Nel panorama della cybersecurity di marzo 2026 emergono segnali chiari di una pressione silenziosa ma costante, fatta di exploit ripetuti, tecniche di social engineering sempre piu credibili e catene di attacco che sfruttano configurazioni deboli e servizi esposti.
Una delle tendenze piu preoccupanti riguarda la crescita di un modello Ransomware as a Service che sfrutta vulnerabilita su FortiGate. L accesso iniziale avviene tramite bypass di autenticazione in FortiOS e FortiProxy e viene supportato da un inventario operativo di migliaia di dispositivi gia compromessi e credenziali VPN pronte per attacchi mirati. In parallelo si osservano tecniche BYOVD per disattivare i processi di sicurezza a livello kernel, aumentando l efficacia delle fasi di persistenza ed evasione.
Sul fronte delle vulnerabilita applicative spicca una catena pre auth di remote code execution su una piattaforma ITSM molto diffusa. La sequenza combina bypass di autenticazione, deserializzazione Java non sanificata e scrittura arbitraria di file fino a ottenere esecuzione di codice su Tomcat. Questo tipo di exploit chain dimostra quanto sia rischioso lasciare endpoint di reset password e parametri legacy esposti senza hardening.
Anche il malware evolve in modo pragmatico. Un loader noto viene impiegato per distribuire un framework C2 in C plus plus con funzioni di screenshot, keylogging, terminale remoto e furto dati dai browser, adottando bypass AMSI e tecniche come direct system calls e process hollowing per ridurre la rilevazione EDR. La distribuzione avviene tramite siti clone di brand noti, confermando l importanza della protezione del traffico web e della formazione utenti.
Crescono inoltre gli abusi legati a strumenti per sviluppatori e AI workflow. Una tecnica sfrutta deep link e configurazioni MCP per indurre l utente a installare server remoti malevoli o eseguire comandi locali tramite un singolo click e una conferma. In parallelo aumentano i segreti hard coded pubblicati su repository, inclusi file di configurazione MCP con credenziali valide.
La superficie di attacco resta elevata anche su infrastrutture edge. Campagne di mass exploitation colpiscono vulnerabilita note su Citrix NetScaler con centinaia di tentativi, mentre il phishing si sposta su canali collaborativi come Microsoft Teams per convincere le vittime ad avviare strumenti di assistenza remota e concedere accesso diretto. Infine si registra l abuso di piattaforme SaaS di supporto come LiveChat per portare l utente in una chat in tempo reale e sottrarre credenziali, dati carta e codici MFA, aggirando i filtri tradizionali basati su email.