La CISA, l’agenzia statunitense per la sicurezza informatica e delle infrastrutture, ha recentemente emesso un avviso urgente riguardante due vulnerabilità critiche in Microsoft SharePoint, identificate come CVE-2025-49704 e CVE-2025-49706. Queste falle sono state aggiunte al catalogo delle vulnerabilità attivamente sfruttate (Known Exploited Vulnerabilities, KEV) dopo che sono state rilevate attività di attacco da parte di gruppi hacker cinesi, come Linen Typhoon e Violet Typhoon, che le hanno utilizzate per compromettere server SharePoint on-premise dal 7 luglio 2025.

Microsoft ha recentemente confermato che le vulnerabilità presenti nelle istanze SharePoint Server esposte su internet sono state sfruttate da almeno tre gruppi di hacker cinesi. Questi gruppi, denominati Linen Typhoon, Violet Typhoon e Storm-2603, sono riusciti a compromettere sistemi non aggiornati attraverso exploit che permettono l’esecuzione di codice e il furto di dati sensibili.

Un recente attacco informatico condotto dal gruppo APT41, collegato alla Cina, ha puntato i riflettori sulla sicurezza delle infrastrutture IT governative in Africa. Questo gruppo di cyber spionaggio è noto per le sue campagne sofisticate ai danni di diversi settori a livello globale, tra cui telecomunicazioni, energia, istruzione e sanità.

Negli ultimi sviluppi nel panorama della sicurezza mobile, è stato scoperto un nuovo spyware per Android denominato DCHSpy, collegato al Ministero dell’Intelligence e Sicurezza iraniano. Questo malware viene distribuito camuffandosi da applicazione VPN o da applegate a servizi come Starlink, la nota connessione satellitare di SpaceX.

Il panorama della sicurezza informatica è sempre più caratterizzato da attacchi sofisticati che sfruttano non soltanto vulnerabilità zero-day, ma anche configurazioni deboli, strumenti di fiducia lasciati scoperti e sistemi non aggiornati. Questa settimana, le cronache della cybersecurity mostrano come le minacce siano in costante evoluzione, puntando spesso su tecniche silenziose che eludono i controlli tradizionali e sfruttano la fiducia riposta nelle soluzioni aziendali.

Il gruppo di cybercriminali noto come EncryptHub, identificato anche come LARVA-208 e Water Gamayun, ha lanciato una nuova campagna mirata agli sviluppatori Web3 allo scopo di infettarli con malware di tipo information stealer. Questa evoluzione tattica vede EncryptHub utilizzare falsi strumenti di intelligenza artificiale, come il sito Norlax AI che imita piattaforme legittime quali Teampilot, per attirare le vittime tramite offerte di lavoro o richieste di revisione del portfolio.

Una nuova ondata di attacchi informatici ha colpito oltre 3500 siti web in tutto il mondo attraverso l’iniezione di script JavaScript progettati per il mining di criptovalute. Questo fenomeno, noto come cryptojacking, rappresenta una delle minacce più insidiose per la sicurezza dei siti web e degli utenti stessi.

Un recente attacco alla supply chain del software ha colpito diversi pacchetti npm molto diffusi, sfruttando una campagna di phishing per rubare i token di accesso dei manutentori. I criminali informatici hanno così potuto pubblicare versioni malevole dei pacchetti direttamente nel registro npm, senza lasciare traccia nei repository GitHub originali.

Google ha recentemente annunciato che il suo framework di scoperta delle vulnerabilità assistito da modelli linguistici di grandi dimensioni (LLM) ha identificato una grave falla di sicurezza in SQLite prima che potesse essere sfruttata attivamente dai criminali informatici. La vulnerabilità, catalogata come CVE-2025-6965 con un punteggio CVSS di 7.2, riguarda un problema di corruzione della memoria che interessa tutte le versioni precedenti alla 3.50.2 del popolare motore di database open source.

Un nuovo attacco informatico sta sfruttando una vulnerabilità nota del server Apache HTTP per installare un miner di criptovalute chiamato Linuxsys. La falla in questione, identificata come CVE-2021-41773, è una vulnerabilità di path traversal di gravità elevata che colpisce la versione 2.4.49 di Apache HTTP Server e può consentire l’esecuzione di codice da remoto.