Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A IA está ajudando os invasores a explorar vulnerabilidades com mais rapidez do que nunca.
- A maioria dos ataques à nuvem agora tem como alvo software fraco de terceiros.
- As empresas precisam de defesas automatizadas e alimentadas por IA para acompanhar.
Ainda não se sabe se a maioria das empresas obtém algum benefício mensurável com a implementação da IA nas suas organizações, e o debate deverá tornar-se mais controverso com o tempo.
Mas pelo menos um setor está a obter enormes ganhos de produtividade na Era da IA: os cibercriminosos têm mais sucesso do que nunca no aproveitamento de vulnerabilidades para atacar empresas na nuvem, onde são mais vulneráveis.
Também: Agentes de IA do caos? Nova pesquisa mostra como bots conversando com bots podem ir para o lado rapidamente
Essa é a conclusão de um relatório recém-lançado pelo exército de investigadores e engenheiros de segurança do Google que pude revisar antes de sua publicação. Com base em suas observações do segundo semestre de 2025, o Google Cloud Security concluiu: “A janela entre a divulgação de vulnerabilidades e a exploração em massa entrou em colapso em uma ordem de magnitude, de semanas a dias”.
O relatório conclui que a melhor maneira de combater ataques alimentados por IA é com defesas aumentadas por IA: “Esta atividade, juntamente com as tentativas assistidas por IA para investigar alvos em busca de informações e a ênfase contínua dos atores da ameaça no roubo focado em dados, indica que as organizações deveriam recorrer a defesas mais automáticas”.
Entrando furtivamente por meio de código de terceiros
Atualmente, observa o relatório do Google, as ameaças à segurança não têm como alvo a infraestrutura central de serviços como Google Cloud, Amazon Web Services e Microsoft Azure. Esses alvos de alto valor estão bem protegidos. Em vez disso, os agentes de ameaças (um nome educado que inclui tanto gangues criminosas como agentes patrocinados pelo Estado, nomeadamente da Coreia do Norte) visam atacar vulnerabilidades não corrigidas em códigos de terceiros.
Também: A IA tornará a segurança cibernética obsoleta ou o Vale do Silício está confabulando novamente?
O relatório contém vários exemplos detalhados destes ataques – com vítimas não mencionadas pelo nome. Um envolveu a exploração de uma vulnerabilidade crítica de execução remota de código (RCE) em React Server Components, uma biblioteca JavaScript popular usada para construir interfaces de usuário em sites e aplicativos móveis; esses ataques começaram 48 horas após a divulgação pública da vulnerabilidade (CVE-2025-55182comumente referido como React2Shell).
Outro incidente envolveu uma vulnerabilidade RCE na popular plataforma XWiki (CVE-2025-24893) que permitia que invasores executassem código arbitrário em um servidor remoto enviando uma string de pesquisa específica. Esse bug foi corrigido em junho de 2024, mas o patch não foi amplamente implantado e os invasores (incluindo gangues de mineração de criptografia) começaram explorando-o a sério em novembro de 2025.
Também: O novo truque assustador da IA: conduzir ataques cibernéticos em vez de apenas ajudar
Um relato particularmente interessante envolve uma gangue de invasores patrocinados pelo Estado, conhecida como UNC4899, provavelmente da Coreia do Norte, que assumiu o controle de cargas de trabalho do Kubernetes para roubar milhões de dólares em criptomoedas. Veja como ocorreu a exploração:
UNC8499 direcionou e atraiu um desenvolvedor desavisado para baixar um arquivo compactado sob o pretexto de uma colaboração em um projeto de código aberto. O desenvolvedor logo depois transferiu o mesmo arquivo de seu dispositivo pessoal para sua estação de trabalho corporativa por meio do Airdrop. Usando seu ambiente de desenvolvimento integrado (IDE) assistido por IA, a vítima interagiu com o conteúdo do arquivo, eventualmente executando o código Python malicioso incorporado, que gerou e executou um binário disfarçado de ferramenta de linha de comando do Kubernetes. O binário foi direcionado para domínios controlados pelo UNC4899 e serviu como backdoor que deu aos agentes da ameaça acesso à estação de trabalho da vítima, garantindo-lhes efetivamente uma posição segura na rede corporativa.
Outro incidente envolveu uma série de etapas que começaram com um pacote Node Package Manager comprometido que roubou o token GitHub de um desenvolvedor e o usou para acessar Amazon Web Services, roubar arquivos armazenados em um bucket AWS S3 e, em seguida, destruir os originais. Tudo isso aconteceu em questão de 72 horas.
Comprometendo a identidade
A outra descoberta importante é uma mudança no ataque a credenciais fracas com ataques de força bruta em favor da exploração de questões de identidade através de uma variedade de técnicas:
- 17% dos casos envolveram engenharia social baseada em voz (vishing)
- 12% confiaram em phishing por e-mail
- 21% envolveram relacionamentos de confiança comprometidos com terceiros
- 21% envolveram atores que aproveitaram identidades humanas e não humanas roubadas
- 7% resultaram de atores que obtiveram acesso por meio de aplicativos e ativos de infraestrutura configurados incorretamente
E os atacantes nem sempre vêm de longe; o relatório observa que “insiders maliciosos” – incluindo funcionários, prestadores de serviços, consultores e estagiários – estão enviando dados confidenciais para fora da organização. Cada vez mais, esse tipo de incidente envolve serviços de armazenamento em nuvem independentes de plataforma e focados no consumidor, como Google Drive, Dropbox, Microsoft OneDrive e Apple iCloud. O relatório chama isso de “o meio de exfiltração de dados de uma organização que mais cresce”.
Também: OpenClaw é um pesadelo de segurança – 5 sinais de alerta que você não deve ignorar (antes que seja tarde demais)
Uma observação ameaçadora é que os invasores hoje em dia estão demorando muito antes de tornar sua presença conhecida. “45% das intrusões resultaram em roubo de dados sem tentativas imediatas de extorsão no momento do envolvimento, e estas foram frequentemente caracterizadas por tempos de permanência prolongados e persistência furtiva”.
O que as empresas podem fazer para se protegerem?
Cada seção do relatório inclui recomendações que os profissionais de TI devem seguir para proteger a infraestrutura em nuvem. Essas diretrizes estão divididas em duas categorias: conselhos específicos para clientes do Google Cloud e orientações mais gerais para clientes que usam outras plataformas.
Também: Implementando IA? 5 táticas de segurança que sua empresa não pode errar – e por quê
Se você é administrador de uma grande organização com responsabilidades de segurança, vale a pena ler esse conselho com atenção e adicioná-lo às medidas de segurança existentes. Mas o que as pequenas e médias empresas devem fazer?
- Intensifique seu jogo de patches garantindo que todos os aplicativos de software, especialmente aqueles de desenvolvedores terceirizados, sejam atualizados automaticamente.
- Fortalecer o gerenciamento de identidades e acessos, utilizando autenticação multifatorial e garantindo que apenas usuários autorizados tenham acesso às ferramentas administrativas.
- Monitore a rede visando identificar atividades incomuns e movimentação de dados. Isso inclui ataques externos, bem como ameaças internas.
- Tenha um plano de resposta a incidentes pronto para uso ao primeiro sinal de intrusão. Essas primeiras horas podem ser cruciais, e a luta para reunir recursos de investigação e contenção pode levar dias se você não estiver preparado.
Para pequenas empresas que não possuem especialistas em segurança em sua equipe, a melhor solução é encontrar um provedor de serviços gerenciados que tenha as habilidades e a experiência necessárias. Você não quer iniciar essa pesquisa depois que um invasor já tiver conseguido.
