Nel contesto del conflitto con l Iran, la cybersecurity sta emergendo come un tema chiave per chi fa venture capital, anche se in modo meno rumoroso rispetto alla defense tech. Quando cresce la tensione geopolitica, le operazioni informatiche aumentano in parallelo alle azioni militari tradizionali e questo crea un impatto immediato su aziende e governi che devono proteggere servizi essenziali e catene operative.

Una nuova campagna di malware sta colpendo dispositivi di rete edge con un obiettivo preciso: trasformare router e apparati simili in una botnet proxy in grado di instradare traffico malevolo in modo silenzioso. Il malware si chiama KadNap e prende di mira soprattutto i router Asus, anche se le analisi indicano tentativi di infezione anche su altri dispositivi di networking.

Il gruppo di cyber spionaggio APT28, legato a operazioni governative russe, è stato osservato mentre conduce attività di sorveglianza prolungata contro personale militare ucraino tramite due impianti malware chiamati BEARDSHELL e COVENANT. La campagna risulta attiva almeno da aprile 2024 e mostra un approccio orientato alla persistenza, al controllo remoto e alla raccolta continua di informazioni sensibili, con un uso crescente di servizi cloud legittimi per nascondere il traffico di comando e controllo.

Nel 2025 un gruppo di minaccia noto come UNC4899 è stato collegato a una compromissione avanzata contro una organizzazione del settore criptovalute con l’obiettivo di sottrarre milioni in asset digitali. La campagna è interessante perché combina social engineering, trasferimenti peer-to-peer tra dispositivi personali e aziendali e un successivo passaggio al cloud con tecniche living off the cloud, sfruttando strumenti e flussi DevOps legittimi invece di malware rumoroso.

Una campagna di cyber attacchi di lunga durata ha preso di mira organizzazioni ad alto valore in Asia meridionale, sud orientale e orientale, con un focus particolare su infrastrutture critiche e settori sensibili come aviazione, energia, pubblica amministrazione, forze dell’ordine, farmaceutico, tecnologia e telecomunicazioni. Il gruppo responsabile è stato identificato come CL-UNK-1068 e, secondo le analisi disponibili, l’obiettivo principale appare il cyber espionage, cioè la raccolta silenziosa di informazioni e credenziali nel tempo.

Nel recap settimanale di cybersecurity emergono tre segnali chiari per chi gestisce IT e sicurezza: le campagne di phishing industrializzate continuano a crescere, le vulnerabilità zero day e le catene di exploit su mobile restano un vettore ad alto impatto, e perfino le reti Wi‑Fi considerate protette possono essere aggirate con tecniche nuove.

Una operazione coordinata guidata da Europol ha portato allo smantellamento di Tycoon 2FA, un servizio di phishing as a service tra i più usati per aggirare la protezione MFA e rubare credenziali su larga scala. Questo kit, attivo dal 2023, permetteva ai criminali di eseguire attacchi adversary in the middle intercettando in tempo reale accessi e sessioni, con l’obiettivo di ottenere non solo username e password, ma anche codici MFA e cookie di sessione.

Molte organizzazioni danno per scontato che i dati cifrati siano al sicuro, ma la realtà è che una parte degli attaccanti sta già pianificando un salto tecnologico. La strategia più pericolosa si chiama harvest now decrypt later e consiste nel raccogliere oggi traffico e archivi cifrati per conservarli e decifrarli in futuro, quando il quantum computing renderà vulnerabili algoritmi oggi considerati affidabili.

Una nuova campagna di attacchi informatici basata su intelligenza artificiale ha preso di mira i dispositivi Fortinet FortiGate, sfruttando una piattaforma open source chiamata CyberStrikeAI. Le analisi collegano questa attività a un uso esteso di scansioni automatiche su larga scala per individuare appliance vulnerabili e avviare compromissioni in modo industrializzato.