A equipe de inteligência de ameaças do Google (GTIG) acaba de fechar seu balanço anual e a mensagem é clara: os dias zero continuam sendo uma ameaça persistente e, em algumas frentes, crescente. Em 2025, os pesquisadores do Google identificaram 90 vulnerabilidades de dia zero que foram ativamente exploradas no mundo real, quase metade delas afetando produtos e dispositivos orientados para ambientes empresariais. Esse total representa uma ascensão em 2024 – quando 78 casos foram registrados –, embora não chegue ao máximo de 2023, quando GTIG contabilizou 100 falhas exploradas na natureza. Para aqueles que não trabalham em segurança diária, convém lembrar que uma vulnerabilidade de dia zero é uma falha no software que os atacantes aproveitam antes que o fabricante tenha oportunidade de o corrigir, o que lhes concede uma janela de vantagem especialmente valiosa para obter acesso inicial, executar código de forma remota ou escalar privilégios.
A radiografia do ano mostra uma distribuição equilibrada entre plataformas de usuário final e soluções empresariais: 47 desses zero-days apontaram para sistemas usados por consumidores e profissionais em suas secretárias e móveis, enquanto 43 bateram produtos projetados para redes corporativas, segurança perimetral e virtualização. Entre os erros explorados apareceram desde falhas de execução remota e escalado de privilégios até injeções, deserialização e problemas de corrupção de memória como use-after-free; o Google destaca que as faltas relacionadas com a segurança da memória representaram cerca de 35% do total, um lembrete de que os erros clássicos de manejo de memória continuam dando frutos aos atacantes.
No território empresarial, os brancos favoritos foram os equipamentos que oferecem acesso privilegiado à rede: dispositivos de segurança, infraestrutura de rede, appliances VPN e plataformas de virtualização. Esses elementos tendem a concentrar autorizações elevadas e, em muitos desdobramentos, funcionam fora do alcance de soluções de detecção e resposta de endpoints (EDR), o que os torna portas traseiras muito atraentes para atores maliciosos.
Se olharmos para as categorias de software, os sistemas operacionais lideraram a lista de explorações: GTIG registrou 24 zero-days contra sistemas de desktop e 15 contra plataformas móveis. As explorações contra navegadores Web baixaram de forma notável – até apenas oito casos em 2025 – e o Google sugere que parte dessa queda pode ser devido ao endurecimento dos navegadores nos últimos anos; outra explicação possível é que os atacantes estejam empregando técnicas de sigilo mais sofisticadas que dificultam sua detecção.
Quanto a quem foi branco, a Microsoft liderou a lista de fornecedores mais atacados com 25 vulnerabilidades exploradas, seguida pelo Google com 11 e Apple com 8; Cisco e Fortinet apareceram com quatro cada uma, enquanto Ivanti e VMware somaram três cada uma. Estes números ilustram que mesmo os grandes fornecedores, com recursos e programas de segurança, continuam a ver como os seus produtos são alvo de exploits não adesivos.
Um dado que rompe com a tendência histórica é o protagonismo dos vendedores de espionagem comercial (CSV, por sua sigla em inglês). Pela primeira vez desde que a GTIG começou a rastrear a exploração de zero-days, essas empresas e seus clientes foram os maiores consumidores de vulnerabilidades não divulgadas, superando os grupos patrocinados por estados. Essa observação coincide com pesquisas e denúncias de organizações como Citizen Lab, que documentaram o impacto e o alcance do mercado de spyware comercial na vigilância e operações ofensivas.
Entre os intervenientes estatais, os grupos ligados à China foram os mais ativos, responsáveis por dez zero-days explorados em 2025, apontando sobretudo para dispositivos na borda da rede e elementos de infraestrutura para manter acessos persistentes. Não menos relevante foi o aumento de atores com motivação econômica (ransomware e extorsão de dados) que utilizaram nove dos erros observados, demonstrando que a exploração de falhas sem adesivo faz parte já tanto da caixa de ferramentas da espionagem como do crime organizado.
Olhando para a frente, a GTIG adverte que a inteligência artificial está mudando as regras do jogo: as técnicas automatizadas podem acelerar a identificação de vulnerabilidades e a criação de exploits, o que provavelmente mantém elevada o número de zero-days explorados em 2026. Essa perspectiva não é exclusiva do Google; agências e centros de análise europeus e globais apontaram nos últimos meses que a IA reduz barreiras técnicas para ofensores, tanto na geração de testes de conceito como na automação da busca de falhas em grandes bases de código ( ENISA Oferece documentação e avisos sobre o impacto do aumento do uso de IA em cibersegurança).
Como exemplo operacional da evolução dos atacantes, o relatório destaca campanhas como Brickstorm, que revelam uma mudança estratégica: menos interesse em roubar código-fonte e mais foco na detecção de falhas que comprometam produtos que ainda estão em desenvolvimento ou por sair do mercado. Essa técnica permite aos ofensores preparar exploits antecipadamente e usá-los quando o software chega à produção, com alto potencial de impacto.
O que as organizações e usuários podem fazer para diminuir o risco? As recomendações de GTIG tornam pilares que as equipes de segurança conhecem bem: reduzir a superfície de ataque e as exposições de privilégio, monitorar continuamente os sistemas em busca de comportamentos anormais e manter processos ágils de adesivo e resposta a incidentes. Na prática, isso implica conhecer o inventário de ativos, segmentar redes para limitar o alcance de uma intrusão, aplicar políticas de privilégios mínimos, empregar soluções de detecção que cubram camadas de rede e servidores críticos, e garantir que as actualizações importantes sejam rapidamente implantadas e com testes adequados.
O panorama que desenha o GTIG não é de catástrofe imediata, mas sim de uma pressão sustentada e em transformação: os zero-days continuam sendo uma moeda de alto valor para atores muito diversos e as ferramentas emergentes como a IA prometem acelerar tanto a busca de falhas como a criação de exploits. A resposta não passa por soluções milagre, mas por reforçar práticas básicas de ciber-higiene, investir em visibilidade e manter procedimentos de resposta bem ensaiados, porque nessa margem operacional é onde se ganha tempo para mitigar um falha antes de se tornar um incidente maior.
Para aqueles que querem consultar o relatório original e aprofundar a metodologia e os casos detalhados, o GTIG publicou a sua revisão anual que inclui gráficos, exemplos de campanhas e recomendações: 2025 Zero-Day Review — Google Cloud. Para ver como as autoridades públicas catalogam e priorizam vulnerabilidades exploradas ativamente, a lista de vulnerabilidades exploradas conhecida por CISA é uma referência prática: CISA — Known Exploited Vulnerabilities Catalog.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...