Il segnale di oggi è netto: il social engineering diventa più paziente, il furto di sessione più silenzioso, e gli ancoraggi di fiducia, dai login kit al code signing fino alle librerie TLS, sono sotto pressione nello stesso momento.
Top line: Un grande takedown di kit di phishing, una catena nordcoreana di social engineering, una mossa di contenimento supply chain da parte di OpenAI, un modello di infostealer più silenzioso e un brutto bug di validazione certificati in software diffuso nell’embedded.
FBI e polizia nazionale indonesiana hanno smantellato l’operazione W3LL, sequestrato infrastruttura e fermato il presunto sviluppatore. Il kit sarebbe stato usato contro oltre 17.000 vittime tra il 2023 e il 2024 e avrebbe supportato oltre 20 milioni di dollari di frodi tentate, soprattutto rubando credenziali Microsoft 365 e cookie di sessione con flussi adversary-in-the-middle.
I ricercatori attribuiscono ad APT37 una campagna che usa falsi profili Facebook, chat su Messenger e follow-up su Telegram per convincere i target a installare un visualizzatore PDF trojanizzato. La catena distribuisce RokRAT, abusa di un sito legittimo compromesso per il C2 e nasconde un payload successivo dentro un file immagine.
OpenAI ha dichiarato che un workflow GitHub Actions nel percorso di firma macOS aveva scaricato la versione avvelenata di Axios. Non risultano prove di esfiltrazione o furto del certificato, ma l’azienda lo ha comunque revocato e ruotato; le versioni più vecchie perderanno supporto update e fiducia predefinita di macOS dopo l’8 maggio 2026.
Secondo BleepingComputer, Storm ruba database browser, cookie, dati wallet e token, poi decifra e ripristina le sessioni lato server dall’infrastruttura dell’attaccante invece che localmente. Così scompare uno dei segnali endpoint classici che i difensori sapevano intercettare.
CVE-2026-5194 indebolisce la validazione dei certificati in wolfSSL accettando digest troppo piccoli per più schemi di firma. Poiché wolfSSL è presente in miliardi di applicazioni e dispositivi, specialmente embedded, IoT, industriali e appliance, il rischio non riguarda solo i server web.
Fonti seguite per questo briefing: The Hacker News e BleepingComputer pubblicati il 13 aprile 2026, più gli avvisi di vendor e ricercatori citati in quei report.
KENSAI aiuta i team di sicurezza a trovare percorsi di identità esposti, supply chain software fragili e sistemi internet-facing silenziosamente rischiosi prima che diventino incidenti.
Start Free Scan →Resta affilato.
🗡️ KENSAI Security Team