Pesquisadores de segurança cibernética divulgaram detalhes de uma operação coordenada de varredura na nuvem que explorou 75 pontos de exposição em diversos sistemas. A atividade foi detectada em 8 de maio de 2025 e envolveu 251 endereços IP maliciosos, todos hospedados pela Amazon no Japão. Segundo a empresa, os IPs exibiram 75 comportamentos distintos, incluindo exploração de vulnerabilidades conhecidas (CVEs), sondagens por configurações incorretas e atividades de reconhecimento.

Todos os IPs estavam inativos antes e depois do evento, o que sugere aluguel temporário de infraestrutura para uma única operação. Os alvos incluíram tecnologias amplamente utilizadas, como Adobe ColdFusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch e Oracle WebLogic. A campanha utilizou desde falhas antigas, como CVE-2014-6271 (Shellshock), até vulnerabilidades críticas em ColdFusion (CVE-2018-15961), Struts (CVE-2017-5638) e Elasticsearch (CVE-2015-1427).

Outras ações detectadas incluíram varredura de scripts CGI, exposição de variáveis de ambiente, busca por configurações do Git, tentativas de upload de shell e verificação de autores no WordPress. A sobreposição de 251 IPs nos três principais ataques indica uma única operação utilizando uma ferramenta ou operador centralizado. Especialistas alertam que, embora esses IPs devam ser bloqueados, futuras tentativas de exploração podem vir de outras infraestruturas temporárias. O caso destaca o aumento de operações oportunistas, porém sofisticadas, com uso de recursos em nuvem.