L’arresto di Xu Zewei a Milano rappresenta un evento significativo nel panorama della cyber sicurezza internazionale. Xu, cittadino cinese di 33 anni, è stato fermato per il suo presunto coinvolgimento nel gruppo di hacker statali noto come Silk Typhoon, accusato di una serie di attacchi informatici contro organizzazioni americane e agenzie governative.

Il gruppo APT noto come DoNot Team, anche identificato come APT-C-35, Mint Tempest e altri alias, ha espanso le proprie operazioni prendendo di mira un ministero degli affari esteri europeo con una sofisticata campagna malware. Questo gruppo, operativo dal 2016 e sospettato di essere legato all'India, è famoso per l’utilizzo di malware customizzati per Windows, come i backdoor YTY e GEdit, spesso diffusi tramite email di spear-phishing o documenti malevoli.

Gli Stati Uniti hanno recentemente imposto sanzioni contro un membro del gruppo di hacker nordcoreano Andariel, coinvolto in un vasto schema fraudolento di lavoro IT da remoto. Questo schema, che si è sviluppato tra il 2022 e il 2023, prevedeva l’utilizzo di identità rubate a cittadini statunitensi per creare falsi profili di lavoratori IT nordcoreani che si spacciavano per americani in cerca di impieghi da remoto negli USA.

Il cybercrime sta crescendo a un ritmo allarmante, con perdite economiche globali che nel 2025 potrebbero raggiungere i 10.5 trilioni di dollari secondo Cybersecurity Ventures. Gli attacchi informatici di maggiore impatto, come le violazioni di dati, i ransomware e i furti nei mercati crypto, rappresentano non solo una minaccia finanziaria ma anche un campanello d’allarme per aziende e privati.

Negli ultimi mesi, una nuova minaccia informatica ha preso di mira organizzazioni russe attraverso una campagna di phishing sofisticata, diffondendo uno spyware per Windows denominato Batavia. Secondo le analisi dei ricercatori di sicurezza, questa attività è attiva dal luglio 2024 e sfrutta email ingannevoli inviate con il pretesto di stipulare un contratto.

La botnet RondoDox rappresenta una delle minacce emergenti più insidiose nel panorama della sicurezza informatica del 2025. Questo malware si diffonde sfruttando vulnerabilità note nei dispositivi TBK digital video recorder e nei router Four-Faith, coinvolgendo in particolare i modelli TBK DVR-4104, DVR-4216, F3x24 e F3x36.

Il gruppo di cyber spionaggio denominato TAG-140 ha intensificato le proprie attività contro organizzazioni governative indiane, in particolare nei settori della difesa e delle infrastrutture critiche come ferrovie, energia e ministeri degli affari esteri. La novità più rilevante riguarda l’utilizzo di una versione aggiornata del trojan di accesso remoto DRAT, ribattezzata DRAT V2, che rientra nell’arsenale malware del collettivo SideCopy, noto per la sua affiliazione a Transparent Tribe e per aver condotto campagne coordinate di spionaggio informatico dal 2019.

Negli ultimi tempi, le campagne di SEO poisoning stanno diventando una delle minacce più insidiose nel panorama della sicurezza informatica, colpendo in particolare utenti di piccole e medie imprese (PMI) attraverso malware camuffati da strumenti di intelligenza artificiale e software popolari. Queste campagne sfruttano le tecniche di ottimizzazione per i motori di ricerca (SEO) per posizionare in alto nei risultati di Google e altri motori siti malevoli, inducendo gli utenti a scaricare versioni compromesse di programmi legittimi come PuTTY, WinSCP, ChatGPT, Zoom e molti altri.

Il panorama della sicurezza informatica è in continua evoluzione e questa settimana ha visto una serie di eventi e minacce che confermano quanto sia importante una difesa proattiva. Al centro dell’attenzione troviamo lo smantellamento da parte delle autorità statunitensi di una sofisticata rete nordcoreana, in cui falsi lavoratori IT, usando identità rubate, sono riusciti a penetrare in oltre 100 aziende americane, rubando dati sensibili e criptovalute per un valore superiore a 900000 dollari.

Una recente analisi sulla sicurezza informatica ha evidenziato come il rischio legato alla vulnerabilità nOAuth in Microsoft Entra ID sia ancora attuale e sottovalutato. Nonostante la falla sia stata resa pubblica nel giugno 2023, il 9 percento delle applicazioni SaaS che utilizzano Microsoft Entra rimane vulnerabile a questo tipo di attacco, mettendo a rischio la sicurezza degli account aziendali e personali.