Negli ultimi mesi le campagne di phishing stanno evolvendo e sempre più spesso sfruttano file PDF come vettori di attacco per impersonare brand noti come Microsoft, DocuSign, NortonLifeLock, PayPal e Geek Squad. Queste email fraudolente inducono le vittime a chiamare numeri di telefono controllati dagli attaccanti, una tecnica nota come TOAD (Telephone-Oriented Attack Delivery) o callback phishing.

Negli ultimi mesi il panorama della sicurezza mobile è stato scosso dalla scoperta di sofisticate operazioni di frode su dispositivi Android, tra cui spiccano IconAds, Kaleidoscope e una serie di campagne malware che sfruttano sia la pubblicità digitale che tecniche di furto finanziario. Queste minacce colpiscono milioni di utenti in tutto il mondo, sfruttando vulnerabilità del sistema operativo e la diffusione di app malevole sia sul Play Store che attraverso store di terze parti.

Nel settembre 2024 la Francia ha registrato una serie di attacchi informatici mirati a entità governative, telecomunicazioni, media, finanza e trasporti. Questi attacchi sono stati attribuiti a un gruppo di hacker cinesi conosciuto come Houken, che ha sfruttato vulnerabilità zero-day nei dispositivi Ivanti Cloud Services Appliance (CSA).

Una grave vulnerabilità di sicurezza è stata scoperta nel Model Context Protocol (MCP) Inspector di Anthropic, una delle principali società nel campo dell’intelligenza artificiale. Questa vulnerabilità, identificata come CVE-2025-49596, ha un punteggio CVSS di 9.4 su 10, segnalandosi come una delle prime criticità di tipo remote code execution (RCE) nell’ecosistema MCP di Anthropic.

Gli Stati Uniti hanno recentemente imposto sanzioni al provider russo di bulletproof hosting Aeza Group, accusato di supportare attivamente cybercriminali e di facilitare attacchi ransomware su scala globale. Questi provvedimenti si inseriscono in una strategia più ampia mirata a colpire le infrastrutture che permettono la proliferazione di attacchi informatici e attività illecite, come la vendita di droga sul dark web e il furto di dati da aziende tecnologiche e della difesa.

Negli ultimi tempi, sono emersi nuovi attacchi informatici mirati al settore Web3 e alle aziende che operano nel campo delle criptovalute, guidati da gruppi legati alla Corea del Nord. Questi cybercriminali stanno adottando tecniche sempre più sofisticate, tra cui l'uso di malware scritti nel linguaggio di programmazione Nim, per colpire in particolare gli utenti di sistemi macOS.

L’Europol ha recentemente annunciato lo smantellamento di una vasta rete di frode legata alle criptovalute, responsabile di aver riciclato circa 540 milioni di dollari provenienti da oltre 5000 vittime in tutto il mondo. L’operazione, denominata Operation Borrelli, è stata condotta dalla Guardia Civil spagnola con il supporto di autorità di Estonia, Francia e Stati Uniti, iniziando le indagini nel 2023.

Nel panorama della sicurezza informatica emergono nuove minacce che sfruttano infrastrutture e tattiche sempre più sofisticate. Tra queste si distinguono i gruppi denominati TA829 e UNK_GreenSec, protagonisti di campagne malware che condividono tecniche e risorse.

Negli Stati Uniti è stata recentemente smantellata una vasta rete di lavoratori IT nordcoreani che, con la complicità di facilitatori internazionali, riusciva a infiltrarsi nell’economia digitale americana per aggirare le sanzioni e finanziare le attività illecite della Corea del Nord. Il Dipartimento di Giustizia USA ha annunciato l’arresto di un cittadino statunitense, la confisca di 29 conti finanziari e 21 siti web fraudolenti, nonché il sequestro di quasi 200 computer utilizzati per accedere da remoto ai network delle aziende vittime.

Il gruppo cybercriminale noto come Blind Eagle ha recentemente intensificato le proprie attività contro istituzioni finanziarie colombiane, utilizzando il servizio di hosting bulletproof russo Proton66 per condurre campagne di phishing e distribuire Remote Access Trojan (RAT). Proton66 è un servizio ampiamente impiegato dai criminali informatici poiché ignora intenzionalmente le segnalazioni di abusi e le richieste legali di rimozione, consentendo così agli attaccanti di mantenere operativi i loro server di phishing e di comando e controllo senza interruzioni.