剣 KENSAI
← Back to archive

🛡️ Bollettino Giornaliero di Intelligence sulla Sicurezza

Mercoledì 11 marzo 2026 · 04:00 CET · Generato automaticamente da KENSAI
Panorama delle minacce nelle ultime 24 ore
2
Zero-Day corretti
162+
Vuln corrette (MS+Adobe+SAP)
14K
Dispositivi nella botnet KadNap
$376M
Nuovi finanziamenti in sicurezza

⚡ Sintesi — Cosa conta oggi

  • Microsoft Patch Tuesday: 79-83 vulnerabilità corrette tra cui 2 zero-day — applicate le patch immediatamente
  • Campagna FortiGate: Attori delle minacce sfruttano i NGFW FortiGate per rubare credenziali AD/LDAP da sanità e PA
  • Botnet KadNap: Oltre 14.000 router ASUS compromessi in una rete proxy stealth con DHT Kademlia personalizzato
  • APT28 (Fancy Bear): Nuovi impianti BEARDSHELL e COVENANT per la sorveglianza a lungo termine dell'esercito ucraino
  • Ivanti EPM sfruttato attivamente: CISA lo aggiunge al KEV insieme ai difetti SolarWinds e Workspace One
  • Salesforce Experience Cloud: Campagna di scansione di massa che prende di mira permessi utente ospite mal configurati
  • Violazione dati Ericsson: Migliaia di persone colpite dalla compromissione di un fornitore terzo

🔴 Vulnerabilità critiche e Patch Tuesday

Microsoft · Patch Tuesday

Microsoft Patch Tuesday marzo 2026 — 2 Zero-Day, 79 difetti

Microsoft ha rilasciato correzioni per 79 vulnerabilità tra cui 2 vulnerabilità zero-day divulgate pubblicamente. L'aggiornamento risolve anche un problema che impediva lo spegnimento di alcuni dispositivi. Gli aggiornamenti cumulativi Windows 10 Extended Security Update KB5078885 e Windows 11 KB5079473/KB5078883 sono ora disponibili.

Zero-Day Patch ora Windows 10/11
Adobe

Adobe corregge 80 vulnerabilità in 8 prodotti

Adobe ha distribuito patch per 80 vulnerabilità in Commerce, Illustrator, Acrobat Reader, Premiere Pro e altri 4 prodotti. Inclusi molteplici difetti critici di esecuzione di codice.

Alto Acrobat Commerce
SAP

SAP corregge vulnerabilità critiche in FS-QUO e NetWeaver

Un bug di code injection in FS-QUO e un difetto di deserializzazione non sicura in NetWeaver potrebbero consentire l'esecuzione di codice arbitrario sui sistemi SAP aziendali. Priorità di patch: critica.

Critico RCE Aziendale
HPE

HPE — Difetto critico AOS-CX — Reset password admin

Hewlett Packard Enterprise ha corretto molteplici vulnerabilità nel sistema operativo Aruba Networking AOS-CX, tra cui difetti di bypass dell'autenticazione che consentono il reset delle password amministratore e problemi di esecuzione di codice.

Critico Bypass auth Infrastruttura di rete
CISA · Aggiornamento KEV

CISA segnala Ivanti EPM, SolarWinds e Workspace One come attivamente sfruttati

Tre vulnerabilità aggiunte al catalogo delle vulnerabilità sfruttate note di CISA: bypass di autenticazione ad alta severità in Ivanti Endpoint Manager, difetto SolarWinds e CVE-2021-22054 (SSRF in VMware/Omnissa Workspace One UEM, CVSS 7.5). Tutte confermate come sfruttate in natura.

Attivamente sfruttato KEV Ivanti
Google · Tenable Research

«LeakyLooker» — 9 difetti cross-tenant in Google Looker Studio

Tenable ha divulgato 9 vulnerabilità cross-tenant in Google Looker Studio che avrebbero potuto consentire agli aggressori di eseguire query SQL arbitrarie sui database delle vittime ed esfiltrare dati sensibili all'interno degli ambienti Google Cloud. Nessuna prova di sfruttamento in natura.

Alto Cloud Cross-Tenant

🟠 Minacce attive e campagne

SentinelOne

Campagna FortiGate NGFW — Furto di credenziali da sanità e PA

Attori delle minacce sfruttano i firewall di nuova generazione FortiGate come punti d'ingresso per violare le reti. La campagna estrae file di configurazione contenenti credenziali degli account di servizio AD/LDAP e topologia di rete. Gli obiettivi includono sanità, pubblica amministrazione e fornitori di servizi gestiti.

Critico Sanità PA Furto credenziali
APT28 / Fancy Bear · ESET

L'APT28 russo schiera BEARDSHELL + COVENANT contro l'esercito ucraino

L'APT28 affiliato al GRU è stato osservato nell'uso di nuovi impianti BEARDSHELL e COVENANT per la sorveglianza a lungo termine del personale militare ucraino da aprile 2024. Impiega anche SLIMAGENT (keylogger, cattura dello schermo, furto degli appunti). La campagna dimostra la continua escalation delle operazioni di cyber-spionaggio russe.

Stato-nazione Spionaggio Russia
Lumen Black Lotus Labs

Botnet KadNap — Oltre 14.000 router ASUS compromessi

Il nuovo malware KadNap prende di mira router ASUS e dispositivi edge, costruendo una botnet di oltre 14.000 nodi per il proxy di traffico malevolo. Utilizza un protocollo DHT Kademlia personalizzato per nascondere l'infrastruttura C2. Oltre il 60% delle vittime si trova negli USA, con diffusione globale in Taiwan, Hong Kong, Regno Unito, Australia, Brasile, Francia, Italia e Spagna. Attivo da agosto 2025.

Alto Botnet IoT 14K dispositivi
Salesforce

Campagna di scansione di massa su Salesforce Experience Cloud

Attori delle minacce scansionano in massa i siti Salesforce Experience Cloud usando uno strumento AuraInspector modificato. Sfruttano configurazioni utente ospite eccessivamente permissive per accedere a dati sensibili. Centinaia di clienti presumibilmente colpiti.

Alto SaaS Configurazione errata
Corea del Nord · UNC4899

Attori nordcoreani compromettono azienda crypto tramite file AirDrop trojanizzato

UNC4899 (Jade Sleet / TraderTraitor) ha compromesso un'organizzazione di criptovalute tramite social engineering + trasferimento file AirDrop trojanizzato. Pivot verso il cloud usando tecniche Living-off-the-Cloud (LOTC), abuso dei workflow DevOps per raccogliere credenziali, uscire dai container e manomettere database Cloud SQL per il furto di criptovalute.

APT Crypto Supply Chain

🟡 Nuovo malware e tecniche di evasione

BleepingComputer

«BlackSanta» — Killer di EDR che prende di mira i dipartimenti HR

Un attore delle minacce di lingua russa prende di mira i dipartimenti delle risorse umane da oltre un anno con malware che distribuisce BlackSanta, un nuovo killer di EDR (Endpoint Detection & Response). La campagna utilizza social engineering su misura per i workflow HR.

Alto Bypass EDR Target HR
BleepingComputer

«BeatBanker» — Malware Android si spaccia per app Starlink

Il nuovo malware Android BeatBanker si maschera come app Starlink su siti web falsi del Google Play Store. Capace di dirottamento completo del dispositivo dopo l'installazione.

Medio Android Trojan bancario
BleepingComputer

«Zombie ZIP» — Nuova tecnica che elude gli scanner di sicurezza

Una nuova tecnica di evasione chiamata «Zombie ZIP» nasconde payload malevoli in file compressi appositamente creati per eludere il rilevamento antivirus e EDR. Sfrutta le inconsistenze nell'analisi degli archivi ZIP da parte degli strumenti di sicurezza.

Evasione Tecnica innovativa
Picus Security · Red Report 2026

Evasione sandbox basata sulla geometria — «Il nuovo test di Turing»

Il Picus Red Report 2026 rivela che l'80% delle principali tecniche degli attaccanti si concentra su evasione e persistenza. Il malware utilizza sempre più test di movimento del cursore basati sulla geometria e verifiche di temporizzazione CPU per rilevare ambienti sandbox e dimostrare «umanità» prima di eseguire i payload.

Ricerca Evasione sandbox
The Hacker News · JFrog

Pacchetto npm malevolo «GhostClaw» prende di mira sviluppatori macOS

Un pacchetto npm malevolo (@openclaw-ai/openclawai) che distribuisce un RAT capace di rubare credenziali, dati del browser, wallet crypto, chiavi SSH, Apple Keychain e cronologia iMessage. Include C2 persistente, proxy SOCKS5 e clonazione di sessioni browser dal vivo. 178 download dal 3 marzo.

Alto Supply Chain npm macOS

🔵 Violazioni di dati

SecurityWeek

Violazione dati Ericsson — Migliaia di persone colpite

Il colosso delle telecomunicazioni Ericsson ha confermato una violazione dei dati che colpisce migliaia di persone. L'azienda ha attribuito l'incidente alla compromissione di un fornitore terzo. L'entità dei dati esposti non è ancora stata completamente rivelata.

Telecomunicazioni Rischio terze parti

🟢 Rilasci di strumenti di sicurezza e finanziamenti del settore

SecurityWeek

L'Armadin di Kevin Mandia debutta con $190M di finanziamento

L'ex CEO di Mandiant, Kevin Mandia, lancia Armadin, una piattaforma di red teaming alimentata dall'IA che trova e sfrutta autonomamente le debolezze. Sostenuta da $190M di finanziamento. Nuovo importante concorrente nella sicurezza offensiva automatizzata.

Startup $190M Red Teaming
SecurityWeek

Kai — $125M per piattaforma IA che unisce sicurezza IT e OT

Fondata da un co-fondatore di Claroty, Kai esce dalla stealth con $125M di finanziamento da Evolution Equity Partners e N47. Focus: convergenza alimentata dall'IA della sicurezza IT e OT (tecnologia operativa).

Startup $125M IT/OT
SecurityWeek

Jazz — $61M per la prevenzione della perdita di dati con IA

Jazz esce dalla stealth con $61M di finanziamento per DLP (Data Loss Prevention) alimentato dall'IA. Promette visibilità su intento, contesto e rischio oltre gli strumenti DLP tradizionali.

Startup $61M DLP
SecurityWeek

Escape raccoglie $18M per automatizzare il pentesting

Escape si assicura $18M per approfondire le capacità degli agenti IA per il penetration testing automatizzato e scalare i team di ingegneria e go-to-market.

Startup $18M Pentesting
SecurityWeek · OpenAI

OpenAI lancia lo scanner di vulnerabilità Codex Security

OpenAI lancia Codex Security (in precedenza Aardvark), uno scanner di vulnerabilità alimentato dall'IA che ha trovato centinaia di vulnerabilità critiche nel software testato nell'ultimo mese.

Sicurezza IA Scanner di vulnerabilità
Microsoft

Microsoft Entra Passkeys — Accesso Windows resistente al phishing

Microsoft implementa il supporto passkey per Entra su Windows, abilitando l'autenticazione senza password resistente al phishing tramite Windows Hello. Passo importante verso l'eliminazione degli attacchi basati su password.

Identità Passkeys Difesa anti-phishing

📊 Pattern di minacce emergenti

Tendenze chiave osservate in questo ciclo

L'analisi delle ultime 24 ore rivela diversi pattern convergenti:

1. Sfruttamento dei dispositivi edge su larga scala — KadNap (14K router), campagna FortiGate e sfruttamento Ivanti EPM prendono tutti di mira l'infrastruttura edge di rete. Gli aggressori preferiscono sempre più compromettere i dispositivi progettati per proteggere le reti.

2. Corsa agli armamenti EDR/Sandbox — Il killer EDR BlackSanta, l'evasione tramite archivio Zombie ZIP e il rilevamento sandbox geometrico mostrano investimenti massicci degli aggressori nell'elusione della sicurezza degli endpoint.

3. Avvelenamento continuo della supply chain — Pacchetti npm malevoli (GhostClaw), file AirDrop trojanizzati (UNC4899) e strumenti open-source modificati (AuraInspector) dimostrano la persistenza dei vettori di attacco alla supply chain.

4. Ciclo di patch massiccio dei vendor — Microsoft (79), Adobe (80), SAP (critico), HPE (critico) = 162+ vulnerabilità in un solo giorno. La gestione delle patch rimane il carico operativo n°1 per i team di sicurezza.

5. Ondata di investimenti nella sicurezza IA — $376M in nuovi finanziamenti per 4 startup (Armadin, Kai, Jazz, Escape) più l'ingresso di OpenAI nella scansione delle vulnerabilità. Il mercato della sicurezza IA sta accelerando rapidamente.