Il brutto schema di questa mattina è la fiducia sotto pressione: pannelli di hosting, piattaforme educative, app di messaggistica e protezione endpoint sono diventati punti di leva appena il percorso familiare è stato scambiato per quello sicuro.
In breve: Patchate cPanel subito, trattate i dati legati a Instructure come potenzialmente esposti, non fidatevi delle Telegram Mini App che chiedono depositi o APK, e controllate la salute dei certificati Defender se la vostra flotta Windows ha ricevuto alert il 3 maggio.
La CVE-2026-41940 in cPanel e WHM è già sfruttata su larga scala. Secondo BleepingComputer almeno 44.000 IP con cPanel sono stati compromessi in attacchi in corso, poi rapidamente convertiti in deployment del ransomware Linux "Sorry", scritto in Go, che aggiunge .sorry ai file cifrati.
Instructure ha confermato che dati utente sono stati rubati nell’attacco informatico divulgato venerdì. L’azienda dice che le informazioni esposte includono nomi, email, numeri identificativi studente e messaggi tra utenti presso istituzioni colpite. Finora non risultano password, date di nascita, identificativi governativi o dati finanziari, ma il blast radius può restare enorme se le affermazioni di ShinyHunters sono anche solo parzialmente corrette.
I ricercatori di CTM360 affermano che l’operazione FEMITBOT usa bot Telegram più Mini App per imitare marchi, mostrare saldi falsi, spingere le vittime a depositare denaro e in alcuni casi distribuire APK Android travestiti da app legittime. Il trucco funziona perché il flusso di phishing resta dentro Telegram e quindi appare normale.
Un aggiornamento delle firme Defender ha contrassegnato certificati root DigiCert legittimi come Trojan:Win32/Cerdigent.A!dha e, su alcuni sistemi, li ha rimossi dal trust store di Windows. Microsoft dice che il problema è corretto da Security Intelligence 1.449.430.0 in poi, ma questo tipo di errore difensivo rompe silenziosamente le trust chain mentre i team inseguono fantasmi.
Conclusione: Il fallimento comune di oggi è la fiducia mal riposta in infrastrutture familiari. Gli attaccanti l’hanno sfruttata in cPanel e Telegram, e i difensori ci sono inciampati nella gestione dei certificati. I team che verificano più in fretta le assunzioni subiranno meno danni.
KENSAI aiuta i team a mappare pannelli esposti, dipendenze SaaS, superfici di phishing e punti ciechi delle trust chain prima che diventino incidenti.
Avvia scansione gratuita →Restate affilati.
🗡️ Team Sicurezza KENSAI