← Torna al Blog
Briefing di Sicurezza 8 marzo 2026 9 min di lettura

8 marzo 2026

OpenAI lancia Codice Sicurezza, un agente AI che ha scansionato 1,2 milioni di commit e segnalato 10.561 vulnerabilità ad alta gravità. dell'Iran Acquafangosa si integra nelle banche e negli aeroporti degli Stati Uniti con una nuova backdoor Dindoor. Ransomware termite distribuisce CastleRAT tramite l'ingegneria sociale ClickFix. Microsoft avverte che gli hacker sono abusare dell'intelligenza artificiale in ogni fase del ciclo di vita dell’attacco. Ecco tutto quello che devi sapere oggi.


🤖 La sicurezza OpenAI Codex scansiona 1,2 milioni di commit e trova 10.561 vulnerabilità di elevata gravità

⚠️ L'agente di sicurezza basato sull'intelligenza artificiale diventa attivo

OpenAI ha lanciato Codice Sicurezza, un agente di sicurezza basato sull'intelligenza artificiale che esamina autonomamente i commit del codice per individuare eventuali vulnerabilità. Nella sua prima settimana di disponibilità generale, ha scansionato 1,2 milioni di impegni e identificato 10.561 vulnerabilità di elevata gravità - inclusi SQL injection, bypass di autenticazione e segreti hardcoded.

Capacità chiave

Evoluzione e disponibilità

Pietra miliare Data Dettagli
Beta privata di Aardvark ottobre 2025 Test interni con partner aziendali selezionati
Lancio del Codice Sicurezza marzo 2026 Disponibilità generale per gli utenti ChatGPT Pro/Enterprise/Business
Risultati della prima settimana 8 marzo 2026 1,2 milioni di commit scansionati, 10.561 risultati di gravità elevata

💡 Impatto sul settore

Codex Security rappresenta un cambiamento significativo nella sicurezza delle applicazioni: passando dalla scansione periodica a revisione continua del codice basata sull'intelligenza artificiale. I 10.561 risultati di elevata gravità in una sola settimana suggeriscono che molte vulnerabilità sfuggono agli strumenti SAST/DAST tradizionali. Disponibile per gli abbonati ChatGPT Pro, Enterprise e Business senza costi aggiuntivi.


🦟 Il ransomware Termite distribuisce CastleRAT tramite ClickFix Social Engineering

⚠️ Nuova tecnica di distribuzione del ransomware

Il Tempesta di velluto il gruppo di autori di minacce sta implementando Ransomware termite utilizzando una tecnica di ingegneria sociale ClickFix combinata con utilità Windows legittime per fornire malware DonutLoader e CastelloRAT porta sul retro.

Catena d'attacco

  1. Esca ClickFix — Le vittime incontrano falsi messaggi di errore che chiedono loro di "risolvere" un problema eseguendo un comando
  2. Esecuzione di PowerShell — La "correzione" esegue uno script PowerShell offuscato
  3. Distribuzione di DonutLoader — Utilizza utilità Windows legittime (mshta.exe, certutil) per caricare DonutLoader
  4. Installazione CastleRAT — DonutLoader distribuisce la backdoor CastleRAT per l'accesso persistente
  5. Ransomware termite — Una volta mappata la rete ed esfiltrati i dati, viene distribuito il ransomware Termite

Funzionalità di CastleRAT

🛡️ Raccomandazioni per la difesa

Blocca gli attacchi in stile ClickFix addestrando gli utenti a non eseguire mai comandi da messaggi di errore pop-up. Implementare la whitelist delle applicazioni per impedire l'uso non autorizzato di mshta.exe e certutil. Monitora gli indicatori DonutLoader e i modelli di esecuzione insoliti di PowerShell.


🧠 Microsoft: attori di minacce che abusano dell'intelligenza artificiale in ogni fase degli attacchi

⚠️ Panorama delle minacce accelerate dall'intelligenza artificiale

L'ultimo rapporto di intelligence sulle minacce di Microsoft conferma che gli autori delle minacce utilizzano sempre più l’intelligenza artificiale in tutte le fasi del ciclo di vita dell’attacco: dalla ricognizione e ingegneria sociale allo sviluppo ed evasione del malware.

Abuso dell'intelligenza artificiale lungo la catena di uccisione

Fase di attacco Applicazione AI Impatto
Ricognizione Raccolta OSINT basata sull'intelligenza artificiale, profilazione dei target Analisi del target più rapida e approfondita
Ingegneria Sociale Voce/video deepfake, phishing scritto dall'intelligenza artificiale Tassi di successo più elevati, campagne multilingue
Sviluppo di malware Codice generato dall'intelligenza artificiale, malware polimorfico Cicli di sviluppo più rapidi, evasione delle firme
Attacchi alle credenziali Spruzzo di password ottimizzato per l'intelligenza artificiale, risoluzione di CAPTCHA Maggiore produttività, bypass delle protezioni
Evasione Payload modificati dall'intelligenza artificiale per bypassare EDR/AV Tassi di rilevamento più bassi

🎯 Punti chiave

Microsoft sottolinea che l'intelligenza artificiale è abbassare le barriere all'ingresso per la criminalità informatica: gli attori meno qualificati possono ora eseguire attacchi sofisticati. Le organizzazioni devono adottare Difese basate sull'intelligenza artificiale per tenere il passo con l'offensiva basata sull'intelligenza artificiale. Il rilevamento tradizionale basato sulle firme è sempre più inadeguato.


🇮🇷 MuddyWater iraniano prende di mira gli Stati Uniti con la nuova backdoor Dindoor

⚠️ Spionaggio sponsorizzato dallo Stato nelle infrastrutture critiche degli Stati Uniti

Acquafangosa (noto anche come Seedworm), affiliato al Ministero dell'intelligence e della sicurezza iraniano (MOIS), si sta attivamente incorporando nelle reti aziendali statunitensi, tra cui banche, aeroporti e organizzazioni non profit utilizzando una nuova backdoor chiamata Dindoor.

Cronologia della campagna

Data Evento
febbraio 2026 Rilevata attività iniziale della campagna contro organizzazioni statunitensi
Late febbraio 2026 La campagna si intensifica in seguito agli attacchi statunitensi/israeliani contro gli impianti nucleari iraniani
marzo 2026 Backdoor Didoor identificata in diverse reti finanziarie e di trasporto statunitensi

Dettagli Tecnici Backdoor Didoor

🏛️ Contesto geopolitico

L’intensificazione di questa campagna è direttamente correlata all’escalation delle tensioni tra Stati Uniti e Iran a seguito degli attacchi militari. Il fatto che MuddyWater abbia preso di mira banche e aeroporti suggerisce entrambi raccolta di informazioni e potenziale preposizionamento per attacchi dirompenti. La CISA statunitense ha emesso un avviso invitando gli operatori delle infrastrutture critiche a cercare gli indicatori Dindoor.


🍎 Patch per gli ordini CISA per i difetti di Apple iOS sfruttati dal Coruna Exploit Kit

⚠️ Le agenzie federali devono applicare immediatamente le patch

La CISA ha ordinato a tutte le agenzie federali di applicare le patch tre difetti di sicurezza di Apple iOS attivamente sfruttato dal Kit exploit Coruna nelle campagne di cyberspionaggio e furto di criptovaluta.

Vulnerabilità mirate

Kit di exploit della Coruna

Il kit di exploit Coruna concatena queste tre vulnerabilità insieme per un exploit senza clic in grado di compromettere completamente i dispositivi iOS. È stato osservato in due campagne distinte:

📱 Azione richiesta

Aggiorna immediatamente tutti i dispositivi iOS alla versione più recente. Le agenzie federali hanno un termine tassativo conformarsi. Le organizzazioni dovrebbero verificare che tutti i dispositivi iOS gestiti dall'azienda siano dotati di patch e monitorare gli indicatori di compromissione associati all'exploit kit Coruna.


🔍 L'FBI indaga sulla violazione dei sistemi di sorveglianza e di intercettazione telefonica

⚠️ Sistemi di applicazione della legge compromessi

Il FBI ha confermato che sta indagando su una violazione dei sistemi utilizzati per gestione mandati di sorveglianza e intercettazioni telefoniche — potenzialmente esporre i dettagli delle indagini in corso e degli obiettivi di sorveglianza.

Sebbene i dettagli rimangano limitati a causa della sensibilità dell'indagine, le preoccupazioni principali includono:

🏛️ Implicazioni più ampie

Questa violazione segue uno schema di attacchi mirati alle forze dell’ordine e ai sistemi della comunità di intelligence. La compromissione dei sistemi di gestione delle intercettazioni telefoniche è particolarmente delicata: potrebbe compromettere indagini penali attive e di sicurezza nazionale ed erodere la fiducia del pubblico nella capacità del governo di garantire le sue operazioni più sensibili.


⚠️ Guide di installazione del codice Claude falso Push InstallFix Malware

⚠️ Attacco di furto d'identità da parte degli strumenti per sviluppatori

Una nuova variante ClickFix chiamata InstallaFix prende di mira gli sviluppatori creando false guide di installazione per i più diffusi strumenti CLI, tra cui Codice Claude di Anthropic, che inducono gli utenti a eseguire comandi dannosi.

Come funziona InstallFix

  1. Avvelenamento SEO — Le false guide "come installare Claude Code" si posizionano in alto nei risultati di ricerca
  2. Aspetto legittimo — Le pagine imitano la documentazione ufficiale con un marchio accurato
  3. Comando dannoso — Le istruzioni di installazione includono un curl | bash una frase che preleva malware
  4. Consegna del carico utile — Lo script installa contemporaneamente lo strumento legittimo E una backdoor
  5. Persistenza — La backdoor sopravvive agli aggiornamenti dello strumento e al riavvio del sistema

Strumenti mirati

🛡️Consigli di protezione

Installa sempre gli strumenti per sviluppatori solo da fonti ufficiali. Per Claude Code, utilizzare la documentazione ufficiale di Anthropic su docs.anthropic.com. Non correre mai curl | bash comandi da siti Web non ufficiali. Verifica i checksum dei pacchetti e utilizza i gestori di pacchetti (npm, pip) anziché gli script di shell grezzi.


🦠 Transparent Tribe industrializza il malware con l'intelligenza artificiale: emerge "Vibeware"

⚠️ Produzione di massa di malware basata sull'intelligenza artificiale

Tribù Trasparente (APT36), un gruppo APT allineato al Pakistan, sta utilizzando strumenti di codifica AI per produrre malware in serie in lingue non comuni come Nim, Zig e Crystal, creando ciò che i ricercatori chiamano "Vibeware": malware con codifica Vibe prodotto su scala industriale.

La minaccia Vibeware

Aspetto Malware tradizionale Vibeware
Tempo di sviluppo Settimane o mesi Ore a giorni
Lingue C/C++, Python, C# Nim, Zig, Cristallo, V, Odino
Evasione della firma Offuscamento manuale Intrinseco: i binari linguistici non comuni eludono la maggior parte degli AV
Scala Decine di varianti Centinaia di file binari unici al giorno
Usa e getta Riutilizzato in tutte le campagne Monouso, scartato dopo il rilevamento

Perché è importante

🎯 Impatto strategico

Vibeware rappresenta un cambiamento fondamentale nell'economia del malware. L’utilizzo dell’intelligenza artificiale da parte di Transparent Tribe per industrializzare la produzione di malware significa che i difensori devono muoversi oltre il rilevamento basato sulla firma verso l’analisi comportamentale, l’analisi forense della memoria e il rilevamento delle minacce basato sull’intelligenza artificiale. Il concetto di "malware noto" diventa meno rilevante quando gli aggressori possono generare varianti uniche su richiesta.


🛡️ Le priorità di mitigazione di oggi

Per i team di sviluppo

  1. Valutare gli strumenti di sicurezza dell'intelligenza artificiale — Considerare Codex Security o simili per la revisione continua del codice
  2. Verificare le origini di installazione — Utilizzare solo la documentazione ufficiale per le installazioni degli strumenti di sviluppo
  3. Implementare la verifica del pacchetto — Applicare la convalida del checksum e i pacchetti firmati nelle pipeline CI/CD

Per le infrastrutture critiche

  1. A caccia di indicatori Didoor — Verifica la presenza di anomalie DNS-over-HTTPS, servizi Windows sospetti e abusi di LOLBin
  2. Applicare patch ai dispositivi iOS — Applica gli ultimi aggiornamenti iOS per difendersi dall'exploit kit Coruna
  3. Esaminare l'accesso al sistema di intercettazione telefonica — Le forze dell'ordine dovrebbero verificare i controlli di accesso ai sistemi sensibili

Per tutte le organizzazioni

  1. Allenati contro ClickFix — Gli utenti devono comprendere che il software legittimo non chiede mai loro di eseguire comandi dai popup di errore
  2. Distribuire il rilevamento comportamentale — Gli AV basati su firma da soli non sono in grado di gestire Vibeware; investire nell’EDR comportamentale e basato sull’intelligenza artificiale
  3. Monitorare gli attacchi basati sull'intelligenza artificiale — Aggiornare i modelli di minaccia per tenere conto della ricognizione e dell'ingegneria sociale potenziate dall'intelligenza artificiale
  4. Blocca l'abuso di LOLBin — Limita mshta.exe, certutil e altre utilità Windows comunemente abusate

📊 Riepilogo del panorama delle minacce

Minaccia Attore Gravità Azione richiesta
Lancio della sicurezza del Codex OpenAI N/A (Difensiva) 🟢Informazioni Valutare l'integrazione CI/CD
Ransomware Termite + CastleRAT Tempesta di velluto 🔴 Critico Blocca ClickFix, monitora gli IOC di DonutLoader
Abuso dell'intelligenza artificiale nelle fasi di attacco Multiplo 🔴 Critico Implementa difese basate sull'intelligenza artificiale e aggiorna i modelli di minaccia
Porta sul retro MuddyWater Dindoor Iran (MOIS) 🔴 Critico Caccia alle anomalie del DoH, audit delle infrastrutture critiche
Kit di exploit iOS Coruna Sconosciuto (spionaggio) 🔴 Critico Applica immediatamente la patch a tutti i dispositivi iOS
Violazione del sistema di intercettazione dell'FBI Sconosciuto 🔴 Critico Controllare i controlli di accesso ai sistemi di applicazione della legge
Guide di installazione false di InstallFix Criminali informatici 🟠 Alto Verifica tutte le installazioni degli strumenti da fonti ufficiali
Vibeware Tribe trasparente APT allineato al Pakistan 🟠 Alto Implementa il rilevamento comportamentale, vai oltre le firme

Rilevamento continuo delle minacce per la tua infrastruttura

La scansione di sicurezza automatizzata di KENSAI rileva vulnerabilità, configurazioni errate e indicatori di compromissione sull'intera superficie di attacco, prima che gli aggressori li sfruttino.

Avvia la scansione di sicurezza gratuita

Rimani vigile. Rimani protetto.

🗡️KENSAI Threat Intelligence Team