Agentes maliciosos vêm explorando uma vulnerabilidade zero-day até então desconhecida no Adobe Reader por meio de documentos PDF criados com intenção maliciosa desde, pelo menos, dezembro de 2025.

A descoberta foi detalhada por Haifei Li, da EXPMON, e é descrita como uma exploração de PDF altamente sofisticada.

pdf" apareceu pela primeira vez na plataforma Virus Total em 28 de novembro de 2025.

O nome do documento indica um componente de engenharia social, no qual os atacantes provavelmente atraem vítimas com um PDF que imita uma fatura legítima para induzi-las a abrir o arquivo no Adobe Reader.

Uma vez aberto, o documento aciona automaticamente a execução de Java Script ofuscado.

O código coleta dados confidenciais do sistema e estabelece contato com infraestrutura externa para receber cargas úteis adicionais.

Segundo Li, o exploit aproveita uma vulnerabilidade zero-day não corrigida que permite a execução de APIs privilegiadas do Acrobat.

Também está confirmado que a vulnerabilidade funciona na versão mais recente do Adobe Reader.

O pesquisador de segurança Gi7 w0 rm acrescentou, em publicação no X, que os documentos observados contêm iscas em russo e fazem referência a eventos relacionados à indústria de petróleo e gás na Rússia.

A amostra atua como um exploit inicial com capacidade de coletar e vazar diferentes tipos de informações, potencialmente seguida por exploits de execução remota de código (RCE, na sigla em inglês) e fuga de sandbox (SBX).

O malware envia as informações coletadas para um servidor remoto ("169.