Il gruppo di minaccia avanzata WIRTE, noto anche come Ashen Lepus, ha recentemente intensificato le sue operazioni di cyber spionaggio contro enti governativi e diplomatici nel Medio Oriente. Dal 2020, le attività di WIRTE sono state caratterizzate dall’utilizzo di una suite malware inedita denominata AshTag, che rappresenta una minaccia persistente e sofisticata nell’ambito della cyberwarfare regionale.

Il panorama della sicurezza informatica si arricchisce di una nuova e insidiosa minaccia: un malware backdoor per Windows denominato NANOREMOTE. Questo malware si distingue per l’utilizzo innovativo dell’API di Google Drive come canale di command-and-control (C2), una tecnica che rende le sue attività di controllo e furto dati particolarmente difficili da individuare dalle difese tradizionali.

Negli ultimi mesi è emersa una nuova minaccia informatica che sfrutta repository Python ospitati su GitHub per diffondere un Remote Access Trojan (RAT) chiamato PyStoreRAT. I ricercatori di sicurezza hanno rilevato che questi repository, spesso mascherati da strumenti di sviluppo, utility OSINT o bot DeFi, contengono solo poche righe di codice che scaricano silenziosamente un file HTA remoto, eseguendolo con mshta.exe.

Nel mondo della cybersecurity, una nuova minaccia sta attirando l’attenzione degli esperti: la campagna JS#SMUGGLER, un attacco multi-stadio che sfrutta siti web compromessi per distribuire il malware NetSupport RAT. Gli attacchi iniziano con l’iniezione di un loader JavaScript altamente offuscato all’interno di siti legittimi, trasformandoli in vettori di infezione.

La recente vulnerabilità critica denominata React2Shell, identificata come CVE-2025-55182 con punteggio CVSS 10.0, ha colpito il mondo della sicurezza informatica, spingendo la CISA ad aggiungerla nel suo catalogo delle vulnerabilità sfruttate attivamente (KEV). La falla riguarda i React Server Components e consente a un attaccante remoto non autenticato di eseguire codice arbitrario sul server bersaglio tramite richieste HTTP appositamente costruite, senza bisogno di configurazioni particolari.

Negli ultimi giorni la vulnerabilità React2Shell, identificata come CVE-2025-55182, sta subendo un’ondata di attacchi automatizzati che colpiscono numerosi settori, dal costruzione all’intrattenimento, fino al mondo dei servizi finanziari e governativi. Questa falla critica nei React Server Components permette l’esecuzione di codice da remoto senza autenticazione, favorendo la diffusione di malware e miner di criptovalute su sistemi Linux e Windows.

Il panorama della cybersicurezza nel 2025 si arricchisce di un nuovo attore minaccioso: CastleLoader, un malware loader sempre più diffuso, utilizzato da almeno quattro cluster distinti di cybercriminali. L’attore principale dietro CastleLoader, noto come GrayBravo, ha dimostrato una notevole capacità di adattamento, sviluppo rapido e infrastruttura in continua evoluzione, offrendo CastleLoader ad altri gruppi tramite un modello malware-as-a-service (MaaS).

La vulnerabilità CVE-2025-6218 di WinRAR è al centro dell’attenzione della comunità di sicurezza informatica dopo che la CISA, agenzia statunitense per la sicurezza informatica e delle infrastrutture, l’ha inserita nel catalogo delle vulnerabilità conosciute come attivamente sfruttate. Questa falla, valutata con un punteggio CVSS di 7.8, riguarda una debolezza di tipo path traversal, che consente a un attaccante di eseguire codice arbitrario sul sistema della vittima, a patto che quest’ultima apra un file malevolo o visiti una pagina predisposta allo scopo.

Una grave vulnerabilità di sicurezza sta colpendo il plugin Sneeit Framework per WordPress, secondo quanto riportato dagli esperti di Wordfence. La falla, identificata come CVE-2025-6389 con un punteggio CVSS di 9.8, riguarda tutte le versioni del plugin fino alla 8.3 inclusa ed è stata corretta nella versione 8.4 rilasciata il 5 agosto 2025.

Il gruppo di cybercriminali denominato STAC6565 ha recentemente intensificato le sue attività contro organizzazioni canadesi, risultando responsabile di una serie di attacchi mirati in cui circa l'80 percento delle vittime si trova in Canada. Secondo le analisi di Sophos, queste intrusioni, quasi quaranta tra febbraio 2024 e agosto 2025, condividono molte caratteristiche con il noto gruppo hacker Gold Blade, conosciuto anche come Earth Kapre, RedCurl e Red Wolf.