AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
APT & Espionagem

APT28 Usa CVE-2026-21509 para Pivotamento Cloud-to-On-Premises em Infraestrutura Híbrida

EQUIPE CYBERBOX THREAT INTEL · 09 de fevereiro de 2026 · 8 min de leitura

Uma nova técnica de pivotamento desenvolvida pelo APT28 explora a vulnerabilidade CVE-2026-21509 no Azure Arc Agent para escalar do ambiente cloud comprometido para a infraestrutura on-premises conectada — efetivamente transformando recursos de nuvem em túnel de acesso à rede interna corporativa.

A técnica foi documentada pela equipe CYBERBOX em dois incidentes separados envolvendo organizações com arquitetura híbrida Azure + Active Directory local. Em ambos os casos, o pivotamento passou completamente despercebido por mais de 60 dias.

A Vulnerabilidade CVE-2026-21509

A falha reside no processo de autenticação entre o Azure Arc Agent (instalado em servidores on-premises) e o plano de controle Azure. Uma condição de race no handshake de certificação permite que um atacante com controle sobre o tenant Azure injete certificados não autorizados, ganhando acesso de gerenciamento sobre servidores registrados.

Cadeia de Comprometimento

  • Acesso Inicial (Cloud) — Credenciais Azure obtidas via phishing de conta com privilégios elevados
  • Recon (Cloud) — Enumeração de recursos Azure Arc, identificando servidores on-premises conectados
  • Exploração — CVE-2026-21509 usada para injetar certificação maliciosa no Arc Agent
  • Pivotamento — Execução de comandos via Azure Arc em servidores on-premises como SYSTEM
  • Lateral Movement — Uso das credenciais obtidas para propagação interna
  • Exfiltração — Dados staging em blob storage Azure legítimo antes da transferência final
"Esta técnica representa uma evolução crítica nas TTPs do APT28. Ao usar a infraestrutura Azure como ponte para ambientes on-premises, o grupo essencialmente transformou a nuvem em arma contra o próprio cliente."

— Equipe CYBERBOX Threat Intel

Dados Técnicos do Exploit

# Indicadores de comprometimento via CVE-2026-21509
# Log de auditoria Azure:
az monitor activity-log list --filter "operationName eq 'Microsoft.HybridCompute/machines/write'"

# Verificar certificados incomuns no Arc Agent:
Get-ChildItem "Cert:\LocalMachine\My" | Where-Object {
  $_.Issuer -notmatch "Microsoft" -and $_.Subject -match "arc"
}

Mitigação Imediata

  • Atualizar Azure Arc Agent para versão 1.43.02849 ou posterior
  • Revisar e revogar Service Principals com acesso ao Azure Arc sem necessidade documentada
  • Implementar Conditional Access restringindo autenticação Arc a redes corporativas conhecidas
  • Auditar todos os servidores registrados no Azure Arc e validar certificados ativos
  • Habilitar Microsoft Defender for Servers com detecção de anomalias em comandos Arc
MITRE ATT&CK — Técnicas Observadas
T1078.004 Cloud Accounts T1548.004 Elevated Execution with Prompt T1210 Exploitation of Remote Services T1021.006 Windows Remote Management T1534 Internal Spearphishing T1074.002 Remote Data Staging
Tags: APT28 CVE-2026-21509 cloud Azure on-premises pivotamento lateral movement MITRE ATT&CK
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
APT & Espionagem
Shadow Campaigns: APT28 Opera Infraestrutura Paralela de C2 por 14 Meses
08 Fev 2026
APT & Espionagem
APT28 Explora 0-day MSHTML CVE-2026-21513 via Arquivos LNK
01 Mar 2026
Malware
Malware com IA Compromete 600+ Firewalls FortiGate
20 Fev 2026