🛡️ KENSAI Intelligence di Sicurezza
Briefing giornaliero sulle minacce — Lunedì, 9 marzo 2026 · Generato automaticamente alle 04:00 CET
⚡ TL;DR — Notizie principali
- L'FBI indaga su una violazione di un sistema con dati di sorveglianza sensibili
- Violazione Cognizant TriZetto espone dati sanitari di 3,4 M di pazienti
- Cisco SD-WAN CVE-2026-20127 ora ampiamente sfruttato in natura
- Anthropic ha trovato 22 vulnerabilità in Firefox con Claude Opus 4.6 in due settimane
- MuddyWater dell'Iran infiltrato in banche e aeroporti statunitensi con la nuova backdoor Dindoor
- Il malware codificato con IA diventa mainstream — Transparent Tribe produce in massa «vibeware»
🔓 Violazioni di dati e intrusioni
L'FBI indaga sulla violazione di un sistema di sorveglianza sensibile
Critico Gov. USAL'FBI sta indagando su attività informatiche «sospette» su un sistema contenente informazioni di sorveglianza sensibili. L'agenzia sta lavorando per determinare portata e impatto, secondo una notifica inviata al Congresso. Il sistema compromesso conterrebbe dati relativi al FISA.
La violazione di Cognizant TriZetto espone 3,4 milioni di cartelle cliniche
Alto SanitàL'azienda IT sanitaria TriZetto Provider Solutions (sussidiaria di Cognizant) ha subito una violazione che ha esposto informazioni sanitarie sensibili di oltre 3,4 milioni di persone. L'azienda sviluppa software utilizzato da assicuratori e fornitori sanitari in tutti gli USA.
La violazione dei dati di Transport for London colpisce 10 milioni di persone
Alto UK TrasportiTransport for London (TfL) ha confermato una violazione dei dati che colpisce circa 10 milioni di individui. I dettagli stanno emergendo in seguito a un precedente incidente informatico presso l'operatore di trasporto britannico.
L'APT iraniana MuddyWater infiltrata in banche, aeroporti e aziende software statunitensi
Critico Stato-nazione IranSymantec di Broadcom ha scoperto che il gruppo iraniano MuddyWater (Seedworm) si è infiltrato nelle reti di banche statunitensi, aeroporti, un'organizzazione no-profit e la filiale israeliana di un'azienda software di difesa/aerospaziale. La campagna utilizza una nuova backdoor chiamata «Dindoor» ed è iniziata a inizio febbraio 2026, con attività intensificata dopo gli attacchi americano-israeliani contro l'Iran.
🐛 CVE critici ed exploit
CVE-2026-20127 — Cisco Catalyst SD-WAN (Ampiamente sfruttato)
Critico ReteWatchTowr segnala tentativi di sfruttamento da numerosi IP unici mirati a questa vulnerabilità Cisco Catalyst SD-WAN. Le organizzazioni con infrastruttura SD-WAN interessata dovrebbero applicare immediatamente le patch.
CISA aggiunge le vulnerabilità Hikvision e Rockwell CVSS 9.8 al catalogo KEV
CVSS 9.8 ICS/OTCISA ha aggiunto due vulnerabilità critiche al suo catalogo delle vulnerabilità sfruttate note: CVE-2017-7921 (autenticazione impropria Hikvision) e una falla di Rockwell Automation che consente l'hacking remoto di ICS. Entrambe hanno prove di sfruttamento attivo.
CISA ordina alle agenzie federali di correggere le falle iOS — Coruna Exploit Kit
Alto Mobile SpywareCISA ha ordinato alle agenzie federali statunitensi di correggere tre vulnerabilità iOS prese di mira dal kit di exploit «Coruna» di livello statale, che colpisce 23 vulnerabilità da iOS 13 a 17.2.1. Utilizzato in campagne di cyberspionaggio e furto di criptovalute.
Anthropic scopre 22 vulnerabilità in Firefox con l'IA
14 ad alta severità BrowserClaude Opus 4.6 di Anthropic ha trovato 22 vulnerabilità in Firefox (14 alte, 7 moderate, 1 bassa) in sole due settimane — quasi un quinto di tutti i bug ad alta severità corretti in Firefox nel 2025. Un use-after-free è stato rilevato in soli 20 minuti. Corretto in Firefox 148. Anthropic ha anche dimostrato una capacità limitata di generazione di exploit (4.000 $ di crediti API, 2 exploit riusciti su centinaia di tentativi).
💀 Ransomware e malware
Ransomware Termite collegato ad attacchi ClickFix + CastleRAT
Alto RansomwareIl gruppo di minaccia Velvet Tempest sta distribuendo il ransomware Termite usando la tecnica di ingegneria sociale ClickFix e utilità Windows legittime per diffondere DonutLoader e la backdoor CastleRAT. La tecnica ClickFix continua a evolversi tra diversi attori di minaccia.
Le campagne ClickFix proliferano — ora usando Windows Terminal
Alto Ingegneria socialeMicrosoft ha rivelato una nuova variante di ClickFix che usa Windows Terminal (invece della finestra di dialogo Esegui) per distribuire Lumma Stealer. Separatamente, una nuova variante «InstallFix» prende di mira gli utenti con false guide di installazione di Claude Code per diffondere infostealer. ClickFix è ora il vettore di ingegneria sociale dominante tra diversi gruppi di minaccia.
VOID#GEIST: campagna multi-stadio che distribuisce XWorm, AsyncRAT, Xeno RAT
Malware RATSecuronix ha scoperto una campagna malware multi-stadio che utilizza script batch offuscati per distribuire payload RAT crittografati. Usa runtime Python legittimo e iniezione Early Bird APC in explorer.exe. Dimostra la tendenza verso la distribuzione basata su script che imita l'attività utente legittima.
Oltre 100 repository GitHub distribuiscono lo stealer BoryptGrab
Alto Supply chainOltre 100 repository GitHub sono stati trovati a distribuire lo stealer BoryptGrab che prende di mira dati del browser, portafogli di criptovalute, informazioni di sistema e file utente. Parte della tendenza crescente di abusare di piattaforme di sviluppo affidabili per la distribuzione di malware.
🕵️ Attività di stati-nazione e APT
Transparent Tribe — Produzione di massa di «vibeware» generato dall'IA
Pakistan IA-Malware IndiaIl gruppo Transparent Tribe, allineato al Pakistan, sta usando strumenti di codifica IA per produrre in massa impianti malware in linguaggi meno conosciuti (Nim, Zig, Crystal), ospitati su Slack, Discord, Supabase e Google Sheets. Bitdefender definisce questo «industrializzazione del malware assistita dall'IA» — inondando gli obiettivi con binari poliglotti usa e getta. Un momento storico nelle operazioni offensive abilitate dall'IA.
UAT-9244 collegato alla Cina prende di mira le telecomunicazioni sudamericane
Cina Telecom APTCisco Talos traccia UAT-9244 (collegato a FamousSparrow / potenziale sovrapposizione con Salt Typhoon) che prende di mira infrastrutture di telecomunicazione critiche in Sud America dal 2024. Utilizza tre impianti: TernDoor, PeerTime e BruteEntry su Windows, Linux e dispositivi edge.
Gli hacker abusano del DNS .arpa e IPv6 per eludere le difese anti-phishing
Evasione PhishingGli attori di minaccia sfruttano il dominio ad uso speciale .arpa e il DNS inverso IPv6 nelle campagne di phishing per aggirare i controlli di reputazione del dominio e i gateway di sicurezza email. Una tecnica di evasione innovativa che aggira il filtraggio URL tradizionale.
🔧 Strumenti di sicurezza e rilasci
OpenAI Codex Security — Scanner di vulnerabilità con IA
Rilascio strumento Sicurezza IAOpenAI ha lanciato Codex Security in anteprima di ricerca — un agente alimentato dall'IA che trova, valida e propone correzioni per le vulnerabilità. Scansionati 1,2 M di commit in beta, trovati 10.561 problemi ad alta severità. Disponibile per ChatGPT Pro/Enterprise/Business/Edu. Gratuito il primo mese. Nota competitiva: Concorrente diretto delle capacità di scansione automatizzata di KENSAI.
ArmorCode raccoglie 16 M$ per la piattaforma di gestione dell'esposizione
Finanziamento AppSecArmorCode ha raccolto 16 M$ per accelerare lo sviluppo della sua piattaforma di gestione dell'esposizione. L'azienda si concentra sulla gestione della postura di sicurezza delle applicazioni (ASPM) e sul consolidamento della gestione delle vulnerabilità.
Evervault raccoglie 25 M$ in Serie B per la piattaforma di crittografia per sviluppatori
Finanziamento Sicurezza dei datiL'azienda di sicurezza dei dati Evervault ha raccolto 25 M$ (Serie B, 46 M$ totali) per la sua piattaforma di crittografia e orchestrazione orientata agli sviluppatori. Domanda di mercato crescente per soluzioni di privacy by design.
📊 Tendenze emergenti e analisi
Microsoft: gli hacker usano l'IA in ogni fase degli attacchi informatici
Tendenza Minacce IAMicrosoft avverte che gli attori di minaccia utilizzano sempre più l'IA in tutte le fasi — ricognizione, ingegneria sociale, sviluppo di malware, movimento laterale ed esfiltrazione dei dati. L'IA abbassa le barriere tecniche e accelera i tempi degli attacchi. Combinato con il vibeware di Transparent Tribe e le scoperte di Firefox di Anthropic, marzo 2026 segna un chiaro punto di svolta per l'IA sia in attacco che in difesa.
Google: metà dei 90 zero-day del 2025 miravano alle aziende
Tendenza Zero-DayL'analisi annuale degli zero-day di Google rivela 90 zero-day sfruttati nel 2025, con quasi la metà mirati a prodotti aziendali. I fornitori di spyware e i gruppi collegati alla Cina guidavano l'attribuzione. Lo spostamento verso obiettivi aziendali sottolinea la necessità di una gestione proattiva delle vulnerabilità.
Ingegneria sociale ClickFix — Il vettore dominante del 2026
Tendenza Ingegneria socialeClickFix e le sue varianti (InstallFix, distribuzione CastleRAT) sono ora usati da almeno 3 gruppi di minaccia distinti (Velvet Tempest, campagne Lumma generiche, installatori falsi di strumenti CLI). La tecnica inganna gli utenti inducendoli a eseguire comandi malevoli spacciandosi per procedure di installazione o correzione. È diventata la tecnica di ingegneria sociale preferita per il 2026.
Aggiornamento della strategia informatica USA e cambi di leadership al Pentagono
Politica Gov. USALa nuova strategia informatica di Trump enfatizza una deterrenza più forte, la modernizzazione delle reti federali, la protezione delle infrastrutture critiche e investimenti in IA + crittografia post-quantistica. James «Aaron» Bishop nominato nuovo CISO del Pentagono, sostituendo David McKeown dopo 40 anni di servizio governativo.
🎯 Rilevanza KENSAI
Intelligence competitiva
OpenAI Codex Security lanciato come concorrente diretto nello spazio della scansione di vulnerabilità con IA. Fattore differenziante chiave per KENSAI: Codex si concentra sulla scansione di codice/commit mentre KENSAI offre pentesting full-stack (DAST + infrastruttura). Posizionare KENSAI come la «valutazione di sicurezza completa» vs. l'approccio «solo codice» di Codex.
Opportunità di contenuto
• Articolo «IA vs. IA» — Come l'IA trova vulnerabilità (Anthropic/Firefox) e come l'IA crea malware (Transparent Tribe). KENSAI come lato difensivo di questa corsa agli armamenti.
• Guida di sensibilizzazione ClickFix — Molteplici varianti ora attive; scrivere una guida di rilevamento/prevenzione.
• Copertura CVE — CVE-2026-20127 (Cisco SD-WAN) è attivamente sfruttato; aggiungere al database CVE di KENSAI se non presente.
Fonti: BleepingComputer · The Hacker News · SecurityWeek · CISA
Prossimo rapporto: 10 marzo 2026 · 04:00 CET