Usuários do **TrueConf**, particularmente aqueles nos setores governamental e de infraestrutura crítica, são instados a atualizar seu software imediatamente para corrigir uma falha de segurança crítica. A vulnerabilidade, **CVE-2026-3502**, decorre de uma verificação de integridade ausente no mecanismo de atualização de software, permitindo que atacantes distribuam atualizações maliciosas. ### Detalhes do Zero-Day A vulnerabilidade de severidade média afeta as versões 8.1.0 a 8.5.2 do **TrueConf**. Ao obter controle de um servidor **TrueConf** on-premises, um atacante pode substituir o pacote de atualização esperado por um executável malicioso, que é então distribuído para todos os clientes conectados. Isso permite a execução de código arbitrário nos sistemas afetados. ### Ataques Direcionados: Operação 'TrueChaos' Pesquisadores da **Check Point** têm monitorado uma campanha denominada 'TrueChaos' desde o início do ano, que explora a **CVE-2026-3502** em ataques zero-day. Os alvos principais parecem ser entidades governamentais no Sudeste Asiático. "Um atacante que obtém controle do servidor **TrueConf** on-premises pode substituir o pacote de atualização esperado por um executável arbitrário, apresentado como a versão atual do aplicativo, e distribuí-lo para todos os clientes conectados", declarou a **Check Point** em seu relatório. "Como o cliente confia na atualização fornecida pelo servidor sem validação adequada, o arquivo malicioso pode ser entregue e executado sob o disfarce de uma atualização legítima do **TrueConf**."  ### Atribuição e Táticas A **Check Point** avalia com moderada confiança que a atividade 'TrueChaos' está ligada a um ator de ameaças com nexo chinês, com base nas táticas, técnicas e procedimentos (TTPs) observados. Os atacantes utilizam **Alibaba Cloud** e **Tencent** para hospedar sua infraestrutura de comando e controle (C2). Os ataques envolvem a compromissão de um servidor **TrueConf** governamental gerenciado centralmente para distribuir arquivos maliciosos via atualizações falsas para clientes conectados. A cadeia de infecção envolve DLL sideloading, implantação de ferramentas de reconhecimento (tasklist, tracert), escalonamento de privilégios (UAC bypass via iscicpl.exe) e mecanismos de persistência.  Embora o payload final permaneça não recuperado, o tráfego de rede sugere o uso do framework **Havoc** C2. O **Havoc** é um framework C2 de código aberto capaz de executar comandos, gerenciar processos, manipular tokens do Windows, executar shellcode e implantar payloads adicionais em sistemas comprometidos. Ele foi previamente associado ao cluster de ameaças chinês 'Amaranth Dragon'. ### Mitigação e Indicadores de Comprometimento (IoCs) A **TrueConf** corrigiu a vulnerabilidade na versão 8.5.3, lançada em março de 2026. Os usuários são fortemente aconselhados a atualizar para a versão mais recente. O relatório da **Check Point** fornece indicadores de comprometimento (IoCs) para ajudar as organizações a detectar infecções potenciais. Indicadores-chave incluem a presença de *poweriso.exe* ou *7z-x64.dll*, e artefatos suspeitos como *%AppData%\Roaming\Adobe\update.7z* ou *iscsiexe.dll*. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> ## <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Pentest Automatizado Cobre Apenas 1 de 6 Superfícies.</a> Pentest automatizado prova que o caminho existe. BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro. Este whitepaper mapeia seis superfícies de validação, mostra onde a cobertura termina e fornece aos profissionais três perguntas diagnósticas para qualquer avaliação de ferramenta.