← Back to Blog
Briefing Sicurezza5 min read2026-04-14

Briefing sicurezza, 14 aprile 2026: smantellamento di W3LL, esche Facebook di APT37, rotazione del certificato OpenAI, infostealer Storm e certificati falsi in wolfSSL

Il segnale di oggi è netto: il social engineering diventa più paziente, il furto di sessione più silenzioso, e gli ancoraggi di fiducia, dai login kit al code signing fino alle librerie TLS, sono sotto pressione nello stesso momento.


Top line: Un grande takedown di kit di phishing, una catena nordcoreana di social engineering, una mossa di contenimento supply chain da parte di OpenAI, un modello di infostealer più silenzioso e un brutto bug di validazione certificati in software diffuso nell’embedded.


1. W3LL dimostra che i kit di phishing sono diventati piattaforme di frode complete

FBI e polizia nazionale indonesiana hanno smantellato l’operazione W3LL, sequestrato infrastruttura e fermato il presunto sviluppatore. Il kit sarebbe stato usato contro oltre 17.000 vittime tra il 2023 e il 2024 e avrebbe supportato oltre 20 milioni di dollari di frodi tentate, soprattutto rubando credenziali Microsoft 365 e cookie di sessione con flussi adversary-in-the-middle.


2. APT37 trasforma la fiducia su Facebook in un canale di malware

I ricercatori attribuiscono ad APT37 una campagna che usa falsi profili Facebook, chat su Messenger e follow-up su Telegram per convincere i target a installare un visualizzatore PDF trojanizzato. La catena distribuisce RokRAT, abusa di un sito legittimo compromesso per il C2 e nasconde un payload successivo dentro un file immagine.


3. OpenAI ha ruotato il certificato di firma macOS dopo l’incidente Axios

OpenAI ha dichiarato che un workflow GitHub Actions nel percorso di firma macOS aveva scaricato la versione avvelenata di Axios. Non risultano prove di esfiltrazione o furto del certificato, ma l’azienda lo ha comunque revocato e ruotato; le versioni più vecchie perderanno supporto update e fiducia predefinita di macOS dopo l’8 maggio 2026.


4. Storm sposta il furto di credenziali dall’endpoint all’infrastruttura dell’attaccante

Secondo BleepingComputer, Storm ruba database browser, cookie, dati wallet e token, poi decifra e ripristina le sessioni lato server dall’infrastruttura dell’attaccante invece che localmente. Così scompare uno dei segnali endpoint classici che i difensori sapevano intercettare.


5. wolfSSL ha corretto un problema di certificati falsi con rischio downstream molto ampio

CVE-2026-5194 indebolisce la validazione dei certificati in wolfSSL accettando digest troppo piccoli per più schemi di firma. Poiché wolfSSL è presente in miliardi di applicazioni e dispositivi, specialmente embedded, IoT, industriali e appliance, il rischio non riguarda solo i server web.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Rafforzare i controlli di identità resistenti al phishing attorno a Microsoft 365 e agli utenti più a rischio.
  2. Rivedere come piattaforme social, messaggistica e file sharing si combinano negli attacchi mirati.
  3. Auditare le pipeline di firma e ruotare il materiale sensibile quando la supply chain viene toccata.
  4. Estendere la detection dal furto password al furto sessione e al replay di token.
  5. Trovare wolfSSL negli ambienti embedded e OT prima che il buco d’inventario diventi il problema.

Fonti seguite per questo briefing: The Hacker News e BleepingComputer pubblicati il 13 aprile 2026, più gli avvisi di vendor e ricercatori citati in quei report.

Riduci il gap di fiducia prima che gli attaccanti lo sfruttino

KENSAI aiuta i team di sicurezza a trovare percorsi di identità esposti, supply chain software fragili e sistemi internet-facing silenziosamente rischiosi prima che diventino incidenti.

Start Free Scan →

Resta affilato.

🗡️ KENSAI Security Team