Nel bollettino ThreatsDay emergono segnali chiari su come si sta evolvendo la cybersecurity nel 2026 tra infrastrutture malevole sempre piu estese, kit di phishing pronti all uso e attacchi di supply chain che sfruttano la fiducia negli aggiornamenti firmati. Una delle evidenze piu pesanti riguarda l individuazione di oltre 1.300 server di comando e controllo nel Medio Oriente distribuiti su decine di provider.
La prevalenza di infrastrutture C2 rispetto a phishing e indicatori pubblici mostra quanto sia ancora semplice per botnet e framework offensivi mantenere presenza e resilienza.
Sul fronte cloud security spicca una vulnerabilita di privilege escalation in Azure Backup per AKS che avrebbe permesso a un utente con il solo ruolo di Backup Contributor di ottenere cluster admin su qualunque cluster AKS senza permessi Kubernetes. Anche senza un CVE pubblico, il rischio e tipico degli scenari di misconfigurazione e controlli insufficienti nelle catene di autorizzazione tra servizi gestiti.
La supply chain torna protagonista con un incidente che coinvolge DAEMON Tools inserito nel catalogo KEV. Il punto critico e l uso di binari trojanizzati firmati digitalmente con un certificato legittimo, fattore che aumenta le probabilita di bypass dei controlli basati su reputazione e firma. In parallelo continuano campagne con installer falsi ospitati su piattaforme note come GitHub e SourceForge, usati per distribuire backdoor e RAT basati su runtime Deno, spesso promossi tramite canali social compromessi.
Crescono anche le minacce legate all identita. Il kit Kali365 punta Microsoft 365 catturando token OAuth per ottenere accesso persistente e aggirare MFA senza rubare direttamente le credenziali. Questo modello phishing as a service abbassa la barriera tecnica e rende piu frequenti attacchi basati su consenso e device login flow. In ambito consumer e enterprise, la tecnica Vaultjacking mostra come un PIN a 6 cifre del password manager possa diventare la chiave per decifrare un intero vault sincronizzato, trasformando un singolo passo di verifica in compromissione totale.
Non mancano le frodi legate a eventi globali come la FIFA World Cup 2026, con domini e campagne pubblicitarie malevole che imitano portali ufficiali, app e ticketing, puntando a credenziali e pagamenti.