← Back to Blog
Briefing sicurezza 4 min read 2026-04-11

Briefing sicurezza, 11 aprile 2026: attacco supply chain a CPUID, PLC Rockwell esposti, pirateria delle paghe, RCE di Marimo e Gmail E2EE su mobile

Il segnale di questa mattina è brutto e familiare: strumenti fidati, sistemi industriali esposti, sessioni rubate e weaponization quasi immediata. L’unico lato positivo è che l’e-mail sicura di default sta finalmente diventando un po’ più pratica su mobile.


Top line: Una violazione della supply chain software, un allarme di esposizione OT, una campagna di furto stipendi, una RCE su uno strumento per sviluppatori sfruttata in meno di 10 ore e una vittoria difensiva di Google.


1. La catena di download di CPUID è stata avvelenata

Gli attaccanti hanno compromesso una API secondaria di CPUID per circa sei ore e hanno sostituito i link ufficiali di download, reindirizzando gli utenti di CPU-Z e HWMonitor verso un installer HWiNFO trojanizzato. I ricercatori hanno detto che il malware era multi-stage, fortemente offuscato e probabilmente orientato al furto di informazioni. CPUID afferma che i binari originali firmati non sono stati modificati, ma il confine di fiducia è già saltato, ed è questo il punto.


2. Quasi 4.000 PLC Rockwell statunitensi restano esposti online

Le agenzie federali hanno avvertito che attori collegati all’Iran stanno prendendo di mira PLC Rockwell Automation e Allen-Bradley da marzo, causando interruzioni e manipolando display HMI e SCADA. Censys ha poi contato 5.219 host esposti a livello globale, di cui 3.891 negli Stati Uniti. Non è solo una brutta metrica. È un invito permanente.


3. Storm-2755 ruba stipendi, non solo accesso alle inbox

Secondo Microsoft, Storm-2755 ha usato pagine di phishing Microsoft 365 in stile adversary-in-the-middle, furto di cookie di sessione, regole inbox nascoste e social engineering sui depositi diretti per reindirizzare le paghe di dipendenti canadesi. La lezione è semplice: la MFA legacy non ti salva quando l’attaccante ruba la sessione autenticata.


4. Marimo CVE-2026-39987 è stato sfruttato quasi subito

Sysdig ha osservato lo sfruttamento della falla di remote code execution pre-auth di Marimo entro 9 ore e 41 minuti dalla divulgazione pubblica. Il bug si trovava nell’endpoint WebSocket /terminal/ws, che saltava l’autenticazione e consegnava agli attaccanti una shell interattiva sulle istanze esposte. Questa è la nuova normalità: la finestra tra disclosure ed exploit sta crollando.


5. La crittografia end-to-end di Gmail arriva finalmente su mobile

Google dice che la crittografia end-to-end di Gmail è ora disponibile su Android e iOS per gli utenti enterprise, permettendo ai team di leggere e comporre messaggi protetti su mobile senza strumenti aggiuntivi. Non risolve la compromissione dell’identità o il furto dell’endpoint, ma riduce almeno la solita scusa secondo cui l’e-mail sicura sarebbe troppo scomoda per i flussi reali.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Verificare i percorsi di distribuzione del software fidato.
  2. Isolare o rimuovere gli asset OT esposti a Internet.
  3. Rafforzare i flussi identitari di payroll e HR.
  4. Applicare patch agli strumenti developer esposti il giorno stesso della disclosure.
  5. Ampliare la messaggistica mobile sicura per i team sensibili.

Sources tracked for this briefing: Fonti seguite per questo briefing: BleepingComputer, The Hacker News e report di agenzie federali o vendor pubblicati tra il 10 e l’11 aprile 2026.

Taglia il tempo su cui contano gli attaccanti

KENSAI aiuta i team a trovare sistemi esposti su Internet, flussi identitari deboli e pericolosi gap nella supply chain software prima che diventino incidenti.

Avvia scansione gratuita →

Restate affilati.

🗡️ KENSAI Security Team