La vulnerabilità critica identificata come CVE-2025-5086 sta mettendo in allarme il settore della cybersecurity, con particolare attenzione al software Dassault Systèmes DELMIA Apriso utilizzato per la gestione delle operazioni di produzione (MOM). La CISA, l’agenzia statunitense per la sicurezza informatica e delle infrastrutture, ha inserito questa falla nel suo catalogo delle vulnerabilità note ed attivamente sfruttate (KEV), a seguito di prove di attacchi già in corso.

Questa vulnerabilità, con un punteggio CVSS di 9.0 su 10, interessa le versioni del software DELMIA Apriso dalla Release 2020 alla Release 2025. Il problema deriva dalla deserializzazione di dati non attendibili, che può consentire a un attaccante remoto di eseguire codice dannoso sul sistema bersaglio. Tale scenario espone le aziende a rischi gravissimi, come il controllo completo della piattaforma compromessa.

Modalità di attacco

Secondo le segnalazioni, i tentativi di sfruttamento della vulnerabilità provengono da un indirizzo IP localizzato in Messico. L’attacco consiste nell’invio di una richiesta HTTP all’endpoint “/apriso/WebServices/FlexNetOperationsService.svc/Invoke”, contenente un payload codificato in Base64 che si traduce in un file eseguibile Windows compresso GZIP, denominato “fwitxz01.dll”.

Il malware Zapchast

Questo file DLL è stato riconosciuto da Kaspersky come “Trojan.MSIL.Zapchast.gen”, un malware noto per la sua capacità di spionaggio elettronico. Zapchast è in grado di registrare le sequenze digitate sulla tastiera, acquisire screenshot, raccogliere informazioni sulle applicazioni attive e inviare tutti questi dati ai cybercriminali tramite email, FTP o richieste HTTP. Numerose varianti di Zapchast sono diffuse da anni attraverso campagne di phishing con allegati malevoli, anche se non è chiaro se questa versione rappresenti un’evoluzione più sofisticata del malware originale.

Raccomandazioni di sicurezza

Alla luce di queste minacce e dell’attività di sfruttamento già in corso, la CISA ha imposto alle agenzie federali statunitensi di applicare le patch di sicurezza necessarie entro il 2 ottobre 2025. Le organizzazioni che utilizzano DELMIA Apriso sono quindi fortemente invitate ad aggiornare immediatamente i propri sistemi per prevenire potenziali compromissioni e furti di dati sensibili.

La rapidità di risposta a questa vulnerabilità è fondamentale per limitare l’impatto degli attacchi e proteggere le infrastrutture critiche, in un contesto in cui i cybercriminali continuano a sfruttare falle zero-day per infiltrarsi nelle reti aziendali e governative.