Gli hacker statali cinesi distribuiscono un nuovo toolkit malware contro le telecomunicazioni sudamericane. Il kit di exploit iOS nazionale "Coruna" ora alimenta le campagne di furto di criptovalute. L'FBI smantella il forum LeakBase con 142.000 criminali informatici. Vulnerabilità Cisco SD-WAN sfruttate attivamente. 90 zero-day sfruttati nel 2025.
Un attore di minacce persistenti avanzate legato alla Cina UAT-9244 conduce una campagna in corso contro i fornitori di servizi di telecomunicazione in Sud America dal 2024, compromettendo Windows, Linux e i dispositivi periferici della rete con un nuovo sofisticato toolkit malware.
Perché è importante: Le infrastrutture delle telecomunicazioni rappresentano interessi critici per la sicurezza nazionale. L’accesso persistente alle reti di telecomunicazioni consente la sorveglianza di massa, l’intercettazione delle chiamate, il monitoraggio degli SMS e la mappatura della rete per operazioni future.
Un kit di exploit iOS precedentemente non documentato denominato "Coruña" contenente 23 exploit separati è stato identificato in natura. Originariamente sviluppato e utilizzato da attori statali russi per lo spionaggio mirato, il toolkit si è ora diffuso agli autori di minacce motivate dal punto di vista finanziario che conducono campagne di furto di criptovaluta.
Analisi di Google e iVerify rivela che Coruna rappresenta funzionalità di livello spyware ora accessibili alle organizzazioni criminali. Ciò segna una tendenza preoccupante: i kit di exploit degli stati-nazione migrano verso il crimine informatico motivato finanziariamente.
Azione: Aggiorna immediatamente tutti i dispositivi iOS alla versione più recente. Evita di fare clic sui collegamenti contenuti nei messaggi SMS non richiesti. Esaminare i profili di configurazione installati.
Un'operazione congiunta dell'FBI e dell'Europol ha sequestrato LeakBase, uno dei forum online più grandi al mondo per lo scambio di credenziali rubate, database compromessi e strumenti di criminalità informatica.
"Tutti i contenuti del forum, inclusi account degli utenti, post, dettagli di credito, messaggi privati e registri IP, sono stati protetti e conservati a scopo probatorio." — Banner di sequestro dell'FBI
Contesto: Ciò fa seguito alla recente rimozione di Tycoon 2FA, una piattaforma di phishing-as-a-service che inviava mensilmente e-mail fraudolente a oltre 500.000 organizzazioni. Insieme, queste operazioni rappresentano un significativo sconvolgimento per l’ecosistema del crimine informatico.
Cisco ha contrassegnato due vulnerabilità di Catalyst SD-WAN Manager come attivamente sfruttato in natura:
L'infrastruttura SD-WAN viene distribuita nel perimetro di rete di migliaia di reti aziendali. Uno sfruttamento riuscito fornisce agli aggressori:
È necessaria un'azione immediata: I clienti Cisco devono aggiornare immediatamente Catalyst SD-WAN Manager alle versioni con patch. Queste vulnerabilità sono confermate durante lo sfruttamento attivo.
Google Threat Intelligence Group (GTIG) ha monitorato 90 vulnerabilità zero-day sfruttati in attacchi nel corso del 2025, di cui quasi la metà contro software ed elettrodomestici aziendali.
Avviso di tendenza: Lo spostamento verso dispositivi aziendali (VPN, firewall, SD-WAN, gestione della rete) riflette l’attenzione degli aggressori sui dispositivi perimetrali della rete che forniscono accesso persistente e sono difficili da applicare con patch.
Attore della minaccia legata al nesso Iran Spettro della polvere ha preso di mira funzionari del Ministero degli Affari Esteri iracheno con nuovi ceppi di malware: SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM. La campagna ha utilizzato l’infrastruttura governativa irachena compromessa per organizzare i carichi utili e ha utilizzato tecniche di convalida C2 e geofencing basate su checksum.
La Wikimedia Foundation ha subito un incidente di sicurezza che ha coinvolto un worm JavaScript autopropagante che hanno vandalizzato pagine e modificato script utente su più wiki. Il worm sfruttava i vettori di cross-site scripting (XSS) in contenuti modificabili dall'utente.
Risultati della ricerca AI di Bing promossi falsi repository OpenClaw GitHub contenente malware che ruba informazioni. La campagna richiedeva agli utenti di eseguire comandi che distribuivano ladri di credenziali e malware proxy.
Gli aggressori stanno sfruttando attivamente una vulnerabilità critica nel file Registrazione utente e iscrizione plugin (oltre 60.000 installazioni) per creare account amministratore WordPress non autorizzati.
Intelligence sulle vulnerabilità basata sull'intelligenza artificiale con oltre 331.910 CVE indicizzati. Ricevi avvisi sulle minacce in tempo reale personalizzati per la tua infrastruttura.
Inizia la prova gratuitaStai al sicuro. Rimani vigile.
🗡️KENSAI Security Team
6 marzo 2026