🛡️ Briefing Giornaliero sulla Ricerca di Sicurezza
Sabato 28 marzo 2026 — 04:00 CET · Generato automaticamente da fonti OSINT
TL;DR: TeamPCP prosegue la sua offensiva — ora con un wiper distruttivo mirato all'Iran tramite compromissione della supply chain del pacchetto PyPI di Telnyx. La Commissione Europea ha subito una violazione del cloud AWS. CISA avverte dello sfruttamento attivo di Langflow (CVE-2026-33017). Red Menshen, gruppo legato alla Cina, scoperto in profondità nell'infrastruttura backbone delle telecomunicazioni. Quattro enormi botnet IoT smantellate dal DOJ. Vulnerabilità in LangChain/LangGraph espongono segreti aziendali legati all'AI. Gli annunci di RSAC 2026 includono hardware resistente ai computer quantistici da Dell e HP.
Livello di minaccia: Elevato — attacchi alla supply chain attivi e operazioni sponsorizzate da stati
🔴 Attacchi alla Supply Chain e Malware
TeamPCP compromette il pacchetto PyPI di Telnyx — Stealer nascosto in file WAV
Il gruppo di minaccia TeamPCP — già responsabile di attacchi alla supply chain contro Trivy, KICS e litellm — ha ora compromesso il pacchetto Python ufficiale telnyx su PyPI. Le versioni malevole 4.87.1 e 4.87.2 nascondono codice per il furto di credenziali all'interno di un file audio .WAV mediante steganografia. La catena di attacco colpisce Windows, Linux e macOS, iniettando malware tramite telnyx/_client.py al momento dell'importazione. Il pacchetto è attualmente in quarantena.
Azione: Eseguire immediatamente il downgrade alla versione 4.87.0. Verificare tutti i sistemi che hanno importato telnyx dopo il 27 marzo.
Fonti: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity
TeamPCP distribuisce il wiper CanisterWorm contro l'Iran
TeamPCP è passato dal crimine finanziario alla distruzione geopolitica. La stessa infrastruttura utilizzata nell'attacco alla supply chain di Trivy ora distribuisce un payload wiper chiamato CanisterWorm che si attiva se il fuso orario del sistema corrisponde all'Iran o se il farsi è la lingua predefinita. Sui cluster Kubernetes, distrugge i dati su tutti i nodi; altrimenti cancella la macchina locale. Il worm si diffonde tramite API Docker esposte, cluster Kubernetes, server Redis e la vulnerabilità React2Shell.
Azione: Verificare i control plane cloud esposti. Secondo i report di Flare, Azure (61%) e AWS (36%) rappresentano il 97% delle compromissioni di TeamPCP.
Fonte: KrebsOnSecurity, Aikido
Falsi avvisi di sicurezza di VS Code su GitHub diffondono malware
Una campagna su larga scala prende di mira gli sviluppatori tramite falsi avvisi di sicurezza di Visual Studio Code pubblicati nelle Discussioni di GitHub su vari progetti. Gli avvisi inducono gli utenti a scaricare malware camuffato da patch di sicurezza.
Azione: Verificare qualsiasi avviso di sicurezza di VS Code esclusivamente attraverso i canali ufficiali. Segnalare le Discussioni GitHub sospette.
Fonte: BleepingComputer
🏛️ Violazioni Principali
Violato l'ambiente cloud AWS della Commissione Europea
La Commissione Europea sta indagando su una violazione della sicurezza dopo che un attore malevolo ha ottenuto accesso al suo ambiente cloud Amazon. L'organo esecutivo principale dell'UE ha confermato l'incidente e sta valutando la portata e l'impatto.
Fonte: BleepingComputer
Polizia nazionale olandese violata tramite phishing
La Polizia nazionale olandese (Politie) ha reso nota una violazione della sicurezza derivante da un attacco di phishing riuscito. I funzionari affermano che l'impatto è stato limitato e i dati dei cittadini non sono stati compromessi.
Fonte: BleepingComputer
La violazione di Hightower Holdings colpisce 130.000 individui
La società di partecipazioni finanziarie ha confermato che gli hacker hanno rubato nomi, numeri di previdenza sociale e numeri di patente di guida dal suo ambiente, coinvolgendo circa 130.000 persone.
Fonte: SecurityWeek
Gruppo filo-iraniano rivendica l'hacking dell'account del direttore dell'FBI Kash Patel
Un gruppo di hacker filo-iraniano afferma di aver compromesso l'account personale del direttore dell'FBI Kash Patel e sta rendendo disponibili email e documenti per il download.
Fonte: SecurityWeek
⚠️ Vulnerabilità Critiche
CVE-2026-33017 — RCE in Langflow (CISA KEV)
CISA ha aggiunto CVE-2026-33017 al suo catalogo delle Vulnerabilità Attivamente Sfruttate. La falla critica nel framework Langflow per la creazione di agenti AI viene attivamente sfruttata per dirottare i flussi di lavoro AI. È richiesta l'applicazione immediata delle patch.
Fonte: BleepingComputer, CISA
LangChain e LangGraph — Tre vulnerabilità espongono dati aziendali
Tre vulnerabilità di sicurezza in LangChain e LangGraph espongono file del filesystem, segreti delle variabili d'ambiente e cronologia delle conversazioni. Con download settimanali combinati superiori a 84 milioni su PyPI, la superficie di esposizione è enorme. Ogni falla offre un percorso di esfiltrazione dati indipendente.
Fonte: The Hacker News, Cyera
CVE-2026-4681 — Vulnerabilità critica in PTC Windchill (allerta della polizia tedesca)
CISA ha segnalato una vulnerabilità critica in PTC Windchill abbastanza grave da spingere la polizia tedesca a notificare fisicamente le organizzazioni coinvolte. I dettagli suggeriscono un rischio significativo per gli ambienti manifatturieri e ingegneristici.
Fonte: SecurityWeek, CISA
Patch per Cisco IOS e router TP-Link
Cisco ha corretto molteplici falle di gravità alta/media nel software IOS riguardanti DoS, bypass del secure boot, divulgazione di informazioni e escalation dei privilegi. TP-Link ha corretto vulnerabilità di gravità alta nei router che consentivano bypass dell'autenticazione, esecuzione arbitraria di comandi e decifrazione dei file di configurazione.
Fonte: SecurityWeek
Corrette vulnerabilità di gravità alta in BIND
Gli aggiornamenti del resolver DNS BIND risolvono vulnerabilità di gravità alta in cui domini appositamente creati potevano causare condizioni di esaurimento memoria e memory leak.
Fonte: SecurityWeek
Kit di exploit iOS Coruna — Aggiornamento di Operation Triangulation
Un nuovo kit di exploit per iOS denominato "Coruna" contiene una versione aggiornata dell'exploit kernel utilizzato in Operation Triangulation tre anni fa, suggerendo lo sviluppo continuo di sofisticate capacità di sorveglianza mobile.
Fonte: SecurityWeek
🕵️ Attività degli Attori di Minaccia
Red Menshen (Earth Bluecrow) — Infiltrati in profondità nel backbone delle telecomunicazioni
L'attore di minaccia legato alla Cina Red Menshen è stato scoperto radicato in profondità nell'infrastruttura di rete delle telecomunicazioni, utilizzando impianti a livello kernel, backdoor passive (BPFDoor), utilità per il furto di credenziali e framework di comando cross-platform. Rapid7 li descrive come "alcune delle più furtive cellule dormienti digitali" mai incontrate nelle telecomunicazioni. La campagna prende di mira lo spionaggio governativo attraverso fornitori di telecomunicazioni in Medio Oriente e Asia almeno dal 2021.
Fonti: The Hacker News, SecurityWeek, Rapid7
Il DOJ smantella quattro botnet IoT — Oltre 3 milioni di dispositivi compromessi
Il DOJ statunitense, insieme alle autorità canadesi e tedesche, ha smantellato quattro importanti botnet: Aisuru (oltre 200.000 comandi di attacco), JackSkid (oltre 90.000 attacchi), Kimwolf (oltre 25.000 attacchi) e Mossad (~1.000 attacchi). Complessivamente hanno compromesso oltre 3 milioni di dispositivi IoT tra cui router e webcam, lanciando attacchi DDoS da record contro obiettivi inclusa l'infrastruttura del DoD.
Fonte: KrebsOnSecurity, DOJ
Amministratore del malware RedLine estradato negli Stati Uniti
Hambardzum Minasyan dall'Armenia, presunto coinvolto nello sviluppo e nell'amministrazione del malware infostealer RedLine, è stato estradato negli Stati Uniti per rispondere delle accuse.
Fonte: SecurityWeek
🔧 Strumenti e Difese
OpenAI lancia il programma Bug Bounty per abusi e sicurezza
OpenAI ha lanciato un nuovo programma di bug bounty specificamente dedicato ai rischi di abuso e sicurezza, premiando le segnalazioni di problemi di progettazione o implementazione che potrebbero causare danni materiali dai sistemi AI.
Fonte: SecurityWeek
Dell e HP distribuiscono sicurezza dei dispositivi resistente ai computer quantistici
Sia Dell che HP hanno annunciato nuove funzionalità di sicurezza resistenti ai computer quantistici per PC e stampanti all'RSAC 2026, anticipando la transizione alla crittografia post-quantistica. Google ha fissato il 2029 come scadenza per la prontezza quantistica.
Fonte: SecurityWeek
Windows 11 KB5079391 — Miglioramenti a Smart App Control
Microsoft ha rilasciato un aggiornamento cumulativo di anteprima per Windows 11 24H2/25H2 con 29 modifiche, inclusi miglioramenti alle funzionalità di sicurezza Smart App Control.
Fonte: BleepingComputer
📊 Tendenze Emergenti
Tendenze chiave di questa settimana
🎯 Infrastruttura AI sotto assedio: Langflow attivamente sfruttato (CVE-2026-33017), vulnerabilità in LangChain/LangGraph che espongono dati aziendali e attacchi alla supply chain mirati alle toolchain AI. Le organizzazioni che sviluppano con framework AI sono ora bersagli primari.
🔗 Industrializzazione della supply chain: TeamPCP rappresenta una nuova classe di attori di minaccia che "industrializzano" tecniche di attacco note su scala cloud. Il loro passaggio dall'estorsione finanziaria ai wiper geopolitici (CanisterWorm contro l'Iran) dimostra il potenziale di escalation delle compromissioni della supply chain.
📡 Le telecomunicazioni come piattaforma di spionaggio: L'infiltrazione pluriennale di Red Menshen nell'infrastruttura backbone delle telecomunicazioni conferma che gli attori statali continuano a considerare gli operatori telecom come punti strategici di raccolta di intelligence.
🛡️ Corsa agli armamenti post-quantistici: Dell, HP e Google stanno stabilendo le tempistiche per la sicurezza resistente ai computer quantistici, segnalando che il settore sta passando dalla fase di ricerca a quella di implementazione.
🤖 Botnet IoT — Un gioco senza fine: Nonostante lo smantellamento di quattro importanti botnet (oltre 3 milioni di dispositivi), il problema di fondo dei dispositivi IoT esposti rimane irrisolto.