passam a representar uma nova superfície de ataque — até então subestimada — com impactos potencialmente sistêmicos.

O Bundeskriminalamt (BKA), principal órgão de investigação criminal da Alemanha, revelou a identidade de dois dos principais integrantes do grupo hacker REvil , uma das operações de ransomware mais agressivas dos últimos anos. A organização foi responsável por dezenas de ataques de alto impacto em escala global, incluindo incidentes que atingiram grandes empresas e infraestruturas críticas. Entre os identificados está Daniil Maksimovich Shchukin , cidadão russo de 31 anos, apontado como uma das figuras centrais do grupo. Conhecido online por diversos apelidos, incluindo UNKN , ele atuava como porta-voz e responsável por promover o ransomware em fóruns clandestinos, além de coordenar atividades do grupo. Também foi identificado Anatoly Sergeevitsch Kravchuk , de 43 anos, acusado de ser um dos principais desenvolvedores da operação. Segundo as autoridades alemãs, os dois hackers estão ligados diretamente a pelo menos 130 ataques de ransomware no país. Em 25 desses casos, vítimas realizaram pagamentos que somaram cerca de €1,9 milhão. No total, os danos financeiros causados ultrapassam €35 milhões, evidenciando o impacto significativo da atuação do grupo no cenário corporativo. O REvil operava sob o modelo de “ransomware como serviço” (RaaS), permitindo que afiliados utilizassem sua infraestrutura e ferramentas para conduzir ataques em troca de uma porcentagem dos lucros. Esse modelo foi um dos principais responsáveis pela escalada global de ataques de ransomware nos últimos anos, democratizando o acesso a ferramentas avançadas de cibercrime. O grupo ganhou notoriedade internacional ao atingir grandes organizações, como a JBS e a Kaseya, em ataques que causaram interrupções operacionais e prejuízos milionários. Apesar de ter encerrado suas atividades oficialmente em 2021 após operações coordenadas de autoridades internacionais, o legado do REvil continua influenciando novas gerações de grupos hackers. Investigações indicam que a operação do REvil teve origem na evolução do ransomware GandCrab, um dos primeiros grandes casos de RaaS. Ao longo dos anos, o grupo expandiu sua rede de afiliados, chegando a contar com cerca de 60 operadores ativos em diferentes regiões do mundo. Em uma ação considerada rara, o serviço de inteligência russo anunciou em 2022 a prisão de membros ligados ao grupo, com parte deles sendo condenada posteriormente. Ainda assim, a identificação dos líderes pelo BKA reforça o esforço contínuo das autoridades em responsabilizar os principais operadores por trás desses ataques. O caso também revela um aspecto importante do cibercrime moderno: muitos desses grupos são altamente organizados, operando como verdadeiras empresas, com divisão de funções, estratégias de marketing e estruturas de monetização bem definidas. Além disso, declarações atribuídas a Shchukin indicam uma trajetória marcada por dificuldades financeiras antes de ingressar no mundo do cibercrime, onde acabou acumulando grande riqueza. Esse perfil reforça uma tendência observada em grupos de ransomware, que combinam motivação financeira com habilidades técnicas avançadas. O desmantelamento parcial do REvil não representa o fim desse tipo de ameaça. Pelo contrário, o modelo RaaS continua sendo amplamente adotado, tornando o ransomware uma das principais ameaças à segurança digital global.

Um grupo hacker associado à China voltou a intensificar ataques contra governos e organizações diplomáticas na Europa, utilizando uma combinação de malware avançado e técnicas sofisticadas de phishing. A campanha, ativa desde meados de 2025, foi atribuída ao cluster TA416, conhecido por suas operações de espionagem cibernética altamente direcionadas. Segundo análises da empresa de segurança Proofpoint , os ataques têm como alvo missões diplomáticas ligadas à União Europeia e à OTAN, além de organizações governamentais em diferentes países europeus. A operação também se expandiu recentemente para o Oriente Médio, possivelmente em resposta às tensões geopolíticas envolvendo Estados Unidos, Israel e Irã. A campanha utiliza múltiplas técnicas para infiltração, incluindo o uso de “web bugs” — pequenos elementos invisíveis em e-mails que permitem aos hackers identificar se a mensagem foi aberta e coletar informações como endereço IP e comportamento do usuário. A partir daí, os ataques evoluem para o envio de malware, principalmente o backdoor PlugX, amplamente utilizado em operações de espionagem. Uma das técnicas mais sofisticadas envolve o abuso de fluxos legítimos de autenticação via OAuth . Os e-mails de phishing direcionam as vítimas para páginas oficiais de autorização da Microsoft, que, após o login, redirecionam o usuário para domínios controlados pelos hackers, iniciando o download de arquivos maliciosos. Essa abordagem permite contornar mecanismos tradicionais de segurança em e-mails e navegadores. Além disso, os invasores têm utilizado serviços legítimos como Microsoft Azure, Google Drive e SharePoint comprometido para hospedar arquivos maliciosos, dificultando ainda mais a detecção. Em uma das cadeias de ataque mais recentes, os arquivos baixados incluem um executável legítimo da Microsoft (MSBuild) combinado com um projeto malicioso em C#, que atua como downloader para instalar o malware. O PlugX continua sendo o principal vetor de persistência nos sistemas comprometidos. Após a infecção, o malware estabelece comunicação criptografada com servidores de comando e controle (C2), permitindo aos hackers executar comandos remotamente, coletar informações do sistema e implantar novos payloads. Especialistas destacam que o grupo demonstra alta capacidade de adaptação, alterando constantemente suas técnicas para evitar detecção. O uso de DLL side-loading, abuso de serviços confiáveis e engenharia social avançada reforça a sofisticação das operações. O retorno do TA416 ao cenário europeu, após um período focado no Sudeste Asiático, indica uma mudança estratégica alinhada a interesses geopolíticos. De acordo com análises recentes, campanhas desse tipo têm evoluído para ataques mais centrados em identidade e persistência de longo prazo, com invasões que podem permanecer ocultas por meses — ou até anos — antes de serem reativadas. O cenário reforça um alerta crítico: ataques modernos não buscam apenas acesso imediato, mas sim presença silenciosa e contínua dentro de infraestruturas críticas, permitindo coleta de inteligência estratégica ao longo do tempo.

Webinar analisa o histórico de mudanças de licenciamento da Broadcom, o impacto real em ambientes virtualizados e o que os dados de mercado indicam sobre os próximos movimentos. Desde a aquisição da VMware pela Broadcom, em novembro de 2023, o mercado de virtualização passou por quatro mudanças estruturais em menos de três anos. Cada uma seguiu o mesmo padrão: anúncio com pouco aviso, janela curta de adaptação e impacto desproporcional sobre os ambientes. Para os CIOs, CTOs e equipes de TI responsáveis por infraestrutura virtualizada, o cenário deixou de ser previsível — e ignorar esse histórico antes da próxima renovação é um risco concreto. O Gartner registrou aumento de 275% nas consultas sobre saída do VMware apenas no primeiro semestre de 2024. Mas 74% dos líderes de TI que avaliam alternativas ainda não têm solução técnica pronta, segundo o Gartner Peer Community. O problema não é só o custo. É a combinação de mudança de modelo de cobrança, fim das licenças perpétuas, compressão das opções de contrato e ausência de alternativas consolidadas. Cada renovação que chega sem diagnóstico atualizado é uma negociação que começa em desvantagem. "Ninguém tem dúvida do impacto que as mudanças trouxeram. O que ainda falta para a maioria das empresas é clareza sobre as possíveis alternativas e como o mercado está se movimentando." — Thiago Madeira de Lima , CEO da Penso A Penso, parceira VMware há mais de 15 anos, realiza webinar gratuito conduzido por Thiago Madeira de Lima, CEO da empresa. Os temas incluem: Cronologia das mudanças de licenciamento VMware de 2020 a 2026 Como calcular o impacto real da próxima renovação no modelo atual da Broadcom O que Gartner, IDC e Forrester estão dizendo sobre o mercado de virtualização Como o mercado está reagindo na prática As principais estratégias e tecnologias que empresas estão adotando Os prós e contras, prazos de migração e riscos do cenário atual e de suas alternativas Checklist: 5 ações de diagnóstico antes da próxima renovação VMware 30 minutos de conteúdo técnico e de mercado, com 15 minutos de Q&A. Participantes recebem acesso ao assessment gratuito de ambiente VMware da Penso, com diagnóstico entregue em até uma semana. Inscrições pelo link Sobre a Penso Tecnologia: parceira VMware há mais de 15 anos, especialista em resiliência de dados e continuidade de negócios, operando em data centers Tier III com certificação ISO 27001.

O mercado financeiro brasileiro está sob pressão de um dilema duplo: a nova regulação de transparência e fiscalização sobre Inteligência Artificial (IA) e o combate a ataques cibernéticos que se tornaram fundamentalmente destrutivos. O relatório M-Trends 2026 da Mandiant confirma o agravamento das ameaças, enquanto a Resolução BCB 538/2025 do Banco Central  impõe uma redefinição urgente nas arquiteturas de segurança. O setor financeiro, que responde por 14,6% das investigações globais, precisa de sistemas que transformem a segurança em uma prova inalterável. I. O Imperativo Regulatório: Rastreabilidade Inviolável da IA A principal exigência do Banco Central é que as instituições financeiras consigam provar e auditar cada decisão tomada por seus sistemas de IA. O problema central é que os sistemas de registro comuns ( logging ) são insuficientes, pois as trilhas de evidência podem ser alteradas ou apagadas, comprometendo a auditoria. A solução de mercado para essa lacuna é a adoção de uma arquitetura que garanta o registro de dados de auditoria de forma imutável . Esse histórico deve ser armazenado sob condições que impeçam qualquer modificação ou exclusão subsequente, funcionando como um "Cartório Digital" das operações. II. A Imutabilidade Como Defesa Contra o Ransomware Moderno A necessidade regulatória por imutabilidade oferece uma blindagem direta contra as novas táticas de ataque. O cibercrime, conforme o M-Trends 2026, evoluiu para a denegação de recuperação , destruindo backups  e trilhas de evidência para forçar o pagamento. Ao garantir que o registro de conformidade da IA seja resistente à exclusão — mesmo por usuários internos ou invasores com acesso amplo —, o setor financeiro protege sua capacidade de recuperação e anula a principal tática de chantagem moderna. III. Vishing e a Proteção do Acesso Privilegiado O vishing  (phishing por voz) saltou para o segundo vetor de infecção mais comum (11%), sendo altamente eficaz no roubo de credenciais privilegiadas no setor financeiro. Para combater isso, as arquiteturas de nova geração adotam o conceito de Zero-Persistência , garantindo que as informações sensíveis da IA não sejam mantidas em disco, existindo apenas na memória volátil. Além disso, utilizam chaves criptográficas baseadas em hardware seguro para validar alterações de políticas, impedindo que credenciais roubadas causem danos permanentes. IV. Isolamento de Infraestrutura Crítica Ataques direcionados a infraestruturas de virtualização ( hypervisors ) por grupos como o UNC6201 exigem que os mecanismos de segurança mais críticos operem de forma isolada. A tendência do mercado é buscar soluções Cloud-Native  ( sem estado ), que atuam como proxies  de segurança e não necessitam de volumes de disco permanentes, isolando a lógica de conformidade e reduzindo a superfície de ataque em comparação com soluções instaladas em ambientes virtualizados tradicionais Arquiteturas como a Rex (Gemini Guard) , da Foundlab , exemplificam essa convergência. A solução foi projetada para garantir a rastreabilidade em tempo real e a imutabilidade do registro de auditoria, atendendo integralmente à BCB 538/2025, ao mesmo tempo que fornece defesa avançada contra as táticas de denegação e roubo de credenciais.

Uma nova variante do malware SparkCat foi identificada em aplicativos disponíveis tanto na App Store quanto na Google Play, ampliando os riscos para usuários de dispositivos móveis — especialmente aqueles que utilizam criptomoedas. A ameaça, que já havia sido documentada anteriormente, evoluiu significativamente e agora adota técnicas mais sofisticadas para roubo de informações sensíveis. De acordo com análises conduzidas pela Kaspersky , o malware está sendo distribuído por meio de aplicativos aparentemente legítimos, como mensageiros corporativos e serviços de entrega de comida. Uma vez instalado, o aplicativo solicita acesso à galeria do dispositivo e passa a analisar silenciosamente as imagens armazenadas. O objetivo é específico: identificar frases de recuperação de carteiras de criptomoedas, conhecidas como “seed phrases”. Para isso, o SparkCat utiliza tecnologia de reconhecimento óptico de caracteres (OCR), capaz de extrair texto de imagens. Caso identifique palavras-chave relevantes, o malware envia automaticamente essas imagens para servidores controlados pelos hackers. A variante para iOS chama atenção por seu alcance mais amplo. Diferentemente da versão Android, que busca termos em idiomas asiáticos como japonês, coreano e chinês, a versão para iPhone foca em frases em inglês — o que amplia significativamente o número de potenciais vítimas em nível global. Já no Android, o malware evoluiu em termos técnicos, incorporando múltiplas camadas de ofuscação, incluindo virtualização de código e uso de linguagens multiplataforma. Essas técnicas dificultam a análise por ferramentas de segurança e tornam a detecção mais complexa. O SparkCat foi inicialmente identificado em fevereiro de 2025 e, desde então, tem demonstrado evolução contínua, indicando que se trata de uma operação ativa e em desenvolvimento. Há indícios de que os hackers por trás da campanha sejam falantes de chinês, embora a atribuição definitiva ainda não tenha sido confirmada. Especialistas alertam que o ataque explora um comportamento comum entre usuários de criptomoedas: armazenar capturas de tela com frases de recuperação diretamente na galeria do celular — uma prática altamente insegura. Com acesso a essas informações, hackers podem restaurar carteiras e transferir fundos sem qualquer possibilidade de reversão. O caso reforça um alerta crítico: mesmo aplicativos disponíveis em lojas oficiais não estão imunes a ameaças. A combinação de engenharia social, permissões excessivas e técnicas avançadas de evasão está tornando o ambiente mobile um dos principais vetores de ataque atualmente.

A Autoridade Nacional de Proteção de Dados (ANPD) anunciou a atualização do seu Sistema Eletrônico de Informações (SEI), que já voltou a operar em sua nova versão. A mudança traz melhorias na interface e na estabilidade da plataforma, com a proposta de tornar a navegação mais simples, eficiente e confiável para usuários internos e externos que utilizam o sistema para envio, consulta e acompanhamento de processos administrativos. Entre as principais alterações implementadas está a adoção de um novo endereço eletrônico para o acesso de usuários externos. Segundo a ANPD, a entrada no sistema passa a ser feita exclusivamente pelo novo portal, enquanto o endereço antigo deixa de ser válido e não deve mais ser utilizado. A medida busca centralizar o acesso na versão atualizada do sistema e evitar falhas ou confusões durante o uso da plataforma. Outra novidade importante é a ampliação das opções de autenticação. A partir de agora, além do modelo tradicional com login e senha para usuários previamente cadastrados, o sistema também aceita acesso por meio da conta gov.br . A integração com a identidade digital do governo federal tende a facilitar o uso da ferramenta e reforçar a segurança do processo de autenticação, alinhando o sistema a um modelo já amplamente adotado em diversos serviços públicos digitais no país. A atualização do SEI ocorre em um momento em que órgãos públicos buscam modernizar suas plataformas e ampliar a digitalização dos serviços oferecidos à população. No caso da ANPD, a mudança também pode contribuir para melhorar a experiência de cidadãos, empresas, advogados e representantes que precisam interagir com a autoridade em processos ligados à proteção de dados pessoais, pedidos formais, manifestações e demais trâmites administrativos. A agência reforçou ainda que, em caso de dúvidas, dificuldades de acesso ou problemas na utilização da nova versão do sistema, os usuários devem procurar os canais oficiais de atendimento da própria ANPD. A orientação é importante principalmente neste período inicial de adaptação, em que mudanças de endereço, interface e autenticação podem gerar dúvidas entre os usuários habituais da plataforma. Via - Gov.br

Uma nova técnica adotada por hackers está chamando a atenção da comunidade de segurança: o uso de cookies HTTP como canal de controle para web shells em servidores Linux. A descoberta foi detalhada pela Microsoft Defender Security Research Team , que identificou um padrão crescente de ataques focados em execução remota de código com alto nível de furtividade. Diferente das abordagens tradicionais — que utilizam parâmetros de URL ou corpo de requisições HTTP para executar comandos — essa técnica utiliza valores específicos de cookies para ativar funcionalidades maliciosas. Isso permite que o código permaneça inativo durante operações normais, sendo acionado apenas quando o invasor envia uma requisição cuidadosamente construída. O método explora diretamente a variável global $_COOKIE do PHP , permitindo que os dados enviados pelo invasor sejam processados sem necessidade de parsing adicional. Como os cookies fazem parte do tráfego legítimo de aplicações web, essa abordagem dificulta significativamente a detecção por ferramentas de segurança e sistemas de monitoramento. As implementações observadas variam em complexidade. Em alguns casos, os hackers utilizam loaders altamente ofuscados, que analisam dados estruturados dentro dos cookies para executar cargas maliciosas. Em outros, os scripts fragmentam as informações recebidas para reconstruir funções internas, como manipulação de arquivos e decodificação, executando comandos ou implantando novos artefatos no sistema. Outro ponto crítico identificado é o uso de tarefas agendadas (cron jobs) para garantir persistência. Após obter acesso inicial — seja por credenciais válidas comprometidas ou exploração de vulnerabilidades conhecidas — os hackers configuram rotinas automatizadas que recriam continuamente o web shell no ambiente. Esse mecanismo de “auto-recuperação” garante que, mesmo após tentativas de remoção, o código malicioso volte a ser implantado. Essa separação entre persistência (via cron) e execução (via cookies) reduz significativamente os rastros deixados nos logs, tornando o ataque mais silencioso e difícil de detectar. Na prática, o invasor utiliza apenas mecanismos legítimos do próprio sistema — como processos do servidor web e tarefas agendadas — para manter o controle do ambiente comprometido. Especialistas destacam que esse tipo de ataque não depende de cadeias complexas de exploração, mas sim do abuso de funcionalidades legítimas já existentes na infraestrutura. Isso reforça uma tendência crescente: ataques mais simples em termos técnicos, porém altamente eficazes em evasão e persistência. Para mitigar os riscos, recomenda-se a adoção de autenticação multifator em acessos administrativos e SSH, monitoramento de atividades suspeitas, auditoria contínua de tarefas agendadas e restrição na execução de interpretadores de shell. Também é fundamental inspecionar arquivos suspeitos em diretórios web e limitar permissões em painéis de controle de hospedagem. O cenário evidencia uma mudança estratégica no comportamento dos hackers: ao deslocar o controle da execução para elementos comuns do tráfego web, como cookies, eles conseguem operar praticamente invisíveis dentro de ambientes comprometidos.

A exchange descentralizada Drift, baseada na blockchain Solana, confirmou um dos maiores ataques recentes ao ecossistema cripto, com prejuízo estimado em US$ 285 milhões. O incidente, ocorrido em 1º de abril de 2026, não envolveu falhas diretas em contratos inteligentes, mas sim uma combinação sofisticada de engenharia social e manipulação de mecanismos avançados da rede. Segundo a própria empresa, os hackers conseguiram acesso administrativo ao protocolo após obter aprovações legítimas — porém manipuladas — de múltiplos signatários (multisig). O ataque explorou um recurso conhecido como “durable nonce”, permitindo que transações fossem pré-assinadas e executadas posteriormente, criando uma janela invisível entre autorização e execução. Essa técnica possibilitou que os invasores assumissem rapidamente o controle do chamado “Security Council” da plataforma, removendo limites de saque e introduzindo um ativo malicioso . A partir disso, os fundos foram drenados em questão de segundos — literalmente no tempo necessário para enviar uma mensagem de texto, segundo análises independentes. Investigações conduzidas por empresas de inteligência blockchain indicam que o ataque pode estar ligado a hackers associados à Coreia do Norte. Padrões observados, como uso do mixer Tornado Cash, técnicas de lavagem de ativos e movimentações entre diferentes blockchains, seguem o mesmo comportamento de ataques anteriores atribuídos ao país. O caso reforça uma mudança importante no cenário de ameaças: o ponto fraco não está mais necessariamente no código, mas nas pessoas e nos processos. Neste incidente, os hackers não quebraram a segurança do sistema — eles convenceram usuários autorizados a aprovarem ações que pareciam legítimas, explorando confiança e complexidade operacional. Outro fator crítico foi a ausência de mecanismos de proteção adicionais , como delays obrigatórios (timelocks) em mudanças administrativas sensíveis. Sem essa camada de defesa, a transferência de controle do protocolo ocorreu de forma quase instantânea, eliminando qualquer chance de resposta preventiva. Além disso, os invasores criaram um token fictício, chamado CarbonVote, que foi tratado como ativo legítimo pelos oráculos da plataforma. Com isso, conseguiram inflar artificialmente o valor de garantias e facilitar o esvaziamento dos cofres da exchange. O incidente faz parte de uma campanha mais ampla e contínua. Estimativas indicam que hackers ligados à Coreia do Norte já roubaram mais de US$ 6,5 bilhões em criptoativos nos últimos anos, com um recorde de US$ 2 bilhões apenas em 2025. Especialistas alertam que o uso crescente de inteligência artificial está tornando ataques de engenharia social ainda mais sofisticados, ampliando o alcance dessas operações para além de exchanges, atingindo desenvolvedores, operadores de infraestrutura e qualquer pessoa com acesso privilegiado a ambientes Web3. O caso Drift deixa uma mensagem clara para o mercado: em sistemas descentralizados e altamente automatizados, a segurança não depende apenas da robustez técnica — mas da capacidade de garantir que decisões humanas não sejam manipuladas.