Negli ultimi mesi la botnet Kimwolf è cresciuta in modo esplosivo e, secondo diverse analisi, avrebbe compromesso oltre 2 milioni di dispositivi nel mondo. Il punto più critico non è solo la dimensione, ma il modo in cui Kimwolf riesce a entrare nella rete locale, cioè dietro il router di casa o dell’ufficio, dove molti utenti credono di essere al sicuro.

Una recente campagna di phishing ha dimostrato quanto sia efficace sfruttare servizi cloud considerati affidabili per superare i controlli di sicurezza email. Gli attaccanti hanno abusato di una funzionalità di Google Cloud chiamata Application Integration, in particolare del compito Send Email, per inviare messaggi da un indirizzo legittimo su dominio Google come noreply application integration google com.

Il gruppo di cyber spionaggio noto come Transparent Tribe, identificato anche come APT36, è stato collegato a una nuova ondata di attacchi informatici mirati contro enti governativi indiani, organizzazioni strategiche e mondo accademico. La campagna punta a ottenere accesso remoto persistente ai sistemi compromessi tramite un RAT (remote access trojan), capace di mantenere il controllo nel tempo e di supportare attività di raccolta informazioni.

Una recente campagna di spear phishing ha sfruttato il registro npm come infrastruttura per rubare credenziali di accesso, pubblicando 27 pacchetti malevoli in un arco di circa cinque mesi. Il punto chiave non è convincere gli utenti a installare librerie dannose, ma riutilizzare npm e le CDN dei pacchetti come hosting affidabile per pagine di phishing eseguite direttamente nel browser.

Una nuova campagna di botnet chiamata RondoDox sta colpendo in modo continuo da mesi dispositivi IoT e applicazioni web, con l’obiettivo di arruolare sistemi compromessi in una rete controllata da criminali informatici. Il punto di forza di questa offensiva è lo sfruttamento della vulnerabilità React2Shell, identificata come CVE-2025-55182 e valutata con gravità massima.

Il 2026 si apre con un panorama di minacce informatiche che premia gli attaccanti silenziosi e penalizza chi si affida solo ai segnali più evidenti. Al centro delle nuove campagne c’è la capacità di sfruttare piccoli varchi in modo coordinato, combinando malware, truffe online, vulnerabilità e tecniche di persistenza su cloud e dispositivi personali.

Un attacco alla supply chain ha colpito la Trust Wallet Chrome extension e ha portato al furto di circa 8.5 milioni di dollari in criptovalute, sottratti da 2.520 wallet. Il caso mostra in modo chiaro quanto la sicurezza delle estensioni browser e dei processi di rilascio sia un punto critico per chi gestisce asset digitali e per chi sviluppa software legato al mondo crypto.

Il Dipartimento del Tesoro degli Stati Uniti, tramite l’ufficio OFAC, ha rimosso tre persone collegate al gruppo Intellexa dal registro delle sanzioni noto come lista SDN. Intellexa e la holding associata sono indicati come attori centrali nella diffusione di Predator, uno spyware commerciale usato per la sorveglianza digitale su dispositivi mobili.

Negli ultimi mesi la sicurezza della supply chain software è tornata al centro dell’attenzione a causa di nuove campagne che abusano dei repository di dipendenze più usati. Un caso emblematico riguarda un ceppo modificato del worm Shai Hulud individuato nel registro npm all’interno del pacchetto @vietmoney/react-big-calendar.

Le aziende che adottano intelligenza artificiale in produzione stanno scoprendo un problema concreto di cybersecurity: i framework di sicurezza tradizionali non coprono in modo adeguato i vettori di attacco specifici dell’AI. Anche organizzazioni con programmi maturi, audit superati e conformità a standard diffusi possono restare esposte.