← Torna al Blog
Briefing di Sicurezza 6 marzo 2026 7 min di lettura

marzo 2026 Security Briefing: Chinese APT Telco Attacks, iOS Coruna Exploits & Major Forum Takedowns

Gli hacker statali cinesi distribuiscono un nuovo toolkit malware contro le telecomunicazioni sudamericane. Il kit di exploit iOS nazionale "Coruna" ora alimenta le campagne di furto di criptovalute. L'FBI smantella il forum LeakBase con 142.000 criminali informatici. Vulnerabilità Cisco SD-WAN sfruttate attivamente. 90 zero-day sfruttati nel 2025.


🎯 L'APT cinese UAT-9244 prende di mira le telecomunicazioni sudamericane

Critico: campagna APT nazionale

Un attore di minacce persistenti avanzate legato alla Cina UAT-9244 conduce una campagna in corso contro i fornitori di servizi di telecomunicazione in Sud America dal 2024, compromettendo Windows, Linux e i dispositivi periferici della rete con un nuovo sofisticato toolkit malware.

Profilo di attacco

Perché è importante: Le infrastrutture delle telecomunicazioni rappresentano interessi critici per la sicurezza nazionale. L’accesso persistente alle reti di telecomunicazioni consente la sorveglianza di massa, l’intercettazione delle chiamate, il monitoraggio degli SMS e la mappatura della rete per operazioni future.


📱 Il kit di exploit Coruna per iOS diventa commerciale

Un kit di exploit iOS precedentemente non documentato denominato "Coruña" contenente 23 exploit separati è stato identificato in natura. Originariamente sviluppato e utilizzato da attori statali russi per lo spionaggio mirato, il toolkit si è ora diffuso agli autori di minacce motivate dal punto di vista finanziario che conducono campagne di furto di criptovaluta.

Dettagli tecnici

Analisi di Google e iVerify rivela che Coruna rappresenta funzionalità di livello spyware ora accessibili alle organizzazioni criminali. Ciò segna una tendenza preoccupante: i kit di exploit degli stati-nazione migrano verso il crimine informatico motivato finanziariamente.

Azione: Aggiorna immediatamente tutti i dispositivi iOS alla versione più recente. Evita di fare clic sui collegamenti contenuti nei messaggi SMS non richiesti. Esaminare i profili di configurazione installati.


🚨 L'FBI smantella il forum sulla criminalità informatica LeakBase

Un'operazione congiunta dell'FBI e dell'Europol ha sequestrato LeakBase, uno dei forum online più grandi al mondo per lo scambio di credenziali rubate, database compromessi e strumenti di criminalità informatica.

Impatto dell'operazione

Messaggio delle forze dell'ordine

"Tutti i contenuti del forum, inclusi account degli utenti, post, dettagli di credito, messaggi privati ​​e registri IP, sono stati protetti e conservati a scopo probatorio." — Banner di sequestro dell'FBI

Contesto: Ciò fa seguito alla recente rimozione di Tycoon 2FA, una piattaforma di phishing-as-a-service che inviava mensilmente e-mail fraudolente a oltre 500.000 organizzazioni. Insieme, queste operazioni rappresentano un significativo sconvolgimento per l’ecosistema del crimine informatico.


🔥 Difetti Cisco SD-WAN sfruttati attivamente

Cisco ha contrassegnato due vulnerabilità di Catalyst SD-WAN Manager come attivamente sfruttato in natura:

Valutazione del rischio

L'infrastruttura SD-WAN viene distribuita nel perimetro di rete di migliaia di reti aziendali. Uno sfruttamento riuscito fornisce agli aggressori:

È necessaria un'azione immediata: I clienti Cisco devono aggiornare immediatamente Catalyst SD-WAN Manager alle versioni con patch. Queste vulnerabilità sono confermate durante lo sfruttamento attivo.


📊 2025 Zero-Day Landscape: 90 Exploited Vulnerabilities

Google Threat Intelligence Group (GTIG) ha monitorato 90 vulnerabilità zero-day sfruttati in attacchi nel corso del 2025, di cui quasi la metà contro software ed elettrodomestici aziendali.

Principali risultati

Avviso di tendenza: Lo spostamento verso dispositivi aziendali (VPN, firewall, SD-WAN, gestione della rete) riflette l’attenzione degli aggressori sui dispositivi perimetrali della rete che forniscono accesso persistente e sono difficili da applicare con patch.


🛡️ Attività aggiuntiva sulle minacce

Lo spettro della polvere prende di mira il governo iracheno

Attore della minaccia legata al nesso Iran Spettro della polvere ha preso di mira funzionari del Ministero degli Affari Esteri iracheno con nuovi ceppi di malware: SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM. La campagna ha utilizzato l’infrastruttura governativa irachena compromessa per organizzare i carichi utili e ha utilizzato tecniche di convalida C2 e geofencing basate su checksum.

Verme autopropagante di Wikipedia

La Wikimedia Foundation ha subito un incidente di sicurezza che ha coinvolto un worm JavaScript autopropagante che hanno vandalizzato pagine e modificato script utente su più wiki. Il worm sfruttava i vettori di cross-site scripting (XSS) in contenuti modificabili dall'utente.

Campagna malware falsa OpenClaw

Risultati della ricerca AI di Bing promossi falsi repository OpenClaw GitHub contenente malware che ruba informazioni. La campagna richiedeva agli utenti di eseguire comandi che distribuivano ladri di credenziali e malware proxy.

Sfruttamento dei plugin WordPress

Gli aggressori stanno sfruttando attivamente una vulnerabilità critica nel file Registrazione utente e iscrizione plugin (oltre 60.000 installazioni) per creare account amministratore WordPress non autorizzati.


🎯 Azioni consigliate

  1. Immediato: Patch Cisco Catalyst SD-WAN Manager (CVE-2026-20128, CVE-2026-20122)
  2. Immediato: Aggiorna tutti i dispositivi iOS alla versione più recente (exploit Coruna)
  3. Questa settimana: Esaminare i dispositivi perimetrali di rete per l'accesso non autorizzato
  4. Questa settimana: Controlla le installazioni di WordPress per il plug-in di registrazione utente
  5. In corso: Monitorare l'infrastruttura delle telecomunicazioni per gli indicatori di compromissione UAT-9244
  6. In corso: Implementare un'architettura zero-trust per limitare i movimenti laterali derivanti dai dispositivi edge compromessi

Proteggi la tua organizzazione con KENSAI

Intelligence sulle vulnerabilità basata sull'intelligenza artificiale con oltre 331.910 CVE indicizzati. Ricevi avvisi sulle minacce in tempo reale personalizzati per la tua infrastruttura.

Inizia la prova gratuita

Stai al sicuro. Rimani vigile.

🗡️KENSAI Security Team

6 marzo 2026