Un gruppo di hacker collegato alla Cina, identificato come UNC6384, è stato recentemente associato a una nuova ondata di attacchi informatici contro enti diplomatici e governativi europei. Questi attacchi, avvenuti tra settembre e ottobre 2025, sfruttano una vulnerabilità non corretta nei collegamenti di Windows (Windows Shortcut), nota come ZDI-CAN-25373 e tracciata ufficialmente come CVE-2025-9491.

Negli ultimi mesi la sicurezza della supply chain software è stata nuovamente minacciata da una massiccia campagna di attacco che ha preso di mira il registry npm, uno dei principali ecosistemi per pacchetti JavaScript. I ricercatori hanno individuato oltre 100 pacchetti npm malevoli che, una volta installati, rubano token di autenticazione, segreti CI/CD e credenziali GitHub direttamente dai dispositivi degli sviluppatori.

Il panorama della cybersecurity sta vivendo una trasformazione significativa, con nuove minacce che richiedono una costante attenzione e aggiornamento delle strategie di difesa. Gli attacchi diventano sempre più mirati e sofisticati, come dimostrato dalla recente espansione del malware Hijack Loader in America Latina, dove campagne di phishing veicolano il trojan PureHVNC attraverso allegati SVG apparentemente innocui.

Negli ultimi mesi si sta osservando una crescente adozione di AdaptixC2, un framework open source di command-and-control (C2), da parte di gruppi di cybercriminali, in particolare provenienti dall’area del ransomware russo. Inizialmente sviluppato per il penetration testing e l’emulazione di avversari, AdaptixC2 è stato progettato per essere estensibile e modulare, offrendo funzionalità avanzate come comunicazioni completamente criptate, esecuzione di comandi remoti, gestione delle credenziali, acquisizione di screenshot e gestione terminale a distanza.

Negli ultimi mesi il panorama della sicurezza informatica è stato segnato da una svolta importante nel comportamento della botnet Aisuru. Originariamente conosciuta per aver condotto attacchi DDoS di portata record tramite centinaia di migliaia di dispositivi Internet of Things (IoT) compromessi, Aisuru sta ora puntando su un business più redditizio e discreto: l’affitto di dispositivi IoT infetti come proxy residenziali.

Negli ultimi mesi si è registrato un significativo aumento degli attacchi automatizzati condotti da botnet contro server PHP, dispositivi IoT e gateway cloud. Gruppi di malware come Mirai, Gafgyt e Mozi stanno sfruttando vulnerabilità note (CVE) e configurazioni errate del cloud per prendere il controllo di sistemi esposti e ampliare le proprie reti malevole.

Le organizzazioni ucraine sono recentemente state bersaglio di sofisticati attacchi informatici da parte di gruppi hacker di origine russa. Queste campagne hanno avuto come obiettivo principale l’esfiltrazione di dati sensibili e il mantenimento di un accesso persistente alle reti compromesse.

Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di Herodotus, un nuovo trojan bancario per Android che si distingue per la sua capacità di imitare il comportamento umano e aggirare i sistemi antifrode basati su biometria comportamentale. Herodotus è stato individuato in campagne attive principalmente in Italia e Brasile, con l’obiettivo di eseguire attacchi di device takeover, ossia il controllo remoto totale del dispositivo della vittima.

Una recente campagna di cyber spionaggio ha sfruttato una vulnerabilità zero-day di Google Chrome, identificata come CVE-2025-2783, per diffondere un nuovo spyware avanzato denominato LeetAgent, sviluppato dall’azienda italiana Memento Labs. Questa vulnerabilità, classificata con un punteggio CVSS di 8.3, permetteva agli attaccanti di superare i meccanismi di sandbox del browser, ottenendo così la possibilità di eseguire codice arbitrario sul sistema della vittima.

Negli ultimi anni il gruppo di cybercriminali nordcoreani BlueNoroff, noto anche come APT38, ha intensificato le sue attività contro il settore Web3 e blockchain con due campagne avanzate denominate GhostCall e GhostHire. Queste operazioni fanno parte di un più ampio schema chiamato SnatchCrypto, attivo almeno dal 2017, e mirano in particolare a colpire dirigenti di aziende tecnologiche, venture capital e sviluppatori Web3.