🛡️ Bollettino Quotidiano di Sicurezza
In sintesi: L'FBI sta indagando su una violazione dei propri sistemi di sorveglianza e intercettazione. CISA ha aggiunto gli zero-day iOS del kit di exploit Coruna al catalogo KEV. L'APT cinese UAT-9244 ha colpito le telecomunicazioni sudamericane con tre nuovi impianti. L'APT iraniano MuddyWater si è infiltrato in infrastrutture critiche statunitensi. Una massiccia violazione nel settore sanitario ha esposto 3,4 milioni di cartelle cliniche. Il malware generato dall'IA sta industrializzando le operazioni degli attori malevoli.
🔓 Violazioni dati & intrusioni
L'FBI indaga sulla violazione dei sistemi di sorveglianza e intercettazione
L'FBI ha confermato di star indagando su «attività informatiche sospette» nei sistemi utilizzati per gestire mandati di sorveglianza e intercettazione telefonica. La violazione — riportata per prima da CNN — ha interessato reti che gestiscono intercettazioni autorizzate dalla magistratura e sorveglianza dell'intelligence straniera. L'FBI afferma che l'incidente è stato «risolto», ma la portata resta poco chiara. Si stanno esaminando possibili collegamenti con la campagna Salt Typhoon che ha compromesso le telecomunicazioni statunitensi nel 2024.
La violazione di Cognizant TriZetto espone 3,4 milioni di cartelle cliniche
TriZetto Provider Solutions, società di IT sanitario di proprietà di Cognizant che serve assicuratori e prestatori sanitari, ha reso nota una violazione che ha esposto dati sanitari sensibili di oltre 3,4 milioni di pazienti. I dati compromessi includono informazioni di identificazione personale (PII) e informazioni sanitarie protette (PHI). Si tratta di una delle più grandi violazioni in ambito sanitario segnalate nel 2026.
L'APT iraniano MuddyWater infiltrato in aeroporto, banca e azienda software USA
Ricercatori di Symantec e Carbon Black hanno scoperto che MuddyWater (Seedworm), un APT affiliato al MOIS iraniano, ha stabilito un accesso persistente all'interno di diverse organizzazioni statunitensi — tra cui banche, aeroporti e un'organizzazione no-profit — utilizzando una nuova backdoor «Dindoor». L'attività è iniziata a febbraio 2026 e si è intensificata dopo gli attacchi USA/Israele all'Iran. Anche un'azienda software al servizio della difesa e dell'aerospaziale è stata presa di mira tramite le sue operazioni israeliane.
Forum cybercriminale LeakBase smantellato, sospetti arrestati
Il marketplace di credenziali rubate LeakBase, attivo dal 2021 con 142.000 utenti, è stato sequestrato dalle forze dell'ordine e i sospetti sono stati arrestati. Il forum era specializzato nel commercio di credenziali trafugate e dati personali.
🐛 CVE critici & vulnerabilità sfruttate
CISA aggiunge 23 falle iOS del kit di exploit Coruna al KEV
CISA ha ordinato alle agenzie federali di correggere le vulnerabilità iOS sfruttate dal kit di exploit Coruna — un toolkit di livello statale che prende di mira 23 vulnerabilità su iOS da 13 a 17.2.1. Le falle sono state utilizzate in operazioni di cyberspionaggio e furto di criptovalute. Si tratta di un'escalation significativa degli attacchi mirati ai dispositivi mobili.
Falle Cisco Catalyst SD-WAN sfruttate attivamente (CVE-2026-20128 & CVE-2026-20122)
Cisco ha aggiunto due vulnerabilità Catalyst SD-WAN recentemente corrette all'elenco delle falle sfruttate attivamente. CVE-2026-20128 e CVE-2026-20122 sono attivamente prese di mira. Le organizzazioni che utilizzano Catalyst SD-WAN devono applicare le patch immediatamente.
Vulnerabilità Rockwell ICS ora sfruttata in attacchi
Una vulnerabilità di Rockwell Automation originariamente divulgata e mitigata nel 2021 è ora attivamente sfruttata in attacchi contro sistemi di controllo industriale (ICS). La falla consente l'hacking remoto di ambienti ICS, mettendo a rischio le infrastrutture critiche.
Google: metà dei 90 zero-day del 2025 ha preso di mira le aziende
L'analisi annuale di Google sugli zero-day rivela che nel 2025 sono state sfruttate 90 vulnerabilità zero-day — quasi la metà contro prodotti enterprise. I fornitori di spyware e gli attori statali cinesi sono stati i gruppi di minaccia più attribuiti. Lo spostamento verso zero-day orientati alle aziende segnala un crescente investimento degli attaccanti in obiettivi ad alto valore.
🌐 Campagne statali & spionaggio
L'APT cinese UAT-9244 colpisce le telco sudamericane con 3 nuovi impianti
Cisco Talos ha identificato un APT collegato alla Cina (UAT-9244, associato a FamousSparrow) che prende di mira l'infrastruttura delle telecomunicazioni sudamericane dal 2024. Sono stati impiegati tre impianti mai documentati: TernDoor (Windows), PeerTime/angrypeer (Linux) e BruteEntry (dispositivi edge). Il cluster presenta sovrapposizioni tattiche con Salt Typhoon, ma non è stato stabilito un collegamento definitivo.
Transparent Tribe usa l'IA per produrre in massa malware poliglotta
Il gruppo Transparent Tribe, allineato al Pakistan, ha adottato strumenti di codifica assistiti dall'IA per generare grandi volumi di «binari poliglotti usa e getta» scritti in Nim, Zig e Crystal. Gli impianti sfruttano servizi affidabili (Slack, Discord, Supabase, Google Sheets) come canali C2. I ricercatori di Bitdefender descrivono questo fenomeno come «industrializzazione del malware assistita dall'IA» — un passaggio dalla sofisticazione al volume. Obiettivi: India.
💀 Malware & Ransomware
Operatore russo di ransomware si dichiara colpevole negli USA
Evgenii Ptitsyn, cittadino russo estradato dalla Corea del Sud nel novembre 2024, si è dichiarato colpevole di accuse legate al ransomware in un tribunale statunitense. I dettagli sulla specifica variante di ransomware e sul numero di vittime non sono stati completamente divulgati, ma il caso evidenzia la costante cooperazione internazionale contro gli operatori di ransomware.
VOID#GEIST: campagna multi-stadio che distribuisce XWorm, AsyncRAT e Xeno RAT
I ricercatori di Securonix hanno documentato una campagna furtiva multi-stadio che usa script batch offuscati per distribuire payload RAT cifrati (XWorm, AsyncRAT, Xeno RAT) tramite runtime Python legittimi e iniezione Early Bird APC in explorer.exe. La tecnica imita da vicino l'attività utente legittima per eludere il rilevamento.
False guide di installazione di Claude Code diffondono infostealer («InstallFix»)
Una nuova variante di ingegneria sociale denominata «InstallFix» inganna gli utenti inducendoli a eseguire comandi malevoli mentre presumibilmente installano strumenti CLI legittimi come Claude Code. Questa tecnica derivata da ClickFix sfrutta la popolarità degli strumenti di sviluppo IA per distribuire malware che ruba informazioni.
Wikipedia colpita da un worm JavaScript auto-propagante
La Wikimedia Foundation ha subito un incidente di sicurezza che ha coinvolto un worm JavaScript auto-propagante che vandalizzava pagine e si diffondeva sulla piattaforma. Pur non trattandosi di un attacco malware tradizionale, l'incidente dimostra che le piattaforme affidabili restano vulnerabili a vettori di attacco creativi.
🏢 Industria della sicurezza & finanziamenti
ArmorCode raccoglie 16 M$ per la piattaforma di gestione dell'esposizione
ArmorCode ha ottenuto 16 milioni di dollari per accelerare la propria piattaforma ASPM (Application Security Posture Management) e di gestione dell'esposizione. L'investimento sarà destinato all'innovazione di prodotto e all'espansione commerciale.
Evervault raccoglie 25 M$ in Serie B per la piattaforma di crittografia
L'azienda di sicurezza dei dati Evervault ha raccolto 25 milioni di dollari in finanziamento Serie B, portando il totale a 46 milioni. La piattaforma orientata agli sviluppatori fornisce capacità di crittografia e orchestrazione dei dati.
Reclaim Security raccoglie 20 M$ per accelerare la remediation
Reclaim Security ha raccolto 20 milioni di dollari per ampliare il team di ingegneria, approfondire le integrazioni e accelerare l'ingresso sul mercato della propria piattaforma di sicurezza focalizzata sulla remediation.
📊 Tendenze emergenti delle minacce
Industrializzazione del malware assistita dall'IA
Diversi rapporti questa settimana confermano che gli attori malevoli stanno trasformando gli strumenti di codifica IA in armi — non per sofisticazione, ma per volume. L'approccio «vibeware» di Transparent Tribe inonda gli obiettivi con binari poliglotti usa e getta. La campagna InstallFix sfrutta la popolarità degli strumenti IA per l'ingegneria sociale. Bing AI è stato sorpreso a promuovere repository falsi di OpenClaw con infostealer. La tendenza è chiara: l'IA abbassa la barriera per la produzione di massa di malware e esche.
Infrastruttura telecom sotto pressione APT costante
Gli APT cinesi continuano ad attaccare aggressivamente l'infrastruttura telecom globale. Il nuovo arsenale di UAT-9244 (TernDoor, PeerTime, BruteEntry) si aggiunge alle precedenti campagne di Salt Typhoon. Con l'FBI che ora indaga sulle violazioni dei propri sistemi di intercettazione, la convergenza tra infrastruttura telecom e di sorveglianza crea un rischio cumulativo per la sicurezza nazionale.
Gli zero-day enterprise superano gli obiettivi consumer
Il rapporto zero-day 2025 di Google conferma un cambiamento strutturale: metà dei 90 zero-day sfruttati prendeva di mira prodotti enterprise (non browser/mobile). I fornitori di spyware e gli attori statali stanno investendo di più nelle superfici d'attacco enterprise — VPN, appliance SD-WAN, sistemi ICS — dove il rilevamento è più debole e l'impatto è maggiore.