Le minacce informatiche di oggi non arrivano solo da malware tradizionali o da exploit isolati, ma si insinuano dentro strumenti e piattaforme usate ogni giorno da aziende e sviluppatori. La cybersecurity deve quindi inseguire un perimetro in continua espansione fatto di AI, cloud, marketplace di componenti software e catene di fornitura.

Google Threat Intelligence Group ha collegato un attore di minaccia finora poco documentato a una serie di attacchi informatici contro organizzazioni ucraine tramite il malware CANFAIL. Le analisi indicano una possibile affiliazione con servizi di intelligence russi e un focus su settori strategici come difesa, militare, governo ed energia, sia a livello regionale sia nazionale.

Una nuova variante della tecnica di social engineering ClickFix sta attirando l’attenzione per il modo in cui usa il DNS come canale di staging del malware, rendendo il traffico malevolo più simile a quello normale. In questo scenario l’attaccante non sfrutta una vulnerabilità tecnica ma la fiducia procedurale dell’utente, inducendolo a eseguire manualmente un comando che avvia la catena di infezione.

Le più recenti analisi di threat intelligence mostrano come il settore della difesa e, in particolare, la Defense Industrial Base sia diventato un obiettivo prioritario di operazioni cyber coordinate. Gruppi legati a Cina, Iran, Russia e Corea del Nord, insieme ad attori hacktivist e criminali, stanno concentrando gli attacchi su aziende aerospaziali, fornitori militari e organizzazioni connesse alla produzione e alla ricerca.