Le minacce informatiche di oggi non arrivano solo da malware tradizionali o da exploit isolati, ma si insinuano dentro strumenti e piattaforme usate ogni giorno da aziende e sviluppatori. La cybersecurity deve quindi inseguire un perimetro in continua espansione fatto di AI, cloud, marketplace di componenti software e catene di fornitura.

Una nuova variante della tecnica di social engineering ClickFix sta attirando l’attenzione per il modo in cui usa il DNS come canale di staging del malware, rendendo il traffico malevolo più simile a quello normale. In questo scenario l’attaccante non sfrutta una vulnerabilità tecnica ma la fiducia procedurale dell’utente, inducendolo a eseguire manualmente un comando che avvia la catena di infezione.

Google Threat Intelligence Group ha collegato un attore di minaccia finora poco documentato a una serie di attacchi informatici contro organizzazioni ucraine tramite il malware CANFAIL. Le analisi indicano una possibile affiliazione con servizi di intelligence russi e un focus su settori strategici come difesa, militare, governo ed energia, sia a livello regionale sia nazionale.

Le più recenti analisi di threat intelligence mostrano come il settore della difesa e, in particolare, la Defense Industrial Base sia diventato un obiettivo prioritario di operazioni cyber coordinate. Gruppi legati a Cina, Iran, Russia e Corea del Nord, insieme ad attori hacktivist e criminali, stanno concentrando gli attacchi su aziende aerospaziali, fornitori militari e organizzazioni connesse alla produzione e alla ricerca.

Google ha rilevato un uso sempre più intenso di Gemini AI da parte di gruppi di hacker sponsorizzati da stati, con l’obiettivo di velocizzare e rendere più efficaci le fasi di ricognizione e supporto agli attacchi informatici. In particolare, è stato osservato un attore legato alla Corea del Nord, identificato come UNC2970, mentre sfruttava l’intelligenza artificiale generativa per sintetizzare OSINT e costruire profili dettagliati di obiettivi ad alto valore.

Negli ultimi mesi diverse entità indiane legate a difesa e governo sono finite nel mirino di campagne di cyber spionaggio costruite per colpire sia Windows sia Linux con malware di tipo Remote Access Trojan. L’obiettivo è ottenere accesso remoto persistente, rubare dati sensibili e mantenere una presenza stabile sui sistemi compromessi per operazioni a lungo termine.

Il ransomware Reynolds si sta facendo notare nel panorama delle minacce informatiche per una tecnica di evasione particolarmente efficace: integra direttamente nel payload un componente BYOVD (bring your own vulnerable driver). In pratica gli attaccanti includono un driver legittimo ma vulnerabile per ottenere privilegi elevati e disattivare le soluzioni EDR (endpoint detection and response), così da rendere più difficile l’individuazione delle attività malevole.

Una recente campagna di spear phishing sta colpendo in modo mirato organizzazioni in Uzbekistan e Russia distribuendo NetSupport RAT, un remote access trojan basato su un software legittimo di amministrazione remota. Questa tecnica rende l’attacco più credibile e difficile da individuare, perché lo strumento usato è normalmente impiegato per assistenza tecnica e gestione dei sistemi.

Nel corso del 2025 una nuova ondata di cyber spionaggio ha preso di mira enti governativi e forze dell ordine nel Sud Est asiatico, con operazioni attribuite a un cluster collegato alla Cina identificato come Amaranth Dragon. I paesi interessati includono Cambogia, Thailandia, Laos, Indonesia, Singapore e Filippine.

Un nuovo gruppo di cyber spionaggio legato a interessi statali e identificato come TGR STA 1030 ha compromesso almeno 70 organizzazioni tra enti governativi e infrastrutture critiche in 37 Paesi nell’arco dell’ultimo anno. La campagna mostra un approccio strutturato e di lungo periodo, con permanenza negli ambienti delle vittime per mesi e con l’obiettivo di sottrarre dati sensibili da server di posta elettronica e sistemi interni.