剣 KENSAI
← Back to archive

🛡️ Briefing Giornaliero sulla Ricerca di Sicurezza

Sabato 28 marzo 2026 — 04:00 CET · Generato automaticamente da fonti OSINT

TL;DR: TeamPCP prosegue la sua offensiva — ora con un wiper distruttivo mirato all'Iran tramite compromissione della supply chain del pacchetto PyPI di Telnyx. La Commissione Europea ha subito una violazione del cloud AWS. CISA avverte dello sfruttamento attivo di Langflow (CVE-2026-33017). Red Menshen, gruppo legato alla Cina, scoperto in profondità nell'infrastruttura backbone delle telecomunicazioni. Quattro enormi botnet IoT smantellate dal DOJ. Vulnerabilità in LangChain/LangGraph espongono segreti aziendali legati all'AI. Gli annunci di RSAC 2026 includono hardware resistente ai computer quantistici da Dell e HP.

Livello di minaccia: Elevato — attacchi alla supply chain attivi e operazioni sponsorizzate da stati

🔴 Attacchi alla Supply Chain e Malware

CRITICO supply chain pypi

TeamPCP compromette il pacchetto PyPI di Telnyx — Stealer nascosto in file WAV

Il gruppo di minaccia TeamPCP — già responsabile di attacchi alla supply chain contro Trivy, KICS e litellm — ha ora compromesso il pacchetto Python ufficiale telnyx su PyPI. Le versioni malevole 4.87.1 e 4.87.2 nascondono codice per il furto di credenziali all'interno di un file audio .WAV mediante steganografia. La catena di attacco colpisce Windows, Linux e macOS, iniettando malware tramite telnyx/_client.py al momento dell'importazione. Il pacchetto è attualmente in quarantena.

Azione: Eseguire immediatamente il downgrade alla versione 4.87.0. Verificare tutti i sistemi che hanno importato telnyx dopo il 27 marzo.

Fonti: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity

CRITICO wiper geopolitica

TeamPCP distribuisce il wiper CanisterWorm contro l'Iran

TeamPCP è passato dal crimine finanziario alla distruzione geopolitica. La stessa infrastruttura utilizzata nell'attacco alla supply chain di Trivy ora distribuisce un payload wiper chiamato CanisterWorm che si attiva se il fuso orario del sistema corrisponde all'Iran o se il farsi è la lingua predefinita. Sui cluster Kubernetes, distrugge i dati su tutti i nodi; altrimenti cancella la macchina locale. Il worm si diffonde tramite API Docker esposte, cluster Kubernetes, server Redis e la vulnerabilità React2Shell.

Azione: Verificare i control plane cloud esposti. Secondo i report di Flare, Azure (61%) e AWS (36%) rappresentano il 97% delle compromissioni di TeamPCP.

Fonte: KrebsOnSecurity, Aikido

ALTO ingegneria sociale github

Falsi avvisi di sicurezza di VS Code su GitHub diffondono malware

Una campagna su larga scala prende di mira gli sviluppatori tramite falsi avvisi di sicurezza di Visual Studio Code pubblicati nelle Discussioni di GitHub su vari progetti. Gli avvisi inducono gli utenti a scaricare malware camuffato da patch di sicurezza.

Azione: Verificare qualsiasi avviso di sicurezza di VS Code esclusivamente attraverso i canali ufficiali. Segnalare le Discussioni GitHub sospette.

Fonte: BleepingComputer

🏛️ Violazioni Principali

CRITICO violazione cloud governo

Violato l'ambiente cloud AWS della Commissione Europea

La Commissione Europea sta indagando su una violazione della sicurezza dopo che un attore malevolo ha ottenuto accesso al suo ambiente cloud Amazon. L'organo esecutivo principale dell'UE ha confermato l'incidente e sta valutando la portata e l'impatto.

Fonte: BleepingComputer

ALTO violazione dati phishing

Polizia nazionale olandese violata tramite phishing

La Polizia nazionale olandese (Politie) ha reso nota una violazione della sicurezza derivante da un attacco di phishing riuscito. I funzionari affermano che l'impatto è stato limitato e i dati dei cittadini non sono stati compromessi.

Fonte: BleepingComputer

violazione dati finanziario

La violazione di Hightower Holdings colpisce 130.000 individui

La società di partecipazioni finanziarie ha confermato che gli hacker hanno rubato nomi, numeri di previdenza sociale e numeri di patente di guida dal suo ambiente, coinvolgendo circa 130.000 persone.

Fonte: SecurityWeek

violazione dati hacktivismo

Gruppo filo-iraniano rivendica l'hacking dell'account del direttore dell'FBI Kash Patel

Un gruppo di hacker filo-iraniano afferma di aver compromesso l'account personale del direttore dell'FBI Kash Patel e sta rendendo disponibili email e documenti per il download.

Fonte: SecurityWeek

⚠️ Vulnerabilità Critiche

CRITICO sfruttamento attivo AI

CVE-2026-33017 — RCE in Langflow (CISA KEV)

CISA ha aggiunto CVE-2026-33017 al suo catalogo delle Vulnerabilità Attivamente Sfruttate. La falla critica nel framework Langflow per la creazione di agenti AI viene attivamente sfruttata per dirottare i flussi di lavoro AI. È richiesta l'applicazione immediata delle patch.

Fonte: BleepingComputer, CISA

ALTO framework AI

LangChain e LangGraph — Tre vulnerabilità espongono dati aziendali

Tre vulnerabilità di sicurezza in LangChain e LangGraph espongono file del filesystem, segreti delle variabili d'ambiente e cronologia delle conversazioni. Con download settimanali combinati superiori a 84 milioni su PyPI, la superficie di esposizione è enorme. Ogni falla offre un percorso di esfiltrazione dati indipendente.

Fonte: The Hacker News, Cyera

ALTO ICS/OT

CVE-2026-4681 — Vulnerabilità critica in PTC Windchill (allerta della polizia tedesca)

CISA ha segnalato una vulnerabilità critica in PTC Windchill abbastanza grave da spingere la polizia tedesca a notificare fisicamente le organizzazioni coinvolte. I dettagli suggeriscono un rischio significativo per gli ambienti manifatturieri e ingegneristici.

Fonte: SecurityWeek, CISA

reti ios

Patch per Cisco IOS e router TP-Link

Cisco ha corretto molteplici falle di gravità alta/media nel software IOS riguardanti DoS, bypass del secure boot, divulgazione di informazioni e escalation dei privilegi. TP-Link ha corretto vulnerabilità di gravità alta nei router che consentivano bypass dell'autenticazione, esecuzione arbitraria di comandi e decifrazione dei file di configurazione.

Fonte: SecurityWeek

ALTO DNS

Corrette vulnerabilità di gravità alta in BIND

Gli aggiornamenti del resolver DNS BIND risolvono vulnerabilità di gravità alta in cui domini appositamente creati potevano causare condizioni di esaurimento memoria e memory leak.

Fonte: SecurityWeek

ALTO mobile spionaggio

Kit di exploit iOS Coruna — Aggiornamento di Operation Triangulation

Un nuovo kit di exploit per iOS denominato "Coruna" contiene una versione aggiornata dell'exploit kernel utilizzato in Operation Triangulation tre anni fa, suggerendo lo sviluppo continuo di sofisticate capacità di sorveglianza mobile.

Fonte: SecurityWeek

🕵️ Attività degli Attori di Minaccia

CRITICO APT Cina

Red Menshen (Earth Bluecrow) — Infiltrati in profondità nel backbone delle telecomunicazioni

L'attore di minaccia legato alla Cina Red Menshen è stato scoperto radicato in profondità nell'infrastruttura di rete delle telecomunicazioni, utilizzando impianti a livello kernel, backdoor passive (BPFDoor), utilità per il furto di credenziali e framework di comando cross-platform. Rapid7 li descrive come "alcune delle più furtive cellule dormienti digitali" mai incontrate nelle telecomunicazioni. La campagna prende di mira lo spionaggio governativo attraverso fornitori di telecomunicazioni in Medio Oriente e Asia almeno dal 2021.

Fonti: The Hacker News, SecurityWeek, Rapid7

forze dell'ordine botnet

Il DOJ smantella quattro botnet IoT — Oltre 3 milioni di dispositivi compromessi

Il DOJ statunitense, insieme alle autorità canadesi e tedesche, ha smantellato quattro importanti botnet: Aisuru (oltre 200.000 comandi di attacco), JackSkid (oltre 90.000 attacchi), Kimwolf (oltre 25.000 attacchi) e Mossad (~1.000 attacchi). Complessivamente hanno compromesso oltre 3 milioni di dispositivi IoT tra cui router e webcam, lanciando attacchi DDoS da record contro obiettivi inclusa l'infrastruttura del DoD.

Fonte: KrebsOnSecurity, DOJ

forze dell'ordine infostealer

Amministratore del malware RedLine estradato negli Stati Uniti

Hambardzum Minasyan dall'Armenia, presunto coinvolto nello sviluppo e nell'amministrazione del malware infostealer RedLine, è stato estradato negli Stati Uniti per rispondere delle accuse.

Fonte: SecurityWeek

🔧 Strumenti e Difese

sicurezza AI bug bounty

OpenAI lancia il programma Bug Bounty per abusi e sicurezza

OpenAI ha lanciato un nuovo programma di bug bounty specificamente dedicato ai rischi di abuso e sicurezza, premiando le segnalazioni di problemi di progettazione o implementazione che potrebbero causare danni materiali dai sistemi AI.

Fonte: SecurityWeek

quantistico hardware

Dell e HP distribuiscono sicurezza dei dispositivi resistente ai computer quantistici

Sia Dell che HP hanno annunciato nuove funzionalità di sicurezza resistenti ai computer quantistici per PC e stampanti all'RSAC 2026, anticipando la transizione alla crittografia post-quantistica. Google ha fissato il 2029 come scadenza per la prontezza quantistica.

Fonte: SecurityWeek

Windows

Windows 11 KB5079391 — Miglioramenti a Smart App Control

Microsoft ha rilasciato un aggiornamento cumulativo di anteprima per Windows 11 24H2/25H2 con 29 modifiche, inclusi miglioramenti alle funzionalità di sicurezza Smart App Control.

Fonte: BleepingComputer

📊 Tendenze Emergenti

Tendenze chiave di questa settimana

🎯 Infrastruttura AI sotto assedio: Langflow attivamente sfruttato (CVE-2026-33017), vulnerabilità in LangChain/LangGraph che espongono dati aziendali e attacchi alla supply chain mirati alle toolchain AI. Le organizzazioni che sviluppano con framework AI sono ora bersagli primari.

🔗 Industrializzazione della supply chain: TeamPCP rappresenta una nuova classe di attori di minaccia che "industrializzano" tecniche di attacco note su scala cloud. Il loro passaggio dall'estorsione finanziaria ai wiper geopolitici (CanisterWorm contro l'Iran) dimostra il potenziale di escalation delle compromissioni della supply chain.

📡 Le telecomunicazioni come piattaforma di spionaggio: L'infiltrazione pluriennale di Red Menshen nell'infrastruttura backbone delle telecomunicazioni conferma che gli attori statali continuano a considerare gli operatori telecom come punti strategici di raccolta di intelligence.

🛡️ Corsa agli armamenti post-quantistici: Dell, HP e Google stanno stabilendo le tempistiche per la sicurezza resistente ai computer quantistici, segnalando che il settore sta passando dalla fase di ricerca a quella di implementazione.

🤖 Botnet IoT — Un gioco senza fine: Nonostante lo smantellamento di quattro importanti botnet (oltre 3 milioni di dispositivi), il problema di fondo dei dispositivi IoT esposti rimane irrisolto.