Nel panorama della cybersecurity di inizio 2026 emergono molti segnali piccoli ma coerenti che mostrano come gli attacchi stiano diventando meno visibili nella fase di ingresso e più rapidi e scalabili nella fase di impatto. Le intrusioni partono sempre più spesso da punti considerati ordinari come workflow di sviluppo, strumenti di accesso remoto, percorsi di identità nel cloud e azioni comuni degli utenti. Questo rende più difficile distinguere il normale dal malevolo, mentre gli attaccanti industrializzano le operazioni con infrastrutture condivise, playbook ripetibili e modelli in stile affiliati.

Un esempio rilevante riguarda GitHub Codespaces, dove sono stati descritti vettori di remote code execution legati a file di configurazione integrati in VS Code. Aprire un repository o una pull request malevola può innescare comandi tramite impostazioni e task che l’ambiente rispetta automaticamente, con il rischio di esfiltrazione di token e segreti e abuso di risorse avanzate. Questo scenario rafforza il tema della supply chain e della fiducia implicita negli strumenti di sviluppo.

Sul fronte malware e infrastrutture, l’esposizione di host AsyncRAT su Internet mostra come il command and control continui a basarsi su VPS economici e tolleranti agli abusi, con certificati TLS auto firmati che facilitano il tracciamento su larga scala. In parallelo, botnet proxy come SystemBC restano un anello iniziale delle catene di intrusione e spesso anticipano ransomware e attività successive.

La pressione ransomware aumenta anche lato vulnerabilità, con elenchi di CVE sfruttate aggiornati per includere l’uso in attacchi ransomware, spingendo le aziende a rivedere le priorità di patching. Cresce inoltre l’abuso BYOVD, dove driver legittimi ma vulnerabili vengono usati per elevare privilegi e tentare di disattivare strumenti di sicurezza, aggirando controlli a livello kernel.

Nel cloud, un altro pattern è la velocità. Attacchi assistiti da AI possono passare da credenziali trovate in bucket pubblici a privilegi amministrativi in pochi minuti, sfruttando tecniche come code injection su funzioni serverless, movimento laterale tra identità e abuso di servizi per workload AI. Anche il phishing evolve usando infrastrutture cloud apparentemente legittime per ospitare contenuti e reindirizzare a pagine di furto credenziali, mentre campagne di social engineering sfruttano voicemail e file eseguibili mascherati per installare strumenti RMM e ottenere persistenza.