🛡️ Bollettino di Sicurezza Informatica
Lunedì 30 marzo 2026 · Fonti: BleepingComputer, The Hacker News, SecurityWeek · Generato automaticamente alle 04:25 CET
⚡ TL;DR — Cosa Conta Oggi
- Il gruppo iraniano Handala ha violato l'email personale del direttore dell'FBI Patel e distribuito malware wiper contro Stryker — grave escalation geopolitica
- CVE-2026-3055 (CVSS 9.3) — Vulnerabilità memory overread in Citrix NetScaler sotto ricognizione attiva; sfruttamento imminente
- CVE-2025-53521 (CVSS 9.3) — RCE in F5 BIG-IP APM aggiunta al catalogo KEV di CISA, sfruttamento attivo confermato
- Attacchi alla supply chain in corso — TeamPCP ha compromesso il pacchetto PyPI di Telnyx con uno stealer nascosto in un file audio WAV
- Il gruppo russo TA446 distribuisce il kit di exploit iOS DarkSword tramite spear-phishing; il kit Coruna collegato alla ripresa dell'Operation Triangulation
- Red Menshen (Cina) si è infiltrato in profondità nell'infrastruttura telecom con impianti a livello kernel per attività di spionaggio
🔴 Violazioni e Incidenti Principali
L'Handala Hack Team (collegato al MOIS iraniano) ha compromesso l'email personale del direttore dell'FBI Kash Patel, divulgando foto e documenti. L'FBI ha confermato la violazione ma ha dichiarato che i dati erano "di natura storica" senza informazioni governative. Il gruppo ha anche colpito Stryker con malware wiper. Le operazioni si allineano con le tensioni geopolitiche USA-Israele-Iran — si basano su VPN compromesse per l'accesso iniziale e distribuiscono malware wiper distruttivo tramite script di logon GPO.
La Commissione Europea sta indagando su una violazione di sicurezza dopo che un attore malevolo ha ottenuto accesso al suo ambiente cloud Amazon. I dettagli restano limitati poiché l'indagine è in corso. Si tratta di un attacco significativo all'infrastruttura istituzionale dell'UE.
La società finanziaria ha comunicato che degli hacker hanno sottratto nomi, numeri di previdenza sociale e numeri di patente dal suo ambiente, coinvolgendo circa 130.000 individui.
🔥 CVE Critiche e Vulnerabilità
Vulnerabilità critica di memory overread in Citrix NetScaler ADC e Gateway. Gli attaccanti stanno attivamente sondando /cgi/GetAuthMethods per identificare le configurazioni SAML IDP negli honeypot. Interessa le versioni 14.1 precedenti alla 14.1-66.59 e 13.1 precedenti alla 13.1-62.23. Lo sfruttamento è imminente — applicare la patch immediatamente. Questo segue un pattern di vulnerabilità Citrix (Citrix Bleed, Citrix Bleed 2) che vengono weaponizzate rapidamente.
CISA ha aggiunto questa vulnerabilità critica RCE in F5 BIG-IP Access Policy Manager al catalogo delle Vulnerabilità Sfruttate Attivamente (KEV), confermando lo sfruttamento attivo in natura. Le agenzie federali hanno imposto scadenze per l'applicazione delle patch. Le organizzazioni che utilizzano BIG-IP APM devono trattare questo come priorità d'emergenza.
CISA ha segnalato una vulnerabilità critica in PTC Windchill talmente grave che la polizia tedesca ha visitato fisicamente le organizzazioni per avvertirle. I dettagli suggeriscono un significativo potenziale di sfruttamento negli ambienti manifatturieri e ingegneristici.
Tre vulnerabilità di sicurezza nei popolari framework AI LangChain e LangGraph possono esporre dati del filesystem, segreti d'ambiente e cronologia delle conversazioni. Con oltre 52 milioni di download settimanali per LangChain su PyPI, questo impatta una superficie d'attacco enorme nell'ecosistema AI/LLM. Ogni falla fornisce un percorso indipendente per sottrarre dati aziendali sensibili.
Una vulnerabilità nel plugin WordPress Smart Slider 3 (oltre 800K installazioni) consente a utenti con privilegi subscriber di leggere file arbitrari dal server. Lo sfruttamento a basso privilegio rende questa falla particolarmente pericolosa per gli ambienti di hosting condiviso.
TP-Link: Bypass dell'autenticazione, esecuzione di comandi arbitrari, decrittazione dei file di configurazione. Cisco IOS: Molteplici falle di gravità alta/media — DoS, bypass del secure boot, divulgazione di informazioni, escalation dei privilegi. BIND: Condizioni OOM ad alta gravità che causano memory leak nei resolver tramite domini appositamente costruiti. Tutte corrette — aggiornare immediatamente.
🦠 Malware e Attacchi alla Supply Chain
Il gruppo TeamPCP (responsabile degli attacchi supply chain a Trivy/KICS/litellm) ha compromesso il pacchetto Python ufficiale di Telnyx, pubblicando le versioni malevole 4.87.1 e 4.87.2 su PyPI. Il payload per il furto di credenziali è nascosto all'interno di un file WAV utilizzando steganografia audio, con una catena d'attacco a 3 stadi che colpisce Windows, Linux e macOS. Il progetto PyPI è ora in quarantena — eseguire il downgrade alla versione 4.87.0 immediatamente.
Un nuovo infostealer che prende di mira macOS utilizza pagine CAPTCHA false a tema Cloudflare (tecnica ClickFix) per distribuire un payload Python compilato con Nuitka. La catena d'infezione: CAPTCHA falso → script Bash → loader Nuitka → stealer basato su Python. Questo è l'ultimo di una tendenza crescente di infostealer mirati a macOS.
Una campagna su larga scala prende di mira gli sviluppatori con falsi avvisi di sicurezza di Visual Studio Code nelle sezioni GitHub Discussions, inducendo gli utenti a scaricare malware. Insieme al bug di Open VSX che permetteva alle estensioni VS Code malevole di aggirare i controlli di sicurezza pre-pubblicazione, gli strumenti di sviluppo sono sotto attacco coordinato.
Hambardzum Minasyan, cittadino armeno, accusato di aver sviluppato e amministrato l'infostealer RedLine, è stato estradato negli Stati Uniti per rispondere delle accuse. Una vittoria significativa per le forze dell'ordine contro l'ecosistema del malware commerciale.
🕵️ Attori Statali e Spionaggio
Il gruppo sponsorizzato dallo stato Red Menshen (Earth Bluecrow/DecisiveArchitect) è infiltrato nelle reti telecom del Medio Oriente e dell'Asia dal 2021, utilizzando impianti BPFDoor a livello kernel e backdoor passive per lo spionaggio governativo. Rapid7 ha definito queste "alcune delle cellule dormienti digitali più furtive" mai trovate nell'infrastruttura telecom. Il gruppo utilizza framework di comando cross-platform per un accesso persistente ad alto livello.
Proofpoint ha rivelato una campagna in cui il gruppo russo sponsorizzato dallo stato TA446 (Callisto) utilizza il kit di exploit DarkSword per colpire dispositivi iOS tramite email di spear-phishing. Separatamente, il kit di exploit iOS Coruna è stato identificato come probabile aggiornamento dell'exploit kernel dell'Operation Triangulation del 2023. Le capacità zero-day su iOS continuano a proliferare tra gli attori statali.
🔧 Strumenti e Aggiornamenti del Settore
OpenAI ha ampliato il suo programma di sicurezza con un nuovo bug bounty specificamente mirato ai rischi di abuso e sicurezza — premiando le segnalazioni di problemi di progettazione o implementazione che portano a danni concreti. Questo va oltre i tradizionali bounty sulle vulnerabilità per coprire i vettori di abuso specifici dell'AI.
La conferenza RSAC 2026 è proseguita con importanti annunci dei vendor nei giorni 3-4. I temi principali includono AI agentica per GRC, difese contro gli attacchi basati su browser e preparazione al quantum computing (Google ha fissato una scadenza quantistica al 2029). È stato inoltre presentato un chip hardware anti-deepfake.
Apple sta ora inviando notifiche sulla schermata di blocco agli iPhone/iPad con versioni precedenti di iOS/iPadOS, avvisando di exploit web attivamente sfruttati e invitando gli utenti ad aggiornare. Questa mossa senza precedenti segnala la gravità delle vulnerabilità iOS attualmente sfruttate in natura.
📊 Pattern di Minacce Emergenti
1. Toolchain degli sviluppatori sotto assedio: Attacchi supply chain di TeamPCP (PyPI), falsi avvisi VS Code su GitHub, bug di bypass Open VSX — gli attaccanti stanno prendendo di mira sistematicamente la pipeline di sviluppo software.
2. Proliferazione degli exploit iOS: DarkSword, Coruna (successore dell'Operation Triangulation) e gli avvisi d'emergenza sulla schermata di blocco di Apple indicano un'impennata nello sfruttamento di zero-day iOS da parte di attori statali.
3. Escalation delle operazioni cyber iraniane: La violazione dell'email del direttore dell'FBI e l'attacco wiper contro Stryker rappresentano un'escalation significativa nelle operazioni cyber iraniane contro obiettivi statunitensi, alimentata dalle tensioni geopolitiche.
4. Vulnerabilità nei framework AI: Le falle in LangChain/LangGraph evidenziano l'espansione della superficie d'attacco man mano che i framework AI diventano infrastruttura aziendale — non sono teoriche, espongono filesystem e segreti.
5. ClickFix continua ad evolversi: L'Infinity Stealer che utilizza falsi CAPTCHA a tema Cloudflare dimostra che ClickFix sta diventando la tecnica di ingegneria sociale dominante, passando ora da Windows a macOS.