A Redbelt Security identificou em maio um cenário marcado pela exploração acelerada de falhas em sistemas corporativos. O levantamento mensal aponta ataques à cadeia de suprimentos de software, brechas críticas no kernel Linux, comprometimento de sites em CMS e falhas em segurança de rede. O Brasil aparece entre os atingidos por uma campanha coordenada de roubo de credenciais que operou em 26 países, em vários casos, o intervalo entre a divulgação da falha e o início da exploração ativa foi inferior a 48 horas.
Na cadeia de suprimentos, o grupo TeamPCP conduziu a campanha Mini Shai-Hulud, operação autorreplicante que comprometeu a extensão Nx Console para Visual Studio Code, com mais de 2,2 milhões de instalações. A empresa confirmou que um dispositivo de funcionário foi invadido por uma extensão maliciosa, resultando na exfiltração de cerca de 3.800 repositórios internos. Os tokens roubados são reutilizados para comprometer novos alvos, tornando a ação autossustentável, mais de 2.500 repositórios públicos já foram identificados com marcadores dessa operação.
Paralelamente, três vulnerabilidades de escalonamento de privilégios foram identificadas em sequência no kernel Linux, permitindo controle total do sistema (acesso root). A falha Copy Fail (CVE-2026-31431) é explorável por um script de apenas 732 bytes, com implementações públicas em Python, Go e Rust. Já as brechas Dirty Frag e DirtyDecrypt expandem o ataque para pontos não protegidos e afetam distribuições como Fedora, Arch Linux e openSUSE. Em clusters Kubernetes, o risco inclui o escape de contêineres, com exploração ativa confirmada.
No ecossistema de conteúdo, a CVE-2026-26980, falha de injeção SQL no Ghost CMS corrigida em fevereiro, passou a ser ativamente explorada em maio. A vulnerabilidade permite que invasores não autenticados obtenham chaves de administrador para modificar artigos em massa e inserir scripts maliciosos, os sites comprometidos passam a redirecionar visitantes para páginas falsas de CAPTCHA, instalando um backdoor persistente na vítima. Mais de 700 sites foram atingidos, incluindo universidades, plataformas de blockchain, veículos de mídia e fintechs.
Outro destaque do período foi uma campanha de phishing com bypass de MFA que afetou mais de 35 mil usuários em 13 mil organizações globalmente, incluindo o Brasil. Utilizando a técnica de adversário no meio (AiTM), os atacantes se posicionaram entre a vítima e o serviço legítimo para capturar senhas e tokens de sessão gerados após a autenticação multifator. Com isso, os criminosos garantiram o acesso mesmo com a proteção ativada. Os e-mails simulavam comunicações corporativas e traziam anexos em PDF maliciosos.
Por fim, a Palo Alto Networks corrigiu um buffer overflow crítico no Portal de Autenticação do PAN-OS (CVE-2026-0300, CVSS 9.3) que permite a execução de código arbitrário com privilégios root sem autenticação. A falha afeta as linhas 10.2, 11.1, 11.2 e 12.1 das séries PA e VM, tendo sido explorada antes da ampla disponibilidade dos patches. A gravidade atinge o nível máximo quando o portal está exposto diretamente à internet ou a redes não confiáveis.
“O que chama atenção no levantamento é o padrão, ataques autorreplicantes que usam os tokens roubados para comprometer o próximo alvo, campanhas que contornam MFA capturando sessões em tempo real, exploits disponíveis em repositórios públicos horas depois da divulgação. O atacante automatiza e a defesa, na maioria das organizações, ainda depende de alguém lembrar de aplicar o patch.”, afirma Ronaldo Corá, diretor de identidade e acesso da Redbelt Security.
