Imagine encontrar o servidor do atacante completamente exposto. Toda a toolchain operacional. Logs de sessão. Credenciais em claro. Foi exatamente isso que a CloudSEK descobriu em junho de 2026 ao identificar a Operation Escaneo. Nós analisamos o relatório e o sinal é claro: a ciberameaça na América Latina graduou de banking trojans para operações de nível APT.
A maleta aberta: staging server exposto na DigitalOcean
Segundo a CloudSEK, um VPS na DigitalOcean (62.171.185.97) funcionava como staging server da operação. Dentro dele, a toolchain completa: framework de reconhecimento customizado Kimera (V1 e V2), arsenal de 15 CVEs explorados, logs de 3.708 sessões de túnel Chisel, 407MB de dados BloodHound do AD, dumps FortiGate com credenciais VPN em claro, scripts de exploração SAP/Oracle, infra de quebra de credenciais e logs de reverse shell confirmando exploração ativa.
A maleta do atacante, aberta. Não é um relatório teórico — é o espelho de uma operação em curso. Segundo a CloudSEK, a descoberta e análise ocorreram em 17 de junho de 2026.
Kimera: framework customizado de reconhecimento distribuído
A anatomia técnica é o que diferencia esta campanha. Segundo a CloudSEK, Kimera é um framework de reconhecimento distribuído com pipeline automatizado de descoberta até exploração. A enumeração de subdomínios combina 4 ferramentas concorrentes: dnsx a 200 threads, naabu a 5.000 pps, fingerprinting httpx e scanning Nuclei automático com validação XSS via dalfox.
O significado para a LATAM é claro. Um ator regional está operando com tradecraft de nível estatal, construindo frameworks customizados em vez de usar tools commodity. Isso muda o cálculo de risco para qualquer organização operando na região.
Os 15 CVEs: arsenal de borda e legado
Segundo a CloudSEK, o arsenal explorado cobre 15 CVEs: Fortinet (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762), cadeia Ivanti (CVE-2023-46805 + CVE-2024-21887, CVE-2025-0282), GhostCat, Zerologon, PwnKit, SMBGhost, Log4Shell, VMware AirWatch, mais MS17-010 e MS08-067.
A maioria desses CVEs já tem patch. O problema é patching inconsistente em borda e appliances legados. MS17-010 e MS08-067 são de 2017 e 2008 — ainda funcionam porque ainda existem hosts não corrigidos. A Operation Escaneo não depende de zero-days. Depende de higiene.
Persistência em camadas: do webshell ao router
Segundo a CloudSEK, a persistência é em camadas. Webshells Neo-reGeorg com canais AES e alfabeto Base64 customizado. Túneis reversos Chisel — 3.708 sessões registradas. Túnel GRE em router Cisco via injeção de script TCL no IOS-XE para C2 em nível de rede, bypassando detecção host-based. AnyDesk e N-able como persistência adicional.
A persistência em nível de router é particularmente grave. Sobrevive a reinstalação de endpoints. Fica fora do escopo de ferramentas EDR tradicionais. Quando o atacante estabelece C2 em nível de rede, a resposta ao incidente precisa ir além do endpoint.
Capacidade SAP/Oracle: exploração de aplicações empresariais
Segundo a CloudSEK, o atacante tem capacidade documentada de exploração SAP/Oracle. Módulos RFC do SAP (SXPG_CALL_SYSTEM, SXPG_COMMAND_INSERT) para execução de comandos OS via SAP ERP. Oracle DBMS_SCHEDULER com loop UTL_FILE. PostgreSQL sys_eval para exfiltração de chaves SSL privadas.
Isso é significativo. SAP e Oracle são o núcleo de finanças, RH e operações em grandes empresas. Exploração via módulos RFC legítimos significa que o atacante abusa funcionalidade nativa — não precisa de malware. O mesmo princípio do FortiBleed aplicado a aplicações empresariais.
Exfiltração: 407MB de BloodHound e 1,3 milhão de registros PII
Segundo a CloudSEK, a exfiltração documentada inclui 407MB de dados BloodHound do AD, 1,3 milhão+ de registros PII de um provedor de transporte, dumps FortiGate, hashes Kerberoast e credenciais de browser. O volume de BloodHound indica mapeamento profundo do AD para movimento lateral. Os 1,3 milhão de registros PII indicam crime financeiro em paralelo.
Atribuição: MexicanMafia/PanchoVilla com confiança MÉDIA
Segundo a CloudSEK, a atribuição a MexicanMafia/PanchoVilla tem confiança MÉDIA. Padrões regex em espanhol nos scripts de coleta de credenciais confirmam foco regional. O escopo é México primário, Equador secundário e Portugal terciário.
A CloudSEK identifica objetivos híbridos: crime financeiro e coleta de inteligência em paralelo, possivelmente sem coordenação central. Segundo Koushik Pal, em entrevista ao Dark Reading, a explicação mais simples é monetização oportunística correndo paralela à coleta de inteligência.
Conclusão: a LATAM graduou para APT-level
Nós repetimos: a ciberameaça na América Latina graduou de banking trojans para operações de nível APT. Frameworks customizados. Persistência em nível de router. Exploração de SAP/Oracle. Tradecraft de nível estatal vindo de um ator regional. O staging server exposto foi sorte. A próxima campanha não vai deixar a maleta aberta.
Toda organização operando na América Latina precisa reavaliar seu modelo de ameaças. Agora. Na Tech86, nós ajudamos empresas a auditar exposição a CVEs de borda, detectar persistência em routers, revisar segmentação para túneis Chisel e webshells, e reavaliar modelos de ameaça assumindo adversários com capacidade APT — não apenas criminosos comuns.