Nel panorama della sicurezza informatica emerge Osiris, una nuova famiglia di ransomware individuata durante un attacco contro un grande operatore del settore food service nel Sud Est asiatico, osservato a novembre 2025. Il caso è rilevante perché combina estorsione, furto di dati e tecniche avanzate di evasione, con un focus particolare sugli endpoint Windows e sulla disattivazione dei controlli di sicurezza.

Un gruppo APT collegato alla Cina è stato osservato mentre prendeva di mira settori di infrastrutture critiche in Nord America almeno dall’anno scorso, puntando a organizzazioni ad alto valore. L’attività è stata tracciata come UAT 8837 e viene descritta come orientata soprattutto all’ottenimento di accesso iniziale, tramite sfruttamento di server vulnerabili oppure tramite credenziali compromesse.

Una nuova campagna di phishing su LinkedIn sta dimostrando quanto i messaggi privati sui social possano diventare un canale efficace per la distribuzione di malware. Gli attaccanti contattano profili di valore con un approccio graduale, costruendo fiducia e spingendo la vittima a scaricare un archivio WinRAR autoestraente.

Nel panorama della cyber sicurezza la differenza tra un aggiornamento ordinario e un incidente grave si sta assottigliando. Ladozione di strumenti basati su intelligenza artificiale dispositivi connessi e automazione aumenta la superficie di attacco e rende piu facile trasformare una piccola svista in una compromissione completa.

Una nuova campagna di cyber spionaggio ha preso di mira enti governativi e organizzazioni legate alle politiche pubbliche negli Stati Uniti, sfruttando esche a tema geopolitico per distribuire una backdoor chiamata LOTUSLITE. Il vettore iniziale è un attacco di spear phishing che fa leva su contenuti collegati alle tensioni tra Stati Uniti e Venezuela, un contesto ideale per aumentare la credibilità delle email e spingere l’utente ad aprire allegati apparentemente rilevanti.

Le autorità ucraine e tedesche hanno identificato due cittadini ucraini sospettati di aver collaborato con Black Basta, un gruppo ransomware as a service collegato alla Russia e noto per attacchi informatici contro aziende in Nord America, Europa e Australia. L’indagine descrive un modello operativo tipico del ransomware moderno, dove ruoli diversi lavorano in modo coordinato per ottenere accesso iniziale, muoversi nella rete e infine cifrare i dati per chiedere un riscatto in criptovaluta.

Il malware GootLoader continua a evolversi e negli ultimi mesi è stato osservato mentre usa archivi ZIP malformati per eludere i controlli di sicurezza e ostacolare l’analisi automatizzata. Questo loader in JavaScript, noto anche come JScript, punta a consegnare payload secondari e in diversi scenari può aprire la strada a infezioni più gravi, inclusi ransomware.

Microsoft ha annunciato un intervento legale coordinato negli Stati Uniti e nel Regno Unito che ha portato al sequestro e alla disattivazione dell’infrastruttura di RedVDS, un servizio in abbonamento legato al cybercrime e utilizzato per frodi online. RedVDS veniva proposto come soluzione economica per ottenere computer virtuali “usa e getta”, rendendo le campagne criminali più convenienti, scalabili e difficili da tracciare.

Una campagna malware attiva sta sfruttando una tecnica nota come DLL side loading per aggirare i controlli di sicurezza e distribuire diversi tipi di malware su sistemi Windows. Il punto chiave è che gli attaccanti affiancano una DLL malevola chiamata libcares-2.dll a un eseguibile legittimo e firmato digitalmente, ahost.exe, in modo che il programma carichi la libreria sbagliata e avvii codice dannoso senza destare sospetti.

VoidLink è un nuovo malware per Linux progettato per ottenere accesso furtivo e di lunga durata in ambienti cloud e container. La sua forza principale è la modularità, grazie a un sistema di plugin che consente agli attaccanti di aggiungere o modificare funzionalità nel tempo, adattandosi a obiettivi diversi senza dover reinstallare l’intero impianto malevolo.