🛡️ Bollettino di Sicurezza Informatica
TL;DR: Hacker legati all'Iran hanno violato l'email personale del Direttore dell'FBI e colpito Stryker con un wiper. CVE critiche in Citrix NetScaler (9.3) e F5 BIG-IP sono attivamente sfruttate. Un grave attacco alla supply chain da parte di TeamPCP ha compromesso il pacchetto Telnyx su PyPI utilizzando steganografia in file WAV. Il gruppo cinese Red Menshen è stato scoperto all'interno dell'infrastruttura backbone delle telecomunicazioni. La Commissione Europea sta indagando su una violazione di un account AWS. Diversi exploit kit per iOS sono in circolazione — Apple ora invia avvisi sulla schermata di blocco ai dispositivi non aggiornati.
- Violazioni di dati e incidenti
- Vulnerabilità critiche
- Attori delle minacce e campagne
- Attacchi alla supply chain
- Strumenti di sicurezza e annunci
- Tendenze emergenti
🔓 Violazioni di dati e incidenti
Email personale del Direttore dell'FBI Kash Patel violata da un gruppo legato all'Iran
CRITICOSTATO-NAZIONEIl gruppo filo-iraniano Handala Hack Team ha compromesso con successo l'account email personale del Direttore dell'FBI Kash Patel. Il gruppo ha diffuso foto e documenti online. Inoltre, ha rivendicato un attacco wiper contro Stryker, un'importante azienda nel settore della difesa e della tecnologia medica.
La Commissione Europea indaga sulla violazione di un account cloud AWS
CRITICOCLOUDLa Commissione Europea sta indagando su una violazione della sicurezza dopo che un attore malevolo ha ottenuto accesso al suo ambiente cloud Amazon. La portata della violazione è ancora in fase di valutazione.
Violazione dei dati di Hightower Holding: 130.000 persone coinvolte
ALTOPIIHightower Holding ha reso noto che degli hacker hanno sottratto nomi, numeri di previdenza sociale e numeri di patente di 130.000 persone.
La Polizia olandese comunica una violazione dopo un attacco di phishing
PHISHINGLa Polizia Nazionale olandese (Politie) ha segnalato una violazione della sicurezza causata da un attacco di phishing riuscito. L'impatto è stato descritto come limitato, senza dati dei cittadini compromessi.
L'Ajax Football Club violato: esposti i dati dei tifosi e dirottamento dei biglietti
VIOLAZIONE DATII sistemi dell'Ajax Amsterdam sono stati violati, esponendo i dati dei tifosi e consentendo il dirottamento dei biglietti.
🚨 Vulnerabilità critiche
CVE-2026-3055 — Overread di memoria in Citrix NetScaler (CVSS 9.3)
CRITICORICOGNIZIONE ATTIVAUna vulnerabilità critica di overread di memoria in Citrix NetScaler ADC e Gateway è oggetto di ricognizione attiva. Una validazione insufficiente degli input consente agli attaccanti di estrarre informazioni sensibili dalla memoria. Patch disponibili — applicare immediatamente.
CVE-2025-53521 — RCE in F5 BIG-IP APM aggiunta al KEV di CISA (CVSS 9.3)
CRITICOSFRUTTAMENTO ATTIVOCISA ha aggiunto questa vulnerabilità RCE di F5 BIG-IP Access Policy Manager al catalogo delle vulnerabilità sfruttate note. Sfruttamento attivo in corso confermato. Applicare la patch immediatamente.
CVE-2026-4681 — Falla critica in PTC Windchill (Polizia tedesca mobilitata)
CRITICOICS/OTCISA ha segnalato una vulnerabilità critica in PTC Windchill così grave da spingere la polizia tedesca a visitare fisicamente le organizzazioni per avvertirle. Ambienti industriali e manifatturieri a rischio.
Vulnerabilità in LangChain e LangGraph espongono file, segreti e database
ALTOAI/MLTre vulnerabilità nei framework AI ampiamente utilizzati LangChain e LangGraph (oltre 52 milioni di download settimanali) espongono dati del filesystem, segreti d'ambiente e cronologia delle conversazioni attraverso vettori d'attacco indipendenti.
Vulnerabilità ad alta gravità nei router TP-Link corrette
ALTONETWORKINGTP-Link ha corretto difetti che consentivano il bypass dell'autenticazione, l'esecuzione arbitraria di comandi e la decrittazione dei file di configurazione nei router.
Vulnerabilità ad alta gravità nel resolver DNS BIND
ALTODNSDomini appositamente creati potevano provocare condizioni di esaurimento della memoria e memory leak nei resolver BIND. Aggiornamenti disponibili.
Vulnerabilità multiple in Cisco IOS
ALTONETWORKINGMolteplici falle di gravità alta e media in Cisco IOS potrebbero causare DoS, bypass del secure boot, divulgazione di informazioni ed escalation dei privilegi.
🎯 Attori delle minacce e campagne
Il gruppo cinese Red Menshen infiltrato nell'infrastruttura backbone delle telecomunicazioni
APTCINACRITICORapid7 ha scoperto che il gruppo sponsorizzato dallo stato cinese Red Menshen (Earth Bluecrow / DecisiveArchitect) ha mantenuto un accesso furtivo a lungo termine all'interno delle reti di telecomunicazione utilizzando impianti kernel BPFDoor, backdoor passive e framework di comando multipiattaforma — descritti come "alcune delle cellule dormienti digitali più furtive" mai trovate nelle telecomunicazioni. Obiettivi: operatori telco in Medio Oriente e Asia.
Il gruppo russo TA446 distribuisce l'exploit kit DarkSword per iOS tramite spear-phishing
APTRUSSIAIl gruppo sponsorizzato dallo stato russo TA446 (Callisto) sta utilizzando l'exploit kit DarkSword per colpire dispositivi iOS tramite campagne email mirate. Separatamente, l'exploit kit Coruna per iOS sembra essere una versione aggiornata dell'exploit kernel dell'Operazione Triangulation del 2023.
Campagna di phishing AitM prende di mira gli account TikTok Business
PHISHINGSOCIAL MEDIAPagine di phishing adversary-in-the-middle che utilizzano l'evasione di Cloudflare Turnstile vengono impiegate per dirottare gli account TikTok for Business. Gli account compromessi vengono poi usati per malvertising e distribuzione di malware.
Infinity Stealer — Nuovo info-stealer per macOS tramite ClickFix
MALWAREMACOSUn nuovo info-stealer che prende di mira macOS utilizza pagine CAPTCHA false a tema Cloudflare, script Bash, un loader compilato con Nuitka e un payload basato su Python. Distribuito tramite esche di ingegneria sociale ClickFix.
Falsi avvisi di sicurezza di VS Code su GitHub diffondono malware
SUPPLY CHAINSVILUPPATORIUna campagna su larga scala pubblica falsi avvisi di sicurezza di VS Code nelle sezioni Discussions di GitHub per indurre gli sviluppatori a scaricare malware. Separatamente, un bug in Open VSX ha consentito ad estensioni VS Code malevole di aggirare la scansione pre-pubblicazione.
Amministratore del malware RedLine estradato negli USA
FORZE DELL'ORDINEHambardzum Minasyan, armeno, presunto amministratore dell'infostealer RedLine, è stato estradato negli Stati Uniti per rispondere delle accuse.
📦 Attacchi alla supply chain
TeamPCP compromette il pacchetto Telnyx su PyPI — Stealer nascosto in file WAV
SUPPLY CHAINCRITICOL'attore malevolo TeamPCP (precedentemente responsabile della compromissione di Trivy, KICS e litellm) ha pubblicato le versioni malevole 4.87.1 e 4.87.2 di Telnyx su PyPI. L'attacco utilizza una catena a tre stadi: distribuzione tramite steganografia audio (credenziali nascoste in file WAV), esecuzione in memoria, quindi esfiltrazione dei dati. Colpisce Windows, Linux e macOS. Effettuare immediatamente il downgrade alla versione 4.87.0. Il progetto PyPI è in quarantena.
🔧 Strumenti di sicurezza e annunci
OpenAI lancia un programma di bug bounty per rischi di abuso e sicurezza
SICUREZZA AIOpenAI ha ampliato il suo programma di bug bounty per coprire problemi di progettazione o implementazione che causano danni materiali, mirando specificamente ai rischi di abuso e sicurezza nei sistemi AI.
Apple invia avvisi sulla schermata di blocco per i dispositivi iOS non aggiornati
DIFESAMOBILEApple ora invia notifiche sulla schermata di blocco agli iPhone e iPad con versioni precedenti di iOS/iPadOS, avvisando gli utenti di exploit web attivi e sollecitando aggiornamenti immediati.
Windows 11 KB5079391 — Miglioramenti a Smart App Control
DIFESAWINDOWSMicrosoft ha rilasciato un aggiornamento di anteprima per Windows 11 24H2/25H2 con 29 modifiche, inclusi miglioramenti alle funzionalità di sicurezza Smart App Control.
Annunci della conferenza RSAC 2026 (Giorni 3-4)
SETTOREGli annunci dei fornitori dal terzo e quarto giorno della conferenza RSAC 2026 continuano ad arrivare, con molteplici lanci di prodotti di sicurezza e aggiornamenti di piattaforma.
📊 Tendenze emergenti
Tendenze chiave di questa settimana
1. iOS sotto assedio: Molteplici exploit kit per iOS attivi simultaneamente — DarkSword (Russia/TA446), Coruna (successore dell'Operazione Triangulation), più exploit web attivi che hanno spinto Apple a emettere avvisi senza precedenti sulla schermata di blocco. iOS non è più la piattaforma mobile "sicura".
2. Steganografia nella supply chain: L'uso da parte di TeamPCP della steganografia audio in file WAV per nascondere stealer di credenziali nei pacchetti PyPI rappresenta un'evoluzione nella sofisticazione degli attacchi alla supply chain. Aspettatevi ulteriori tecniche di occultamento dei payload in file multimediali.
3. Gli strumenti per sviluppatori come superficie d'attacco: VS Code, Open VSX, GitHub Discussions, PyPI — l'ecosistema degli sviluppatori è sistematicamente preso di mira. Falsi avvisi di sicurezza e pipeline di scansione aggirate dimostrano che gli attaccanti comprendono i modelli di fiducia degli sviluppatori.
4. Persistenza degli stati-nazione nelle telecomunicazioni: Gli impianti BPFDoor di Red Menshen nell'infrastruttura backbone delle telecomunicazioni, descritti come "cellule dormienti digitali", evidenziano la profondità dello spionaggio cinese nelle infrastrutture di comunicazione.
5. Impennata di CVE nei dispositivi di rete: CVE critiche in Citrix NetScaler, F5 BIG-IP, router TP-Link e Cisco IOS nello stesso ciclo. I dispositivi perimetrali di rete rimangono il vettore di accesso iniziale numero uno.