Nightmare-Eclipse: seis zero-days, seis semanas e uma grande vingança
Um olhar mais atento à campanha solo que desmonta sistematicamente a pilha de segurança da Microsoft
Principais conclusões
- Nightmare-Eclipse (Eclipse Caótico) é um agente malicioso movido por uma queixa pessoal contra a Microsoft.
- Os exploits publicados por este agente de ameaça foram observados em atividades de ameaça ligadas a infraestruturas geolocalizadas na Rússia.
- Os defensores devem dar prioridade à correção do CVE-2026-33825, reforçar o BitLocker e implementar camadas de deteção de rede e controlos de identidade que operem de forma independente do endpoint comprometido.
Nem todos os agentes de ameaça são grupos de ransomware ou ameaças patrocinadas por estados. Hoje estamos a olhar para uma pessoa com profundo conhecimento dos internos do Windows e um rancor igualmente profundo contra a Microsoft.
Nightmare-Eclipse (Dead Eclipse, Chaotic Eclipse, Eclipse) é um ator malicioso que lançou seis exploits de zero-day para Windows desde o início de abril de 2026, numa campanha de retaliação em escalada contra a Microsoft, segundo vários investigadores. Eclipse não se enquadra facilmente nas categorias tradicionais de inteligência de ameaças — não parece estar à procura de lucro, a promover uma causa social ou a perseguir objetivos geopolíticos. Parece ser um único investigador de segurança movido por vingança pessoal, libertando deliberadamente exploits perigosos que outros estão agora a utilizar em ataques no mundo real. Defensores e investigadores devem responder ao Nightmare-Eclipse com a mesma seriedade de qualquer outro ator de ameaça, mesmo que opere sozinho e fora do ecossistema habitual.
Aqui está a sua visão rápida sobre o Nightmare-Eclipse:
Tipo de ameaça |
Ator malicioso — um investigador de segurança desonesto que realiza divulgação de zero-day por represália contra a Microsoft. Opera sozinho, movido por um ressentimento pessoal. |
Característica única |
Alvos das próprias ferramentas defensivas da Microsoft — transformando o Defender, o BitLocker e os subsistemas principais do Windows em superfícies de ataque em vez de contorná-los. |
Motivação |
Queixa pessoal. Alega que a Microsoft violou um acordo e "me deixou sem-abrigo e sem nada." Nenhuma evidência de motivo financeiro ou afiliação a um estado-nação. |
Alvos |
ecossistema Microsoft Windows em geral. Windows 10, Windows 11 e Windows Server 2016–2025, embora varie conforme a exploração. |
Método de divulgação |
Código de prova de conceito publicado no GitHub, programado imediatamente após a Patch Tuesday para maximizar a janela de vulnerabilidade. |
Exploits conhecidos e Vulnerabilidades e Exposições Comuns (CVEs) |
BlueHammer (CVE-2026-33825, corrigido), RedSun (corrigido silenciosamente por investigador, sem CVE), UnDefend (não corrigido), YellowKey (não corrigido), GreenPlasma (não corrigido), MiniPlasma (não corrigido) |
Exploração ativa |
Confirmado pela Huntress Labs a 10 de abril de 2026. Atividade de intrusão ligada a infraestrutura localizada na Rússia. |
Os exploits publicados pela Eclipse já foram armados em intrusões no mundo real, adicionados ao catálogo de Vulnerabilidades Conhecidas Exploradas da Agência de Cibersegurança e Segurança de Infraestrutura (CISA), e forçaram um ciclo de patch de emergência, mas não param por aí. Em divulgações anteriores, o investigador prometeu mais por vir, incluindo vulnerabilidades de execução remota de código, e afirmou ter implantado um 'interruptor de homem morto' que liberaria automaticamente exploits adicionais. O lançamento mais recente, MiniPlasma, veio sem novas ameaças e sem retórica — apenas código exploit funcional. É difícil dizer se essa contenção significa alguma coisa.
O que há num nome?
Este ator malicioso usa o nome 'Nightmare-Eclipse' como handle no GitHub. Tanto 'Chaotic Eclipse' como 'Dead Eclipse' estão associados ao seu blog. Chaotic Eclipse aparece no nome do blog, e Dead Eclipse está no URL e listado na seção 'Sobre Mim'.
Aqui está o perfil do GitHub:
Perfil GitHub de Nightmare-Eclipse
Perfil do blog Chaotic Eclipse - Dead Eclipse
É difícil dizer se o motivo "eclipse" tem algum significado. Poderia ser uma metáfora para eclipsar/superar a segurança da Microsoft ou escurecer o nome da Microsoft. O URL do blog inclui ‘666’ e ‘deadeclipse’, e o nome inclui ‘caótico’. Não precisamos aprofundar muito para encontrar significado aqui.
Quanto aos exploits, os primeiros cinco são nomeados com uma cor + substantivo:
- BlueHammer — Azul é a cor da marca da Microsoft, e um martelo é uma ferramenta de força bruta. Trata-se de martelar o produto de marca própria da Microsoft.
- RedSun — O vermelho sinaliza perigo. Esta exploração lança luz sobre as falhas do Microsoft Defender através de um caminho de código diferente do BlueHammer.
- UnDefend — Um portmanteau que zomba diretamente do Windows Defender: un-Defend, como em tornar o Defender incapaz de defender.
- YellowKey — O amarelo sinaliza cautela e a chave refere-se ao desbloqueio de discos protegidos por BitLocker.
- GreenPlasma — Sinais verdes significam ir/execução. Plasma sugere poder energizado — ganhando privilégios elevados.
MiniPlasma é a versão mais recente, e o primeiro nome a quebrar o padrão de cor + substantivo. "Mini" refere-se ao Cloud Files Mini Filter Driver que visa, ou ao facto de ser um companheiro menor do GreenPlasma. De qualquer forma, a ligação 'Plasma' associa-o ao tema mais abrangente de escalada de privilégios.
A convenção de nomenclatura parece ser projetada para memorabilidade e sentimento anti-Microsoft.
Identidade do ator: desconhecida, possível insider
A verdadeira identidade de Nightmare-Eclipse permanece desconhecida, mas parecem ser um investigador de segurança que pode ser um ex-funcionário da Microsoft. Este rumor não foi verificado, mas a profundidade do conhecimento demonstrada por Eclipse sugere uma familiaridade ao nível de insider com a base de código e arquitetura da Microsoft. O blog Chaotic Eclipse parece apoiar isto:
Nunca quis reabrir um blogue e uma nova conta no GitHub para partilhar código...
Mas alguém violou o nosso acordo e deixou-me sem-teto e sem nada. Eles sabiam que isto iria acontecer e ainda assim apunhalaram-me pelas costas, esta é a decisão deles, não minha.
As publicações, promessas e ameaças escalam a partir daí.
Alegam também que o pessoal do Microsoft Security Response Center (MSRC) os ameaçou diretamente:
"Fui informado pessoalmente por eles que arruinariam a minha vida e arruinaram."
Se esta pessoa é um ex-funcionário, um ex-contratante ou um investigador externo com um histórico profissional ligado à Microsoft continua a ser uma questão em aberto. O que não está em questão é que Nightmare-Eclipse demonstrou uma capacidade sustentada para identificar e explorar vulnerabilidades de zero-day em componentes centrais do Windows, e que escolheram usar essa capacidade numa campanha deliberada. Estas são as ações de um ator malicioso — não um denunciante, não um defensor de divulgação responsável e não um investigador neutro.
Os seis zero-days
Até ao momento desta redação, a Nightmare-Eclipse lançou seis ferramentas de exploração:
BlueHammer—CVE-2026-33825 | CORRIGIDO
Uma falha de escalonamento de privilégios do Windows Defender que permite a um atacante que já tem acesso de nível de utilizador normal escalar para privilégios de nível de SISTEMA . Em termos práticos, um ponto de apoio limitado numa máquina Windows pode tornar-se numa compromissão muito mais profunda, permitindo o acesso a credenciais locais sensíveis e a capacidade de realizar ações muito além de uma conta de utilizador padrão.
O crédito do CVE foi para os investigadores Zen Dodd e Yuanpei Xu — não para a Nightmare-Eclipse. Isto indica uma descoberta independente ou uma decisão deliberada da Microsoft de não creditar a divulgação não coordenada.
RedSun—Sem CVE
Outra vulnerabilidade de escalonamento de privilégios do Windows Defender que permite a um utilizador padrão obter execução ao nível do SISTEMA. RedSun difere de BlueHammer na forma como o consegue, mas o resultado é o mesmo: o Windows pode ser enganado para executar código controlado pelo atacante com os privilégios mais altos. O resultado é que uma pequena intrusão pode rapidamente tornar-se num controlo completo do dispositivo afetado.
UnDefend—Sem CVE
Uma ferramenta de interrupção do Defender projetada para enfraquecer ou cegar o Microsoft Defender ao invés de dar controle direto ao atacante. A análise pública mostra que interfere na capacidade do Defender de receber atualizações e detectar novas ameaças, enquanto faz o sistema parecer saudável. É melhor entendida como um companheiro de evasão de defesa: uma vez que um atacante tenha acesso elevado, o UnDefend pode tornar a atividade subsequente muito mais difícil de detectar.
YellowKey—Sem CVE
Uma falha de segurança do BitLocker que pode permitir que alguém com acesso físico a um sistema Windows acesse dados em unidades protegidas por configurações TPM sys‑only do BitLocker. Em termos práticos, um portátil roubado que dependa das configurações padrão do BitLocker pode estar em maior risco, pois o atacante pode ser capaz de acessar uma unidade desbloqueada através do comportamento de recuperação. Isto mina uma salvaguarda chave para dispositivos perdidos, embora proteções adicionais, como PINs pré-arranque, controlos de firmware e práticas fortes de custódia de dispositivos, possam reduzir o risco.
GreenPlasma—Sem CVE
Um problema de escalonamento de privilégios locais do Windows que expõe uma exploração parcial ou incompleta em vez de um ataque totalmente pronto a usar. O código divulgado fornece um bloco de construção que um atacante habilidoso poderia potencialmente desenvolver ainda mais para obter privilégios mais elevados. A sua importância reside no facto de expandir as divulgações Nightmare-Eclipse para além das fraquezas específicas do Defender, abrangendo aspectos mais amplos dos internos do Windows.
MiniPlasma—Sem CVE
Uma nova escalada de privilégios locais do Windows recentemente divulgada está ligada a uma falha originalmente reportada e supostamente corrigida em 2020. Testes independentes confirmaram que o proof of concept ainda poderia produzir acesso ao nível do SISTEMA em sistemas Windows 11 totalmente atualizados em maio de 2026. Isto é significativo porque sugere que uma vulnerabilidade que se pensava estar resolvida há anos pode ainda ser explorável nas versões atuais do Windows.
A cadeia de ataque: como funcionam em conjunto
Vários investigadores têm observado estes exploits em ambientes reais desde abril. Com cada novo exploit divulgado pela Nightmare-Eclipse, surgiu uma cadeia de ataque operacional:
- Escalar: BlueHammer, RedSun, ou MiniPlasma são três métodos diferentes para escalar um utilizador sem privilégios para SYSTEM.
- Blind: UnDefend faz com que o endpoint pareça saudável para o Defender, enquanto torna o Defender menos capaz de detectar algo novo.
- Acesso (físico): YellowKey contorna o BitLocker em dispositivos roubados ou confiscados.
- Persistir (futuro): GreenPlasma, uma vez transformado em arma, fornece um caminho de escalonamento de SISTEMA de backup através de um subsistema diferente.
SecurityToday relatou que os atacantes estavam a encadear estas explorações do Microsoft Defender com o objetivo final de implementar ransomware. Os atores de ameaças avançadas integram rotineiramente código de escalada de privilégios locais (LPE) dentro de dias após o lançamento. BlueHammer e RedSun estão bem além disso, e a janela MiniPlasma está a fechar-se em breve.
É isto que faz com que o Nightmare-Eclipse seja um agente malicioso em vez de apenas um investigador descontente a expor queixas. Ao lançar deliberadamente código de exploração funcional para vulnerabilidades não corrigidas, efetivamente subcontrataram intrusões reais ao ecossistema criminoso mais amplo.
Em termos de inteligência de ameaças, Nightmare-Eclipse está na mesma categoria que qualquer outro ator que conscientemente fornece ferramentas, acesso ou capacidades que outros usam para atacar organizações. A distinção de um grupo de ameaças tradicional é importante para a classificação, mas não altera o risco operacional: Nightmare-Eclipse permitiu diretamente a escalada de privilégios, evasão de defesa e roubo de credenciais em intrusões empresariais confirmadas.
Defenda-se
O investigador não terminou. As suas publicações no blog e no GitHub incluíram avisos explícitos:
- Uma ameaça de começar a divulgar vulnerabilidades de execução remota de código (RCE): "eles estão ativamente a pressionar-me para começar a divulgar RCEs, o que farei em algum momento"
- Uma promessa de "uma grande surpresa" para a Patch Tuesday de junho de 2026
- Uma alegação de que irão "arrastar outras empresas para isto"
- Uma "chave de homem morto" que libertaria automaticamente explorações adicionais se determinadas condições forem cumpridas
Não há razão para pensar que eles não vão concretizar essas ameaças. Numa declaração de 15 de maio, a Microsoft afirmou que “tem conhecimento das supostas vulnerabilidades e está a investigar ativamente a validade e a aplicabilidade potencial destas alegações nas nossas plataformas e serviços.”
O que pode fazer? Aplique a atualização Patch Tuesday de abril de 2026 para BlueHammer (CVE-2026-33825). Verifique a versão da plataforma Defender 4.18.26050.3011 ou posterior. Monitore os avisos dos fornecedores para patches fora de banda que abordem UnDefend, YellowKey e GreenPlasma. Explore técnicas de mitigação do YellowKey, como criar um PIN de arranque do BitLocker e uma senha do BIOS/UEFI. Infelizmente, isto não é uma correção permanente contra o exploit. Fortalece o dispositivo, mas o problema pode ainda ser explorável.
Defender contra estas explorações requer segurança fora do endpoint. A deteção de rede, os controlos de identidade, a deteção comportamental e as capacidades de resposta podem operar independentemente do sistema comprometido. A Barracuda pode ajudar os provedores de serviços geridos (MSPs) e as equipas de segurança a detetar, conter e responder a atividades pós-comprometimento—antes que um único endpoint explorado se torne numa violação em larga escala. Visite www.Barracuda.com para mais informações.
Relatório de Ameaças de E-mail de 2026
Saiba como a IA e o phishing como serviço estão a remodelar o panorama das ameaças de e-mail e como se proteger.
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.
O Relatório de Ameaças Globais XDR Gerido
Principais conclusões sobre as táticas que os atacantes utilizam para atacar as organizações e as vulnerabilidades de segurança que tentam explorar.