Reportagem do SecurityWeek aponta que a SitusAMC teve dados corporativos exfiltrados — incluindo registros contábeis e acordos legais — e que o incidente não envolveu ransomwares de cifragem de arquivos; o alcance exato e indicadores técnicos não foram divulgados.
Pesquisa da Morphisec, reportada pelo Cyber Security News, descreve uma campanha ativa há pelo menos seis meses que entrega o infostealer StealC V2 via arquivos .blend com scripts Python embutidos, usando Auto Run do Blender, loaders PowerShell e infraestrutura C2 denominada Pyramid.
Uma nova iteração do worm 'Shai-Hulud' comprometeu 640 pacotes NPM e apresenta comportamento autorreplicante; se não conseguir se espalhar, a amostra relatada pode apagar o diretório home do sistema afetado. A publicação recomenda isolamento de versões afetadas, auditoria de pipelines e práticas de defesa na cadeia de suprimentos.
Campanha de exploração do zero-day CVE-2025-61882 contra Oracle E-Business Suite, com CVSS 9.8, levou o grupo Clop a comprometer servidores web em várias organizações; Canon confirmou impacto contido em um servidor de subsidiária e diz ter isolado sistemas. Pesquisadores apontam exploração ativa desde agosto e listam IoCs publicados.
Uma falha na versão 1.0 do Microsoft Update Health Tools permitia que blobs Azure desregistrados fossem controlados por terceiros, gerando mais de 544.000 requisições e possibilitando execução de código via a ação "ExecuteTool"; atualize para a versão 1.1 e revise compatibilidades.
Uma configuração padrão insegura no Vault Terraform Provider (v4.2.0–v5.4.0) permite bypass de autenticação via LDAP (CVE-2025-13357). HashiCorp publicou correções no provider (v5.5.0) e atualizações do Vault; equipes devem definir deny_null_bind=true e atualizar imediatamente.
Clusters ClickFix usam uma falsa tela de Windows Update e um loader .NET que esconde shellcode em pixels de PNG para entregar info-stealers (LummaC2, Rhadamanthys). IoCs incluem 141.98.80[.]175 e domínios como securitysettings[.]live; mitigação inclui desabilitar Run e monitorar EDR.
A CISA emitiu um alerta sobre campanhas ativas que usam spyware comercial e RATs para comprometer usuários de Signal e WhatsApp via engenharia social direcionada; a agência recomenda controles móveis reforçados e monitoramento de sinais de comprometimento.
A Canon confirmou que uma subsidiária foi afetada por uma campanha relacionada ao Oracle E-Business Suite; reportagens indicam que mais de 100 vítimas foram adicionadas ao site do grupo Cl0p, mas não há detalhes públicos sobre vetores ou dados exfiltrados.
Pesquisadores da Eye Security descobriram uma RCE no Microsoft Update Health Tools (versão 1.0/Kb4023057) que buscava configurações em Azure Blob com nomes previsíveis; contas não registradas foram ocupadas e geraram 544.000 requisições em sete dias, permitindo execução de bins assinados via ação ExecuteTool.
DarkReading reporta ressurgimento do worm Shai‑hulud com uma nova variante que "executes malicious code during preinstall", segundo pesquisadores. A mudança amplia o risco para pipelines de build, imagens e artefatos de supply chain. A cobertura não traz indicadores técnicos ou escala da campanha.
DarkReading relata exploração ativa de CVE-2025-61757 em Oracle Identity Manager. O texto lembra incidentes prévios envolvendo Oracle Cloud e uma campanha de extorsão a clientes do E‑Business Suite. A cobertura disponível não traz versões afetadas nem orientações de mitigação detalhadas; recomenda-se seguir advisories oficiais da Oracle e auditar instâncias.
Pesquisadores relatam que a campanha ShadowRay 2.0 explora uma falha no Ray framework para comprometer clusters de IA globalmente, distribuindo um botnet autorreplicante que combina cryptomining e roubo de dados. O texto não traz CVE, métricas nem indicadores técnicos detalhados; recomendações iniciais incluem auditoria de nós Ray, segmentação e monitoramento de telemetria.
Reportagem da DarkReading aponta que avanços em vision language models ampliaram capacidades de raciocínio e começam a ser aplicados na proteção da segurança física de empregados. A matéria descreve a tendência, mas não detalha fornecedores, métricas ou implantações.
Oligo Security relatou cinco vulnerabilidades em Fluent Bit que, se encadeadas, permitem bypass de autenticação, path traversal, RCE, DoS e manipulação de tags — riscos críticos para ambientes de nuvem que usam o agente para coleta de logs e telemetria.