Hakai Offsec

After some hard work, coffee has been released! Our newest Rust COFF Loader! If you want to check it out: github.com/hakaioffsec/co… Don’t forget to check our blog post for more details: labs.hakaioffsec.com/coffee-a-coff-…

Eh nesse final de semana o Guilherme nos representou na BSidesSP – na Red Team Community, falando sobre LSASS Dump: fugindo do clássico. Abordando uma situação real onde foi preciso burlar o EDR para realizar a leitura da memória de um dos processos mais monitorados do Windows. Foi exibido como um atacante pode explorar métodos alternativos para realizar o ataque de LSASS Dump, explorando APIs menos documentadas e evitando o uso da clássica “MiniDumpWriteDump”. Onde foi ilustrado trechos de códigos utilizados durante o engagement. E o Guilherme Carneiro @neos1an quem é? Ele Pentester - Red Team, na Hakai Security, Apaixonado por cybersecurity desde pequeno, atualmente formado em Defesa Cibernética pela Faculdade de Informática e Administração Paulista (FIAP) e hoje é aluno do @hackingclub.io e exerce a função como Pentester. Ao longo da sua trajetória lapidou suas habilidades em segurança ofensiva nos mais diversos ambientes, desde sistemas bancários, aplicativos mobile, aplicações web, a largas infraestruturas de Active Directory.

Reverse engineering SmartLoader from a malware-developer perspective. SmartLoader is a commodity loader in active deployment, recently tied to LummaStealer delivery. It's interesting less for any single primitive and more for what it reveals about how modern MaaS tooling is actually built. The post walks through each layer as an engineering choice, why the malware is built the way it is and what that says about the constraints the developer was working under, then compares the result against where operational red-team tooling is going. Two different optimization surfaces, same underlying primitives. Author: Alice Duarte Check out the article: hakaisecurity.io/reverse-engine…

In our latest analysis, we dive into CVE-2026-4802, a high-severity vulnerability discovered by our team in Cockpit that allows a remote attacker to achieve arbitrary command execution on the host by exploiting unsanitized user-controlled parameters within crafted links in the system logs user interface (UI). Read the full analysis on our blog: hakaisecurity.io/en-cve-2026-48…

Em nossa análise mais recente, mergulhamos na CVE-2026-33725, uma vulnerabilidade de alta criticidade no Metabase Enterprise que permite a execução remota de comandos no servidor. A partir de uma análise técnica da rota de importação de arquivos YAML, mostraremos na prática como a falta de sanitização em parâmetros da conexão JDBC torna a plataforma vulnerável. Quer entender o impacto real dessa falha, o vetor de exploração envolvendo o banco H2 e como proteger seu ambiente? Confira o artigo. EN - hakaisecurity.io/en-cve-2026-33… PT-BR - hakaisecurity.io/cve-2026-33725… Autores: Diego Tellaroli ( @diegotellaroli ) Guilherme D'ávila ( @neosian3301 )

Dia de reconhecer quem faz tudo acontecer. Cada profissão tem seu peso, sua correria e sua importância — do operacional ao estratégico, do presencial ao digital. Hoje não é só sobre trabalho. É sobre quem mantém tudo funcionando. E claro, no meio de tudo isso, tem a galera do Cyber Security — nos bastidores, protegendo dados, sistemas e pessoas todos os dias. Enquanto muita gente nem vê, tem alguém bloqueando ataques, evitando vazamentos e segurando a operação. Hoje é dia de valorizar o esforço, a dedicação e cada resultado construído. Feliz Dia do Trabalhador! #DiaDoTrabalhador #CyberSecurity #SegurançaDigital #HackingClub #QuimeraX #TI #Infosec #Tecnologia

Sábado foi insano na BSidesRJ 2026 Junto com o Hacking Club chegamos pesados e marcamos presença de verdade. No palco principal, quem abriu os trabalhos foi Oliveira Lima com uma aula braba sobre OPSEC for Red Teams — aquele nível de operação clandestina autorizada que separa amador de profissional. No palco 2, Diego Berger Tellaroli trouxe conteúdo raiz com Linux Rootkits: an introduction to LKM. Papo técnico, direto ao ponto. Na Red Team Village, só pedrada: – Luciane Goes mostrando como dar bypass no RH (sim, aquilo que ninguém te conta) – Daniel França revelando “o iOS que a Apple não te mostra” E claro… o caos organizado do CTF do Hacking Club, comandado pelo Carlos Vieira e Lucas Dantas — desafio, pressão e muita mente fritando ao mesmo tempo. Resumo? Networking pesado, conteúdo de alto nível e aquela energia que só quem vive segurança de verdade entende. Já estamos prontos pra próxima. #BSidesRJ #CyberSecurity #RedTeam #HackingClub #HakaiSecurity #CTF #InfoSec

A facilidade de criar softwares com plataformas de vibe coding, como a Lovable, trouxe um alerta importante sobre a segurança de dados. Muitas dessas aplicações utilizam o Supabase como backend, onde configurações inadequadas de permissões podem permitir que usuários não autenticados acessem informações sensíveis diretamente. Este artigo apresenta a Chupabase, uma ferramenta desenvolvida para identificar automaticamente essas falhas por meio de engenharia reversa nos arquivos do frontend. O objetivo é demonstrar como o banco de dados se torna a principal linha de defesa nessas arquiteturas e por que a implementação correta de políticas de acesso é fundamental para evitar a exposição de dados. Acesse o conteúdo completo para entender como proteger suas aplicações e garantir que a segurança acompanhe a velocidade do desenvolvimento moderno. Autores: Edson Araújo (@edson_m4z4), Lucas Dantas (@ah_nao_tech) e o Thiago Bispo (@thiagobispo__) Confira o artigo: hakaisecurity.io/chupabase-extr…

Esta palestra tem como objetivo apresentar os conceitos fundamentais por trás dos rootkits em Linux, com foco específico em LKM (Loadable Kernel Modules). Serão abordados desde o funcionamento do kernel Linux e seus módulos carregáveis até técnicas clássicas utilizadas por rootkits para ocultação, persistência, hooking de syscalls e escalonamento de privilégios. @diegotellaroli é Tech Lead de Offensive Security na Hakai Security, certificado com a OSCP e eWPTX, pesquisador de segurança com 5 CVEs publicadas e contribui com a comunidade compartilhando conhecimento sobre técnicas avançadas de exploração. Em seu Github e Linkedin compartilha ativamente suas descobertas. Detalhes da palestra bsidesrj.com.br/speakers/diego… Próximo sábado dia 28/03/2026 BSidesRJ bsidesrj.com.br

Um único caractere pode ser suficiente para comprometer uma conta. Neste artigo, exploramos como o uso de Punycode e caracteres Unicode visualmente semelhantes pode levar a cenários de 0-Click Account Takeover, onde um atacante assume o controle de uma conta sem qualquer interação da vítima. Autor: Maiky Jhony - @vert16x Confira o artigo: hakaisecurity.io/um-caractere-p…

In this research, Hakai Security Research Team has identified a critical Remote Code Execution (RCE) vulnerability in Wazuh versions up to 4.14.1 that allows arbitrary command execution on the master node through insecure deserialization in the cluster communication protocol. Written by Texugo hakaisecurity.io/cve-2026-25769…

Em uma pesquisa de segurança conduzida pelo time da Hakai, foram identificadas três vulnerabilidades críticas no Centreon Web e no módulo Open Tickets. As falhas incluem SQL Injection, Path Traversal e Command Injection, permitindo desde a extração completa do banco de dados até a execução remota de comandos no servidor. Todas as vulnerabilidades podem ser exploradas por qualquer usuário autenticado, sem necessidade de privilégios administrativos. Como resultado da pesquisa, foram atribuídos três identificadores CVE: CVE-2026-2749 (CVSS 9.9), CVE-2026-2750 (CVSS 9.1) e CVE-2026-2751 (CVSS 8.3). O post irá demonstrar desde a análise técnica das vulnerabilidades, como realizar a exploração e a correção realizada pelo time do Centreon. Autor: Gabriel Rodrigues - Texugo: @g.lllllllllllllllllllllllll Confira o artigo: hakaisecurity.io/en-deep-lookin… - EN hakaisecurity.io/pt-br-deep-loo… - PT

Esse post demonstra como utilizar uma tecnologia do kernel Linux para interceptar e inspecionar pacotes UDP com foco em consultas DNS, permitindo a coleta e persistência de dados para fins de observabilidade. A abordagem evidencia como é possível identificar padrões suspeitos, como grau de aleatoriedade em subdomínios, auxiliando na detecção de comportamentos anômalos e possíveis tentativas de exfiltração de dados. Autor: Carlos Guilherme @carlosguicg Confira o artigo: hakaisecurity.io/pt-br-dns-quer… --> PTBR hakaisecurity.io/en-dns-query-d… --> EN

A pesquisa no Node-RED 4.0.9 apresenta uma falha crítica no Function Node que permite execução remota de código (RCE). Explorando limitações do módulo vm do Node.js, foi possível burlar a sandbox através da manipulação de construtores JavaScript, acessar o objeto process e carregar o módulo child_process para executar comandos no sistema operacional host. Os testes realizados comprovam a existência de uma vulnerabilidade que burla o isolamento implementado no ambientes possibilitando acesso a dados sensíveis, exigindo controles rigorosos de acesso e isolamento em nível de infraestrutura como mitigação. Confira o arquivo: PT-BR: hakaisecurity.io/pt-br-flow-to-… EN: hakaisecurity.io/flow-to-shell-…

O artigo tem como foco explicar, de forma simples e acessível, o funcionamento do client fingerprinting e o papel dos diferentes protocolos na identificação de dispositivos. São apresentadas abordagens de pesquisa que analisam como esses métodos podem ser ajustados ou avaliados em estudos acadêmicos e de segurança. Também são abordadas técnicas empregadas em sistemas de detecção de bots em ambientes web. Para encerrar, inclui-se uma demonstração prática da ferramenta utilizada no estudo, destacando como ela contribui para a evasão de diferentes mecanismos de detecção de bots. Confira o artigo: hakaisecurity.io/understanding-… EN: hakaisecurity.io/en-understandi… Escrito por Pedro Cruz @pedrovitor_gc

Em nossa análise mais recente, mergulhamos na CVE-2026-24061, uma vulnerabilidade crítica no telnetd que está sendo ativamente explorada in the wild. A partir de uma análise técnica do código-fonte afetado, mostraremos na prática o que torna essa implementação vulnerável. A falha permite que um atacante não autenticado alcance execução remota de código com altos privilégios no servidor afetado. Quer entender o impacto real dessa falha, o vetor de exploração e por que o telnet ainda é um problema em 2026? Confira o artigo hakaisecurity.io/cve-2026-24061…

A automação é o motor das corporações modernas, mas o que acontece quando as chaves dessa automação ficam expostas? :chave: Em nossas recentes análises de ambientes que dependem do protocolo Kerberos, identificamos um ponto crítico de atenção: os arquivos Keytab. Embora essenciais para que serviços se autentiquem sem interação humana, eles funcionam como "senhas substitutas". Se um atacante acessa esses arquivos, ele assume identidades válidas, garantindo persistência e movimento lateral no Active Directory. Para aprofundar esse diagnóstico e oferecer ferramentas de defesa mais robustas, apresentamos o KeyTabExtractor. Este projeto é um fork aprimorado do keytabextract, desenvolvido para extrair e converter hashes de forma eficiente, permitindo que times de segurança validem a exposição de suas credenciais de serviço. O objetivo? Identificar riscos antes que eles se tornem incidentes e elevar o nível de proteção das infraestruturas baseadas em AD. Quer entender como os arquivos Keytab podem ser o elo mais fraco da sua autenticação e como auditá-los? Confira o artigo completo: hakaisecurity.io/en-a-deep-dive…

Amanhã galera dentro da Red Team Community na 307 Conference às 14h o Pedro, vai explicar, de forma simples e acessível, o funcionamento do client fingerprinting e o papel dos diferentes protocolos na identificação de dispositivos. São apresentadas abordagens de pesquisa que analisam como esses métodos podem ser ajustados ou avaliados em estudos acadêmicos e de segurança. Também são abordadas técnicas empregadas em sistemas de detecção de bots em ambientes web. Para encerrar, inclui-se uma demonstração prática da ferramenta utilizada no estudo, destacando como ela contribui para a evasão de diferentes mecanismos de detecção de bots. Onde? PUC-SP - Campus Consolação R. Marquês de Paranaguá, 111 - Consolação, São Paulo - SP, 01303-050 307conf.com.br/pt-br/ eventbrite.com.br/e/307-temporar… @redteamcomorg E o @pedrovitor_gc ? Pedro é analista de pentest na Hakai e conta com diversas certificações como OSCP, CRTO e CWHI, é apaixonado por tecnologia e segurança da informação.

2025 foi praticamente um capture the flag gigante pra Hakai Security. A gente rodou eventos no Brasil, atravessou fronteira, trocou payload com comunidades gringas e mostrou que, quando o assunto é segurança, a operação é sempre full global mode. Esse vídeo é o dump dos nossos momentos favoritos: talks que explodiram neurônio, workshops que fizeram a galera compilar o cérebro ao vivo, bastidores dignos de script kiddie evoluindo pra ninja, e encontros com mentes que realmente entendem o jogo. Cada evento foi tipo atualizar o firmware da comunidade: mais conhecimento, mais prática, mais vulnerabilidades virando aprendizado e mais conexões que fortalecem o ecossistema. Valeu a todos que colaram, contribuíram, sniffaram conhecimento com a gente e mantiveram a cultura hacker viva e pulsando. 2025 foi o warm-up. Em 2026, a gente volta com novos exploits, novas rotas e ainda mais fogo no kernel. #HakaiSecurity #Retrospectiva2025 #CyberSecurity #HackThePlanet #Infosec #RedTeam #BlueTeam #HackerCulture #GlobalOps