🛡️ Bollettino Giornaliero di Intelligence sulla Sicurezza
⚡ Sintesi — Cosa conta oggi
- Microsoft Patch Tuesday: 79-83 vulnerabilità corrette tra cui 2 zero-day — applicate le patch immediatamente
- Campagna FortiGate: Attori delle minacce sfruttano i NGFW FortiGate per rubare credenziali AD/LDAP da sanità e PA
- Botnet KadNap: Oltre 14.000 router ASUS compromessi in una rete proxy stealth con DHT Kademlia personalizzato
- APT28 (Fancy Bear): Nuovi impianti BEARDSHELL e COVENANT per la sorveglianza a lungo termine dell'esercito ucraino
- Ivanti EPM sfruttato attivamente: CISA lo aggiunge al KEV insieme ai difetti SolarWinds e Workspace One
- Salesforce Experience Cloud: Campagna di scansione di massa che prende di mira permessi utente ospite mal configurati
- Violazione dati Ericsson: Migliaia di persone colpite dalla compromissione di un fornitore terzo
🔴 Vulnerabilità critiche e Patch Tuesday
Microsoft Patch Tuesday marzo 2026 — 2 Zero-Day, 79 difetti
Microsoft ha rilasciato correzioni per 79 vulnerabilità tra cui 2 vulnerabilità zero-day divulgate pubblicamente. L'aggiornamento risolve anche un problema che impediva lo spegnimento di alcuni dispositivi. Gli aggiornamenti cumulativi Windows 10 Extended Security Update KB5078885 e Windows 11 KB5079473/KB5078883 sono ora disponibili.
Zero-Day Patch ora Windows 10/11Adobe corregge 80 vulnerabilità in 8 prodotti
Adobe ha distribuito patch per 80 vulnerabilità in Commerce, Illustrator, Acrobat Reader, Premiere Pro e altri 4 prodotti. Inclusi molteplici difetti critici di esecuzione di codice.
Alto Acrobat CommerceSAP corregge vulnerabilità critiche in FS-QUO e NetWeaver
Un bug di code injection in FS-QUO e un difetto di deserializzazione non sicura in NetWeaver potrebbero consentire l'esecuzione di codice arbitrario sui sistemi SAP aziendali. Priorità di patch: critica.
Critico RCE AziendaleHPE — Difetto critico AOS-CX — Reset password admin
Hewlett Packard Enterprise ha corretto molteplici vulnerabilità nel sistema operativo Aruba Networking AOS-CX, tra cui difetti di bypass dell'autenticazione che consentono il reset delle password amministratore e problemi di esecuzione di codice.
Critico Bypass auth Infrastruttura di reteCISA segnala Ivanti EPM, SolarWinds e Workspace One come attivamente sfruttati
Tre vulnerabilità aggiunte al catalogo delle vulnerabilità sfruttate note di CISA: bypass di autenticazione ad alta severità in Ivanti Endpoint Manager, difetto SolarWinds e CVE-2021-22054 (SSRF in VMware/Omnissa Workspace One UEM, CVSS 7.5). Tutte confermate come sfruttate in natura.
Attivamente sfruttato KEV Ivanti«LeakyLooker» — 9 difetti cross-tenant in Google Looker Studio
Tenable ha divulgato 9 vulnerabilità cross-tenant in Google Looker Studio che avrebbero potuto consentire agli aggressori di eseguire query SQL arbitrarie sui database delle vittime ed esfiltrare dati sensibili all'interno degli ambienti Google Cloud. Nessuna prova di sfruttamento in natura.
Alto Cloud Cross-Tenant🟠 Minacce attive e campagne
Campagna FortiGate NGFW — Furto di credenziali da sanità e PA
Attori delle minacce sfruttano i firewall di nuova generazione FortiGate come punti d'ingresso per violare le reti. La campagna estrae file di configurazione contenenti credenziali degli account di servizio AD/LDAP e topologia di rete. Gli obiettivi includono sanità, pubblica amministrazione e fornitori di servizi gestiti.
Critico Sanità PA Furto credenzialiL'APT28 russo schiera BEARDSHELL + COVENANT contro l'esercito ucraino
L'APT28 affiliato al GRU è stato osservato nell'uso di nuovi impianti BEARDSHELL e COVENANT per la sorveglianza a lungo termine del personale militare ucraino da aprile 2024. Impiega anche SLIMAGENT (keylogger, cattura dello schermo, furto degli appunti). La campagna dimostra la continua escalation delle operazioni di cyber-spionaggio russe.
Stato-nazione Spionaggio RussiaBotnet KadNap — Oltre 14.000 router ASUS compromessi
Il nuovo malware KadNap prende di mira router ASUS e dispositivi edge, costruendo una botnet di oltre 14.000 nodi per il proxy di traffico malevolo. Utilizza un protocollo DHT Kademlia personalizzato per nascondere l'infrastruttura C2. Oltre il 60% delle vittime si trova negli USA, con diffusione globale in Taiwan, Hong Kong, Regno Unito, Australia, Brasile, Francia, Italia e Spagna. Attivo da agosto 2025.
Alto Botnet IoT 14K dispositiviCampagna di scansione di massa su Salesforce Experience Cloud
Attori delle minacce scansionano in massa i siti Salesforce Experience Cloud usando uno strumento AuraInspector modificato. Sfruttano configurazioni utente ospite eccessivamente permissive per accedere a dati sensibili. Centinaia di clienti presumibilmente colpiti.
Alto SaaS Configurazione errataAttori nordcoreani compromettono azienda crypto tramite file AirDrop trojanizzato
UNC4899 (Jade Sleet / TraderTraitor) ha compromesso un'organizzazione di criptovalute tramite social engineering + trasferimento file AirDrop trojanizzato. Pivot verso il cloud usando tecniche Living-off-the-Cloud (LOTC), abuso dei workflow DevOps per raccogliere credenziali, uscire dai container e manomettere database Cloud SQL per il furto di criptovalute.
APT Crypto Supply Chain🟡 Nuovo malware e tecniche di evasione
«BlackSanta» — Killer di EDR che prende di mira i dipartimenti HR
Un attore delle minacce di lingua russa prende di mira i dipartimenti delle risorse umane da oltre un anno con malware che distribuisce BlackSanta, un nuovo killer di EDR (Endpoint Detection & Response). La campagna utilizza social engineering su misura per i workflow HR.
Alto Bypass EDR Target HR«BeatBanker» — Malware Android si spaccia per app Starlink
Il nuovo malware Android BeatBanker si maschera come app Starlink su siti web falsi del Google Play Store. Capace di dirottamento completo del dispositivo dopo l'installazione.
Medio Android Trojan bancario«Zombie ZIP» — Nuova tecnica che elude gli scanner di sicurezza
Una nuova tecnica di evasione chiamata «Zombie ZIP» nasconde payload malevoli in file compressi appositamente creati per eludere il rilevamento antivirus e EDR. Sfrutta le inconsistenze nell'analisi degli archivi ZIP da parte degli strumenti di sicurezza.
Evasione Tecnica innovativaEvasione sandbox basata sulla geometria — «Il nuovo test di Turing»
Il Picus Red Report 2026 rivela che l'80% delle principali tecniche degli attaccanti si concentra su evasione e persistenza. Il malware utilizza sempre più test di movimento del cursore basati sulla geometria e verifiche di temporizzazione CPU per rilevare ambienti sandbox e dimostrare «umanità» prima di eseguire i payload.
Ricerca Evasione sandboxPacchetto npm malevolo «GhostClaw» prende di mira sviluppatori macOS
Un pacchetto npm malevolo (@openclaw-ai/openclawai) che distribuisce un RAT capace di rubare credenziali, dati del browser, wallet crypto, chiavi SSH, Apple Keychain e cronologia iMessage. Include C2 persistente, proxy SOCKS5 e clonazione di sessioni browser dal vivo. 178 download dal 3 marzo.
🔵 Violazioni di dati
Violazione dati Ericsson — Migliaia di persone colpite
Il colosso delle telecomunicazioni Ericsson ha confermato una violazione dei dati che colpisce migliaia di persone. L'azienda ha attribuito l'incidente alla compromissione di un fornitore terzo. L'entità dei dati esposti non è ancora stata completamente rivelata.
Telecomunicazioni Rischio terze parti🟢 Rilasci di strumenti di sicurezza e finanziamenti del settore
L'Armadin di Kevin Mandia debutta con $190M di finanziamento
L'ex CEO di Mandiant, Kevin Mandia, lancia Armadin, una piattaforma di red teaming alimentata dall'IA che trova e sfrutta autonomamente le debolezze. Sostenuta da $190M di finanziamento. Nuovo importante concorrente nella sicurezza offensiva automatizzata.
Startup $190M Red TeamingKai — $125M per piattaforma IA che unisce sicurezza IT e OT
Fondata da un co-fondatore di Claroty, Kai esce dalla stealth con $125M di finanziamento da Evolution Equity Partners e N47. Focus: convergenza alimentata dall'IA della sicurezza IT e OT (tecnologia operativa).
Startup $125M IT/OTJazz — $61M per la prevenzione della perdita di dati con IA
Jazz esce dalla stealth con $61M di finanziamento per DLP (Data Loss Prevention) alimentato dall'IA. Promette visibilità su intento, contesto e rischio oltre gli strumenti DLP tradizionali.
Startup $61M DLPEscape raccoglie $18M per automatizzare il pentesting
Escape si assicura $18M per approfondire le capacità degli agenti IA per il penetration testing automatizzato e scalare i team di ingegneria e go-to-market.
Startup $18M PentestingOpenAI lancia lo scanner di vulnerabilità Codex Security
OpenAI lancia Codex Security (in precedenza Aardvark), uno scanner di vulnerabilità alimentato dall'IA che ha trovato centinaia di vulnerabilità critiche nel software testato nell'ultimo mese.
Sicurezza IA Scanner di vulnerabilitàMicrosoft Entra Passkeys — Accesso Windows resistente al phishing
Microsoft implementa il supporto passkey per Entra su Windows, abilitando l'autenticazione senza password resistente al phishing tramite Windows Hello. Passo importante verso l'eliminazione degli attacchi basati su password.
Identità Passkeys Difesa anti-phishing📊 Pattern di minacce emergenti
Tendenze chiave osservate in questo ciclo
L'analisi delle ultime 24 ore rivela diversi pattern convergenti:
1. Sfruttamento dei dispositivi edge su larga scala — KadNap (14K router), campagna FortiGate e sfruttamento Ivanti EPM prendono tutti di mira l'infrastruttura edge di rete. Gli aggressori preferiscono sempre più compromettere i dispositivi progettati per proteggere le reti.
2. Corsa agli armamenti EDR/Sandbox — Il killer EDR BlackSanta, l'evasione tramite archivio Zombie ZIP e il rilevamento sandbox geometrico mostrano investimenti massicci degli aggressori nell'elusione della sicurezza degli endpoint.
3. Avvelenamento continuo della supply chain — Pacchetti npm malevoli (GhostClaw), file AirDrop trojanizzati (UNC4899) e strumenti open-source modificati (AuraInspector) dimostrano la persistenza dei vettori di attacco alla supply chain.
4. Ciclo di patch massiccio dei vendor — Microsoft (79), Adobe (80), SAP (critico), HPE (critico) = 162+ vulnerabilità in un solo giorno. La gestione delle patch rimane il carico operativo n°1 per i team di sicurezza.
5. Ondata di investimenti nella sicurezza IA — $376M in nuovi finanziamenti per 4 startup (Armadin, Kai, Jazz, Escape) più l'ingresso di OpenAI nella scansione delle vulnerabilità. Il mercato della sicurezza IA sta accelerando rapidamente.