La regione del Sud-Est asiatico, inclusi paesi come Filippine, Vietnam, Thailandia e Malesia, è diventata il bersaglio di una sofisticata campagna di cyber spionaggio condotta da un nuovo gruppo di minaccia persistente avanzata (APT) noto come Earth Kurma. Secondo quanto riportato da Trend Micro, questa campagna ha avuto inizio nel giugno 2024 e si distingue per l'uso di malware personalizzati, rootkit e servizi di archiviazione cloud per l'esfiltrazione dei dati.

Nell'attuale panorama della sicurezza informatica, le minacce non accennano a diminuire. I criminali informatici, sempre più sofisticati, utilizzano strumenti avanzati come kit di phishing alimentati da intelligenza artificiale e grandi reti botnet.

Il pacchetto JavaScript npm di Ripple, noto come xrpl.js, ha subito una compromissione da parte di attori malevoli nell'ambito di un attacco alla catena di fornitura software, mirato a raccogliere ed esfiltrare le chiavi private degli utenti. L'attività malevola ha interessato cinque diverse versioni del pacchetto: 4.2.1, 4.2.2, 4.2.3, 4.2.4 e 2.14.2.

Gli attori di minacce stanno sfruttando una nuova vulnerabilità in SAP NetWeaver per caricare web shell JSP, con l'obiettivo di facilitare il caricamento non autorizzato di file ed eseguire codice. Secondo un rapporto pubblicato da ReliaQuest, l'exploit potrebbe essere legato a una vulnerabilità già nota come CVE-2017-9844 o a un problema di inclusione remota di file (RFI) non riportato.

Nel primo trimestre del 2025 sono stati identificati ben 159 CVE sfruttati attivamente, un aumento rispetto ai 151 del quarto trimestre del 2024. Secondo un rapporto di VulnCheck, il 28.3% di queste vulnerabilità è stato sfruttato entro un solo giorno dalla loro divulgazione.

Recentemente, i ricercatori di cybersecurity hanno identificato alcune vulnerabilità critiche nel server web Rack per Ruby. Queste problematiche, se sfruttate, potrebbero consentire agli aggressori di accedere a file riservati, iniettare dati malevoli e manomettere i log.

In un attacco di phishing recentemente scoperto, hacker hanno utilizzato un metodo sofisticato per inviare email fraudolente attraverso l'infrastruttura di Google, ingannando i destinatari e reindirizzandoli a siti dannosi per rubare le credenziali. Questo attacco sfrutta la funzione di firma dei messaggi DKIM di Google, permettendo alle email di apparire legittime e provenienti da un indirizzo ufficiale di Google.

Nel mondo della sicurezza informatica, i broker di accesso iniziale (IAB) giocano un ruolo cruciale, spesso in ombra. Uno di questi attori, noto come ToyMaker, è al centro di un'analisi dettagliata da parte dei ricercatori di Cisco Talos.

Una grave vulnerabilità di sicurezza è stata scoperta nel Commvault Command Center, che potrebbe consentire l'esecuzione di codice arbitrario su installazioni compromesse. Questa falla, identificata come CVE-2025-34028, ha un punteggio CVSS di 9.0 su 10, segnalando l'elevata criticità del problema.

Gli hacker nordcoreani stanno utilizzando aziende fantasma nel settore delle criptovalute per diffondere malware attraverso l'esca di interviste di lavoro. Secondo un'analisi dettagliata di Silent Push, tre aziende di copertura, BlockNovas LLC, Angeloper Agency e SoftGlide LLC, sono state create per distribuire malware tramite false offerte di lavoro.