Il malware bancario Android Perseus sta attirando molta attenzione per la sua capacita di combinare furto di credenziali, controllo remoto del dispositivo e raccolta mirata di informazioni ad alto valore. Questa nuova famiglia di Android banking malware viene diffusa tramite app dropper distribuite su siti di phishing e spesso si presenta come servizio IPTV, un contesto credibile per chi scarica app fuori dallo store ufficiale tramite sideload. La scelta non e casuale, perche aumenta le probabilita di installazione riducendo i sospetti dellutente.

Perseus deriva da basi gia note nel panorama delle minacce mobile, evolvendosi da codebase legate a Cerberus e Phoenix. Il risultato e una piattaforma piu flessibile, pensata per il device takeover e la frode finanziaria in tempo reale. Le campagne osservate hanno preso di mira diversi paesi, con un focus rilevante anche su Italia e Turchia, oltre a Polonia, Germania, Francia, Emirati Arabi Uniti e Portogallo.

Il cuore operativo di Perseus e labuso dei servizi di accessibilita di Android, una tecnica ricorrente nei trojan bancari che consente di ottenere permessi estesi e di interagire con linterfaccia. In questo modo il malware puo eseguire overlay attack mostrando schermate false sopra app bancarie o servizi crypto, catturare i tasti digitati e intercettare credenziali e dati di autenticazione. In parallelo, un pannello di comando e controllo permette agli operatori di inviare comandi, avviare sessioni di controllo remoto e persino autorizzare transazioni fraudolente.

Un aspetto distintivo e la funzione di monitoraggio delle app di note. Perseus puo eseguire un comando dedicato per estrarre contenuti da applicazioni come Google Keep, Samsung Notes, Xiaomi Notes, Evernote, ColorNote e Microsoft OneNote. Questa scelta segnala un interesse specifico per informazioni che molti utenti conservano nelle note, come password, codici temporanei, dati bancari o frasi di recupero.

Per evitare analisi e ambienti controllati, Perseus esegue controlli anti debug e anti analisi cercando strumenti come Frida e Xposed, verificando la presenza della SIM, la quantita di app installate e parametri come valori di batteria. Tutti questi elementi confluiscono in un punteggio di sospetto inviato al server, utile a decidere se procedere con le fasi piu invasive di furto dati.

La CISA ha inserito nel catalogo delle vulnerabilità note sfruttate due falle di sicurezza che riguardano Zimbra Collaboration Suite e Microsoft Office SharePoint, segnalando exploit attivi in rete e chiedendo alle organizzazioni di applicare rapidamente le patch. Il tema è particolarmente rilevante per chi gestisce posta elettronica e collaborazione, perché gli attacchi moderni puntano spesso ai sistemi più esposti e usati ogni giorno.

Zimbra Collaboration Suite: CVE-2025-66376

Per Zimbra, la vulnerabilità CVE-2025-66376 è una stored cross-site scripting nella Classic UI. In pratica un aggressore può inserire codice malevolo dentro un messaggio email HTML e farlo eseguire nel browser della vittima quando questa apre la webmail.

La tecnica descritta sfrutta direttive CSS @import all’interno del contenuto HTML, evitando allegati e link sospetti. Questo rende più difficile l’individuazione tramite controlli tradizionali, perché l’intera catena di attacco vive nel corpo della mail.

In uno scenario reale, l’email viene costruita con JavaScript offuscato per rubare credenziali, token di sessione, codici di recupero 2FA, password salvate nel browser e contenuti della casella di posta fino a 90 giorni. I dati sottratti possono essere esfiltrati sia via DNS sia via HTTPS, aumentando la resilienza dell’attacco.

Microsoft Office SharePoint: CVE-2026-20963

Per SharePoint, la CVE-2026-20963 è legata alla deserializzazione di dati non fidati e può consentire esecuzione di codice da remoto via rete a un attaccante non autenticato. Anche senza dettagli pubblici estesi sugli sfruttamenti, la combinazione di impatto elevato e contesto enterprise rende prioritario l’aggiornamento, soprattutto in ambienti dove SharePoint è integrato con identità, documenti e workflow critici.

Contesto: Cisco FMC e pattern ransomware

In parallelo, è stato evidenziato anche un caso di zero-day su Cisco FMC, CVE-2026-20131, sfruttato da operatori ransomware per ottenere accesso root. Il pattern è chiaro: i gruppi criminali cercano accesso iniziale tramite dispositivi edge e piattaforme di gestione, poi scalano privilegi e distribuiscono ransomware.

Misure consigliate

• Patch tempestive per Zimbra, SharePoint e componenti esposti.
• Hardening degli accessi amministrativi (riduzione superficie d’attacco e controllo degli account privilegiati).
• Segmentazione per limitare movimenti laterali in caso di compromissione.
• Monitoraggio dei log, con particolare attenzione a webmail, SharePoint e sistemi di gestione firewall.

Nel panorama della cybersecurity di marzo 2026 emergono segnali chiari di una pressione silenziosa ma costante, fatta di exploit ripetuti, tecniche di social engineering sempre piu credibili e catene di attacco che sfruttano configurazioni deboli e servizi esposti.

Una delle tendenze piu preoccupanti riguarda la crescita di un modello Ransomware as a Service che sfrutta vulnerabilita su FortiGate. L accesso iniziale avviene tramite bypass di autenticazione in FortiOS e FortiProxy e viene supportato da un inventario operativo di migliaia di dispositivi gia compromessi e credenziali VPN pronte per attacchi mirati. In parallelo si osservano tecniche BYOVD per disattivare i processi di sicurezza a livello kernel, aumentando l efficacia delle fasi di persistenza ed evasione.

Sul fronte delle vulnerabilita applicative spicca una catena pre auth di remote code execution su una piattaforma ITSM molto diffusa. La sequenza combina bypass di autenticazione, deserializzazione Java non sanificata e scrittura arbitraria di file fino a ottenere esecuzione di codice su Tomcat. Questo tipo di exploit chain dimostra quanto sia rischioso lasciare endpoint di reset password e parametri legacy esposti senza hardening.

Anche il malware evolve in modo pragmatico. Un loader noto viene impiegato per distribuire un framework C2 in C plus plus con funzioni di screenshot, keylogging, terminale remoto e furto dati dai browser, adottando bypass AMSI e tecniche come direct system calls e process hollowing per ridurre la rilevazione EDR. La distribuzione avviene tramite siti clone di brand noti, confermando l importanza della protezione del traffico web e della formazione utenti.

Crescono inoltre gli abusi legati a strumenti per sviluppatori e AI workflow. Una tecnica sfrutta deep link e configurazioni MCP per indurre l utente a installare server remoti malevoli o eseguire comandi locali tramite un singolo click e una conferma. In parallelo aumentano i segreti hard coded pubblicati su repository, inclusi file di configurazione MCP con credenziali valide.

La superficie di attacco resta elevata anche su infrastrutture edge. Campagne di mass exploitation colpiscono vulnerabilita note su Citrix NetScaler con centinaia di tentativi, mentre il phishing si sposta su canali collaborativi come Microsoft Teams per convincere le vittime ad avviare strumenti di assistenza remota e concedere accesso diretto. Infine si registra l abuso di piattaforme SaaS di supporto come LiveChat per portare l utente in una chat in tempo reale e sottrarre credenziali, dati carta e codici MFA, aggirando i filtri tradizionali basati su email.

Nel mercato del lavoro della cybersecurity cresce la richiesta di professionisti capaci di difendere aziende e istituzioni, ma il divario di competenze resta ampio. Per ridurre la carenza di talenti, stanno emergendo approcci di recruiting innovativi che puntano su profili non convenzionali e su percorsi di ingresso più accessibili. In questo scenario si inserisce The Hacking Games, una piattaforma di recruitment tech che mira a trasformare le abilità di gioco in competenze spendibili in ruoli di ethical hacking e sicurezza informatica.

L’idea centrale è semplice ma potente. Molti gamer sviluppano nel tempo capacità di problem solving, pensiero strategico, analisi dei pattern, gestione della pressione e collaborazione in team. Sono competenze trasversali che, con una formazione mirata, possono diventare fondamenta solide per carriere in cybersecurity. The Hacking Games utilizza un sistema basato su intelligenza artificiale per individuare questi profili, analizzare il potenziale e collegare le persone a opportunità lavorative coerenti con le loro attitudini.

La piattaforma si concentra in particolare sulla Generazione Z, intercettandola nei luoghi digitali in cui è più attiva. Comunità online, intrattenimento e dinamiche social diventano canali di acquisizione del talento, superando i tradizionali filtri del curriculum e dei percorsi accademici. Questo modello aiuta anche chi si sente fuori dagli schemi a trovare un ambito professionale dove curiosità, creatività e voglia di sperimentare sono risorse preziose.

Un altro elemento chiave è lo skills matching. Invece di basarsi solo su titoli o certificazioni, l’AI abbina capacità osservabili e potenziale di crescita alle esigenze delle aziende. Così il recruiting in cybersecurity diventa più rapido e più aderente alla realtà operativa, dove contano competenze pratiche, mentalità da difensore e capacità di apprendere velocemente. Per le organizzazioni, questo significa ampliare il bacino di candidati e costruire team più diversificati. Per i candidati, significa avere una strada concreta per entrare nel settore della sicurezza informatica, anche partendo da passioni come il gaming.

Gli attacchi Magecart rappresentano una delle minacce più insidiose per la sicurezza e-commerce perché non sfruttano per forza vulnerabilità nel codice proprietario del negozio online. Il loro punto di forza è la supply chain del web, cioè la catena di risorse di terze parti caricate nel browser degli utenti durante la navigazione e soprattutto al checkout. In questo scenario la differenza tra analisi statica del codice e monitoraggio runtime diventa fondamentale per impostare un threat model corretto.

Un caso recente mostra una tecnica avanzata in cui lo skimmer Magecart nasconde il payload dentro i metadati EXIF di una favicon caricata dinamicamente. Questo significa che il codice malevolo non entra mai nel repository del merchant e non compare nelle pull request.

Flusso tipico dell’attacco (multi-stadio)

• Loader iniziale: un primo loader JavaScript appare come una normale inclusione di terze parti e scarica uno script da un URL che sembra legittimo, ad esempio tramite CDN note.
• Costruzione offuscata dell’URL: lo script successivo costruisce in modo offuscato l’indirizzo reale del contenuto malevolo e punta a una favicon remota.
• Estrazione del payload da EXIF: la favicon viene letta come dato binario, i metadati EXIF vengono analizzati per estrarre una stringa contenente codice JavaScript e il payload viene eseguito nel browser con funzioni dinamiche.
• Esfiltrazione dati: i dati di pagamento vengono esfiltrati con una richiesta POST verso un server controllato dagli attaccanti, senza che il sito debba modificare il proprio codice sorgente.

Questa dinamica chiarisce perché un tool di code security basato su repository e static analysis non può intercettare un attacco che vive fuori dal codebase. L’analisi statica può individuare pattern rischiosi nel codice interno, come logiche di iniezione dinamica di script o flussi dati sospetti, ma non vede script caricati a runtime da tag manager, widget di pagamento, strumenti di analytics o asset su CDN esterne. Non vede nemmeno payload nascosti in immagini e favicon e non può valutare in tempo reale domini che compaiono solo durante l’esecuzione nel browser.

Per ridurre il rischio Magecart e di attacchi client-side simili serve monitorare ciò che viene realmente eseguito nel browser degli utenti, includendo modifiche a risorse di terze parti, anomalie nel DOM, iframe malevoli, abusi di pixel tracker e richieste di rete non previste durante il checkout.

Una nuova campagna di ransomware sta sfruttando una vulnerabilità critica in Cisco Secure Firewall Management Center (FMC), identificata come CVE-2026-20131 e valutata con punteggio CVSS 10.0. Il problema nasce da una deserializzazione non sicura di uno stream Java fornito dall’utente, che può consentire a un attaccante remoto non autenticato di aggirare i controlli di accesso ed eseguire codice Java con privilegi di root sul dispositivo esposto. In pratica, un singolo punto debole nel software di gestione dei firewall può trasformarsi in un accesso completo all’infrastruttura di sicurezza aziendale.

Le osservazioni raccolte tramite una rete globale di sensori hanno indicato che lo sfruttamento è avvenuto come zero-day già dal 26 gennaio 2026, quindi settimane prima della divulgazione pubblica. Questo elemento rende la minaccia particolarmente insidiosa perché riduce la finestra di reazione dei team di sicurezza e aumenta la probabilità di compromissioni silenziose. In scenari simili, anche programmi di patch management maturi possono risultare insufficienti nel periodo tra exploit e rilascio delle correzioni.

Catena di attacco osservata

La catena di attacco descritta parte con richieste HTTP appositamente costruite verso un percorso specifico di FMC per innescare l’esecuzione di codice. Dopo la compromissione, il sistema effettua una richiesta HTTP PUT verso un server esterno come segnale di riuscita, quindi riceve comandi per scaricare un binario ELF e ulteriori strumenti operativi.

Strumenti e attività post-compromissione

• Download e staging: ricezione di comandi per scaricare un binario ELF e tool aggiuntivi.
• Ricognizione in ambienti Windows: script PowerShell in grado di enumerare sistema, servizi, software, storage, macchine virtuali Hyper-V, file utente e artefatti dei browser, oltre a controllare connessioni di rete ed eventi RDP dai log.
• RAT personalizzati: trojan di accesso remoto in JavaScript e Java con funzioni di command and control, shell interattiva, esecuzione comandi, trasferimento file e proxy SOCKS5, includendo meccanismi di auto-aggiornamento e auto-cancellazione per ostacolare le analisi forensi.
• Mascheramento del traffico: script Bash che configura server Linux come reverse proxy HTTP con HAProxy, con routine aggressive di cancellazione log e soppressione della cronologia di shell.
• Persistenza/operatività: web shell residente in memoria con parametri cifrati e un beacon di rete per verificare esecuzione e raggiungibilità.

Azioni consigliate di mitigazione

In presenza di sfruttamento attivo è fondamentale applicare subito le patch Cisco, eseguire assessment mirati per individuare indicatori di compromissione e controllare eventuali installazioni non autorizzate di strumenti di accesso remoto legittimi come ScreenConnect. Una strategia di defense in depth con segmentazione, monitoraggio continuo e controlli multilivello aiuta a ridurre l’impatto anche quando una singola difesa fallisce o non è ancora disponibile una correzione.

Badbox 2.0 è una delle botnet più estese legate a dispositivi Android non ufficiali, in particolare i TV box per lo streaming che spesso arrivano già compromessi prima ancora di essere accesi. Il punto critico è che il malware può essere preinstallato nel firmware oppure introdotto durante la configurazione iniziale tramite app scaricate da marketplace non ufficiali. Questo modello di infezione rende difficile per l’utente accorgersi del problema e trasforma il dispositivo in una risorsa controllata da remoto, utile per frodi pubblicitarie e per altre attività criminali su larga scala.

Negli ultimi mesi è emerso un collegamento inquietante tra Badbox 2.0 e Kimwolf, un’altra botnet molto aggressiva che ha colpito milioni di dispositivi. Una schermata attribuita agli operatori di Kimwolf mostrerebbe l’accesso a un pannello di controllo di Badbox 2.0 con un elenco di utenti autorizzati. L’elemento più sospetto è la presenza di un account anomalo che non sembra appartenere al gruppo originale, segnale possibile di accesso non autorizzato al backend della botnet. Se questo accesso fosse reale, significherebbe che un gruppo criminale potrebbe usare direttamente l’infrastruttura Badbox 2.0 per distribuire nuovo malware e ampliare ancora più rapidamente le infezioni.

L’analisi dei contatti associati agli account del pannello, in particolare indirizzi email su qq.com, porta a una serie di tracce OSINT che rimandano a domini e aziende tecnologiche cinesi già citate in precedenti indagini su Badbox 2.0. Alcuni domini risultano collegati alla distribuzione e gestione dell’ecosistema, mentre password riutilizzate e registrazioni storiche di domini suggeriscono collegamenti tra identità e progetti digitali che ruotano attorno a infrastrutture compatibili con una botnet. Incrociando dati di registrazione, archivi web e servizi di threat intelligence, emergono nomi e riferimenti coerenti con ruoli tecnici e amministrativi legati a domini associati a Badbox 2.0.

Il rischio per la sicurezza domestica e aziendale non riguarda solo il singolo TV box. Dispositivi IoT privi di autenticazione robusta possono essere raggiunti con semplici comandi se un attaccante riesce a comunicare con loro, e alcune tecniche sfruttano anche proxy residenziali per sondare reti locali dietro firewall. Per questo la scelta di dispositivi certificati, l’uso di store ufficiali e l’isolamento dei gadget su reti separate restano misure pratiche per ridurre l’esposizione.

Una recente campagna di cyber attacchi attribuita al gruppo Konni mostra come il phishing mirato possa trasformarsi in una catena di infezioni sfruttando la fiducia tra contatti. Gli attaccanti hanno inviato email di spear phishing con un allegato ZIP progettato per indurre la vittima ad aprire un file LNK su Windows. Il messaggio era mascherato da comunicazione credibile legata a temi sensibili, una tecnica di social engineering pensata per aumentare il tasso di apertura e di esecuzione del contenuto.

Quando il collegamento LNK viene avviato, scarica un payload di fase successiva da un server esterno. La sequenza include meccanismi di persistenza tramite operazioni pianificate, cosi il malware puo rimanere attivo a lungo sul dispositivo compromesso. In parallelo viene mostrato un documento PDF esca, utile a distrarre lutente e a ridurre la probabilita che si accorga di attivita anomale. Una volta stabilita la presenza sul sistema, gli attaccanti possono sottrarre documenti interni e informazioni sensibili, mantenendo un profilo basso.

Il componente principale osservato e EndRAT, un remote access trojan scritto in AutoIt. EndRAT consente controllo remoto del computer infetto con funzioni tipiche dei RAT moderni, come gestione dei file, accesso a shell remota, trasferimento dati e ulteriore persistenza. Un dettaglio rilevante e che in alcuni casi sono stati trovati anche altri artefatti malevoli riconducibili a famiglie RAT differenti, segnale che la vittima potrebbe essere considerata di alto valore e che gli aggressori puntano alla resilienza inserendo piu backdoor.

La parte piu insidiosa della campagna riguarda la propagazione tramite KakaoTalk su desktop. Dopo aver ottenuto accesso non autorizzato alla sessione dellapp installata sul sistema, Konni invia archivi ZIP malevoli a contatti selezionati della rubrica della vittima. In questo modo il malware non si diffonde con spam indiscriminato, ma con invii mirati che sfruttano un mittente gia conosciuto, aumentando la credibilita del messaggio e la probabilita di infezione. Di fatto, ogni vittima puo diventare un relay per colpire altri obiettivi, estendendo la portata dellattacco oltre il semplice phishing iniziale.

LeakNet è un’operazione ransomware che sta cambiando approccio per ottenere l’accesso iniziale alle reti delle vittime, puntando su una tecnica di social engineering chiamata ClickFix. Invece di affidarsi soprattutto a credenziali rubate e rivendute da intermediari, gli attaccanti sfruttano siti web legittimi ma compromessi per consegnare istruzioni ingannevoli. La logica è semplice e pericolosa: l’utente vede un finto controllo CAPTCHA o un messaggio di errore e viene guidato a risolvere il problema copiando e incollando un comando nel box Esegui di Windows. Il comando spesso richiama msiexec.exe, uno strumento reale del sistema operativo, rendendo la procedura più credibile e riducendo i sospetti.

Questa strategia offre vantaggi operativi a chi attacca. Usare ClickFix significa ridurre la dipendenza da terze parti, abbassare i costi per colpire ogni singola vittima e soprattutto aumentare la scalabilità della campagna. Inoltre, il traffico iniziale nasce da siti compromessi e non da infrastrutture chiaramente riconducibili agli aggressori, con meno segnali evidenti a livello di rete.

Un secondo elemento chiave della catena di attacco è l’uso di un loader basato su Deno, il runtime JavaScript. In questo schema, codice JavaScript codificato in Base64 viene eseguito direttamente in memoria, limitando le tracce su disco e aiutando a eludere i controlli. Il loader è progettato per identificare il sistema compromesso, contattare un server esterno e scaricare altri stadi di malware, entrando poi in un ciclo di polling che recupera ed esegue nuovo codice in modo ripetuto. Questo modello a stadi rende più flessibile l’operazione e permette di adattare i payload in base all’ambiente.

Sono stati osservati anche tentativi di intrusione che usano phishing tramite Microsoft Teams per convincere un utente ad avviare una catena simile, suggerendo un approccio bring your own runtime che potrebbe diffondersi tra più gruppi.

Dopo la compromissione, LeakNet segue una metodologia coerente: DLL side loading per avviare componenti malevoli, movimento laterale con PsExec, esfiltrazione dei dati e infine cifratura. Un dettaglio operativo rilevante è l’uso di cmd.exe /c klist per verificare le credenziali di autenticazione attive e accelerare le mosse successive. Per staging ed esfiltrazione vengono impiegati bucket S3, mascherando le attività dentro traffico cloud che può sembrare normale.

Kimwolf è una botnet che ha attirato grande attenzione nel mondo della sicurezza informatica per la sua capacità di generare attacchi DDoS su larga scala e per le tattiche di intimidazione contro ricercatori e giornalisti. Al centro di questa vicenda compare il nome Dort, indicato come il botmaster di Kimwolf, cioè la persona che coordina l’infrastruttura e le operazioni del gruppo. L’analisi di informazioni pubbliche e fonti OSINT mostra come diverse identità digitali riconducibili a Dort siano emerse nel tempo, spesso collegate a community di cybercrime e a servizi usati per automatizzare abusi online.

Una prima traccia porta a un dox del 2020 che descrive Dort come un giovane canadese e collega gli alias CPacket e M1ce. Cercando il nickname CPacket su piattaforme di open source intelligence si trova un account GitHub creato nel 2017 associato a un indirizzo email usato anche in altri contesti. Ulteriori dati di threat intelligence indicano che lo stesso indirizzo email è stato impiegato tra il 2015 e il 2019 per registrarsi su forum noti per attività illecite, con account creati dallo stesso indirizzo IP attribuito a un provider canadese. Queste correlazioni non sono una prova definitiva, ma rappresentano un classico esempio di come l’attribution OSINT si basi su riuso di credenziali, impronte di registrazione e sovrapposizioni tra piattaforme.

Prima di essere associato a Kimwolf, Dort era noto nell’ambiente Minecraft, dove avrebbe sviluppato Dortware, un software per barare nei server di gioco. Questo passaggio da cheat per videogiochi a strumenti per crimini informatici è un percorso già visto: competenze nate in contesti ludici possono evolvere in servizi più pericolosi, come bypass CAPTCHA e creazione di email temporanee utili per account takeover e frodi. In chat e canali dedicati a SIM swapping e automazione, compare anche il nome DortDev insieme a riferimenti a Dortsolver, codice pensato per aggirare sistemi anti-bot.

Un ulteriore elemento riguarda la possibile connessione con un soggetto chiamato Jacob, emersa da conversazioni indicizzate e da riutilizzo di password tra email differenti. Anche qui il punto chiave è il metodo: incrocio tra registrazioni di domini a tema Minecraft, account su forum e tracce di credenziali presenti in database di breach. Nel frattempo Kimwolf è stata collegata a campagne di doxing, email bombing e minacce di swatting, dimostrando come le botnet moderne non siano solo strumenti tecnici ma anche leve di pressione e violenza psicologica.

La campagna malware GlassWorm sta alimentando un attacco di supply chain mirato a sviluppatori e aziende che usano GitHub e Python. Gli aggressori sfruttano token GitHub rubati per inserire codice dannoso in centinaia di repository Python, colpendo progetti molto diffusi come applicazioni Django, codice di ricerca per machine learning, dashboard Streamlit e anche pacchetti destinati a PyPI. Il rischio principale è che chiunque esegua pip install da un repository compromesso o cloni ed esegua il progetto possa attivare il malware senza accorgersene.

Il vettore è legato alla compromissione degli account degli sviluppatori. Secondo le analisi, le prime iniezioni risalgono all’8 marzo 2026. La tecnica è particolarmente insidiosa perché non si limita ad aggiungere un commit evidente: gli attaccanti prendono gli ultimi commit legittimi del branch di default, li riorganizzano con un rebase e poi eseguono un force push che riscrive la storia Git. In questo modo mantengono intatti messaggio, autore e data del commit originale, riducendo la visibilità delle modifiche malevole nell’interfaccia di GitHub e rendendo più difficile accorgersi della compromissione tramite i normali controlli basati sulla cronologia.

Il codice malevolo viene tipicamente aggiunto in fondo a file comuni nei progetti Python come setup.py, main.py e app.py, spesso in forma offuscata e con payload codificato in Base64. Una volta eseguito, il malware effettua controlli per evitare l’esecuzione su sistemi con impostazioni locali russe, mentre sugli altri sistemi procede a recuperare istruzioni e ulteriori componenti.

Un elemento distintivo di questa ondata è l’uso di infrastruttura legata a wallet Solana. Il malware interroga un campo memo associato a un indirizzo di wallet per estrarre un URL aggiornato del payload, che può cambiare frequentemente. Da lì scarica ulteriori carichi, inclusi componenti in JavaScript cifrato progettati per il furto di criptovalute e dati. Questo approccio rende più flessibile la catena di infezione e complica i blocchi statici basati su indicatori fissi.

Sono emersi anche casi in cui la stessa campagna avrebbe colpito pacchetti npm, con versioni malevole pubblicate e meccanismi di esecuzione in memoria e lock temporali per limitare la riesecuzione, segnalando una strategia ampia e multi-ecosistema.

Nel recap settimanale di cybersecurity emergono segnali chiari su come le minacce stiano accelerando e diversificando le tecniche. Il punto più urgente riguarda due vulnerabilità zero day di Google Chrome sfruttate attivamente. Le falle interessano componenti critici come la libreria grafica Skia e il motore V8 per JavaScript e WebAssembly, con rischi che vanno dall’accesso fuori dai limiti di memoria fino alla possibile esecuzione di codice. In uno scenario in cui il browser è la porta di ingresso principale per lavoro e vita digitale, aggiornare Chrome alle versioni più recenti su Windows, macOS e Linux diventa una misura di difesa immediata.

Sul fronte infrastrutture, i router domestici e SOHO continuano a essere trasformati in risorse criminali. Operazioni di contrasto hanno colpito servizi proxy basati su botnet di router compromessi, usati per frodi su larga scala e per mascherare il traffico malevolo. Alcuni malware mirati ad architetture MIPS e ARM sfruttano vulnerabilità note sugli edge device e introducono persistenza avanzata, arrivando persino a installare firmware modificati che blocca futuri aggiornamenti. Il risultato è un arruolamento permanente dei dispositivi in reti proxy difficili da smantellare e capaci di eludere il monitoraggio aziendale.

Anche il cloud resta sotto pressione. Un caso evidenzia come chiavi sottratte in un attacco alla supply chain di un pacchetto npm possano essere riutilizzate mesi dopo per ottenere privilegi amministrativi in AWS in poche ore o giorni. L’abuso della fiducia tra GitHub e AWS tramite OpenID Connect può portare alla creazione di nuovi ruoli admin, esfiltrazione da bucket S3 e azioni distruttive sugli ambienti di produzione. Questo rafforza l’importanza di controlli su identità e permessi, rotazione dei segreti e revisione delle relazioni di trust.

Tra le tendenze più pericolose crescono phishing e servizi proxy illegali, mentre nuove campagne sfruttano tecniche come SEO poisoning per portare le vittime su portali fasulli e rubare dati personali e pagamenti. Nel frattempo la ricerca sugli agenti AI mostra rischi emergenti legati a comportamenti offensivi e collaborazione tra agenti, che impone un nuovo modello di threat modeling quando si concedono strumenti e accessi.

Una campagna di cyber spionaggio attribuita a un gruppo APT collegato alla Cina sta prendendo di mira le reti di telecomunicazioni in Sud America almeno dal 2024. Il settore telecom è una delle infrastrutture critiche più appetibili per gli attaccanti perché gestisce traffico, metadati e servizi essenziali, e un accesso prolungato può offrire capacità di intercettazione e movimento laterale verso altri obiettivi strategici. L’attività è tracciata come UAT 9244 e mostra affinità operative con altri cluster noti per attacchi contro provider di telecomunicazioni, pur senza un collegamento definitivo.

Catena di infezione e impianti osservati

Gli analisti hanno osservato una catena di infezione che utilizza tre impianti distinti, progettati per coprire ambienti eterogenei.

Windows: TernDoor

Su Windows viene impiegato TernDoor, un backdoor distribuito tramite DLL side loading. In pratica viene sfruttato un eseguibile legittimo, wsprint.exe, per caricare una DLL malevola che decifra ed esegue il payload finale direttamente in memoria, riducendo le tracce su disco. Per mantenere la persistenza, il malware può creare una attività pianificata o usare la chiave di registro Run. Tra le funzionalità spiccano la raccolta di informazioni di sistema, la gestione di file e processi e la possibilità di eseguire comandi arbitrari. È presente anche un driver Windows integrato, usato per sospendere, riprendere o terminare processi e per nascondere componenti malevoli.

Linux ed embedded: PeerTime

Nel versante Linux e dispositivi embedded emerge PeerTime, un backdoor peer to peer compilato per più architetture come ARM, AARCH, PPC e MIPS, così da colpire anche sistemi integrati spesso presenti nelle reti telecom. Il payload viene distribuito con script shell e un binario strumentale che verifica la presenza di Docker e, se rilevato, avvia il loader. PeerTime può mascherarsi rinominandosi come processo innocuo e usa il protocollo BitTorrent per recuperare informazioni di comando e controllo, scaricare file dai peer ed eseguirli. Sono state viste varianti in C o C plus plus e una versione più recente in Rust, segnale di evoluzione tecnica e manutenzione attiva.

Edge/network devices: BruteEntry

Il terzo componente, BruteEntry, è orientato ai dispositivi di bordo rete e trasforma gli host compromessi in nodi proxy per scansioni massive. Attraverso componenti in Go, un orchestratore distribuisce il modulo che contatta il server di comando e controllo per ottenere una lista di indirizzi IP da attaccare con brute force contro servizi come Postgres, SSH e Tomcat, riportando gli accessi riusciti.

Apple ha rilasciato aggiornamenti di sicurezza per dispositivi iOS e iPadOS più datati, intervenendo su vulnerabilità sfruttate attivamente dal kit di exploit Coruna. Il punto centrale riguarda una falla di WebKit identificata come CVE 2023 43010, un problema legato alla gestione di contenuti web malevoli che può causare corruzione di memoria. In scenari reali questo tipo di bug può aprire la strada a compromissioni più gravi, per esempio tramite esecuzione di codice o catene di exploit che combinano più vulnerabilità.

La correzione di CVE 2023 43010 era già stata distribuita in versioni più recenti dei sistemi Apple, ma ora viene portata anche su dispositivi che non possono aggiornare all’ultima release. Questo aspetto è importante per la sicurezza mobile, perché molti iPhone e iPad continuano a essere utilizzati per anni, spesso in contesti aziendali o familiari, e restano esposti quando una vulnerabilità viene riutilizzata in tool offensivi.

Gli aggiornamenti interessano in particolare iOS 15.8.7 e iPadOS 15.8.7 per modelli come iPhone 6s, iPhone 7 e iPhone SE di prima generazione, oltre a diversi iPad e iPod touch. Inoltre sono disponibili patch per iOS 16.7.15 e iPadOS 16.7.15 per iPhone 8, 8 Plus e iPhone X e alcuni iPad compatibili. In pratica Apple ha esteso la protezione a una fascia ampia di dispositivi che altrimenti rimarrebbero vulnerabili a pagine web appositamente costruite per innescare il difetto.

Oltre a CVE 2023 43010, iOS 15.8.7 e iPadOS 15.8.7 includono anche correzioni per altre tre vulnerabilità collegate a Coruna. Tra queste compaiono difetti use after free in WebKit associati a corruzione di memoria e un problema nel kernel che potrebbe consentire a una app di ottenere privilegi elevati fino a eseguire codice con privilegi di kernel. Un ulteriore bug di type confusion in WebKit può invece portare a esecuzione di codice arbitrario durante l’elaborazione di contenuti web malevoli, aumentando il rischio quando la navigazione avviene su siti compromessi o link ricevuti via messaggi.

Coruna è stato descritto come un exploit kit con numerosi exploit e più catene di attacco mirate a versioni iOS in un intervallo ampio. In questo contesto, installare subito gli aggiornamenti di sicurezza Apple riduce la superficie di attacco e interrompe le catene basate su WebKit e componenti di sistema, rendendo più difficile la compromissione dei dispositivi non più recenti.

Una nuova variante della tecnica ClickFix sta attirando l’attenzione nel mondo della cybersecurity per la sua capacità di ingannare l’utente e avviare una catena di infezione con metodi meno comuni rispetto alle campagne precedenti. Il punto di partenza resta la classica pagina web che si finge un controllo captcha e guida la vittima a premere Win + R, incollare un comando e premere Invio. Questa forma di social engineering sfrutta la fiducia e la routine, trasformando l’utente nel primo esecutore del payload.

La novità principale è l’uso del comando net use per montare una condivisione WebDAV remota come unità di rete (ad esempio Z:), scaricando e lanciando uno script .cmd ospitato sul server esterno. Subito dopo l’esecuzione, la mappatura viene rimossa, riducendo le tracce e complicando le analisi. Invece di affidarsi subito a strumenti spesso monitorati come mshta o wscript, questa variante utilizza una sequenza che appare più simile a un’operazione amministrativa.

Lo script update.cmd avvia PowerShell in modalità nascosta per scaricare un archivio .zip, estrarlo in una cartella locale dentro AppData e avviare un programma apparentemente legittimo: WorkFlowy per Windows. Il trucco è che l’applicazione è stata trojanizzata: la firma è quella del produttore e il pacchetto è basato su Electron, ma il codice malevolo è stato inserito dentro l’archivio app.asar, modificando il file main.js. Poiché Electron esegue JavaScript nel processo Node.js principale, il malware può operare con i privilegi dell’utente e spesso fuori dai controlli che si concentrano su loader separati o script evidenti.

Una volta avviata, la logica malevola crea un identificativo persistente della vittima salvandolo in un file id.txt in AppData, poi avvia un beacon verso il server di comando e controllo che invia regolarmente informazioni come nome macchina e utente Windows. Lo stesso canale può ricevere istruzioni per scaricare payload aggiuntivi, scriverli in una directory temporanea e avviarli, completando l’infezione. In termini di rilevamento, un aspetto chiave è monitorare comandi sospetti lanciati dalla finestra Esegui e registrati nella chiave di registro RunMRU, oltre a connessioni WebDAV anomale e creazione di cartelle insolite in Temp.

Un recente caso di supply chain attack su npm ha mostrato quanto sia facile colpire gli sviluppatori tramite un pacchetto malevolo mascherato da installer di OpenClaw. Il pacchetto npm con nome simile a un componente legittimo veniva distribuito come strumento da riga di comando e sfruttava un meccanismo tipico dell’ecosistema Node.js per attivarsi subito dopo l’installazione. La minaccia prendeva di mira soprattutto macOS e puntava a rubare credenziali e dati sensibili, installando anche un RAT con funzionalità avanzate.

Il comportamento dannoso partiva da un postinstall hook che avviava una reinstallazione globale del pacchetto, rendendolo disponibile nel PATH grazie al campo bin del file package.json. In pratica, l’utente credeva di installare un normale installer, ma in realtà eseguiva uno script che fungeva da dropper. La prima fase mostrava una finta interfaccia CLI con barre di avanzamento per aumentare la credibilità, poi presentava una richiesta di autorizzazione tipo iCloud Keychain, inducendo l’utente a inserire la password di sistema. Questa tecnica di social engineering è particolarmente efficace per aggirare la diffidenza anche di chi lavora quotidianamente con terminale e pacchetti open source.

In parallelo, lo script scaricava da un server di comando e controllo un secondo payload JavaScript cifrato, lo decodificava e lo eseguiva come processo separato in background, cancellando il file temporaneo dopo breve tempo per ridurre le tracce. Se alcune cartelle non erano accessibili, veniva mostrata una finestra che guidava l’utente a concedere Full Disk Access al Terminale, aumentando drasticamente la quantità di dati sottraibili.

La seconda fase includeva funzioni tipiche di un info stealer e di un remote access trojan, con persistenza, comunicazione C2, proxy SOCKS5 e persino clonazione di sessioni browser. I dati presi di mira comprendevano macOS Keychain, credenziali e cookie dei browser Chromium, wallet crypto e seed phrase, chiavi SSH, credenziali cloud e di sviluppo, oltre a dati protetti da Full Disk Access come Note, iMessage, Safari e Mail. L’esfiltrazione avveniva tramite più canali, inclusi servizi esterni e API di messaggistica. Una componente di monitoraggio clipboard cercava pattern legati a chiavi private e token, aumentando il rischio di furto di criptovalute e accessi ad account.

Le campagne di phishing più pericolose oggi non puntano solo a ingannare i dipendenti ma a logorare il Security Operations Center. Quando un’indagine su una singola email richiede ore invece di pochi minuti, la differenza tra incidente contenuto e violazione diventa concreta. Per anni la difesa dal phishing si è concentrata su formazione, filtri email e programmi di segnalazione. Molto meno considerato è ciò che accade dopo la segnalazione, cioè il processo di triage e analisi nel SOC, che può trasformarsi in una superficie di attacco.

Gli attaccanti ragionano per sistemi. Un SOC ha capacità finita e modalità di fallimento prevedibili. In una grande azienda è sufficiente inviare migliaia di messaggi di phishing a bassa sofisticazione per generare una valanga di alert e report. I messaggi più banali creano rumore e costringono gli analisti a smaltire una coda che cresce più velocemente di quanto possa essere gestita. Dentro questo volume si nascondono poche email di spear phishing mirate a ruoli chiave e accessi critici. Il risultato è una forma di denial of service informativo che colpisce l’attenzione umana invece delle risorse di rete.

Sotto pressione i SOC tendono ad accelerare il triage riducendo la profondità delle verifiche. Una quota rilevante dei team non riesce a stare al passo con gli alert in ingresso e questo porta a scorciatoie cognitive, ancoraggio a indicatori superficiali e minore capacità di riconoscere segnali nuovi. Proprio qui lo spear phishing trova copertura, perché è progettato per assomigliare a comunicazioni di routine come fornitori, condivisioni documenti o processi amministrativi.

La dinamica economica favorisce l’attaccante. Generare decoy costa quasi zero, ancora di più con strumenti di generazione automatica, mentre ogni email segnalata costa minuti o ore di tempo qualificato. Il costo di perdere il messaggio giusto può invece tradursi in furto credenziali, movimento laterale, esfiltrazione dati o ransomware.

Molte organizzazioni provano a rispondere con automazioni a regole, whitelist e deduplicazione, ma queste difese creano punti ciechi prevedibili e spesso non sono affidabili se non spiegano il perché delle decisioni. Un approccio più efficace è rendere il triage decision ready, con analisi trasparente e verificabile su autenticità del mittente, controlli SPF DKIM DMARC, reputazione del dominio, indicatori di social engineering e correlazione con telemetria endpoint. La variabile critica diventa la latenza decisionale: passare da 3–12 ore a meno di 5 minuti riduce drasticamente la finestra operativa dell’attaccante.

Una recente campagna di furto credenziali sta colpendo utenti e aziende attraverso falsi client VPN distribuiti con tecniche di SEO poisoning. Il metodo sfrutta la fiducia nei risultati dei motori di ricerca e nella reputazione dei software enterprise. Quando una vittima cerca un programma VPN legittimo, viene indirizzata verso siti controllati dagli attaccanti che propongono download apparentemente affidabili, spesso in formato ZIP, contenenti installer malevoli.

Il gruppo identificato come Storm 2561 e attivo almeno dal 2025 usa pagine ottimizzate per comparire in alto nelle ricerche e imitare brand noti del settore sicurezza. In scenari precedenti la stessa strategia aveva gia portato alla distribuzione di installer contraffatti associati a malware loader, con l obiettivo di ottenere accesso iniziale ai sistemi. Nella variante piu recente, la catena di infezione si concentra sulla sottrazione di credenziali VPN, un dato particolarmente appetibile per compromettere accessi remoti e reti aziendali.

Un elemento critico e l abuso di piattaforme considerate affidabili come GitHub, utilizzate per ospitare i file di download. Il repository ospita un archivio ZIP che include un file MSI mascherato da software VPN autentico. Durante l installazione avviene il sideloading di DLL malevole che avviano un infostealer della famiglia Hyrax, progettato per raccogliere e inviare all esterno le credenziali inserite.

La truffa e resa convincente da una finestra di login VPN falsa, simile a quella reale. L utente inserisce username e password, poi riceve un messaggio di errore e viene invitato a scaricare il client corretto. In alcuni casi il reindirizzamento porta davvero al sito ufficiale, riducendo i sospetti e facendo credere a un semplice problema tecnico.

Per mantenere la persistenza su Windows, il malware puo configurarsi tramite la chiave di registro RunOnce, in modo da eseguirsi dopo il riavvio del sistema. Le contromisure consigliate includono l attivazione della multi factor authentication su tutti gli account, la verifica scrupolosa della fonte dei download e l uso di canali ufficiali per ottenere software VPN e strumenti di accesso remoto, evitando risultati sponsorizzati o domini simili a quelli reali.

Una campagna di cyber spionaggio attribuita a un gruppo legato alla Cina sta prendendo di mira organizzazioni militari nel Sud Est asiatico almeno dal 2020, con un approccio orientato alla raccolta di intelligence mirata invece che al furto massivo di dati. L’operazione è stata tracciata come CL-STA-1087 e mostra caratteristiche tipiche di una Advanced Persistent Threat (APT), come metodi di consegna curati, tecniche di evasione delle difese, infrastrutture stabili e payload personalizzati per mantenere accesso prolungato ai sistemi compromessi.

Gli strumenti principali osservati includono i backdoor AppleChris e MemFun, oltre a un componente per il furto di credenziali chiamato Getpass. L’attività è emersa dopo il rilevamento di esecuzioni sospette di PowerShell, dove lo script entra in uno stato di sleep di circa sei ore e poi crea reverse shell verso un server di command and control controllato dagli attaccanti. Il vettore di accesso iniziale non risulta confermato, ma la catena di infezione evidenzia movimento laterale e distribuzione di varianti diverse per persistenza e riduzione della rilevabilità.

AppleChris

AppleChris viene distribuito su endpoint differenti dopo la fase di lateral movement e consente una gamma ampia di comandi, tra cui enumerazione dei dischi, listing di directory, upload e download di file, cancellazione, enumerazione dei processi e esecuzione remota di shell.

Un elemento chiave è l’uso di servizi legittimi come Pastebin e in alcuni casi Dropbox come dead drop resolver per recuperare l’indirizzo reale del C2, spesso codificato in Base64. Le tracce su Pastebin risalgono a settembre 2020, suggerendo continuità operativa. AppleChris può essere avviato anche tramite DLL hijacking e alcune varianti includono timer di ritardo per eludere sandbox automatiche.

MemFun

MemFun adotta una catena multi-stage più modulare. Un loader iniziale inietta shellcode che avvia un downloader in memoria, recupera la configurazione C2 da Pastebin e scarica una DLL a runtime, permettendo di cambiare payload senza modificare la struttura di base. La fase di esecuzione include controlli anti-forensi e tecniche come process hollowing su un processo legittimo come dllhost.exe, riducendo gli artefatti su disco.

Getpass

Getpass, basato su una versione personalizzata di Mimikatz, punta a escalation dei privilegi ed estrazione di password in chiaro, hash NTLM e dati di autenticazione dalla memoria di lsass.exe, aumentando l’impatto su account e accessi privilegiati.

Gli attaccanti mostrano pazienza operativa, mantenendo accessi dormienti per mesi mentre cercano file su capacità militari, strutture organizzative, attività congiunte e sistemi C4I.

Negli ultimi mesi sono state individuate sei nuove famiglie di malware Android progettate per rubare dati dai dispositivi compromessi e facilitare frodi finanziarie. La minaccia riguarda sia trojan bancari tradizionali sia strumenti RAT in grado di offrire controllo remoto completo, con un impatto diretto su app bancarie, pagamenti istantanei e wallet crypto.

PixRevolution: attacchi mirati al sistema Pix

Uno dei casi più rilevanti è PixRevolution, malware orientato al sistema Pix, la piattaforma di pagamenti istantanei molto diffusa in Brasile. Il suo punto di forza è la capacità di intervenire nel momento esatto in cui l’utente avvia un bonifico Pix.

Dopo l’installazione tramite finti siti che imitano pagine del Google Play Store e promuovono app note, il dropper spinge la vittima ad abilitare i servizi di accessibilità, un permesso spesso abusato dai malware Android per leggere lo schermo e interagire con le app.

PixRevolution comunica con un server esterno e può attivare la cattura dello schermo in tempo reale usando MediaProjection, preparando il terreno per la manipolazione della transazione. Quando l’utente inserisce importo e chiave Pix del destinatario, il trojan mostra un overlay credibile con un messaggio di attesa e nel frattempo sostituisce la chiave Pix con quella controllata dagli attaccanti. La conferma finale appare normale e la vittima scopre l’errore solo in seguito, ma i trasferimenti Pix sono immediati e difficili da recuperare.

BeatBanker: persistenza, mining e frodi su crypto wallet

Un’altra campagna prende di mira utenti brasiliani con BeatBanker, distribuito tramite phishing e siti camuffati da store ufficiali. Oltre a controlli anti-analisi, include un meccanismo di persistenza insolito basato sulla riproduzione continua di un audio quasi impercettibile per evitare la chiusura del processo.

BeatBanker integra anche un miner di criptovaluta e un modulo bancario capace di creare overlay per servizi come Binance e Trust Wallet, sostituendo in modo furtivo gli indirizzi di destinazione durante transazioni USDT. Il comando e controllo può passare da Firebase Cloud Messaging, rendendo la gestione del malware più agile.

TaxiSpy RAT e nuove offerte MaaS

Tra le minacce con capacità avanzate spicca TaxiSpy RAT, che combina furto credenziali e funzioni di sorveglianza raccogliendo SMS, contatti, registro chiamate, clipboard, notifiche e persino dati di sblocco, usando accessibilità e overlay contro app bancarie e crypto.

Sul fronte MaaS emergono Mirax e Oblivion, venduti come servizi con prezzi mensili, mentre SURXRAT mostra un’evoluzione con moduli aggiuntivi e sperimentazioni legate a componenti AI scaricate in condizioni specifiche, oltre a varianti con screen locker in stile ransomware.

Una recente operazione internazionale di contrasto al cybercrime ha interrotto SocksEscort, un servizio criminale di proxy residenziali che sfruttava router domestici e di piccole imprese compromessi per instradare traffico internet e facilitare frodi su larga scala. Il modello era semplice e redditizio: i dispositivi infettati venivano trasformati in nodi di uscita, permettendo ai clienti paganti di mascherare indirizzo IP reale e posizione geografica, rendendo più difficile distinguere traffico malevolo da attività legittime.

Secondo le informazioni diffuse dalle autorità, SocksEscort avrebbe messo in vendita accesso a circa 369.000 indirizzi IP in 163 paesi a partire dal 2020, con migliaia di router compromessi ancora elencati nel 2026. L’offerta commerciale puntava su proxy residenziali statici e banda illimitata, presentandoli anche come utili a bypassare liste antispam. I pacchetti variavano da piccoli set mensili a grandi volumi di migliaia di proxy, confermando come questi servizi proxy illegali siano diventati un abilitatore chiave per frodi, account takeover e campagne automatizzate.

L’impatto sulle vittime è stato concreto. Tra i casi citati figurano furti di criptovalute per importi elevati e frodi a danno di aziende e privati, inclusi possessori di carte collegate a circuiti dedicati al personale militare. In parallelo, l’uso di botnet di router come infrastruttura di anonimizzazione è stato associato anche ad attacchi DDoS, ransomware e distribuzione di contenuti illegali, mostrando quanto un singolo servizio di proxy possa alimentare più filiere criminali.

L’azione di disturbo, denominata Operation Lightning, ha coinvolto più paesi europei insieme agli Stati Uniti e ha portato al sequestro di decine di domini e server in diverse giurisdizioni, oltre al congelamento di milioni in criptovalute. Un elemento centrale è stato l’uso di pagamenti in criptovaluta tramite piattaforme pensate per acquistare servizi in modo anonimo, con flussi economici stimati in milioni di euro.

Sul piano tecnico, SocksEscort era collegato al malware AVrecon, noto per colpire molti modelli di router e dispositivi edge di vari produttori. Oltre a trasformare i router in proxy residenziali, AVrecon può aprire una shell remota e scaricare ulteriori payload, aumentando il rischio di compromissione persistente. Le infezioni avvengono spesso sfruttando vulnerabilità critiche come RCE e command injection e, per mantenere la persistenza, possono essere installati firmware modificati che ostacolano aggiornamenti e ripristino.

Il malware bancario VENON sta attirando molta attenzione nel panorama della cybersecurity perché rappresenta un cambio di passo nelle minacce rivolte agli utenti brasiliani. A differenza di molte famiglie storiche di trojan bancari diffuse in America Latina, spesso sviluppate con tecnologie più datate, VENON è scritto in Rust e prende di mira sistemi Windows con una catena di infezione studiata per eludere controlli e analisi.

VENON mostra comportamenti tipici dei banking trojan regionali, come la logica di overlay bancari, il monitoraggio della finestra attiva e tecniche di hijacking tramite collegamenti LNK. In pratica il malware osserva titoli delle finestre e domini visitati nel browser e si attiva solo quando rileva l’apertura di siti o applicazioni specifiche legate a banche e piattaforme finanziarie. Questo approccio riduce il rumore e aumenta la probabilità di rubare credenziali con schermate false sovrapposte alle pagine legittime, una tecnica molto efficace nel furto di dati bancari.

La distribuzione avviene tramite una catena di infezione avanzata che include DLL side loading, con l’avvio di una DLL malevola mascherata all’interno di archivi compressi. Un elemento ricorrente in campagne simili è l’uso di ingegneria sociale per convincere la vittima a scaricare e avviare il contenuto, ad esempio attraverso script PowerShell che automatizzano l’esecuzione del payload.

Dopo l’esecuzione, VENON applica diverse tecniche di evasione prima di avviare le azioni malevole. Tra queste compaiono controlli anti-sandbox, meccanismi per rendere più difficile il tracciamento delle chiamate di sistema e bypass di componenti di sicurezza usati per analizzare script e telemetria. Solo dopo questa fase il malware recupera una configurazione remota, imposta persistenza tramite operazioni pianificate e stabilisce comunicazioni con il server di comando e controllo usando WebSocket.

Un dettaglio rilevante è la presenza di script che implementano un hijacking di scorciatoie mirato a una specifica applicazione bancaria, sostituendo collegamenti legittimi con versioni alterate che reindirizzano a pagine sotto controllo degli attaccanti. È prevista anche una funzione di disinstallazione per ripristinare le modifiche, segnale di un controllo remoto più accurato e di una maggiore attenzione a coprire le tracce.

Nel complesso VENON risulta configurato per colpire 33 istituti finanziari e piattaforme legate ad asset digitali, confermando quanto il settore bancario in Brasile resti un bersaglio prioritario per il cybercrime.

Nel bollettino settimanale di cybersecurity emergono diverse tendenze che confermano quanto gli attacchi informatici stiano diventando più rapidi e più difficili da intercettare. Uno dei temi più rilevanti è l’abuso del consenso OAuth. Applicazioni OAuth malevole possono presentarsi con nomi credibili e sfruttare la stanchezza da consenso degli utenti, spingendoli ad approvare permessi eccessivi. Una volta accettato, il token di accesso può essere inviato a un URL controllato dall’attaccante, consentendo accesso a email e file senza rubare la password. Questo rende fondamentale controllare le richieste di permessi e limitare la creazione di app non autorizzate nei tenant aziendali.

Sul fronte del phishing, aumentano i tentativi di takeover degli account di messaggistica come Signal e WhatsApp. Gli attori ostili non rompono la crittografia, ma convincono le vittime a consegnare codici di verifica o PIN, anche fingendosi supporto ufficiale o abusando della funzione dispositivi collegati. La sicurezza quindi dipende molto da procedure interne e formazione, soprattutto per figure sensibili come giornalisti, militari e funzionari.

In cloud si osserva un cambio di strategia: diminuiscono alcuni incidenti legati a misconfigurazioni grazie a guardrail e controlli automatici, mentre cresce lo sfruttamento di vulnerabilità in software di terze parti. Il tempo tra disclosure e sfruttamento di massa si è ridotto da settimane a pochi giorni, rendendo la gestione patch e la visibilità sugli asset critici ancora più urgenti.

Tra le tecniche di evasione spicca Zombie ZIP, un metodo basato su header ZIP malformati che possono causare falsi negativi in antivirus ed EDR, pur consentendo ad alcuni strumenti di estrazione di decomprimere comunque il contenuto. Questo scenario evidenzia quanto sia importante integrare controlli multipli su allegati compressi e catene di consegna.

Crescono anche campagne che puntano a neutralizzare le difese endpoint, come moduli EDR killer che sfruttano driver vulnerabili legittimi secondo la logica BYOVD, spesso veicolati con esche credibili come curriculum e documenti HR. Infine, si notano campagne malware che sfruttano SEO e pagine ingannevoli su repository pubblici per distribuire infostealer e backdoor, dimostrando che anche fonti percepite come affidabili possono diventare vettori di infezione.

Nel panorama della cybersecurity del 2026 sta emergendo un segnale chiaro: la combinazione tra intelligenza artificiale e criminalita informatica sta riducendo drasticamente i tempi necessari per creare nuovi strumenti di attacco. Un esempio significativo e Slopoly, un malware basato su PowerShell attribuito al gruppo Hive0163 e usato per mantenere accesso persistente durante operazioni di ransomware.

Hive0163 e un attore motivato dal profitto, noto per campagne di estorsione che includono esfiltrazione di dati su larga scala e distribuzione di ransomware. Il gruppo e stato associato a diversi tool malevoli e componenti modulari, tra cui loader e trojan di accesso remoto, impiegati per espandere il controllo sulla rete e preparare la fase finale dell attacco. In un caso osservato a inizio 2026, Slopoly e stato distribuito dopo la compromissione iniziale per garantire la persistenza su un server violato per oltre una settimana, offrendo al threat actor una finestra operativa utile per movimenti laterali e deploy di payload aggiuntivi.

L infezione parte da uno script PowerShell posizionato in un percorso tipico di sistema, con meccanismi di persistenza basati su una attivita pianificata denominata Runtime Broker. Cio che rende Slopoly interessante in ottica AI e la presenza di elementi che ricordano codice assistito da un modello linguistico: commenti estesi, gestione degli errori, logging e variabili con nomi coerenti. Lo script si definisce persino come client di persistenza C2 polimorfico, anche se non mostra reali capacita di auto modifica in esecuzione. La variabilita sembra invece demandata a un builder, in grado di generare nuovi client con configurazioni e nomi di funzioni randomizzati, una pratica comune nei malware builder.

Dal punto di vista funzionale, Slopoly agisce come backdoor. Invia periodicamente un segnale di heartbeat con informazioni di sistema a un server di comando e controllo, interroga a intervalli regolari la presenza di nuovi comandi, li esegue tramite cmd.exe e rimanda i risultati al C2. Il contenuto dei comandi eseguiti nella rete compromessa non e sempre visibile, ma il comportamento e coerente con un uso orientato al controllo remoto e alla preparazione del ransomware.

L accesso iniziale puo essere favorito da tecniche di social engineering come ClickFix, che inducono la vittima a eseguire comandi PowerShell malevoli. Da li si innestano altri componenti, come NodeSnake e framework multi linguaggio compatibili con Windows e Linux, capaci di avviare proxy SOCKS5, reverse shell e consegnare ulteriori payload, inclusi ransomware e Slopoly.

Negli ultimi mesi la sicurezza di Salesforce Experience Cloud è finita sotto i riflettori per un aumento di attività malevole orientate a sfruttare configurazioni errate nei siti pubblicamente accessibili. Il punto critico non riguarda una vulnerabilità nativa della piattaforma, ma le impostazioni troppo permissive assegnate al profilo guest user, cioè l’utente non autenticato che serve a mostrare pagine di atterraggio, FAQ e articoli di knowledge base.

Gli attori delle minacce stanno eseguendo scansioni su larga scala dei siti Experience Cloud esposti su Internet, concentrandosi sugli endpoint del framework Aura, in particolare sul percorso /s/sfsites/aura. Per automatizzare e amplificare l’attacco viene utilizzata una versione modificata di AuraInspector, uno strumento open source nato per aiutare i team di sicurezza a individuare e verificare misconfigurazioni di controllo accessi nell’ecosistema Salesforce Aura. La differenza sostanziale è che la variante malevola non si limita a identificare oggetti potenzialmente esposti, ma tenta anche di estrarre dati, approfittando di permessi eccessivi concessi al guest user.

Quando il profilo guest è configurato in modo troppo ampio, un aggressore può interrogare direttamente oggetti del CRM senza effettuare login, ottenendo informazioni sensibili che dovrebbero essere disponibili solo ad utenti autenticati. Perché lo scenario si concretizzi, in genere devono verificarsi due condizioni: l’organizzazione utilizza il profilo guest per l’esperienza pubblica e non ha applicato le linee guida consigliate per limitare l’accesso ai dati.

Raccomandazioni operative per ridurre il rischio

Le raccomandazioni operative per ridurre il rischio puntano su principi di minimo privilegio e riduzione della superficie di attacco:

• Impostare la Default External Access per tutti gli oggetti su Private.
• Disabilitare l’accesso del guest alle API pubbliche quando non necessario.
• Limitare le impostazioni di visibilità per impedire l’enumerazione di membri interni dell’organizzazione.
• Disattivare la self registration se non serve.
• Monitorare i log per individuare query anomale o pattern di scansione.

Questo tipo di attività si inserisce in una tendenza più ampia di attacchi identity based, in cui i dati raccolti come nomi e numeri di telefono vengono riutilizzati per campagne mirate di social engineering e vishing, aumentando la probabilità di compromissione anche oltre il perimetro di Salesforce.

Un recente attacco di supply chain legato al pacchetto nx su npm mostra quanto velocemente un aggressore possa passare dal compromesso di un endpoint di sviluppo al pieno controllo del cloud. Il gruppo identificato come UNC6426 avrebbe sfruttato chiavi e token sottratti in precedenza per ottenere accesso amministrativo su AWS in meno di 72 ore, con impatti che includono esfiltrazione dati e azioni distruttive sugli ambienti di produzione.

La catena di compromissione parte dal furto di un token GitHub di uno sviluppatore. Da lì, gli attaccanti hanno effettuato ricognizione nell’ambiente GitHub e hanno puntato ai segreti presenti nei flussi CI/CD. Un passaggio critico riguarda l’abuso della relazione di trust tra GitHub e AWS tramite OpenID Connect (OIDC), una configurazione spesso usata per consentire a GitHub Actions di assumere ruoli su AWS senza credenziali statiche. Se i ruoli OIDC sono troppo permissivi, un token rubato può diventare la chiave per scalare privilegi nel cloud.

L’origine del furto dei token è collegata al precedente incidente sul pacchetto nx su npm, dove versioni trojanizzate includevano uno script postinstall. Questo script avviava un malware JavaScript progettato per rubare credenziali, raccogliendo variabili di ambiente, informazioni di sistema e token di valore come i GitHub Personal Access Token (PAT). In alcuni casi, l’esecuzione è stata innescata da un aggiornamento di plugin usati negli editor di codice, dimostrando come la sicurezza della catena di dipendenze sia ormai parte integrante della cloud security.

Dopo aver ottenuto credenziali di un account di servizio GitHub, gli attaccanti hanno generato token temporanei AWS STS assumendo un ruolo associato alle pipeline. La permissività del ruolo ha consentito di distribuire uno stack con privilegi IAM e creare un nuovo ruolo con policy AdministratorAccess, trasformando un accesso iniziale limitato in controllo totale dell’account AWS. A quel punto sono state osservate attività come accesso ed enumerazione di bucket S3, terminazione di istanze EC2 e RDS e manipolazioni a livello di repository GitHub, inclusa la pubblicazione forzata.

Per ridurre il rischio servono controlli su più livelli:

• Limitare o bloccare gli script postinstall.
• Applicare il principio del minimo privilegio a ruoli OIDC e account CI/CD.
• Usare PAT a granularità fine con scadenze brevi.
• Eliminare privilegi permanenti per azioni ad alto impatto come la creazione di ruoli admin.
• Monitorare anomalie IAM e comportamenti sospetti su S3.

È importante anche governare i rischi di Shadow AI e degli assistenti basati su LLM, che possono ampliare la superficie di attacco quando hanno accesso a file, credenziali e tooling autenticato.

Negli ultimi mesi diversi attaccanti stanno usando i dispositivi FortiGate Next Generation Firewall come punto di ingresso per violare reti aziendali e rubare credenziali di account di servizio. Questi apparati, spesso posizionati sul perimetro e con ampia visibilita sul traffico, possono avere accesso a informazioni estremamente sensibili come topologia di rete, policy e integrazioni con servizi di autenticazione. Proprio per questo diventano obiettivi ad alto valore per campagne di intrusione mirate.

La tecnica osservata combina lo sfruttamento di vulnerabilita note o credenziali deboli con l’estrazione dei file di configurazione del firewall. All’interno di tali configurazioni possono essere presenti credenziali di servizio usate per collegare il dispositivo a infrastrutture come Active Directory e LDAP. In molte implementazioni queste credenziali servono a mappare ruoli e utenti, recuperare attributi e accelerare la risposta degli alert di sicurezza, ma se finiscono in mano a un attore malevolo possono trasformarsi in una scorciatoia verso l’accesso interno.

In un caso documentato, dopo l’accesso iniziale al FortiGate, gli aggressori hanno creato un nuovo account amministratore locale chiamato support e hanno aggiunto regole firewall che consentivano a quell’account di attraversare tutte le zone senza restrizioni. Questo tipo di modifica permette di mantenere persistenza e di preparare l’ambiente per fasi successive. Le verifiche periodiche di raggiungibilita del dispositivo suggeriscono un comportamento tipico di un initial access broker, cioe un soggetto che stabilisce un punto di appoggio e lo monetizza cedendolo ad altri gruppi.

Successivamente e stata rilevata l’estrazione della configurazione contenente credenziali LDAP cifrate. Le evidenze indicano che l’attaccante sia riuscito a decifrare il file e ottenere credenziali in chiaro, poi usate per autenticarsi su Active Directory tramite un account di servizio. Da li e stato possibile registrare workstation non autorizzate nel dominio, aumentare la profondita dell’accesso e avviare attivita di scansione di rete.

In un altro episodio, l’escalation e stata rapida: dall’accesso al firewall si e passati al deployment di strumenti di accesso remoto come Pulseway e MeshAgent, oltre al download di malware tramite PowerShell da infrastrutture cloud. Un malware Java avviato con DLL side loading e stato impiegato per esfiltrare NTDS.dit e hive SYSTEM verso un server esterno su porta 443, aprendo la strada a furto di identita e movimenti laterali.

Nel contesto del conflitto con l Iran, la cybersecurity sta emergendo come un tema chiave per chi fa venture capital, anche se in modo meno rumoroso rispetto alla defense tech. Quando cresce la tensione geopolitica, le operazioni informatiche aumentano in parallelo alle azioni militari tradizionali e questo crea un impatto immediato su aziende e governi che devono proteggere servizi essenziali e catene operative.

Negli ultimi sviluppi legati al conflitto, sono stati osservati numerosi gruppi hacktivisti attivi con campagne di cyberattacchi collegate agli eventi, con obiettivi che includono infrastrutture critiche, sistemi finanziari e reti di comunicazione in Stati Uniti, Israele e Paesi alleati dell area del Golfo. In questo scenario, gli attori cyber legati all Iran e le loro tattiche diventano un indicatore importante per stimare il rischio e la probabilita di escalation nel cyberspazio. La conseguenza e un aumento della pressione su organizzazioni pubbliche e private per accelerare programmi di sicurezza, aggiornamenti tecnologici e adozione di nuovi strumenti di rilevamento.

Per gli investitori, questa dinamica si traduce in urgenza sul deal flow cybersecurity. La crescita del rischio porta a cicli di procurement piu rapidi e a budget riallocati verso soluzioni che riducono tempi di risposta e superficie di attacco. In particolare, aumentano le opportunita per startup focalizzate su threat intelligence, capacita di anticipare campagne e indicatori di compromissione, e su sicurezza OT e ICS, cioe la protezione di ambienti industriali e operativi dove un incidente puo bloccare produzione, energia e logistica. Anche le piattaforme di detection e response potenziate da intelligenza artificiale attirano interesse perche promettono automazione, correlazione di eventi e riduzione del carico sui team SOC.

Il quadro economico rafforza ulteriormente l attenzione: le stime sui costi globali del cybercrime sono gia enormi e una spinta dovuta a conflitti con attori statali sofisticati tende ad alzare l asticella e ad accorciare le tempistiche con cui le imprese devono modernizzare la postura di sicurezza. Per chi investe in venture capital, la cybersecurity diventa cosi un settore resiliente, sostenuto da domanda strutturale e da catalizzatori geopolitici che rendono la protezione digitale una priorita non rinviabile.

Una nuova campagna di malware sta colpendo dispositivi di rete edge con un obiettivo preciso: trasformare router e apparati simili in una botnet proxy in grado di instradare traffico malevolo in modo silenzioso. Il malware si chiama KadNap e prende di mira soprattutto i router Asus, anche se le analisi indicano tentativi di infezione anche su altri dispositivi di networking. La crescita è rapida, con oltre 14.000 dispositivi compromessi e una forte concentrazione di vittime negli Stati Uniti, seguita da casi in diverse aree tra cui Europa e Italia.

La caratteristica più rilevante di KadNap è l’uso di un sistema peer-to-peer basato su una versione personalizzata del protocollo Kademlia DHT (Distributed Hash Table). In pratica la botnet non dipende da un singolo server centrale facile da bloccare, ma sfrutta una rete distribuita in cui i nodi infetti si aiutano a individuare le risorse di comando e controllo. Questo approccio consente di nascondere meglio l’infrastruttura e di confondersi nel rumore del traffico legittimo peer-to-peer, rendendo più complesso il monitoraggio tradizionale e le operazioni di disruption.

La catena di infezione descrive un meccanismo tipico per i malware su router. Un file script viene scaricato da un server remoto e poi reso persistente tramite un cron job che lo recupera a intervalli regolari, lo rinomina con un nome che richiama il dispositivo e lo esegue. Dopo la persistenza, lo script scarica un file ELF malevolo, lo rinomina e lo avvia installando KadNap. La compatibilità con architetture ARM e MIPS amplia il bacino di dispositivi vulnerabili tipico degli ambienti SOHO e degli edge device.

KadNap utilizza anche un server NTP per ottenere l’ora corrente e combinarla con informazioni di uptime del dispositivo, creando un hash utile a localizzare altri peer nella rete decentralizzata e ricevere comandi o nuovi file. Alcuni componenti aggiuntivi includono funzioni per chiudere la porta 22 (SSH) e per estrarre liste di indirizzi IP e porte dei sistemi di comando e controllo a cui connettersi. È stato inoltre osservato che non tutti i dispositivi parlano con tutti i server, suggerendo una segmentazione dell’infrastruttura in base a modello e tipologia.

I dispositivi compromessi vengono poi monetizzati tramite un servizio di proxy che pubblicizza anonimato e copertura in molti paesi, offrendo accesso a proxy residenziali. Questo rende la botnet appetibile per attori malevoli che vogliono mascherare origine e identità delle loro operazioni. Per ridurre il rischio su router e dispositivi edge è fondamentale aggiornare il firmware, cambiare le password di default, proteggere le interfacce di gestione, riavviare regolarmente e sostituire i modelli fuori supporto.

Il gruppo di cyber spionaggio APT28, legato a operazioni governative russe, è stato osservato mentre conduce attività di sorveglianza prolungata contro personale militare ucraino tramite due impianti malware chiamati BEARDSHELL e COVENANT. La campagna risulta attiva almeno da aprile 2024 e mostra un approccio orientato alla persistenza, al controllo remoto e alla raccolta continua di informazioni sensibili, con un uso crescente di servizi cloud legittimi per nascondere il traffico di comando e controllo.

Nel set di strumenti attribuito ad APT28 compare anche SLIMAGENT, un componente progettato per la raccolta di dati tramite keylogging, screenshot e contenuti degli appunti. Un elemento rilevante è la sua parentela tecnica con XAgent, un impianto storico usato dallo stesso attore negli anni 2010 per controllo remoto ed esfiltrazione. Le analisi indicano similitudini di codice e una continuità nello sviluppo, inclusa la generazione di log di spionaggio in formato HTML con uno schema colori specifico per distinguere applicazioni, tasti premuti e nome della finestra, dettaglio che facilita la lettura e la classificazione dei dati rubati.

BEARDSHELL si distingue per la capacità di eseguire comandi PowerShell sui sistemi compromessi, consentendo agli attaccanti di svolgere azioni post-compromissione con flessibilità e basso rumore. Per il canale C2, il malware sfrutta un servizio di archiviazione cloud legittimo come Icedrive, tecnica utile a confondere i controlli di rete basati su reputazione e a mimetizzare le comunicazioni all'interno di flussi apparentemente leciti. Inoltre, è stata evidenziata una tecnica di offuscamento poco comune, nota come opaque predicate, già vista in strumenti precedenti associati ad APT28 per creare tunnel sicuri verso server esterni.

COVENANT, invece, nasce come framework open source .NET di post-exploitation, ma in questa variante risulta pesantemente modificato per supportare operazioni di lungo periodo. Gli adattamenti includono un protocollo di rete basato su cloud che abusa del servizio Filen per il comando e controllo dal 2025, dopo precedenti utilizzi di pCloud e Koofr. La scelta di basarsi su un progetto ufficialmente fermo dal 2021 suggerisce una competenza profonda nella personalizzazione e una strategia mirata a sfruttare strumenti ritenuti meno monitorati dai difensori.