Una recente operazione internazionale di contrasto al cybercrime ha interrotto SocksEscort, un servizio criminale di proxy residenziali che sfruttava router domestici e di piccole imprese compromessi per instradare traffico internet e facilitare frodi su larga scala. Il modello era semplice e redditizio: i dispositivi infettati venivano trasformati in nodi di uscita, permettendo ai clienti paganti di mascherare indirizzo IP reale e posizione geografica, rendendo più difficile distinguere traffico malevolo da attività legittime.

Il malware bancario VENON sta attirando molta attenzione nel panorama della cybersecurity perché rappresenta un cambio di passo nelle minacce rivolte agli utenti brasiliani. A differenza di molte famiglie storiche di trojan bancari diffuse in America Latina, spesso sviluppate con tecnologie più datate, VENON è scritto in Rust e prende di mira sistemi Windows con una catena di infezione studiata per eludere controlli e analisi.

Nel bollettino settimanale di cybersecurity emergono diverse tendenze che confermano quanto gli attacchi informatici stiano diventando più rapidi e più difficili da intercettare. Uno dei temi più rilevanti è l’abuso del consenso OAuth.

Nel panorama della cybersecurity del 2026 sta emergendo un segnale chiaro: la combinazione tra intelligenza artificiale e criminalita informatica sta riducendo drasticamente i tempi necessari per creare nuovi strumenti di attacco. Un esempio significativo e Slopoly, un malware basato su PowerShell attribuito al gruppo Hive0163 e usato per mantenere accesso persistente durante operazioni di ransomware.

Negli ultimi mesi la sicurezza di Salesforce Experience Cloud è finita sotto i riflettori per un aumento di attività malevole orientate a sfruttare configurazioni errate nei siti pubblicamente accessibili. Il punto critico non riguarda una vulnerabilità nativa della piattaforma, ma le impostazioni troppo permissive assegnate al profilo guest user, cioè l’utente non autenticato che serve a mostrare pagine di atterraggio, FAQ e articoli di knowledge base.

Un recente attacco di supply chain legato al pacchetto nx su npm mostra quanto velocemente un aggressore possa passare dal compromesso di un endpoint di sviluppo al pieno controllo del cloud. Il gruppo identificato come UNC6426 avrebbe sfruttato chiavi e token sottratti in precedenza per ottenere accesso amministrativo su AWS in meno di 72 ore, con impatti che includono esfiltrazione dati e azioni distruttive sugli ambienti di produzione.

Negli ultimi mesi diversi attaccanti stanno usando i dispositivi FortiGate Next Generation Firewall come punto di ingresso per violare reti aziendali e rubare credenziali di account di servizio. Questi apparati, spesso posizionati sul perimetro e con ampia visibilita sul traffico, possono avere accesso a informazioni estremamente sensibili come topologia di rete, policy e integrazioni con servizi di autenticazione.

Nel contesto del conflitto con l Iran, la cybersecurity sta emergendo come un tema chiave per chi fa venture capital, anche se in modo meno rumoroso rispetto alla defense tech. Quando cresce la tensione geopolitica, le operazioni informatiche aumentano in parallelo alle azioni militari tradizionali e questo crea un impatto immediato su aziende e governi che devono proteggere servizi essenziali e catene operative.

Una nuova campagna di malware sta colpendo dispositivi di rete edge con un obiettivo preciso: trasformare router e apparati simili in una botnet proxy in grado di instradare traffico malevolo in modo silenzioso. Il malware si chiama KadNap e prende di mira soprattutto i router Asus, anche se le analisi indicano tentativi di infezione anche su altri dispositivi di networking.

Il gruppo di cyber spionaggio APT28, legato a operazioni governative russe, è stato osservato mentre conduce attività di sorveglianza prolungata contro personale militare ucraino tramite due impianti malware chiamati BEARDSHELL e COVENANT. La campagna risulta attiva almeno da aprile 2024 e mostra un approccio orientato alla persistenza, al controllo remoto e alla raccolta continua di informazioni sensibili, con un uso crescente di servizi cloud legittimi per nascondere il traffico di comando e controllo.