← Torna al blog
Security Briefing4 min di lettura2026-04-27

Security Briefing, 27 aprile 2026: malware Snow via Teams, violazione della rete utility di Itron, FakeWallet sull’App Store e l’avviso di 13 ore di LMDeploy

Lo schema di questa mattina è brutto e coerente: canali di supporto fidati, infrastruttura fidata, app store fidati e strumenti IA fidati vengono tutti trasformati in percorsi di attacco ad alta velocità.


In sintesi: Quattro storie contano prima ancora che molti team finiscano lo standup: social engineering via chat con conseguenze di dominio, una violazione della rete interna nel settore utility, furto di wallet via App Store e una falla di AI serving sfruttata in meno di mezza giornata.


1. Il malware Snow trasforma la fiducia nel helpdesk Microsoft Teams in un percorso verso la compromissione del dominio

Google Mandiant afferma che UNC6692 combina email bombing e finti contatti helpdesk in Microsoft Teams per spingere le vittime a installare un falso aggiornamento anti-spam. Quel pacchetto distribuisce il toolkit Snow: SnowBelt per la persistenza nel browser, SnowGlaze per il tunneling e SnowBasin per l’esecuzione di comandi. Da lì gli operatori fanno dump di LSASS, si muovono lateralmente ed esfiltrano materiale Active Directory. Non è più phishing ordinario: è fiducia nel supporto trasformata in accesso profondo alla rete.


2. La violazione IT interna di Itron è un avviso per l’infrastruttura critica anche senza impatto clienti confermato

Itron ha segnalato accesso non autorizzato ad alcuni sistemi interni e dice di aver bloccato l’attività, avviato un’indagine e di non vedere al momento interruzioni operative rilevanti. È positivo, ma non basta. Itron è profondamente inserita nella tecnologia utility per energia e acqua. Quando un fornitore così integrato segnala una compromissione interna, utility e operatori adiacenti dovrebbero leggerla come un avviso su segmentazione, accessi fornitore e prontezza di risposta.


3. FakeWallet sull’App Store di Apple mostra che la distribuzione mobile fidata resta un canale di furto attivo

I ricercatori hanno trovato 26 app FakeWallet sull’App Store di Apple che puntano a recovery phrase e chiavi private, comprese imitazioni di wallet noti. In alcuni casi le app reindirizzavano gli utenti verso flussi trojanizzati di installazione wallet, con disponibilità segnalata nella regione Cina dell’App Store. La lezione va oltre il cripto: anche uno store fidato può diventare un canale di furto di credenziali e asset quando imitazione del brand e fiducia mobile risultano abbastanza convincenti.


4. Watchlist: LMDeploy dimostra che le finestre di exploit per l’IA stanno collassando

LMDeploy CVE-2026-33626, una SSRF in uno stack open source di LLM serving, sarebbe stata sfruttata entro 12 ore e 31 minuti dalla disclosure. Questo dovrebbe preoccupare chiunque gestisca infrastruttura IA come normale software interno. Gli advisory oggi sono così vicini ai prompt di exploit che la latenza di patching diventa essa stessa esposizione.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Rivalidate ogni workflow di supporto basato su Teams e imponete conferma fuori banda per richieste helpdesk urgenti.
  2. Rivedete le ipotesi di segmentazione per infrastrutture critiche e reti interne, soprattutto attorno a fornitori e amministrazione remota.
  3. Diffondete subito regole di igiene per wallet mobili e bloccate pattern di installazione rischiosi dove la gestione dei device lo consente.
  4. Patchate rapidamente i componenti di AI serving e bloccate di default metadata, loopback ed egress non necessario dall’infrastruttura dei modelli.

Fonti


In conclusione: Lo schema di questa mattina è brutto e coerente: canali di supporto fidati, infrastruttura fidata, app store fidati e strumenti IA fidati vengono tutti trasformati in percorsi di attacco ad alta velocità.

Trova le rotture di fiducia prima che diventino incidenti

KENSAI aiuta i team a far emergere percorsi di attacco esposti tra workflow di identità, infrastruttura interna, supply chain software mobile e stack di AI serving prima che gli attaccanti trasformino la fiducia in accesso.

Scansione gratuita →

Resta all’erta.

🗡️ KENSAI Security Team