Boletim Diário de Cibersegurança – BoletimSec
CTI ganha espaço nas empresas: o que muda na prática
A Inteligência em Ameaças Cibernéticas (Cyber Threat Intelligence – CTI) vem deixando de ser assunto restrito a times técnicos para se tornar um pilar estratégico nas empresas. Em vez de reagir apenas depois de um incidente, organizações passam a consumir, correlacionar e produzir inteligência sobre atores de ameaça, técnicas de ataque, vulnerabilidades exploradas ativamente e tendências de campanha.
Na prática, CTI bem estruturada permite priorizar correções com base em risco real, ajustar regras de detecção, alimentar SOCs e SIEMs com indicadores de comprometimento relevantes, apoiar a tomada de decisão de negócio e preparar times de resposta a incidentes para cenários críticos que já estão aparecendo em outros ambientes. Esse movimento explica por que a disciplina vem ganhando orçamento próprio, equipes dedicadas e integração direta com gestão de vulnerabilidades, Red Team, GRC e segurança de aplicações.
Anthropic apresenta Projeto Glasswing para cibersegurança
No campo de IA aplicada à defesa, a Anthropic lançou o Projeto Glasswing, iniciativa voltada a criar modelos e ferramentas de inteligência artificial especialmente otimizados para casos de uso de cibersegurança. A proposta é combinar análise automatizada em larga escala com contexto de segurança, ajudando desde a triagem de alertas até a investigação de incidentes complexos.
Entre os objetivos do projeto, estão: apoiar analistas na leitura de grandes volumes de logs, resumir relatórios técnicos extensos, sugerir hipóteses de ataque a partir de poucos indícios, gerar regras de detecção mais precisas e auxiliar na priorização de vulnerabilidades em ambientes heterogêneos. A iniciativa reforça a tendência de uso de IA generativa como “copiloto” dos times de segurança, sem substituir especialistas humanos, mas amplificando a capacidade de análise e resposta.
HackerSec lança novo Agente de Pentest
No cenário ofensivo, a HackerSec apresentou um novo Agente de Pentest, pensado para automatizar etapas repetitivas de testes de invasão e apoiar equipes de Red Team. O agente integra coleta de informações, varredura de portas e serviços, detecção de vulnerabilidades comuns, execução de exploits conhecidos e geração de relatórios técnicos e executivos.
A ferramenta é voltada a acelerar avaliações de segurança em aplicações web, infraestrutura e dispositivos IoT, mantendo registro detalhado de cada etapa da exploração. Em vez de substituir o pentester, o agente funciona como um assistente capaz de reduzir o tempo gasto em tarefas manuais de baixa complexidade, liberando especialistas para focar em cadeias de ataque avançadas, pós-exploração e simulações mais sofisticadas.
—
NIST muda a triagem de vulnerabilidades na NVD
O NIST anunciou uma mudança relevante na operação da National Vulnerability Database (NVD) e passará a enriquecer automaticamente apenas parte das novas CVEs recebidas. A decisão vem na esteira de um crescimento explosivo no volume de vulnerabilidades cadastradas e de um descompasso claro entre a capacidade de processamento e a demanda atual do ecossistema.
Segundo o instituto, o número de submissões de CVEs aumentou 263% entre 2020 e 2025. Só no primeiro trimestre de 2026, a quantidade de registros já ficava quase um terço acima do mesmo período de 2025, sinalizando que a curva de crescimento permanece acelerada e tende a pressionar ainda mais a base.
Mesmo após acelerar processos internos, o NIST reconheceu que o ganho de produtividade não foi suficiente. Em 2025, a entidade conseguiu enriquecer quase 42 mil CVEs, volume 45% superior ao de qualquer ano anterior; ainda assim, a fila de itens pendentes continuou crescendo.
Com a nova política, em vigor desde 15 de abril de 2026, a priorização automática passa a contemplar:
– CVEs incluídas no catálogo KEV da CISA;
– vulnerabilidades que afetem softwares utilizados pelo governo federal dos Estados Unidos;
– falhas associadas a softwares críticos definidos pela Executive Order 14028.
As demais CVEs continuam aparecendo na NVD, mas passam a ter prioridade mais baixa e não recebem, por padrão, enriquecimento imediato. Esse enriquecimento inclui dados técnicos e contextuais – como avaliação de impacto, detalhes de exploração e informações de severidade – amplamente usados por equipes de segurança na triagem, classificação de risco e gestão de exposição.
Para as empresas, a mudança significa que depender exclusivamente do enriquecimento da NVD se torna mais arriscado. Organizações que lidam com grandes superfícies de ataque precisarão complementar a análise com fontes adicionais de CTI, automação interna e critérios próprios de priorização, combinando informações de inventário, criticidade de ativos e evidências de exploração ativa.
—
Nexcorium: DVRs vulneráveis recrutados em botnet Mirai-like
Uma nova campanha baseada em uma variante do Mirai, batizada de Nexcorium, está explorando a CVE-2024-3721 para comprometer gravadores digitais da TBK e transformá‑los em nós de uma botnet focada em ataques distribuídos de negação de serviço (DDoS). O movimento reforça a pressão sobre equipamentos IoT frequentemente negligenciados em ambientes corporativos, varejistas e pequenos negócios.
A falha afeta os modelos TBK DVR-4104 e DVR-4216 e foi classificada como vulnerabilidade de injeção de comandos no sistema operacional, explorada pela manipulação dos argumentos mdb e mdc. Com isso, atacantes remotos conseguem fazer upload de um script inicial, responsável por baixar e executar o malware adequado à arquitetura do dispositivo comprometido.
Os artefatos observados indicam que o downloader recupera amostras cujos nomes começam com “nexuscorp”, ajusta permissões para torná-las executáveis e inicia a carga maliciosa com parâmetros alinhados ao tipo de equipamento explorado. Após a infecção, a amostra exibe uma mensagem informando que o dispositivo foi assumido, característica que torna a campanha relativamente barulhenta, mas ainda assim efetiva.
Análises de código mostram forte proximidade estrutural com a família Mirai: uso de configuração ofuscada com XOR, presença de módulo watchdog e componentes específicos para ataques DDoS. O malware incorpora, ainda, funcionalidades para varrer novos alvos, testar credenciais padrão via Telnet e ampliar o raio de infecção a outros dispositivos suscetíveis.
Na fase operacional, a botnet é capaz de lançar múltiplos vetores de DDoS, entre eles UDP flood, TCP SYN flood, ACK flood, PSH flood e VSE query flood, recebendo instruções de um servidor de comando e controle centralizado. Essa diversidade tática permite que o grupo ajuste o tipo de tráfego malicioso conforme a natureza do alvo, tornando a mitigação mais complexa.
Para empresas que utilizam DVRs ou outros dispositivos IoT, o incidente reforça a necessidade de: manter inventário atualizado, segmentar redes, desabilitar serviços desnecessários, alterar credenciais padrão e aplicar atualizações de firmware sempre que disponíveis. Em muitos casos, substituir equipamentos antigos e sem suporte se torna a única abordagem realista de redução de risco.
—
Vulnerabilidade em roteadores TP-Link volta ao radar
Uma falha já conhecida em roteadores TP-Link, hoje fora de suporte, voltou a chamar atenção após a detecção de tentativas automatizadas de exploração ligadas a cargas compatíveis com botnets da família Mirai. A vulnerabilidade, catalogada como CVE-2023-33538, atinge modelos antigos amplamente difundidos, reacendendo o alerta sobre o perigo representado por dispositivos IoT legados expostos à internet.
Os modelos impactados incluem os roteadores TL-WR940N v2 e v4, TL-WR740N v1 e v2, além do TL-WR841N v8 e v10. De acordo com a análise técnica, as campanhas observadas tentam abusar de uma falha de injeção de comandos em um parâmetro processado pela interface web de administração. As requisições identificadas miram o endpoint de configuração sem fio, encadeando comandos para download, alteração de permissões e execução do malware.
Um ponto relevante é que a exploração bem-sucedida depende de autenticação na interface web do roteador. Isso reduz o alcance de ataques totalmente oportunistas, mas não elimina o risco em cenários nos quais o painel administrativo permanece exposto e protegido apenas por senhas fracas ou credenciais padrão de fábrica.
Como esses dispositivos frequentemente continuam em operação por anos sem atualizações, muitas vezes posicionados na borda da rede, tornam‑se alvos preferenciais de campanhas automatizadas. Em contextos residenciais, pequenos escritórios e até unidades remotas de grandes empresas, um único roteador desatualizado pode servir de porta de entrada para movimentação lateral, espionagem de tráfego e inclusão em botnets de DDoS.
A recomendação prática inclui:
– substituir equipamentos sem suporte por modelos modernos com atualizações de segurança ativas;
– desativar acesso remoto desnecessário ao painel de administração;
– reforçar autenticação com senhas fortes e, quando possível, mecanismos adicionais;
– isolar dispositivos legados em segmentos de rede com privilégios mínimos;
– monitorar logs e tráfego para identificar comportamentos anômalos associados a escaneamentos e tentativas de exploração.
—
Como as empresas podem responder a esse cenário
O conjunto de mudanças e incidentes destacados – revisão da NVD pelo NIST, campanhas Mirai‑like contra DVRs e roteadores, e a chegada de novas ferramentas de CTI e Pentest – ilustra um cenário em que a superfície de ataque cresce mais rápido do que a capacidade de análise manual. Para se adaptar, organizações precisam combinar três frentes: automação, inteligência e governança.
1. Automação e priorização de vulnerabilidades
Com o NIST passando a enriquecer apenas parte das CVEs, depender do score “pronto” se torna insuficiente. É fundamental criar fluxos internos que cruzem inventário de ativos, exposição à internet, criticidade de negócio e dados de exploração ativa para gerar filas de correção realmente baseadas em risco. Ferramentas de CTI e plataformas de gestão de vulnerabilidades com automação ganham papel central.
2. Fortalecimento da segurança de IoT e legado
Incidentes com DVRs TBK e roteadores TP-Link mostram que o elo fraco muitas vezes não está no data center, mas em dispositivos pouco visíveis – CFTV, roteadores antigos, sensores, equipamentos de rede auxiliares. Incluir esses ativos no inventário, aplicar políticas mínimas de endurecimento e exigir critérios de segurança na aquisição de novos dispositivos passa a ser parte da estratégia de defesa, não um detalhe operacional.
3. Uso estratégico de CTI e IA
A profissionalização de CTI nas empresas e o surgimento de projetos como o Glasswing apontam para uma nova fase, em que inteligência de ameaças e IA são integradas ao dia a dia de SOCs e times de resposta a incidentes. O desafio é alinhar essas capacidades a necessidades concretas: reduzir tempo de detecção, cortar falsos positivos, antecipar campanhas que já estão mirando o setor e transformar dados técnicos em decisões de negócio.
4. Integração entre defesa e ofensiva controlada
Ferramentas como o Agente de Pentest da HackerSec evidenciam o valor de testes ofensivos contínuos. Rodar avaliações automatizadas e campanhas de Red Team de forma recorrente ajuda a validar se processos de correção estão funcionando, se os controles realmente bloqueiam as técnicas usadas por grupos maliciosos e se as equipes sabem reagir em caso de incidente real.
5. Capacitação contínua e mudança cultural
Por fim, nenhuma tecnologia substitui uma equipe preparada. À medida que botnets ficam mais sofisticadas, que o volume de CVEs explode e que IA entra no arsenal de atacantes e defensores, investir em treinamento técnico, conscientização de usuários finais e simulações realistas de incidentes se torna um diferencial competitivo em segurança.
Esse conjunto de movimentos aponta para um futuro em que cibersegurança deixa de ser apenas um centro de custo e passa a ocupar um lugar estratégico: proteger operações, sustentar a continuidade do negócio e habilitar inovação com risco controlado.