Lo schema di oggi è netto: gli attaccanti stanno abusando di chat fidata, identità SaaS fidata e infrastruttura AI fidata più rapidamente di quanto molti team riescano a patchare o verificare.
In breve: Tre storie meritano attenzione immediata questa mattina: una catena di social engineering via Microsoft Teams che può finire in compromissione di dominio, una vera intrusione da vishing a SaaS in ADT e una falla SSRF in stack AI sondata in meno di mezza giornata.
Google Mandiant afferma che UNC6692 usa email bombing e impersonazione su Microsoft Teams per spingere i dipendenti a installare una falsa patch anti-spam. La vittima in realtà avvia il toolkit Snow: l’estensione browser SnowBelt, il tunneler SnowGlaze e la backdoor Python SnowBasin. Da lì gli operatori dumpano LSASS, si muovono lateralmente, raggiungono i domain controller ed esfiltrano materiale di Active Directory. Non è solo un altro phishing: è un percorso d’intrusione nativo del chat mascherato da supporto interno.
ADT afferma che gli attaccanti hanno rubato dati di clienti e potenziali clienti, inclusi nomi, numeri di telefono, indirizzi e, in una quota minore, date di nascita e le ultime quattro cifre di SSN o ID fiscali. ShinyHunters ha detto a BleepingComputer che l’intrusione è iniziata con un attacco di vishing contro un account SSO Okta di un dipendente e poi si è estesa a Salesforce. Che ogni affermazione dell’attore sia vera o meno, la lezione operativa è chiara: quando cade un’identità SaaS fidata, l’intera piattaforma business collegata diventa il raggio d’impatto.
La falla SSRF di LMDeploy, CVE-2026-33626, sarebbe stata sfruttata entro 12 ore e 31 minuti dalla disclosure. Gli attaccanti hanno usato il vision-language image loader per sondare metadata AWS, Redis, MySQL, superfici amministrative locali e un endpoint di callback esterno. Questo conta perché LMDeploy è esattamente il tipo di componente di serving LLM che i team distribuiscono in fretta e revisionano poco. Quando un advisory consegna causa radice e percorso di codice colpito, gli attaccanti non aspettano il tuo prossimo sprint.
In sintesi: Lo schema di oggi è netto: gli attaccanti stanno abusando di chat fidata, identità SaaS fidata e infrastruttura AI fidata più rapidamente di quanto molti team riescano a patchare o verificare.
KENSAI aiuta i team a far emergere percorsi d’attacco esposti attraverso workflow di identità, piattaforme SaaS, strumenti di collaborazione e infrastruttura AI prima che gli attaccanti trasformino la normale fiducia aziendale in accesso di compromissione.
Scansione gratuita →Resta lucido.
🗡️ KENSAI Security Team