Il gruppo di cyber spionaggio denominato UNG0002 sta conducendo una vasta campagna contro organizzazioni di diversi settori in Cina, Hong Kong e Pakistan. Questo cluster di attività, identificato come particolarmente sofisticato, si distingue per l’utilizzo strategico di file di collegamento LNK, script VBScript e strumenti post-exploitation come Cobalt Strike e Metasploit, con l’obiettivo di compromettere le vittime tramite documenti esca a tema curriculum vitae.

Negli ultimi mesi è stata rilevata una nuova campagna di attacchi informatici che sfrutta vulnerabilità zero-day nei dispositivi Ivanti Connect Secure (ICS), portando all’installazione del malware MDifyLoader e all’esecuzione in memoria di Cobalt Strike. Questi attacchi, osservati tra dicembre 2024 e luglio 2025, hanno sfruttato le falle di sicurezza identificate come CVE-2025-0282 e CVE-2025-22457, entrambe già oggetto di patch da parte di Ivanti, ma inizialmente utilizzate come zero-day.

Nel panorama attuale della sicurezza informatica, il concetto di backup tradizionale non basta più a garantire la continuità operativa delle aziende, soprattutto di fronte all'evoluzione delle minacce ransomware. Gli attacchi ransomware moderni, spesso veicolati da piattaforme Ransomware-as-a-Service, non si limitano più a criptare i dati, ma puntano anche a esfiltrare informazioni sensibili, cancellare i backup e compromettere le infrastrutture di recupero, rendendo inefficaci molte strategie di backup classiche.

Il Computer Emergency Response Team dell'Ucraina, noto come CERT-UA, ha recentemente portato alla luce una sofisticata campagna di phishing finalizzata alla distribuzione di un nuovo malware denominato LAMEHUG. Questa minaccia informatica si distingue per l'uso innovativo dei modelli di linguaggio di grandi dimensioni (LLM), in particolare il modello Qwen2.5-Coder-32B-Instruct sviluppato da Alibaba Cloud, normalmente impiegato per attività di programmazione e automazione.