A F5 revelou ter sido alvo de hackers patrocinados pelo Estado-nação, que acessam sistemas internos persistentes da empresa e extraem dados sensíveis. Segundo comunicado de registro enviado à SEC, o ataque atingiu inclusive ambientes usados no desenvolvimento do principal produto BIG-IP, resultando no roubo de parte do código-fonte e de informações sobre vulnerabilidades ainda não divulgadas publicamente.
Leia também
Falha zero-Day relacionada ao Gladinet CentreStack
GitHub libera campanhas de segurança
A empresa afirmou não ter evidências de que vulnerabilidades críticas ou que a possibilidade de execução remota de código tenham sido comprometidas, nem de exploração ativa de falhas não públicas. Também não há indicação de modificações na cadeia de fornecimento de software ou nos pipelines de construção e lançamento, tampouco acesso ou alteração no código-fonte do NGINX, nos sistemas Silverline, F5 Distributed Cloud ou bases financeiras e de suporte.
Parte dos arquivos exfiltrados continha dados de configuração e soluções ajustadas a uma pequena fração de clientes, que estão sendo comunicados diretamente. O ataque foi identificado em 9 de agosto de 2025, com divulgação adiada mediante autorização do Departamento de Justiça dos EUA, em conformidade com a legislação para incidentes cibernéticos materiais.
Embora a F5 não tenha detalhado os responsáveis, o perfil do ataque sugere envolvimento de hackers ligados ao Estado chinês, conhecidos por buscar vulnerabilidades não reveladas através do comprometimento de grandes fornecedores de software. A prática foi notada, por exemplo, em ataques recentes a servidores SharePoint, além de campanhas identificadas pelo Google e Mandiant envolvendo roubo de código-fonte para detecção de zero-days.
