剣 KENSAI
← Back to archive
KENSAI Intelligence

🛡️ Bollettino Quotidiano di Sicurezza

Sabato 7 marzo 2026 · Compilato da BleepingComputer, The Hacker News, SecurityWeek

In sintesi: L'FBI sta indagando su una violazione dei propri sistemi di sorveglianza e intercettazione. CISA ha aggiunto gli zero-day iOS del kit di exploit Coruna al catalogo KEV. L'APT cinese UAT-9244 ha colpito le telecomunicazioni sudamericane con tre nuovi impianti. L'APT iraniano MuddyWater si è infiltrato in infrastrutture critiche statunitensi. Una massiccia violazione nel settore sanitario ha esposto 3,4 milioni di cartelle cliniche. Il malware generato dall'IA sta industrializzando le operazioni degli attori malevoli.

3
Campagne statali
3,4 M
Record esposti
23
Vuln. iOS (Coruna Kit)
90
Zero-Day 2025 (Google)

🔓 Violazioni dati & intrusioni

L'FBI indaga sulla violazione dei sistemi di sorveglianza e intercettazione

L'FBI ha confermato di star indagando su «attività informatiche sospette» nei sistemi utilizzati per gestire mandati di sorveglianza e intercettazione telefonica. La violazione — riportata per prima da CNN — ha interessato reti che gestiscono intercettazioni autorizzate dalla magistratura e sorveglianza dell'intelligence straniera. L'FBI afferma che l'incidente è stato «risolto», ma la portata resta poco chiara. Si stanno esaminando possibili collegamenti con la campagna Salt Typhoon che ha compromesso le telecomunicazioni statunitensi nel 2024.

Critico Governo USA

La violazione di Cognizant TriZetto espone 3,4 milioni di cartelle cliniche

TriZetto Provider Solutions, società di IT sanitario di proprietà di Cognizant che serve assicuratori e prestatori sanitari, ha reso nota una violazione che ha esposto dati sanitari sensibili di oltre 3,4 milioni di pazienti. I dati compromessi includono informazioni di identificazione personale (PII) e informazioni sanitarie protette (PHI). Si tratta di una delle più grandi violazioni in ambito sanitario segnalate nel 2026.

Critico Sanità

L'APT iraniano MuddyWater infiltrato in aeroporto, banca e azienda software USA

Ricercatori di Symantec e Carbon Black hanno scoperto che MuddyWater (Seedworm), un APT affiliato al MOIS iraniano, ha stabilito un accesso persistente all'interno di diverse organizzazioni statunitensi — tra cui banche, aeroporti e un'organizzazione no-profit — utilizzando una nuova backdoor «Dindoor». L'attività è iniziata a febbraio 2026 e si è intensificata dopo gli attacchi USA/Israele all'Iran. Anche un'azienda software al servizio della difesa e dell'aerospaziale è stata presa di mira tramite le sue operazioni israeliane.

Alto Iran / APT

Forum cybercriminale LeakBase smantellato, sospetti arrestati

Il marketplace di credenziali rubate LeakBase, attivo dal 2021 con 142.000 utenti, è stato sequestrato dalle forze dell'ordine e i sospetti sono stati arrestati. Il forum era specializzato nel commercio di credenziali trafugate e dati personali.

Forze dell'ordine

🐛 CVE critici & vulnerabilità sfruttate

CISA aggiunge 23 falle iOS del kit di exploit Coruna al KEV

CISA ha ordinato alle agenzie federali di correggere le vulnerabilità iOS sfruttate dal kit di exploit Coruna — un toolkit di livello statale che prende di mira 23 vulnerabilità su iOS da 13 a 17.2.1. Le falle sono state utilizzate in operazioni di cyberspionaggio e furto di criptovalute. Si tratta di un'escalation significativa degli attacchi mirati ai dispositivi mobili.

Critico iOS / Mobile KEV

Falle Cisco Catalyst SD-WAN sfruttate attivamente (CVE-2026-20128 & CVE-2026-20122)

Cisco ha aggiunto due vulnerabilità Catalyst SD-WAN recentemente corrette all'elenco delle falle sfruttate attivamente. CVE-2026-20128 e CVE-2026-20122 sono attivamente prese di mira. Le organizzazioni che utilizzano Catalyst SD-WAN devono applicare le patch immediatamente.

Critico Infrastruttura di rete

Vulnerabilità Rockwell ICS ora sfruttata in attacchi

Una vulnerabilità di Rockwell Automation originariamente divulgata e mitigata nel 2021 è ora attivamente sfruttata in attacchi contro sistemi di controllo industriale (ICS). La falla consente l'hacking remoto di ambienti ICS, mettendo a rischio le infrastrutture critiche.

Critico ICS / OT

Google: metà dei 90 zero-day del 2025 ha preso di mira le aziende

L'analisi annuale di Google sugli zero-day rivela che nel 2025 sono state sfruttate 90 vulnerabilità zero-day — quasi la metà contro prodotti enterprise. I fornitori di spyware e gli attori statali cinesi sono stati i gruppi di minaccia più attribuiti. Lo spostamento verso zero-day orientati alle aziende segnala un crescente investimento degli attaccanti in obiettivi ad alto valore.

Alto Ricerca / Tendenza

🌐 Campagne statali & spionaggio

L'APT cinese UAT-9244 colpisce le telco sudamericane con 3 nuovi impianti

Cisco Talos ha identificato un APT collegato alla Cina (UAT-9244, associato a FamousSparrow) che prende di mira l'infrastruttura delle telecomunicazioni sudamericane dal 2024. Sono stati impiegati tre impianti mai documentati: TernDoor (Windows), PeerTime/angrypeer (Linux) e BruteEntry (dispositivi edge). Il cluster presenta sovrapposizioni tattiche con Salt Typhoon, ma non è stato stabilito un collegamento definitivo.

Cina / APT Telecomunicazioni

Transparent Tribe usa l'IA per produrre in massa malware poliglotta

Il gruppo Transparent Tribe, allineato al Pakistan, ha adottato strumenti di codifica assistiti dall'IA per generare grandi volumi di «binari poliglotti usa e getta» scritti in Nim, Zig e Crystal. Gli impianti sfruttano servizi affidabili (Slack, Discord, Supabase, Google Sheets) come canali C2. I ricercatori di Bitdefender descrivono questo fenomeno come «industrializzazione del malware assistita dall'IA» — un passaggio dalla sofisticazione al volume. Obiettivi: India.

Pakistan / APT Alto

💀 Malware & Ransomware

Operatore russo di ransomware si dichiara colpevole negli USA

Evgenii Ptitsyn, cittadino russo estradato dalla Corea del Sud nel novembre 2024, si è dichiarato colpevole di accuse legate al ransomware in un tribunale statunitense. I dettagli sulla specifica variante di ransomware e sul numero di vittime non sono stati completamente divulgati, ma il caso evidenzia la costante cooperazione internazionale contro gli operatori di ransomware.

Ransomware Forze dell'ordine

VOID#GEIST: campagna multi-stadio che distribuisce XWorm, AsyncRAT e Xeno RAT

I ricercatori di Securonix hanno documentato una campagna furtiva multi-stadio che usa script batch offuscati per distribuire payload RAT cifrati (XWorm, AsyncRAT, Xeno RAT) tramite runtime Python legittimi e iniezione Early Bird APC in explorer.exe. La tecnica imita da vicino l'attività utente legittima per eludere il rilevamento.

Alto RAT / Malware

False guide di installazione di Claude Code diffondono infostealer («InstallFix»)

Una nuova variante di ingegneria sociale denominata «InstallFix» inganna gli utenti inducendoli a eseguire comandi malevoli mentre presumibilmente installano strumenti CLI legittimi come Claude Code. Questa tecnica derivata da ClickFix sfrutta la popolarità degli strumenti di sviluppo IA per distribuire malware che ruba informazioni.

Alto Ingegneria sociale

Wikipedia colpita da un worm JavaScript auto-propagante

La Wikimedia Foundation ha subito un incidente di sicurezza che ha coinvolto un worm JavaScript auto-propagante che vandalizzava pagine e si diffondeva sulla piattaforma. Pur non trattandosi di un attacco malware tradizionale, l'incidente dimostra che le piattaforme affidabili restano vulnerabili a vettori di attacco creativi.

Sicurezza web

🏢 Industria della sicurezza & finanziamenti

ArmorCode raccoglie 16 M$ per la piattaforma di gestione dell'esposizione

ArmorCode ha ottenuto 16 milioni di dollari per accelerare la propria piattaforma ASPM (Application Security Posture Management) e di gestione dell'esposizione. L'investimento sarà destinato all'innovazione di prodotto e all'espansione commerciale.

Finanziamento

Evervault raccoglie 25 M$ in Serie B per la piattaforma di crittografia

L'azienda di sicurezza dei dati Evervault ha raccolto 25 milioni di dollari in finanziamento Serie B, portando il totale a 46 milioni. La piattaforma orientata agli sviluppatori fornisce capacità di crittografia e orchestrazione dei dati.

Finanziamento

Reclaim Security raccoglie 20 M$ per accelerare la remediation

Reclaim Security ha raccolto 20 milioni di dollari per ampliare il team di ingegneria, approfondire le integrazioni e accelerare l'ingresso sul mercato della propria piattaforma di sicurezza focalizzata sulla remediation.

Finanziamento

📊 Tendenze emergenti delle minacce

Industrializzazione del malware assistita dall'IA

Diversi rapporti questa settimana confermano che gli attori malevoli stanno trasformando gli strumenti di codifica IA in armi — non per sofisticazione, ma per volume. L'approccio «vibeware» di Transparent Tribe inonda gli obiettivi con binari poliglotti usa e getta. La campagna InstallFix sfrutta la popolarità degli strumenti IA per l'ingegneria sociale. Bing AI è stato sorpreso a promuovere repository falsi di OpenClaw con infostealer. La tendenza è chiara: l'IA abbassa la barriera per la produzione di massa di malware e esche.

Alto Tendenza

Infrastruttura telecom sotto pressione APT costante

Gli APT cinesi continuano ad attaccare aggressivamente l'infrastruttura telecom globale. Il nuovo arsenale di UAT-9244 (TernDoor, PeerTime, BruteEntry) si aggiunge alle precedenti campagne di Salt Typhoon. Con l'FBI che ora indaga sulle violazioni dei propri sistemi di intercettazione, la convergenza tra infrastruttura telecom e di sorveglianza crea un rischio cumulativo per la sicurezza nazionale.

Critico Tendenza

Gli zero-day enterprise superano gli obiettivi consumer

Il rapporto zero-day 2025 di Google conferma un cambiamento strutturale: metà dei 90 zero-day sfruttati prendeva di mira prodotti enterprise (non browser/mobile). I fornitori di spyware e gli attori statali stanno investendo di più nelle superfici d'attacco enterprise — VPN, appliance SD-WAN, sistemi ICS — dove il rilevamento è più debole e l'impatto è maggiore.

Alto Tendenza