Pular para o conteúdo principal
Fechar
Segurança

Operation Escaneo: CloudSEK expõe APT de nível estatal contra a América Latina

Gabriel Ferraresi· CEO | Tech864 de julho de 20264 min
segurancaaptlatamcloudsekkimeraoperation-escaneoameaca

Imagine encontrar o servidor do atacante completamente exposto. Toda a toolchain operacional. Logs de sessão. Credenciais em claro. Foi exatamente isso que a CloudSEK descobriu em junho de 2026 ao identificar a Operation Escaneo. Nós analisamos o relatório e o sinal é claro: a ciberameaça na América Latina graduou de banking trojans para operações de nível APT.

A maleta aberta: staging server exposto na DigitalOcean

Segundo a CloudSEK, um VPS na DigitalOcean (62.171.185.97) funcionava como staging server da operação. Dentro dele, a toolchain completa: framework de reconhecimento customizado Kimera (V1 e V2), arsenal de 15 CVEs explorados, logs de 3.708 sessões de túnel Chisel, 407MB de dados BloodHound do AD, dumps FortiGate com credenciais VPN em claro, scripts de exploração SAP/Oracle, infra de quebra de credenciais e logs de reverse shell confirmando exploração ativa.

A maleta do atacante, aberta. Não é um relatório teórico — é o espelho de uma operação em curso. Segundo a CloudSEK, a descoberta e análise ocorreram em 17 de junho de 2026.

Kimera: framework customizado de reconhecimento distribuído

A anatomia técnica é o que diferencia esta campanha. Segundo a CloudSEK, Kimera é um framework de reconhecimento distribuído com pipeline automatizado de descoberta até exploração. A enumeração de subdomínios combina 4 ferramentas concorrentes: dnsx a 200 threads, naabu a 5.000 pps, fingerprinting httpx e scanning Nuclei automático com validação XSS via dalfox.

O significado para a LATAM é claro. Um ator regional está operando com tradecraft de nível estatal, construindo frameworks customizados em vez de usar tools commodity. Isso muda o cálculo de risco para qualquer organização operando na região.

Os 15 CVEs: arsenal de borda e legado

Segundo a CloudSEK, o arsenal explorado cobre 15 CVEs: Fortinet (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762), cadeia Ivanti (CVE-2023-46805 + CVE-2024-21887, CVE-2025-0282), GhostCat, Zerologon, PwnKit, SMBGhost, Log4Shell, VMware AirWatch, mais MS17-010 e MS08-067.

A maioria desses CVEs já tem patch. O problema é patching inconsistente em borda e appliances legados. MS17-010 e MS08-067 são de 2017 e 2008 — ainda funcionam porque ainda existem hosts não corrigidos. A Operation Escaneo não depende de zero-days. Depende de higiene.

Persistência em camadas: do webshell ao router

Segundo a CloudSEK, a persistência é em camadas. Webshells Neo-reGeorg com canais AES e alfabeto Base64 customizado. Túneis reversos Chisel — 3.708 sessões registradas. Túnel GRE em router Cisco via injeção de script TCL no IOS-XE para C2 em nível de rede, bypassando detecção host-based. AnyDesk e N-able como persistência adicional.

A persistência em nível de router é particularmente grave. Sobrevive a reinstalação de endpoints. Fica fora do escopo de ferramentas EDR tradicionais. Quando o atacante estabelece C2 em nível de rede, a resposta ao incidente precisa ir além do endpoint.

Capacidade SAP/Oracle: exploração de aplicações empresariais

Segundo a CloudSEK, o atacante tem capacidade documentada de exploração SAP/Oracle. Módulos RFC do SAP (SXPG_CALL_SYSTEM, SXPG_COMMAND_INSERT) para execução de comandos OS via SAP ERP. Oracle DBMS_SCHEDULER com loop UTL_FILE. PostgreSQL sys_eval para exfiltração de chaves SSL privadas.

Isso é significativo. SAP e Oracle são o núcleo de finanças, RH e operações em grandes empresas. Exploração via módulos RFC legítimos significa que o atacante abusa funcionalidade nativa — não precisa de malware. O mesmo princípio do FortiBleed aplicado a aplicações empresariais.

Exfiltração: 407MB de BloodHound e 1,3 milhão de registros PII

Segundo a CloudSEK, a exfiltração documentada inclui 407MB de dados BloodHound do AD, 1,3 milhão+ de registros PII de um provedor de transporte, dumps FortiGate, hashes Kerberoast e credenciais de browser. O volume de BloodHound indica mapeamento profundo do AD para movimento lateral. Os 1,3 milhão de registros PII indicam crime financeiro em paralelo.

Atribuição: MexicanMafia/PanchoVilla com confiança MÉDIA

Segundo a CloudSEK, a atribuição a MexicanMafia/PanchoVilla tem confiança MÉDIA. Padrões regex em espanhol nos scripts de coleta de credenciais confirmam foco regional. O escopo é México primário, Equador secundário e Portugal terciário.

A CloudSEK identifica objetivos híbridos: crime financeiro e coleta de inteligência em paralelo, possivelmente sem coordenação central. Segundo Koushik Pal, em entrevista ao Dark Reading, a explicação mais simples é monetização oportunística correndo paralela à coleta de inteligência.

Conclusão: a LATAM graduou para APT-level

Nós repetimos: a ciberameaça na América Latina graduou de banking trojans para operações de nível APT. Frameworks customizados. Persistência em nível de router. Exploração de SAP/Oracle. Tradecraft de nível estatal vindo de um ator regional. O staging server exposto foi sorte. A próxima campanha não vai deixar a maleta aberta.

Toda organização operando na América Latina precisa reavaliar seu modelo de ameaças. Agora. Na Tech86, nós ajudamos empresas a auditar exposição a CVEs de borda, detectar persistência em routers, revisar segmentação para túneis Chisel e webshells, e reavaliar modelos de ameaça assumindo adversários com capacidade APT — não apenas criminosos comuns.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Avaliação de Ameaças e Segurança para LATAM

Perguntas Frequentes

A Operation Escaneo é uma campanha APT descoberta pela CloudSEK em junho de 2026 quando um VPS na DigitalOcean (62.171.185.97) funcionando como staging server foi encontrado completamente exposto. Segundo a CloudSEK, o servidor continha o framework de reconhecimento customizado Kimera (V1 e V2), arsenal de 15 CVEs explorados, logs de 3.708 sessões de túnel Chisel, 407MB de dados BloodHound do AD, dumps FortiGate com credenciais VPN em claro, scripts de exploração SAP/Oracle, infra de quebra de credenciais e logs de reverse shell confirmando exploração ativa.

Segundo a CloudSEK, Kimera é um framework de reconhecimento distribuído com pipeline automatizado de descoberta até exploração. Ele combina enumeração de subdomínios com 4 ferramentas concorrentes, dnsx a 200 threads, naabu a 5.000 pps, fingerprinting httpx e scanning Nuclei automático com validação XSS via dalfox. O significado para a LATAM é claro: um ator regional está operando com tradecraft de nível estatal, construindo frameworks customizados em vez de usar tools commodity.

Segundo a CloudSEK, o atacante injeta scripts TCL no IOS-XE de routers Cisco para criar túneis GRE em nível de rede, estabelecendo canal C2 que bypass detecção host-based. A persistência em nível de router é particularmente grave porque sobrevive a reinstalação de endpoints e fica fora do escopo de ferramentas EDR tradicionais. O atacante também usa Neo-reGeorg com canais AES e alfabeto Base64 customizado, túneis reversos Chisel e AnyDesk/N-able.

Segundo a CloudSEK, a atribuição a MexicanMafia/PanchoVilla tem confiança MÉDIA. Padrões regex em espanhol nos scripts de coleta de credenciais confirmam foco regional. O escopo é México primário, Equador secundário e Portugal terciário. Segundo Koushik Pal, em entrevista ao Dark Reading, a explicação mais simples é monetização oportunística correndo paralela à coleta de inteligência. A LATAM graduou de banking trojans para operações de nível APT.

Segundo a CloudSEK, a Operation Escaneo demonstra que a ciberameaça na América Latina graduou de banking trojans para operações de nível APT. Frameworks customizados, persistência em nível de router, exploração de SAP/Oracle — tradecraft de nível estatal vindo de um ator regional. O staging server exposto foi sorte. A próxima campanha não vai deixar a maleta aberta. Toda organização operando na LATAM precisa reavaliar seu modelo de ameaças agora.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.