La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente pubblicato un allarme riguardante la scoperta di due insiemi di malware all'interno della rete di una organizzazione non identificata. Questi malware sono stati individuati a seguito dello sfruttamento di vulnerabilità critiche presenti in Ivanti Endpoint Manager Mobile (EPMM), note come CVE-2025-4427 e CVE-2025-4428.

Il nuovo strumento di penetration testing Villager, supportato dall’intelligenza artificiale, ha riscosso un notevole interesse sulla piattaforma Python Package Index (PyPI) raggiungendo quasi 11.000 download dalla sua pubblicazione nel luglio 2025. Questo rapido successo ha sollevato forti preoccupazioni sulla possibilità che il framework venga utilizzato in modo improprio da parte di criminali informatici, data la sua capacità di automatizzare e scalare attacchi informatici.

L’ultima frontiera del malware segna una svolta epocale nella cybersecurity: i ricercatori hanno infatti identificato MalTerminal, il primo malware noto che integra le capacità di un Large Language Model (LLM) come GPT-4 di OpenAI. Questo caso, presentato alla conferenza LABScon 2025, mostra come l’intelligenza artificiale generativa venga già sfruttata non solo per il supporto operativo, ma anche per essere incorporata direttamente negli strumenti di attacco informatico.

Nel settembre 2025, le autorità del Regno Unito hanno arrestato due giovani hacker legati al gruppo Scattered Spider, sospettati di essere coinvolti nell’attacco informatico avvenuto nell’agosto 2024 contro Transport for London (TfL), l’agenzia responsabile del trasporto pubblico della capitale britannica. I due adolescenti, Thalha Jubair di 19 anni e Owen Flowers di 18, sono stati fermati presso le rispettive abitazioni a Londra e Walsall grazie a un’operazione coordinata dalla National Crime Agency (NCA).

Il gruppo di cyber spionaggio iraniano UNC1549, noto anche come Subtle Snail, è stato recentemente collegato a una sofisticata campagna contro aziende di telecomunicazioni europee, riuscendo a compromettere 34 dispositivi appartenenti a 11 organizzazioni. Queste aziende sono distribuite tra Canada, Francia, Emirati Arabi Uniti, Regno Unito e Stati Uniti.

Nel panorama della sicurezza informatica, una nuova minaccia si è delineata contro l’Ucraina con la collaborazione tra due noti gruppi di hacker russi: Gamaredon e Turla. Questi gruppi, entrambi collegati al servizio di sicurezza federale russo (FSB), sono stati individuati mentre lavoravano insieme per colpire obiettivi ucraini attraverso l’installazione del backdoor Kazuar, una potente arma di cyber spionaggio.

Il gruppo di cybercriminali noto come TA558 è stato recentemente collegato a una nuova ondata di attacchi informatici mirati contro hotel in Brasile e in altri paesi di lingua spagnola, sfruttando tecniche avanzate basate sull'intelligenza artificiale. Questi attacchi si distinguono per l'utilizzo di script generati con modelli linguistici di grandi dimensioni (LLM), che permettono di creare codici malevoli sempre più sofisticati e difficili da rilevare dai sistemi di sicurezza tradizionali.

Un nuovo e grave attacco alla supply chain software ha colpito il popolare registro npm, compromettendo oltre 500 pacchetti e mettendo a rischio le credenziali di sviluppatori e aziende. I ricercatori di sicurezza informatica hanno scoperto che decine di pacchetti npm sono stati trojanizzati tramite una funzione malevola che scarica, modifica e ripubblica automaticamente le librerie, iniettando uno script JavaScript dannoso chiamato bundlejs.

Il panorama delle minacce informatiche è stato recentemente scosso dalla scoperta di CountLoader, un nuovo malware loader utilizzato da gang ransomware russe per distribuire strumenti avanzati come Cobalt Strike, AdaptixC2 e il trojan di accesso remoto PureHVNC RAT. CountLoader si distingue per la sua versatilità, essendo stato individuato in tre varianti distinte: .NET, PowerShell e JavaScript.

Un recente attacco informatico attribuito al gruppo TA415, collegato alla Cina, ha preso di mira esperti e istituzioni statunitensi impegnate nelle relazioni economiche tra Stati Uniti e Cina. L’operazione, svelata da Proofpoint, si è svolta tra luglio e agosto 2025 e ha coinvolto campagne di spear-phishing che simulavano comunicazioni autorevoli, come quelle del presidente della Select Committee on Strategic Competition tra Stati Uniti e Partito Comunista Cinese, e del U.S.-China Business Council.