Il gruppo di cybercriminali noto come TAG-150 è tornato alla ribalta nel panorama della sicurezza informatica grazie allo sviluppo di due strumenti particolarmente insidiosi: CastleLoader e CastleRAT. CastleLoader, attivo almeno dal marzo 2025, viene utilizzato come malware-as-a-service (MaaS) e loader per facilitare l'accesso iniziale a una vasta gamma di payload dannosi, tra cui trojan di accesso remoto, info-stealer e altri loader.

I criminali informatici stanno sfruttando nuove tecniche per aggirare le protezioni contro il malvertising sulla piattaforma X, nota precedentemente come Twitter, utilizzando l’intelligenza artificiale Grok. Questo approccio innovativo consente di propagare link malevoli sfruttando la visibilità e l’affidabilità che l’IA di X offre agli utenti, amplificando la diffusione di malware e truffe a milioni di persone.

La vulnerabilità critica identificata come CVE-2025-53690 sta colpendo numerose installazioni di Sitecore, una delle piattaforme di gestione dei contenuti più diffuse a livello enterprise. Questa falla, valutata con un punteggio CVSS di 9.0 su 10, è attivamente sfruttata da dicembre 2024, spingendo la CISA a ordinare un aggiornamento immediato di tutte le istanze Sitecore entro il 25 settembre 2025, in particolare per le agenzie federali statunitensi e per tutte le organizzazioni che utilizzano il prodotto.

Nel periodo tra giugno e luglio 2025, i ricercatori di cybersecurity hanno individuato una massiccia campagna di attacchi brute-force e password spraying condotta dalla rete ucraina FDN3 contro dispositivi SSL VPN e RDP. Questi attacchi mirano a ottenere accesso non autorizzato sfruttando credenziali deboli o compromesse, puntando soprattutto a infrastrutture aziendali protette da VPN e desktop remoto.