Lo schema di questa mattina è brutto e coerente: canali di supporto fidati, infrastruttura fidata, app store fidati e strumenti IA fidati vengono tutti trasformati in percorsi di attacco ad alta velocità.
In sintesi: Quattro storie contano prima ancora che molti team finiscano lo standup: social engineering via chat con conseguenze di dominio, una violazione della rete interna nel settore utility, furto di wallet via App Store e una falla di AI serving sfruttata in meno di mezza giornata.
Google Mandiant afferma che UNC6692 combina email bombing e finti contatti helpdesk in Microsoft Teams per spingere le vittime a installare un falso aggiornamento anti-spam. Quel pacchetto distribuisce il toolkit Snow: SnowBelt per la persistenza nel browser, SnowGlaze per il tunneling e SnowBasin per l’esecuzione di comandi. Da lì gli operatori fanno dump di LSASS, si muovono lateralmente ed esfiltrano materiale Active Directory. Non è più phishing ordinario: è fiducia nel supporto trasformata in accesso profondo alla rete.
Itron ha segnalato accesso non autorizzato ad alcuni sistemi interni e dice di aver bloccato l’attività, avviato un’indagine e di non vedere al momento interruzioni operative rilevanti. È positivo, ma non basta. Itron è profondamente inserita nella tecnologia utility per energia e acqua. Quando un fornitore così integrato segnala una compromissione interna, utility e operatori adiacenti dovrebbero leggerla come un avviso su segmentazione, accessi fornitore e prontezza di risposta.
I ricercatori hanno trovato 26 app FakeWallet sull’App Store di Apple che puntano a recovery phrase e chiavi private, comprese imitazioni di wallet noti. In alcuni casi le app reindirizzavano gli utenti verso flussi trojanizzati di installazione wallet, con disponibilità segnalata nella regione Cina dell’App Store. La lezione va oltre il cripto: anche uno store fidato può diventare un canale di furto di credenziali e asset quando imitazione del brand e fiducia mobile risultano abbastanza convincenti.
LMDeploy CVE-2026-33626, una SSRF in uno stack open source di LLM serving, sarebbe stata sfruttata entro 12 ore e 31 minuti dalla disclosure. Questo dovrebbe preoccupare chiunque gestisca infrastruttura IA come normale software interno. Gli advisory oggi sono così vicini ai prompt di exploit che la latenza di patching diventa essa stessa esposizione.
In conclusione: Lo schema di questa mattina è brutto e coerente: canali di supporto fidati, infrastruttura fidata, app store fidati e strumenti IA fidati vengono tutti trasformati in percorsi di attacco ad alta velocità.
KENSAI aiuta i team a far emergere percorsi di attacco esposti tra workflow di identità, infrastruttura interna, supply chain software mobile e stack di AI serving prima che gli attaccanti trasformino la fiducia in accesso.
Scansione gratuita →Resta all’erta.
🗡️ KENSAI Security Team