Briefing giornaliero sulle minacce
🔓 Violazioni dati e fughe di informazioni
Violazione dati Hightower Holding — 130.000 persone coinvolte
ALTO IMPATTOLa società finanziaria Hightower ha rivelato che degli hacker hanno esfiltrato nomi, numeri di previdenza sociale e numeri di patente dal suo ambiente. Circa 130.000 individui sono stati coinvolti. La violazione evidenzia il costante prendere di mira le società di servizi finanziari che gestiscono grandi dataset di dati personali.
Ajax Amsterdam FC — Dati dei tifosi esposti, dirottamento biglietti
MEDIOIl club di calcio olandese AFC Ajax ha rivelato una violazione in cui un hacker ha sfruttato vulnerabilità nei suoi sistemi IT, accedendo ai dati personali di diverse centinaia di tifosi. L'accesso ha abilitato capacità di dirottamento dei biglietti. Dimostra come anche organizzazioni «non-tech» affrontino attacchi sofisticati quando detengono dati dei consumatori.
Amministratore di LeakBase arrestato in Russia
FORZE DELL'ORDINELa polizia russa ha arrestato un residente di Taganrog ritenuto il proprietario di LeakBase, un importante forum cybercriminale per lo scambio di database rubati e strumenti di hacking, attivo dal 2021. Apparecchiature tecniche sono state sequestrate. Separatamente, il presunto amministratore dell'infostealer RedLine, Hambardzum Minasyan, è stato estradato dall'Armenia agli USA per affrontare accuse penali.
🚨 CVE critici e vulnerabilità
CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)
CRITICO 9.3La CISA ha aggiunto CVE-2026-33017 al suo catalogo delle vulnerabilità sfruttate note. La falla interessa Langflow ≤1.8.1, un popolare framework AI open-source per workflow (145K stelle GitHub). Consente l'esecuzione remota di codice non autenticata tramite una singola richiesta HTTP manipolata a causa dell'esecuzione di flussi senza sandbox. Lo sfruttamento è iniziato solo 20 ore dopo la divulgazione — senza PoC pubblico esistente; gli attaccanti hanno applicato il reverse engineering degli exploit solo dall'avviso. Scansione automatizzata → sfruttamento → raccolta dati (.env, .db) è avvenuta in 24 ore.
PolyShell — RCE non autenticata su Magento/Adobe Commerce
CRITICOUna nuova vulnerabilità chiamata PolyShell colpisce Magento Open Source e Adobe Commerce, consentendo l'upload di file non autenticato verso RCE tramite l'API REST. Sotto sfruttamento di massa dal 19 marzo, con oltre 50 IP che effettuano scansioni. Sansec riporta che il 56,7% dei negozi vulnerabili è stato attaccato. Un nuovo skimmer di pagamento basato su WebRTC è stato distribuito tramite questo vettore, aggirando la Content Security Policy utilizzando canali UDP crittografati DTLS invece di HTTP. Patch disponibile solo in beta (2.4.9-beta1).
BIND DNS — Vulnerabilità OOM ad alta severità
ALTOISC ha rilasciato aggiornamenti che correggono vulnerabilità ad alta severità nei resolver BIND DNS. Domini appositamente creati potevano innescare condizioni di memoria insufficiente portando a perdite di memoria e potenziale negazione del servizio. Gli operatori di infrastruttura DNS dovrebbero applicare le patch immediatamente.
Cisco IOS — Molteplici vulnerabilità corrette
ALTOCisco ha rilasciato patch per molteplici vulnerabilità nel software IOS, affrontando falle che potevano portare a negazione del servizio, bypass del boot sicuro, divulgazione di informazioni e escalation dei privilegi. L'infrastruttura di rete con Cisco IOS dovrebbe essere aggiornata.
Apple iOS/macOS 26.4 — Aggiornamenti di sicurezza
MEDIOApple ha rilasciato correzioni di sicurezza per iOS/macOS 26.4, oltre a backport per versioni precedenti: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 e macOS Sonoma 14.8.5. Aggiornate tutti i dispositivi Apple tempestivamente.
☠️ Campagne di minacce e malware
Red Menshen (Cina) — In profondità nel backbone delle telecomunicazioni tramite BPFDoor
APTSPONSORIZZATO DA STATOL'attore di minacce legato alla Cina Red Menshen (Earth Bluecrow / DecisiveArchitect) ha integrato impianti a livello kernel e backdoor passivi nelle reti di telecomunicazioni in Medio Oriente e Asia dal 2021. Rapid7 li ha descritti come «alcune delle cellule dormienti digitali più furtive» mai incontrate. Gli impianti BPFDoor consentono spionaggio persistente a lungo termine contro le reti governative attraverso la compromissione di infrastrutture telecom.
Sandworm (Russia) — Backdoor tramite software pirata
APTSPONSORIZZATO DA STATOL'APT russo Sandworm sta distribuendo backdoor (Tambur, Sumbur, Kalambur, DemiMur) attraverso software pirata come «Microsoft.Office.2025x64». Utilizza Telegram come vettore di distribuzione puntando a utenti ucraini in cerca di crack software. DemiMur forza l'importazione di certificati root falsificati nel trust store del SO, abilitando la manipolazione persistente della catena di fiducia.
Coruna iOS Exploit Framework — Evoluzione dell'Operation Triangulation
ZERO-CLICKIl kit di exploit Coruna è stato identificato come un'evoluzione del framework usato nell'Operation Triangulation, la campagna del 2023 che prendeva di mira gli iPhone tramite exploit zero-click di iMessage. Questo rappresenta lo sviluppo continuo di capacità sofisticate di sfruttamento mobile.
Keenadu — Backdoor a livello firmware Android in espansione
FIRMWARESophos ha rilevato Keenadu, un backdoor firmware integrato nel libandroid_runtime.so di Android che si inietta nel processo Zygote (genitore di tutte le app Android), dando agli attaccanti il controllo totale del dispositivo. Oltre 500 dispositivi compromessi su ~50 modelli rilevati, principalmente dispositivi economici di Allview, BLU, Dcode, DOOGEE e altri. Viene spedito preinstallato dalla fabbrica.
TeamPCP — Compromissione della catena di fornitura OSS multi-ecosistema
CATENA DI FORNITURAIl gruppo di minacce TeamPCP si è espanso dalla compromissione dei tag GitHub Action (inizialmente Trivy) ad attacchi su NPM, Docker Hub, VS Code Extensions e PyPI. Il gruppo si sarebbe alleato con Lapsus$ per attacchi più ampi alla catena di fornitura attraverso molteplici ecosistemi di pacchetti.
TikTok for Business — Campagna di phishing con evasione anti-bot
PHISHINGNuova campagna di phishing rivolta agli account TikTok for Business che utilizza tecniche anti-bot per impedire agli strumenti di sicurezza di analizzare le pagine malevole. Gli account aziendali sui social media restano obiettivi di alto valore per il furto di credenziali.
Il Regno Unito sanziona il marketplace Xinbi
SANZIONIIl Regno Unito ha sanzionato Xinbi, un marketplace crypto in lingua cinese che vende dati rubati e apparecchiature Internet satellitare a reti di truffa nel Sud-est asiatico. Collegato a truffe «pig butchering» e altre operazioni di frode organizzata.
🛡️ Strumenti di sicurezza e industria
Conferenza RSAC 2026 — Annunci del Giorno 2
RSAC 2026La RSAC 2026 è in corso con importanti annunci dei vendor. I temi chiave includono operazioni di sicurezza potenziate dall'IA, preparazione alla crittografia post-quantistica e strategie di difesa incentrate sull'identità.
Dell e HP — Sicurezza dei dispositivi resistente al quantum
PQCSia Dell che HP hanno annunciato nuove capacità di sicurezza resistenti al quantum per PC e stampanti, in linea con la timeline di migrazione PQC 2029 recentemente pubblicata da Google. Google sta integrando ML-DSA (Module-Lattice-Based Digital Signature Algorithm) nel processo di avvio verificato di Android 17.
GitHub — Rilevamento vulnerabilità con IA
AI SECURITYGitHub ha annunciato rilevamenti di sicurezza basati su IA in GitHub Code Security, complementando CodeQL per trovare vulnerabilità che l'analisi statica tradizionale non rileva. Il modello di rilevamento ibrido evidenzia problemi e correzioni suggerite nei workflow di pull request. Anteprima pubblica prevista per l'inizio del Q2 2026.
Onit Security — 11 M$ per la gestione dell'esposizione
FINANZIAMENTOOnit Security ha raccolto 11 M$ per investire nella sua piattaforma di gestione dell'esposizione, espandendosi in nuovi settori. Lo spazio della gestione dell'esposizione continua ad attrarre investimenti mentre le organizzazioni cercano visibilità continua sulla loro superficie di attacco.
La FCC vieta router consumer prodotti all'estero
REGOLAMENTAZIONELa FCC ha vietato nuovi router consumer prodotti al di fuori degli USA, citando rischi per la sicurezza nazionale. Il divieto è in linea con la determinazione della Casa Bianca che tutti i router di produzione estera costituiscono una minaccia alla sicurezza. Implicazioni significative per la catena di fornitura del settore networking.
📊 Tendenze emergenti
1. L'infrastruttura AI è la nuova superficie di attacco
CVE-2026-33017 (Langflow) sfruttato in 20 ore. Gli strumenti di workflow AI sono esposti su Internet, spesso senza patch, e contengono chiavi API e credenziali cloud. Aspettatevi più CVE specifici per l'IA man mano che l'adozione accelera. Le organizzazioni che distribuiscono strumenti IA devono trattarli come infrastrutture critiche.
2. Bypass CSP tramite canali non-HTTP
Lo skimmer di pagamento WebRTC rappresenta un cambio di paradigma: gli attaccanti utilizzano canali dati UDP crittografati DTLS per esfiltrare dati completamente invisibili agli strumenti di sicurezza focalizzati su HTTP. La CSP da sola non è più sufficiente. Il monitoraggio della sicurezza deve estendersi oltre HTTP per coprire WebRTC, WebSocket e altre API del browser.
3. Gli attacchi alla catena di fornitura diventano multi-ecosistema
L'espansione di TeamPCP da GitHub Actions → NPM → Docker Hub → VS Code → PyPI dimostra che gli attaccanti trattano l'intero ecosistema OSS come un'unica superficie di attacco. Compromettere un gestore di pacchetti fornisce punti d'appoggio negli altri. SBOM e monitoraggio delle dipendenze sono ora essenziali, non opzionali.
4. Il calendario della crittografia post-quantistica si cristallizza
La scadenza di migrazione PQC 2029 di Google + annunci hardware Dell/HP + integrazione ML-DSA di Android 17 segnalano che la PQC sta passando da teorica a pratica. Gli attacchi «memorizza ora, decifra dopo» rendono questa una minaccia attuale, non futura. Le organizzazioni coperte da NIS2 dovrebbero iniziare le valutazioni di prontezza PQC.
5. L'identità resta l'anello più debole
La ricerca di PwC conferma che l'IA amplifica velocità e scala degli attacchi, mentre il furto di identità evolve in una catena di fornitura cybercriminale completa. L'estradizione dell'admin di RedLine e la chiusura di LeakBase mostrano quanto industrializzato sia diventato il furto di credenziali. Le tecniche di bypass MFA continuano ad avanzare parallelamente ai kit di phishing AITM.
6. Compromissione a livello firmware su larga scala
Keenadu spedito preinstallato su oltre 500 dispositivi in 50 modelli dimostra che gli attacchi alla catena di fornitura firmware sono reali e diffusi. I dispositivi economici restano vettori per la sorveglianza di massa. Le organizzazioni con politiche BYOD affrontano rischi maggiori da hardware consumer compromesso.