Boletim Diário de Cibersegurança: tendências, incidentes e o papel crescente da CTI
A segurança digital entrou em uma nova fase de complexidade. O volume de vulnerabilidades, a industrialização de botnets baseadas em IoT e o uso intensivo de automação por criminosos estão pressionando empresas, governos e fabricantes. Ao mesmo tempo, iniciativas em inteligência de ameaças e novos agentes de teste de segurança sugerem um amadurecimento do ecossistema defensivo.
A seguir, um panorama dos principais movimentos e o que eles significam na prática para equipes de segurança, gestores de risco e times de tecnologia.
—
O que é CTI e por que a inteligência de ameaças está ganhando protagonismo
Cyber Threat Intelligence (CTI) é o processo estruturado de coletar, analisar e transformar dados sobre ameaças em informação acionável para decisões de segurança. Não se trata apenas de listas de IPs maliciosos ou indicadores técnicos, mas de contexto: quem está atacando, como, por que e qual o possível impacto para o seu ambiente.
A CTI ganhou espaço nas empresas por três motivos principais:
1. Explosão de vulnerabilidades e incidentes
O volume de CVEs, novas famílias de malware e campanhas de ataque torna inviável tratar tudo “no braço”. A CTI ajuda a filtrar o que é relevante para cada organização, priorizando vulnerabilidades e eventos que realmente representam risco concreto ao negócio.
2. Necessidade de priorização inteligente
Em vez de tentar corrigir toda e qualquer falha, times de segurança usam inteligência de ameaças para identificar o que está sendo explorado ativamente, quais vulnerabilidades têm exploit público, quais afetam ativos críticos e quais são associadas a grupos com histórico de ataques destrutivos ou de ransomware.
3. Integração com processos de negócio
CTI eficaz não vive isolada em dashboards técnicos. Ela alimenta gestão de riscos, continuidade de negócios, resposta a incidentes, planejamento de investimentos em segurança e até decisões de terceirização ou descontinuação de tecnologias.
Na prática, empresas mais maduras em CTI costumam combinar feeds externos, dados internos (logs, telemetria, incidentes passados), análise humana especializada e automação para transformar essa massa de dados em decisões de bloqueio, correção, segmentação, endurecimento de configurações e ajustes de detecção.
—
Anthropic e o Projeto Glasswing: IA aplicada à cibersegurança
No campo defensivo, uma iniciativa que chama atenção é o Projeto Glasswing, da Anthropic, focado em aplicar modelos avançados de IA na proteção de infraestruturas digitais. A proposta central é usar inteligência artificial não apenas para automatizar tarefas, mas para auxiliar analistas na tomada de decisão em cenários complexos.
Entre as aplicações típicas desse tipo de projeto estão:
– Análise acelerada de incidentes: priorização de alertas, correlação de eventos e geração de hipóteses sobre a cadeia de ataque.
– Apoio à triagem de vulnerabilidades: interpretação de descrições técnicas, contexto de exploração e impacto potencial no ambiente específico da organização.
– Recomendações de mitigação: sugestão de controles compensatórios, ajustes de configuração e ações de endurecimento de forma contextualizada.
– Automação supervisionada: execução de tarefas repetitivas sob supervisão humana, como enriquecimento de indicadores, consultas a ferramentas e geração de relatórios.
Apesar do potencial, o uso de IA na cibersegurança também traz riscos: decisões enviesadas, dependência excessiva de recomendações automáticas, vazamento de dados sensíveis em prompts e a possibilidade de atacantes também explorarem essas tecnologias. Por isso, o grande desafio é integrar projetos como o Glasswing em um modelo de segurança centrada no humano, em que a IA amplifica, mas não substitui, o julgamento dos especialistas.
—
HackerSec e o novo Agente de Pentest: ofensiva como serviço contínuo
Do lado de testes de segurança, a HackerSec anunciou um novo Agente de Pentest, alinhado à tendência de “pentest contínuo” e automação ofensiva. A ideia é reduzir a dependência de janelas anuais de teste e aproximar a visão de ataque do ritmo real de mudanças em aplicações e infraestrutura.
Esse tipo de agente costuma oferecer:
– Varredura automatizada de superfícies expostas: mapeando portas, serviços, endpoints web e configurações sensíveis.
– Exploração assistida: uso de técnicas conhecidas para validar vulnerabilidades de forma controlada, evitando danos ao ambiente.
– Ciclos mais curtos de feedback: apontando falhas de forma quase em tempo real para que os times de desenvolvimento e infraestrutura possam corrigir com rapidez.
– Relatórios mais orientados a risco: em vez de apenas listar falhas técnicas, conectar vulnerabilidades a possíveis impactos de negócio.
Quando combinado com CTI e boas práticas de DevSecOps, um agente de pentest desse tipo pode atuar como uma camada de validação recorrente, testando na prática se controles teóricos realmente sustentam ataques realistas.
—
NIST muda a estratégia de triagem de CVEs na NVD
O National Institute of Standards and Technology (NIST) anunciou uma mudança significativa na operação da National Vulnerability Database (NVD). Diante do crescimento explosivo no volume de CVEs, o instituto passou a enriquecer automaticamente apenas uma parcela das novas vulnerabilidades recebidas.
Entre 2020 e 2025, o número de CVEs submetidas aumentou 263%. Em apenas três meses de 2026, o volume já estava cerca de um terço maior do que no mesmo período do ano anterior. Mesmo com ganho de produtividade interno e cerca de 42 mil CVEs enriquecidas em 2025 – 45% a mais que qualquer ano anterior -, o backlog continuou crescendo.
Desde 15 de abril de 2026, a priorização automática passou a focar em:
– CVEs presentes no catálogo KEV da CISA (vulnerabilidades conhecidas por serem ativamente exploradas);
– falhas em softwares utilizados pelo governo federal dos EUA;
– vulnerabilidades ligadas a softwares considerados críticos na Executive Order 14028.
As demais continuam registradas na NVD, mas são tratadas como de prioridade menor e não recebem, por padrão, enriquecimento imediato.
Esse enriquecimento inclui dados essenciais para triagem: informações de impacto, contexto técnico, vetores de ataque, complexidade de exploração e urgência de resposta. Sem isso, muitos times ficam com a tarefa adicional de interpretar descrições brutas ou depender de outras fontes de inteligência para classificar o risco.
Na prática, organizações que ainda se apoiam exclusivamente na NVD para priorização de patches precisarão rever seus processos. Passa a ser fundamental combinar dados da NVD com CTI, relatórios de fornecedores e telemetria interna para evitar tanto atrasos em correções críticas quanto desperdício de esforço em itens de baixo risco.
—
Nexcorium: DVRs vulneráveis convertidos em botnet Mirai para DDoS
No campo dos ataques, uma nova campanha baseada em Mirai, batizada de Nexcorium, vem explorando a vulnerabilidade CVE-2024-3721 em gravadores digitais TBK, transformando esses dispositivos em nós de botnets voltadas a ataques distribuídos de negação de serviço (DDoS).
A falha atinge especificamente os modelos TBK DVR-4104 e DVR-4216 e foi categorizada como uma vulnerabilidade de injeção de comandos no sistema operacional por meio da manipulação dos argumentos `mdb` e `mdc`. Em termos práticos, isso permite que atacantes remotos enviem um script inicial para:
1. Baixar a amostra de malware apropriada à arquitetura do dispositivo;
2. Alterar permissões para execução;
3. Iniciar a carga maliciosa com parâmetros adaptados ao tipo de equipamento comprometido.
As amostras observadas seguem um padrão de nomes iniciando em “nexuscorp”, e, após a infecção, exibem uma mensagem indicando que o equipamento foi assumido – um sinal de que a campanha não se preocupa em ser silenciosa, desde que seja eficiente.
Análises de código revelam forte parentesco com a linhagem Mirai: configuração ofuscada por XOR, módulo watchdog, rotinas de varredura de alvos, tentativa de uso de credenciais padrão via Telnet e componentes especializados em ataques DDoS. A botnet Nexcorium suporta múltiplos vetores, como:
– UDP flood
– TCP SYN flood
– ACK flood
– PSH flood
– VSE query flood
Tudo isso coordenado por um servidor de comando e controle centralizado. Com esse arsenal, os operadores podem ajustar o perfil de tráfego malicioso conforme o tipo de alvo e infraestrutura defensiva encontrada, aumentando as chances de saturar serviços online.
—
Falha em roteadores TP-Link antigos volta a ser explorada
Outra frente preocupante envolve dispositivos legados de rede. A vulnerabilidade CVE-2023-33538, em roteadores TP-Link fora de suporte, voltou a figurar em campanhas automatizadas de exploração, ligadas a cargas compatíveis com variantes de botnets Mirai.
Os modelos impactados incluem:
– TL-WR940N v2 e v4
– TL-WR740N v1 e v2
– TL-WR841N v8 e v10
A falha é uma injeção de comandos em um parâmetro processado pela interface web de administração. A telemetria mostra requisições direcionadas ao endpoint de configuração sem fio, encadeando comandos para download, alteração de permissões e execução do malware.
Um ponto crítico: a exploração bem-sucedida exige autenticação na interface web. Isso reduz ataques puramente oportunistas sem credenciais, mas o risco permanece elevado quando:
– o painel administrativo é exposto à internet;
– senhas fracas ou padrões de fábrica são mantidos;
– há reutilização de credenciais entre diferentes dispositivos.
Como esses roteadores estão fora de suporte, não há expectativa de correções de firmware. Isso coloca organizações e usuários domésticos diante de um dilema: continuar usando um equipamento estruturalmente vulnerável ou substituí-lo por modelos mais recentes com atualizações de segurança ativas.
—
O que tudo isso significa para empresas: prioridades práticas
Diante desse cenário, algumas recomendações se tornam quase universais para organizações de qualquer porte:
1. Inventário e governança de ativos IoT e legados
DVRs, câmeras, roteadores, access points e outros equipamentos muitas vezes ficam esquecidos em cantos da rede, sem patch, com senhas padrão. Mapear, classificar e estabelecer uma política clara (segmentação, substituição, desativação) é essencial.
2. Gestão de vulnerabilidades guiada por inteligência
Em vez de seguir apenas a severidade CVSS, combine dados da NVD com informações sobre exploração ativa (como catálogos de vulnerabilidades exploradas), CTI e criticidade do ativo. Ferramentas ou processos manuais que levem em conta esse contexto tendem a produzir uma fila de correções mais coerente.
3. Segmentação de rede e princípio de mínimo privilégio
Quando não é possível corrigir ou substituir imediatamente dispositivos vulneráveis, segmentá-los em redes restritas, limitar acessos de administração e aplicar listas de controle de acesso reduz substancialmente a superfície de ataque.
4. Revisão de senhas e exposição de painéis administrativos
Interfaces web de roteadores, DVRs e sistemas de gestão remota jamais devem estar expostas diretamente à internet. Além disso, credenciais padrão devem ser eliminadas e políticas mínimas de complexidade de senha precisam ser aplicadas inclusive em dispositivos “de borda”.
5. Integração entre CTI, SOC e desenvolvimento
A inteligência de ameaças só gera valor quando se transforma em ação: bloqueios, regras de detecção, ajustes em pipelines de CI/CD, revisão de bibliotecas usadas por desenvolvedores. Quebrar os silos entre esses times é fundamental.
—
Como CTI, IA e pentest contínuo se complementam
Os temas deste boletim mostram três movimentos convergentes:
– CTI fornece contexto e priorização: quais vulnerabilidades e campanhas realmente importam para o seu negócio agora.
– IA aplicada à segurança, como no Projeto Glasswing, amplia a capacidade de análise, ajudando a lidar com o volume de dados e decisões.
– Agentes de pentest contínuo validam, na prática, se essas decisões e controles são suficientes frente a técnicas reais de ataque.
Quando bem orquestrados, esses três pilares criam um ciclo virtuoso: ameaças são identificadas com mais precisão, decisões são tomadas com base em dados confiáveis e a eficácia das proteções é verificada de forma recorrente, reduzindo o tempo entre descoberta, correção e validação.
—
Próximos passos para quem quer amadurecer a segurança
Para organizações que desejam sair da reação constante e caminhar para um modelo mais estratégico de cibersegurança, caminhos viáveis incluem:
– Iniciar um pequeno núcleo de CTI, ainda que part-time, focado em priorização de vulnerabilidades e monitoramento de ameaças diretamente ligadas ao setor da empresa.
– Avaliar soluções de automação e IA como apoio à equipe, definindo desde o início limites claros de uso, revisão humana obrigatória e critérios de confiabilidade.
– Implementar ou contratar serviços de pentest recorrente ou “as a service”, com foco em superfícies expostas à internet e ativos mais críticos.
– Estabelecer programas de substituição planejada de dispositivos legados, particularmente aqueles sem suporte ou sem atualizações de segurança há anos.
– Investir em treinamento contínuo para equipes de operação, desenvolvimento e gestão, garantindo que todos compreendam o impacto de vulnerabilidades, má configuração e ausência de governança.
Em um cenário em que o número de CVEs cresce mais rápido do que a capacidade de qualquer entidade central de processá-las, e em que botnets como Nexcorium exploram até o último dispositivo esquecido na rede, a única resposta sustentável é combinar visibilidade, inteligência e automação, sempre ancoradas em decisões conscientes de risco e responsabilidade digital.