Nel panorama della sicurezza informatica emergono nuove minacce che sfruttano infrastrutture e tattiche sempre più sofisticate. Tra queste si distinguono i gruppi denominati TA829 e UNK_GreenSec, protagonisti di campagne malware che condividono tecniche e risorse.

Negli Stati Uniti è stata recentemente smantellata una vasta rete di lavoratori IT nordcoreani che, con la complicità di facilitatori internazionali, riusciva a infiltrarsi nell’economia digitale americana per aggirare le sanzioni e finanziare le attività illecite della Corea del Nord. Il Dipartimento di Giustizia USA ha annunciato l’arresto di un cittadino statunitense, la confisca di 29 conti finanziari e 21 siti web fraudolenti, nonché il sequestro di quasi 200 computer utilizzati per accedere da remoto ai network delle aziende vittime.

Il gruppo cybercriminale noto come Blind Eagle ha recentemente intensificato le proprie attività contro istituzioni finanziarie colombiane, utilizzando il servizio di hosting bulletproof russo Proton66 per condurre campagne di phishing e distribuire Remote Access Trojan (RAT). Proton66 è un servizio ampiamente impiegato dai criminali informatici poiché ignora intenzionalmente le segnalazioni di abusi e le richieste legali di rimozione, consentendo così agli attaccanti di mantenere operativi i loro server di phishing e di comando e controllo senza interruzioni.

Negli ultimi mesi le agenzie statunitensi di sicurezza informatica e intelligence hanno pubblicato un avviso congiunto riguardo all’aumento delle minacce di cyber attacchi provenienti da attori legati o sponsorizzati dallo Stato iraniano. Questo incremento di attività malevole, secondo le autorità, è destinato a intensificarsi a causa delle tensioni geopolitiche in corso, soprattutto tra Iran e Israele.

Il panorama della cybersecurity continua a evolversi rapidamente, con nuove minacce e vulnerabilità che emergono ogni settimana. Negli ultimi giorni, uno dei temi principali è stato l’avvertimento dell’FBI riguardo a un’ondata di attacchi contro il settore aereo.

La minaccia del ransomware è in costante crescita e nel 2025 si registrano il 150 per cento di attacchi in più rispetto all’anno precedente. Le organizzazioni di ogni settore sono costrette a rincorrere tattiche criminali sempre più sofisticate e ad affrontare l’evoluzione delle tecnologie che alimentano queste minacce.

Negli ultimi tempi è stata scoperta una rete composta da oltre 1000 dispositivi SOHO compromessi, utilizzata come infrastruttura per una campagna di cyber spionaggio collegata a gruppi hacker cinesi. Questa rete, soprannominata LapDogs, è stata individuata dal team STRIKE di SecurityScorecard e coinvolge principalmente vittime negli Stati Uniti e nel Sud-Est Asiatico, ma sono stati registrati casi anche in Giappone, Corea del Sud, Hong Kong e Taiwan.

Negli ultimi tempi, le istanze Docker mal configurate sono diventate il bersaglio di sofisticate campagne di cryptojacking che sfruttano la rete Tor per nascondere le attività malevole. Gli attaccanti approfittano di API Docker esposte senza adeguate misure di sicurezza, ottenendo così accesso a ambienti containerizzati.

La CISA, l'Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti, ha recentemente aggiunto tre gravi vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV), sulla base di prove di sfruttamento attivo. Le vulnerabilità interessano dispositivi e software ampiamente diffusi come AMI MegaRAC, router D-Link DIR-859 e Fortinet FortiOS, evidenziando l'urgenza di adottare misure correttive per proteggere le infrastrutture IT critiche.

Il gruppo di cybercriminali noto come Scattered Spider sta rapidamente espandendo il proprio raggio d'azione, prendendo di mira il settore delle compagnie aeree con tecniche avanzate di social engineering. Secondo recenti alert dell'FBI, questi attori malevoli sfruttano principalmente la manipolazione psicologica, impersonando dipendenti o fornitori per ingannare i servizi di help desk IT e ottenere accesso illecito ai sistemi aziendali.