OpenAI lancia Codice Sicurezza, un agente AI che ha scansionato 1,2 milioni di commit e segnalato 10.561 vulnerabilità ad alta gravità. dell'Iran Acquafangosa si integra nelle banche e negli aeroporti degli Stati Uniti con una nuova backdoor Dindoor. Ransomware termite distribuisce CastleRAT tramite l'ingegneria sociale ClickFix. Microsoft avverte che gli hacker sono abusare dell'intelligenza artificiale in ogni fase del ciclo di vita dell’attacco. Ecco tutto quello che devi sapere oggi.
OpenAI ha lanciato Codice Sicurezza, un agente di sicurezza basato sull'intelligenza artificiale che esamina autonomamente i commit del codice per individuare eventuali vulnerabilità. Nella sua prima settimana di disponibilità generale, ha scansionato 1,2 milioni di impegni e identificato 10.561 vulnerabilità di elevata gravità - inclusi SQL injection, bypass di autenticazione e segreti hardcoded.
| Pietra miliare | Data | Dettagli |
|---|---|---|
| Beta privata di Aardvark | ottobre 2025 | Test interni con partner aziendali selezionati |
| Lancio del Codice Sicurezza | marzo 2026 | Disponibilità generale per gli utenti ChatGPT Pro/Enterprise/Business |
| Risultati della prima settimana | 8 marzo 2026 | 1,2 milioni di commit scansionati, 10.561 risultati di gravità elevata |
Codex Security rappresenta un cambiamento significativo nella sicurezza delle applicazioni: passando dalla scansione periodica a revisione continua del codice basata sull'intelligenza artificiale. I 10.561 risultati di elevata gravità in una sola settimana suggeriscono che molte vulnerabilità sfuggono agli strumenti SAST/DAST tradizionali. Disponibile per gli abbonati ChatGPT Pro, Enterprise e Business senza costi aggiuntivi.
Il Tempesta di velluto il gruppo di autori di minacce sta implementando Ransomware termite utilizzando una tecnica di ingegneria sociale ClickFix combinata con utilità Windows legittime per fornire malware DonutLoader e CastelloRAT porta sul retro.
Blocca gli attacchi in stile ClickFix addestrando gli utenti a non eseguire mai comandi da messaggi di errore pop-up. Implementare la whitelist delle applicazioni per impedire l'uso non autorizzato di mshta.exe e certutil. Monitora gli indicatori DonutLoader e i modelli di esecuzione insoliti di PowerShell.
L'ultimo rapporto di intelligence sulle minacce di Microsoft conferma che gli autori delle minacce utilizzano sempre più l’intelligenza artificiale in tutte le fasi del ciclo di vita dell’attacco: dalla ricognizione e ingegneria sociale allo sviluppo ed evasione del malware.
| Fase di attacco | Applicazione AI | Impatto |
|---|---|---|
| Ricognizione | Raccolta OSINT basata sull'intelligenza artificiale, profilazione dei target | Analisi del target più rapida e approfondita |
| Ingegneria Sociale | Voce/video deepfake, phishing scritto dall'intelligenza artificiale | Tassi di successo più elevati, campagne multilingue |
| Sviluppo di malware | Codice generato dall'intelligenza artificiale, malware polimorfico | Cicli di sviluppo più rapidi, evasione delle firme |
| Attacchi alle credenziali | Spruzzo di password ottimizzato per l'intelligenza artificiale, risoluzione di CAPTCHA | Maggiore produttività, bypass delle protezioni |
| Evasione | Payload modificati dall'intelligenza artificiale per bypassare EDR/AV | Tassi di rilevamento più bassi |
Microsoft sottolinea che l'intelligenza artificiale è abbassare le barriere all'ingresso per la criminalità informatica: gli attori meno qualificati possono ora eseguire attacchi sofisticati. Le organizzazioni devono adottare Difese basate sull'intelligenza artificiale per tenere il passo con l'offensiva basata sull'intelligenza artificiale. Il rilevamento tradizionale basato sulle firme è sempre più inadeguato.
Acquafangosa (noto anche come Seedworm), affiliato al Ministero dell'intelligence e della sicurezza iraniano (MOIS), si sta attivamente incorporando nelle reti aziendali statunitensi, tra cui banche, aeroporti e organizzazioni non profit utilizzando una nuova backdoor chiamata Dindoor.
| Data | Evento |
|---|---|
| febbraio 2026 | Rilevata attività iniziale della campagna contro organizzazioni statunitensi |
| Late febbraio 2026 | La campagna si intensifica in seguito agli attacchi statunitensi/israeliani contro gli impianti nucleari iraniani |
| marzo 2026 | Backdoor Didoor identificata in diverse reti finanziarie e di trasporto statunitensi |
L’intensificazione di questa campagna è direttamente correlata all’escalation delle tensioni tra Stati Uniti e Iran a seguito degli attacchi militari. Il fatto che MuddyWater abbia preso di mira banche e aeroporti suggerisce entrambi raccolta di informazioni e potenziale preposizionamento per attacchi dirompenti. La CISA statunitense ha emesso un avviso invitando gli operatori delle infrastrutture critiche a cercare gli indicatori Dindoor.
La CISA ha ordinato a tutte le agenzie federali di applicare le patch tre difetti di sicurezza di Apple iOS attivamente sfruttato dal Kit exploit Coruna nelle campagne di cyberspionaggio e furto di criptovaluta.
Il kit di exploit Coruna concatena queste tre vulnerabilità insieme per un exploit senza clic in grado di compromettere completamente i dispositivi iOS. È stato osservato in due campagne distinte:
Aggiorna immediatamente tutti i dispositivi iOS alla versione più recente. Le agenzie federali hanno un termine tassativo conformarsi. Le organizzazioni dovrebbero verificare che tutti i dispositivi iOS gestiti dall'azienda siano dotati di patch e monitorare gli indicatori di compromissione associati all'exploit kit Coruna.
Il FBI ha confermato che sta indagando su una violazione dei sistemi utilizzati per gestione mandati di sorveglianza e intercettazioni telefoniche — potenzialmente esporre i dettagli delle indagini in corso e degli obiettivi di sorveglianza.
Sebbene i dettagli rimangano limitati a causa della sensibilità dell'indagine, le preoccupazioni principali includono:
Questa violazione segue uno schema di attacchi mirati alle forze dell’ordine e ai sistemi della comunità di intelligence. La compromissione dei sistemi di gestione delle intercettazioni telefoniche è particolarmente delicata: potrebbe compromettere indagini penali attive e di sicurezza nazionale ed erodere la fiducia del pubblico nella capacità del governo di garantire le sue operazioni più sensibili.
Una nuova variante ClickFix chiamata InstallaFix prende di mira gli sviluppatori creando false guide di installazione per i più diffusi strumenti CLI, tra cui Codice Claude di Anthropic, che inducono gli utenti a eseguire comandi dannosi.
curl | bash una frase che preleva malwareInstalla sempre gli strumenti per sviluppatori solo da fonti ufficiali. Per Claude Code, utilizzare la documentazione ufficiale di Anthropic su docs.anthropic.com. Non correre mai curl | bash comandi da siti Web non ufficiali. Verifica i checksum dei pacchetti e utilizza i gestori di pacchetti (npm, pip) anziché gli script di shell grezzi.
Tribù Trasparente (APT36), un gruppo APT allineato al Pakistan, sta utilizzando strumenti di codifica AI per produrre malware in serie in lingue non comuni come Nim, Zig e Crystal, creando ciò che i ricercatori chiamano "Vibeware": malware con codifica Vibe prodotto su scala industriale.
| Aspetto | Malware tradizionale | Vibeware |
|---|---|---|
| Tempo di sviluppo | Settimane o mesi | Ore a giorni |
| Lingue | C/C++, Python, C# | Nim, Zig, Cristallo, V, Odino |
| Evasione della firma | Offuscamento manuale | Intrinseco: i binari linguistici non comuni eludono la maggior parte degli AV |
| Scala | Decine di varianti | Centinaia di file binari unici al giorno |
| Usa e getta | Riutilizzato in tutte le campagne | Monouso, scartato dopo il rilevamento |
Vibeware rappresenta un cambiamento fondamentale nell'economia del malware. L’utilizzo dell’intelligenza artificiale da parte di Transparent Tribe per industrializzare la produzione di malware significa che i difensori devono muoversi oltre il rilevamento basato sulla firma verso l’analisi comportamentale, l’analisi forense della memoria e il rilevamento delle minacce basato sull’intelligenza artificiale. Il concetto di "malware noto" diventa meno rilevante quando gli aggressori possono generare varianti uniche su richiesta.
| Minaccia | Attore | Gravità | Azione richiesta |
|---|---|---|---|
| Lancio della sicurezza del Codex OpenAI | N/A (Difensiva) | 🟢Informazioni | Valutare l'integrazione CI/CD |
| Ransomware Termite + CastleRAT | Tempesta di velluto | 🔴 Critico | Blocca ClickFix, monitora gli IOC di DonutLoader |
| Abuso dell'intelligenza artificiale nelle fasi di attacco | Multiplo | 🔴 Critico | Implementa difese basate sull'intelligenza artificiale e aggiorna i modelli di minaccia |
| Porta sul retro MuddyWater Dindoor | Iran (MOIS) | 🔴 Critico | Caccia alle anomalie del DoH, audit delle infrastrutture critiche |
| Kit di exploit iOS Coruna | Sconosciuto (spionaggio) | 🔴 Critico | Applica immediatamente la patch a tutti i dispositivi iOS |
| Violazione del sistema di intercettazione dell'FBI | Sconosciuto | 🔴 Critico | Controllare i controlli di accesso ai sistemi di applicazione della legge |
| Guide di installazione false di InstallFix | Criminali informatici | 🟠 Alto | Verifica tutte le installazioni degli strumenti da fonti ufficiali |
| Vibeware Tribe trasparente | APT allineato al Pakistan | 🟠 Alto | Implementa il rilevamento comportamentale, vai oltre le firme |
La scansione di sicurezza automatizzata di KENSAI rileva vulnerabilità, configurazioni errate e indicatori di compromissione sull'intera superficie di attacco, prima che gli aggressori li sfruttino.
Avvia la scansione di sicurezza gratuitaRimani vigile. Rimani protetto.
🗡️KENSAI Threat Intelligence Team