剣 KENSAI
← Back to archive

Briefing Giornaliero sulle Minacce

Domenica 8 Marzo 2026 — 04:00 CET
3
Critiche
5
Violazioni Dati
13
Nuove CVE
2
Nuovi Strumenti
🔓

Principali Violazioni di Dati

VIOLAZIONECRITICO6 Mar 2026
Il fornitore IT sanitario TriZetto Provider Solutions (sussidiaria di Cognizant) ha divulgato una violazione che ha esposto dati sanitari sensibili — incluse cartelle cliniche, informazioni assicurative e dati personali — di 3,4 milioni di pazienti. La violazione colpisce assicuratori e fornitori sanitari che utilizzano la piattaforma software di TriZetto. Notifica HIPAA in corso.
VIOLAZIONECRITICO6–7 Mar 2026
L'FBI ha confermato di stare indagando su una violazione dei sistemi utilizzati per la gestione dei mandati di sorveglianza e delle operazioni di intercettazione. È stata emessa una notifica al Congresso. La portata e l'attribuzione restano sotto indagine, sollevando gravi preoccupazioni per la sicurezza nazionale riguardo l'esposizione dei dati delle forze dell'ordine.
VIOLAZIONE7 Mar 2026
Transport for London (TfL) ha comunicato che una violazione dei dati nei propri sistemi ha coinvolto circa 10 milioni di record clienti, inclusi i dati delle carte Oyster e le informazioni di contatto.
FRODE6 Mar 2026
Un cittadino ghanese si è dichiarato colpevole per il suo ruolo in una massiccia rete di frode che ha sottratto oltre 100 milioni di dollari a vittime statunitensi attraverso compromissione di email aziendali (BEC) e truffe sentimentali. Un'operazione pluriennale che ha preso di mira aziende e privati.
RANSOMWARE7 Mar 2026
Il cittadino russo Evgenii Ptitsyn, estradato dalla Corea del Sud nel novembre 2024, si è dichiarato colpevole presso un tribunale federale statunitense per aver gestito infrastrutture ransomware dirette contro organizzazioni americane.
🛡️

CVE Critiche e Vulnerabilità

CISA KEV: L'Exploit Kit Coruna Prende di Mira iOS 13–17.2.1
CRITICOAggiunto al KEV il 6 Mar
CISA ha ordinato alle agenzie federali statunitensi di applicare le patch per tre vulnerabilità iOS attivamente sfruttate dall'exploit kit Coruna — un toolkit di livello statale che prende di mira 23 vulnerabilità iOS da iOS 13 a 17.2.1. Utilizzato in attacchi di cyberspionaggio e furto di criptovalute.
Vulnerabilità ICS Rockwell — Confermato Sfruttamento Attivo
CRITICOICS / OT
Una vulnerabilità di Rockwell Automation (divulgata e corretta nel 2021) che consente l'hacking remoto di sistemi ICS è ora confermata come attivamente sfruttata in natura. Le organizzazioni con sistemi Rockwell non aggiornati sono esposte a rischio immediato per gli ambienti di controllo industriale.
OpenAI Codex Security — Nuove CVE Scoperte nel Software Open-Source
ALTO13 nuove CVE
Lo scanner OpenAI Codex Security ha identificato 792 risultati critici e 10.561 ad alta severità su 1,2 milioni di commit. Nuove CVE emesse per:
  • CVE-2026-24881/82 GnuPG — difetti nell'implementazione crittografica
  • CVE-2025-32988/89 GnuTLS — vulnerabilità nella libreria TLS
  • CVE-2025-64175 GOGS — vulnerabilità nel server di hosting Git
  • CVE-2026-25242 GOGS — problema di sicurezza aggiuntivo
  • CVE-2025-35430–36 Thorium — 7 vulnerabilità nello strumento di rilevamento radiazioni di CISA
Oltre 100 Repository GitHub Distribuiscono lo Stealer BoryptGrab
ALTOSupply Chain
Scoperti oltre 100 repository GitHub malevoli che distribuiscono il malware stealer BoryptGrab, mirato ai dati del browser, credenziali dei wallet di criptovalute, informazioni di sistema e file utente. Si maschera da progetti open-source legittimi.
⚔️

Attività Ransomware e APT

RANSOMWAREAPT7 Mar 2026
Il gruppo ransomware "Velvet Tempest" distribuisce il ransomware Termite tramite la tecnica di ingegneria sociale ClickFix, utilizzando utility Windows legittime per il side-loading di DonutLoader e della backdoor CastleRAT. Combina ingegneria sociale con LOLBins per l'evasione delle difese.
APTCRITICO6 Mar 2026
L'APT iraniano MuddyWater (Seedworm), affiliato al MOIS, si è infiltrato in banche statunitensi, aeroporti, un'organizzazione no-profit canadese e la filiale israeliana di un'azienda software nel settore difesa/aerospaziale. Dispiegata la nuova backdoor "Dindoor". L'attività si è intensificata dopo gli attacchi militari statunitensi/israeliani contro l'Iran.
APTAllineato al Pakistan / Obiettivo India
L'APT Transparent Tribe, allineato al Pakistan, utilizza strumenti di programmazione IA per produrre in massa impianti malware usa e getta in Nim, Zig e Crystal. Sfrutta Slack, Discord, Supabase e Google Sheets per il C2. Bitdefender lo definisce "industrializzazione del malware assistita dall'IA" — inondando gli obiettivi con binari poliglotti generati dall'IA ("vibeware") per sovraccaricare il rilevamento.
ALTO6 Mar 2026
Securonix ha scoperto una campagna multi-stadio che utilizza script batch offuscati per distribuire XWorm, AsyncRAT e Xeno RAT. Impiega un runtime Python incorporato e Early Bird APC injection in explorer.exe — esecuzione interamente in memoria. La distribuzione basata su script imita l'attività legittima dell'utente.
APTCina / Telecomunicazioni
Cisco Talos traccia il gruppo UAT-9244 collegato alla Cina (associato a FamousSparrow, con sovrapposizioni con Salt Typhoon) che prende di mira le infrastrutture di telecomunicazione sudamericane dal 2024. Tre impianti dispiegati: TernDoor, PeerTime e BruteEntry — mirati a Windows, Linux e dispositivi di rete perimetrali.
🔧

Rilascio Strumenti di Sicurezza e Industria

STRUMENTO7 Mar 2026
OpenAI ha lanciato Codex Security in anteprima di ricerca — uno scanner di sicurezza agentico che costruisce modelli di minaccia a livello di progetto e valida i risultati in ambienti sandboxed. Analizzati 1,2 milioni di commit, trovati 10.561 problemi ad alta severità con una riduzione dei falsi positivi superiore al 50% rispetto alle iterazioni precedenti. Gratuito per 30 giorni per gli utenti ChatGPT Pro/Enterprise/Business. Rilevanza KENSAI: Potenziale concorrente nel rilevamento vulnerabilità basato su IA — ma opera a livello di codice, non a livello infrastrutturale come KENSAI.
Starkiller — Nuova Piattaforma Phishing-as-a-Service (Allerta Minaccia)
CRITICOPhishing / Bypass MFA
La nuova piattaforma PhaaS "Starkiller" utilizza Chrome headless in container Docker per fare proxy dinamico di pagine di login reali (Apple, Google, Microsoft, ecc.), catturando credenziali e token MFA in tempo reale. Utilizza il trucco URL "@" per l'inganno visivo (es. login.microsoft.com@malicious.ru). Analizzata da Abnormal AI. Aggira il rilevamento di phishing statico tradizionale.
Round di Finanziamento: ArmorCode ($16M) ed Evervault ($25M Series B)
INDUSTRIA
ArmorCode ha raccolto $16M per la sua piattaforma di gestione dell'esposizione. Evervault ha raccolto $25M Series B (totale $46M) per crittografia e orchestrazione dati orientate agli sviluppatori. Entrambi segnalano il continuo appetito degli investitori per gli strumenti AppSec e di sicurezza dei dati.
📡

Pattern di Minacce Emergenti

La Weaponizzazione dell'IA Raggiunge la Massa Critica
TENDENZA
Microsoft ha avvertito che gli hacker stanno abusando dell'IA "in ogni fase degli attacchi informatici" — dalla ricognizione alla generazione dei payload fino al post-sfruttamento. Combinato con il "vibeware" di Transparent Tribe (malware prodotto in massa dall'IA) e gli attacchi fake Claude Code InstallFix, stiamo osservando tre pattern convergenti:

1. Malware generato dall'IA su larga scala — APT che utilizzano strumenti IA per produrre impianti usa e getta in grandi volumi in linguaggi esotici
2. Impersonificazione di strumenti IA — guide di installazione false per Claude Code, Codex e altri CLI IA che distribuiscono infostealer
3. Difesa basata sull'IA — OpenAI Codex Security entra nel mercato come agente di sicurezza IA
Google: Metà dei 90 Zero-Day del 2025 Ha Colpito le Aziende
RAPPORTO
L'analisi annuale degli zero-day di Google mostra che 45 dei 90 zero-day sfruttati nel 2025 hanno preso di mira prodotti enterprise (non consumer). I vendor di spyware e gli attori statali cinesi guidano l'attribuzione. Lo spostamento verso il targeting enterprise continua ad accelerare — appliance di rete, strumenti di sicurezza e piattaforme di collaborazione sono gli obiettivi primari.
Revisione della Strategia Cyber USA sotto l'Amministrazione Trump
POLICY
La nuova Strategia Cyber USA prevede un rafforzamento della deterrenza contro gli avversari informatici, la modernizzazione delle reti federali, mandati per la protezione delle infrastrutture critiche e investimenti in IA e crittografia post-quantistica. Nominato il nuovo CISO del Pentagono James "Aaron" Bishop, in sostituzione di David McKeown.

🎯 Azioni Raccomandate KENSAI

  • Rilevamento ClickFix/InstallFix: Il ransomware Termite e le false guide di installazione CLI IA utilizzano entrambi varianti ClickFix — aggiornare le firme di rilevamento e pubblicare un articolo su questa tendenza
  • Intelligence competitiva: OpenAI Codex Security è ora attivo — differenziare la scansione a livello infrastrutturale di KENSAI rispetto all'approccio a livello di codice di Codex nei materiali di marketing
  • Angolo NIS2: La violazione sanitaria TriZetto (3,4M di record) è un caso studio perfetto per contenuti sulla conformità NIS2 nel settore sanitario
  • ICS/OT: Lo sfruttamento di Rockwell conferma che i sistemi ICS legacy non aggiornati restano obiettivi di alto valore — rilevante per le capacità di scansione infrastrutturale di KENSAI
  • Supply chain: Oltre 100 repository GitHub malevoli (BoryptGrab) rafforzano la necessità di SBOM e scansione delle dipendenze — opportunità di funzionalità per KENSAI