Ataques patrocinados por Estado-nação dominaram exploração de vulnerabilidades no primeiro semestre

Mais de 50% dos ataques que exploraram vulnerabilidades no primeiro semestre de 2025 foram conduzidos por grupos de ameaças patrocinados por governos, segundo o relatório Tendências de Malware e Vulnerabilidades do Insikt Group, da Recorded Future.

O documento analisa a evolução dos padrões de exploração e procura ajudar as organizações a compreenderem melhor a sua superfície de ataque e a priorizar as defesas. Os dados revelam que os dispositivos de ponta e os produtos Microsoft foram os principais alvos, cada um representando 17% dos ataques observados.

No total, foram divulgados 23.667 CVE (Common Vulnerabilities and Exposures) no primeiro semestre de 2025, um aumento de 16% face ao período homólogo de 2024. Destes, 161 CVE foram identificados como estando a ser ativamente explorados.

A análise mostra ainda que a maioria das vulnerabilidades exploradas não exigiu autenticação (69%) e cerca de 30% permitiram execução remota de código (RCE). Além disso, 42% tinham uma exploração pública de prova de conceito (PoC), sendo que a atividade de exploração aumentava de forma significativa após a sua divulgação.

No que toca à atribuição, os grupos estatais foram responsáveis por 53% dos ataques, seguidos por agentes com motivação financeira não ligados a ransomware (27%) e por grupos de ransomware e extorsão (20%).

Grande parte da atividade ligada a Estados teve origem na China, com destaque para o grupo UNC5221, que visou falhas da Ivanti, como as vulnerabilidades CVE-2025-4428, CVE-2025-22457 e CVE-2025-0282.