剣 KENSAI
← Back to archive

🛡️ KENSAI Intelligence di Sicurezza

Briefing giornaliero sulle minacce — Lunedì, 9 marzo 2026 · Generato automaticamente alle 04:00 CET

5
Attori di minaccia
3
CVE critici
2
Rilasci di strumenti
4
Violazioni

⚡ TL;DR — Notizie principali

  • L'FBI indaga su una violazione di un sistema con dati di sorveglianza sensibili
  • Violazione Cognizant TriZetto espone dati sanitari di 3,4 M di pazienti
  • Cisco SD-WAN CVE-2026-20127 ora ampiamente sfruttato in natura
  • Anthropic ha trovato 22 vulnerabilità in Firefox con Claude Opus 4.6 in due settimane
  • MuddyWater dell'Iran infiltrato in banche e aeroporti statunitensi con la nuova backdoor Dindoor
  • Il malware codificato con IA diventa mainstream — Transparent Tribe produce in massa «vibeware»

🔓 Violazioni di dati e intrusioni

L'FBI indaga sulla violazione di un sistema di sorveglianza sensibile

Critico Gov. USA

L'FBI sta indagando su attività informatiche «sospette» su un sistema contenente informazioni di sorveglianza sensibili. L'agenzia sta lavorando per determinare portata e impatto, secondo una notifica inviata al Congresso. Il sistema compromesso conterrebbe dati relativi al FISA.

La violazione di Cognizant TriZetto espone 3,4 milioni di cartelle cliniche

Alto Sanità

L'azienda IT sanitaria TriZetto Provider Solutions (sussidiaria di Cognizant) ha subito una violazione che ha esposto informazioni sanitarie sensibili di oltre 3,4 milioni di persone. L'azienda sviluppa software utilizzato da assicuratori e fornitori sanitari in tutti gli USA.

La violazione dei dati di Transport for London colpisce 10 milioni di persone

Alto UK Trasporti

Transport for London (TfL) ha confermato una violazione dei dati che colpisce circa 10 milioni di individui. I dettagli stanno emergendo in seguito a un precedente incidente informatico presso l'operatore di trasporto britannico.

L'APT iraniana MuddyWater infiltrata in banche, aeroporti e aziende software statunitensi

Critico Stato-nazione Iran

Symantec di Broadcom ha scoperto che il gruppo iraniano MuddyWater (Seedworm) si è infiltrato nelle reti di banche statunitensi, aeroporti, un'organizzazione no-profit e la filiale israeliana di un'azienda software di difesa/aerospaziale. La campagna utilizza una nuova backdoor chiamata «Dindoor» ed è iniziata a inizio febbraio 2026, con attività intensificata dopo gli attacchi americano-israeliani contro l'Iran.

🐛 CVE critici ed exploit

CVE-2026-20127 — Cisco Catalyst SD-WAN (Ampiamente sfruttato)

Critico Rete

WatchTowr segnala tentativi di sfruttamento da numerosi IP unici mirati a questa vulnerabilità Cisco Catalyst SD-WAN. Le organizzazioni con infrastruttura SD-WAN interessata dovrebbero applicare immediatamente le patch.

CISA aggiunge le vulnerabilità Hikvision e Rockwell CVSS 9.8 al catalogo KEV

CVSS 9.8 ICS/OT

CISA ha aggiunto due vulnerabilità critiche al suo catalogo delle vulnerabilità sfruttate note: CVE-2017-7921 (autenticazione impropria Hikvision) e una falla di Rockwell Automation che consente l'hacking remoto di ICS. Entrambe hanno prove di sfruttamento attivo.

CISA ordina alle agenzie federali di correggere le falle iOS — Coruna Exploit Kit

Alto Mobile Spyware

CISA ha ordinato alle agenzie federali statunitensi di correggere tre vulnerabilità iOS prese di mira dal kit di exploit «Coruna» di livello statale, che colpisce 23 vulnerabilità da iOS 13 a 17.2.1. Utilizzato in campagne di cyberspionaggio e furto di criptovalute.

Anthropic scopre 22 vulnerabilità in Firefox con l'IA

14 ad alta severità Browser

Claude Opus 4.6 di Anthropic ha trovato 22 vulnerabilità in Firefox (14 alte, 7 moderate, 1 bassa) in sole due settimane — quasi un quinto di tutti i bug ad alta severità corretti in Firefox nel 2025. Un use-after-free è stato rilevato in soli 20 minuti. Corretto in Firefox 148. Anthropic ha anche dimostrato una capacità limitata di generazione di exploit (4.000 $ di crediti API, 2 exploit riusciti su centinaia di tentativi).

💀 Ransomware e malware

Ransomware Termite collegato ad attacchi ClickFix + CastleRAT

Alto Ransomware

Il gruppo di minaccia Velvet Tempest sta distribuendo il ransomware Termite usando la tecnica di ingegneria sociale ClickFix e utilità Windows legittime per diffondere DonutLoader e la backdoor CastleRAT. La tecnica ClickFix continua a evolversi tra diversi attori di minaccia.

Le campagne ClickFix proliferano — ora usando Windows Terminal

Alto Ingegneria sociale

Microsoft ha rivelato una nuova variante di ClickFix che usa Windows Terminal (invece della finestra di dialogo Esegui) per distribuire Lumma Stealer. Separatamente, una nuova variante «InstallFix» prende di mira gli utenti con false guide di installazione di Claude Code per diffondere infostealer. ClickFix è ora il vettore di ingegneria sociale dominante tra diversi gruppi di minaccia.

VOID#GEIST: campagna multi-stadio che distribuisce XWorm, AsyncRAT, Xeno RAT

Malware RAT

Securonix ha scoperto una campagna malware multi-stadio che utilizza script batch offuscati per distribuire payload RAT crittografati. Usa runtime Python legittimo e iniezione Early Bird APC in explorer.exe. Dimostra la tendenza verso la distribuzione basata su script che imita l'attività utente legittima.

Oltre 100 repository GitHub distribuiscono lo stealer BoryptGrab

Alto Supply chain

Oltre 100 repository GitHub sono stati trovati a distribuire lo stealer BoryptGrab che prende di mira dati del browser, portafogli di criptovalute, informazioni di sistema e file utente. Parte della tendenza crescente di abusare di piattaforme di sviluppo affidabili per la distribuzione di malware.

🕵️ Attività di stati-nazione e APT

Transparent Tribe — Produzione di massa di «vibeware» generato dall'IA

Pakistan IA-Malware India

Il gruppo Transparent Tribe, allineato al Pakistan, sta usando strumenti di codifica IA per produrre in massa impianti malware in linguaggi meno conosciuti (Nim, Zig, Crystal), ospitati su Slack, Discord, Supabase e Google Sheets. Bitdefender definisce questo «industrializzazione del malware assistita dall'IA» — inondando gli obiettivi con binari poliglotti usa e getta. Un momento storico nelle operazioni offensive abilitate dall'IA.

UAT-9244 collegato alla Cina prende di mira le telecomunicazioni sudamericane

Cina Telecom APT

Cisco Talos traccia UAT-9244 (collegato a FamousSparrow / potenziale sovrapposizione con Salt Typhoon) che prende di mira infrastrutture di telecomunicazione critiche in Sud America dal 2024. Utilizza tre impianti: TernDoor, PeerTime e BruteEntry su Windows, Linux e dispositivi edge.

Gli hacker abusano del DNS .arpa e IPv6 per eludere le difese anti-phishing

Evasione Phishing

Gli attori di minaccia sfruttano il dominio ad uso speciale .arpa e il DNS inverso IPv6 nelle campagne di phishing per aggirare i controlli di reputazione del dominio e i gateway di sicurezza email. Una tecnica di evasione innovativa che aggira il filtraggio URL tradizionale.

🔧 Strumenti di sicurezza e rilasci

OpenAI Codex Security — Scanner di vulnerabilità con IA

Rilascio strumento Sicurezza IA

OpenAI ha lanciato Codex Security in anteprima di ricerca — un agente alimentato dall'IA che trova, valida e propone correzioni per le vulnerabilità. Scansionati 1,2 M di commit in beta, trovati 10.561 problemi ad alta severità. Disponibile per ChatGPT Pro/Enterprise/Business/Edu. Gratuito il primo mese. Nota competitiva: Concorrente diretto delle capacità di scansione automatizzata di KENSAI.

ArmorCode raccoglie 16 M$ per la piattaforma di gestione dell'esposizione

Finanziamento AppSec

ArmorCode ha raccolto 16 M$ per accelerare lo sviluppo della sua piattaforma di gestione dell'esposizione. L'azienda si concentra sulla gestione della postura di sicurezza delle applicazioni (ASPM) e sul consolidamento della gestione delle vulnerabilità.

Evervault raccoglie 25 M$ in Serie B per la piattaforma di crittografia per sviluppatori

Finanziamento Sicurezza dei dati

L'azienda di sicurezza dei dati Evervault ha raccolto 25 M$ (Serie B, 46 M$ totali) per la sua piattaforma di crittografia e orchestrazione orientata agli sviluppatori. Domanda di mercato crescente per soluzioni di privacy by design.

📊 Tendenze emergenti e analisi

Microsoft: gli hacker usano l'IA in ogni fase degli attacchi informatici

Tendenza Minacce IA

Microsoft avverte che gli attori di minaccia utilizzano sempre più l'IA in tutte le fasi — ricognizione, ingegneria sociale, sviluppo di malware, movimento laterale ed esfiltrazione dei dati. L'IA abbassa le barriere tecniche e accelera i tempi degli attacchi. Combinato con il vibeware di Transparent Tribe e le scoperte di Firefox di Anthropic, marzo 2026 segna un chiaro punto di svolta per l'IA sia in attacco che in difesa.

Google: metà dei 90 zero-day del 2025 miravano alle aziende

Tendenza Zero-Day

L'analisi annuale degli zero-day di Google rivela 90 zero-day sfruttati nel 2025, con quasi la metà mirati a prodotti aziendali. I fornitori di spyware e i gruppi collegati alla Cina guidavano l'attribuzione. Lo spostamento verso obiettivi aziendali sottolinea la necessità di una gestione proattiva delle vulnerabilità.

Ingegneria sociale ClickFix — Il vettore dominante del 2026

Tendenza Ingegneria sociale

ClickFix e le sue varianti (InstallFix, distribuzione CastleRAT) sono ora usati da almeno 3 gruppi di minaccia distinti (Velvet Tempest, campagne Lumma generiche, installatori falsi di strumenti CLI). La tecnica inganna gli utenti inducendoli a eseguire comandi malevoli spacciandosi per procedure di installazione o correzione. È diventata la tecnica di ingegneria sociale preferita per il 2026.

Aggiornamento della strategia informatica USA e cambi di leadership al Pentagono

Politica Gov. USA

La nuova strategia informatica di Trump enfatizza una deterrenza più forte, la modernizzazione delle reti federali, la protezione delle infrastrutture critiche e investimenti in IA + crittografia post-quantistica. James «Aaron» Bishop nominato nuovo CISO del Pentagono, sostituendo David McKeown dopo 40 anni di servizio governativo.

🎯 Rilevanza KENSAI

Intelligence competitiva

OpenAI Codex Security lanciato come concorrente diretto nello spazio della scansione di vulnerabilità con IA. Fattore differenziante chiave per KENSAI: Codex si concentra sulla scansione di codice/commit mentre KENSAI offre pentesting full-stack (DAST + infrastruttura). Posizionare KENSAI come la «valutazione di sicurezza completa» vs. l'approccio «solo codice» di Codex.

Opportunità di contenuto

Articolo «IA vs. IA» — Come l'IA trova vulnerabilità (Anthropic/Firefox) e come l'IA crea malware (Transparent Tribe). KENSAI come lato difensivo di questa corsa agli armamenti.
Guida di sensibilizzazione ClickFix — Molteplici varianti ora attive; scrivere una guida di rilevamento/prevenzione.
Copertura CVE — CVE-2026-20127 (Cisco SD-WAN) è attivamente sfruttato; aggiungere al database CVE di KENSAI se non presente.

Compilato da KENSAI Security Intelligence · kensai.app
Fonti: BleepingComputer · The Hacker News · SecurityWeek · CISA
Prossimo rapporto: 10 marzo 2026 · 04:00 CET