Una vulnerabilita di tipo cross site scripting nel pannello di controllo web usato dagli operatori di StealC ha permesso ai ricercatori di osservare da vicino le attivita di un attore malevolo che utilizza questo information stealer. Sfruttando il bug, e stato possibile raccogliere impronte del sistema, monitorare sessioni attive e perfino sottrarre cookie di sessione dall infrastruttura progettata per rubare cookie alle vittime, un paradosso che evidenzia quanto spesso anche i criminali digitali trascurino le basi della sicurezza web.

Nel panorama della sicurezza informatica emerge Osiris, una nuova famiglia di ransomware individuata durante un attacco contro un grande operatore del settore food service nel Sud Est asiatico, osservato a novembre 2025. Il caso è rilevante perché combina estorsione, furto di dati e tecniche avanzate di evasione, con un focus particolare sugli endpoint Windows e sulla disattivazione dei controlli di sicurezza.

Un gruppo APT collegato alla Cina è stato osservato mentre prendeva di mira settori di infrastrutture critiche in Nord America almeno dall’anno scorso, puntando a organizzazioni ad alto valore. L’attività è stata tracciata come UAT 8837 e viene descritta come orientata soprattutto all’ottenimento di accesso iniziale, tramite sfruttamento di server vulnerabili oppure tramite credenziali compromesse.

Una nuova campagna di phishing su LinkedIn sta dimostrando quanto i messaggi privati sui social possano diventare un canale efficace per la distribuzione di malware. Gli attaccanti contattano profili di valore con un approccio graduale, costruendo fiducia e spingendo la vittima a scaricare un archivio WinRAR autoestraente.

Nel panorama della cyber sicurezza la differenza tra un aggiornamento ordinario e un incidente grave si sta assottigliando. Ladozione di strumenti basati su intelligenza artificiale dispositivi connessi e automazione aumenta la superficie di attacco e rende piu facile trasformare una piccola svista in una compromissione completa.

Una nuova campagna di cyber spionaggio ha preso di mira enti governativi e organizzazioni legate alle politiche pubbliche negli Stati Uniti, sfruttando esche a tema geopolitico per distribuire una backdoor chiamata LOTUSLITE. Il vettore iniziale è un attacco di spear phishing che fa leva su contenuti collegati alle tensioni tra Stati Uniti e Venezuela, un contesto ideale per aumentare la credibilità delle email e spingere l’utente ad aprire allegati apparentemente rilevanti.

Le autorità ucraine e tedesche hanno identificato due cittadini ucraini sospettati di aver collaborato con Black Basta, un gruppo ransomware as a service collegato alla Russia e noto per attacchi informatici contro aziende in Nord America, Europa e Australia. L’indagine descrive un modello operativo tipico del ransomware moderno, dove ruoli diversi lavorano in modo coordinato per ottenere accesso iniziale, muoversi nella rete e infine cifrare i dati per chiedere un riscatto in criptovaluta.

Il malware GootLoader continua a evolversi e negli ultimi mesi è stato osservato mentre usa archivi ZIP malformati per eludere i controlli di sicurezza e ostacolare l’analisi automatizzata. Questo loader in JavaScript, noto anche come JScript, punta a consegnare payload secondari e in diversi scenari può aprire la strada a infezioni più gravi, inclusi ransomware.

Microsoft ha annunciato un intervento legale coordinato negli Stati Uniti e nel Regno Unito che ha portato al sequestro e alla disattivazione dell’infrastruttura di RedVDS, un servizio in abbonamento legato al cybercrime e utilizzato per frodi online. RedVDS veniva proposto come soluzione economica per ottenere computer virtuali “usa e getta”, rendendo le campagne criminali più convenienti, scalabili e difficili da tracciare.

Una campagna malware attiva sta sfruttando una tecnica nota come DLL side loading per aggirare i controlli di sicurezza e distribuire diversi tipi di malware su sistemi Windows. Il punto chiave è che gli attaccanti affiancano una DLL malevola chiamata libcares-2.dll a un eseguibile legittimo e firmato digitalmente, ahost.exe, in modo che il programma carichi la libreria sbagliata e avvii codice dannoso senza destare sospetti.