La campagna CRESCENTHARVEST evidenzia come le minacce di cyber espionage possano sfruttare eventi geopolitici e contenuti emotivamente coinvolgenti per colpire utenti specifici. In questo caso il bersaglio principale sembra essere costituito da persone che supportano le proteste in Iran, con un approccio orientato al furto di informazioni e alla sorveglianza di lungo periodo tramite un RAT, cioè un remote access trojan capace di eseguire comandi da remoto, registrare digitazioni e sottrarre dati sensibili.

Negli ultimi mesi le campagne di social engineering su LinkedIn hanno mostrato una nuova evoluzione legata a operatori IT riconducibili alla Corea del Nord. La tattica punta a ottenere assunzioni in posizioni da remoto presso aziende occidentali, sfruttando identità rubate o costruite con cura.

Una nuova campagna malware legata a SmartLoader sta sfruttando un vettore sempre piu rilevante nella sicurezza software: la supply chain degli strumenti per intelligenza artificiale. I ricercatori hanno osservato la distribuzione di una versione trojanizzata di un server MCP (Model Context Protocol) collegato al mondo Oura, usato per connettere assistenti AI ai dati sanitari del dispositivo.

Le minacce informatiche di oggi non arrivano solo da malware tradizionali o da exploit isolati, ma si insinuano dentro strumenti e piattaforme usate ogni giorno da aziende e sviluppatori. La cybersecurity deve quindi inseguire un perimetro in continua espansione fatto di AI, cloud, marketplace di componenti software e catene di fornitura.

Una nuova variante della tecnica di social engineering ClickFix sta attirando l’attenzione per il modo in cui usa il DNS come canale di staging del malware, rendendo il traffico malevolo più simile a quello normale. In questo scenario l’attaccante non sfrutta una vulnerabilità tecnica ma la fiducia procedurale dell’utente, inducendolo a eseguire manualmente un comando che avvia la catena di infezione.

Google Threat Intelligence Group ha collegato un attore di minaccia finora poco documentato a una serie di attacchi informatici contro organizzazioni ucraine tramite il malware CANFAIL. Le analisi indicano una possibile affiliazione con servizi di intelligence russi e un focus su settori strategici come difesa, militare, governo ed energia, sia a livello regionale sia nazionale.

Le più recenti analisi di threat intelligence mostrano come il settore della difesa e, in particolare, la Defense Industrial Base sia diventato un obiettivo prioritario di operazioni cyber coordinate. Gruppi legati a Cina, Iran, Russia e Corea del Nord, insieme ad attori hacktivist e criminali, stanno concentrando gli attacchi su aziende aerospaziali, fornitori militari e organizzazioni connesse alla produzione e alla ricerca.

Google ha rilevato un uso sempre più intenso di Gemini AI da parte di gruppi di hacker sponsorizzati da stati, con l’obiettivo di velocizzare e rendere più efficaci le fasi di ricognizione e supporto agli attacchi informatici. In particolare, è stato osservato un attore legato alla Corea del Nord, identificato come UNC2970, mentre sfruttava l’intelligenza artificiale generativa per sintetizzare OSINT e costruire profili dettagliati di obiettivi ad alto valore.

Negli ultimi mesi diverse entità indiane legate a difesa e governo sono finite nel mirino di campagne di cyber spionaggio costruite per colpire sia Windows sia Linux con malware di tipo Remote Access Trojan. L’obiettivo è ottenere accesso remoto persistente, rubare dati sensibili e mantenere una presenza stabile sui sistemi compromessi per operazioni a lungo termine.

Il ransomware Reynolds si sta facendo notare nel panorama delle minacce informatiche per una tecnica di evasione particolarmente efficace: integra direttamente nel payload un componente BYOVD (bring your own vulnerable driver). In pratica gli attaccanti includono un driver legittimo ma vulnerabile per ottenere privilegi elevati e disattivare le soluzioni EDR (endpoint detection and response), così da rendere più difficile l’individuazione delle attività malevole.