Un attacco alla supply chain ha colpito DAEMON Tools compromettendo gli installer ufficiali distribuiti dal sito legittimo. Il punto più critico è che i pacchetti risultano firmati digitalmente con certificati riconducibili agli sviluppatori, un dettaglio che aumenta la fiducia degli utenti e rende più difficile individuare la minaccia con i controlli tradizionali.

Nel panorama della cybersecurity 2026 il tempo tra patch e sfruttamento si sta riducendo drasticamente e la settimana appena trascorsa lo conferma. Gli attaccanti non puntano solo al breach iniziale ma all occupazione prolungata di ambienti SaaS, sessioni gia autenticate e pipeline di sviluppo, muovendosi con tecniche sempre piu professionali e difficili da rilevare.

Il gruppo di cybercrime noto come Silver Fox è stato collegato a una nuova campagna di phishing mirata che prende di mira organizzazioni in India e Russia, distribuendo un malware chiamato ABCDoor. La catena di infezione sfrutta esche a tema tasse e comunicazioni che imitano avvisi ufficiali di controlli fiscali o presunte violazioni tributarie, inducendo le vittime a scaricare archivi compressi.

Una campagna di phishing attiva almeno da aprile 2025 sta colpendo il mondo aziendale sfruttando un approccio particolarmente insidioso nella cybersecurity moderna. Invece di installare malware tradizionale facilmente rilevabile, gli attaccanti usano software legittimo di Remote Monitoring and Management (RMM) per ottenere accesso remoto persistente ai sistemi compromessi.

Ricercatori di cybersecurity hanno individuato una campagna di malware che prende di mira gli sviluppatori attraverso estensioni false di Visual Studio Code pubblicate su Open VSX. Il caso riguarda 73 estensioni clonate, create per sembrare identiche a quelle legittime e aumentare le installazioni sfruttando la fiducia degli utenti.

Una campagna di phishing su larga scala ha sfruttato Google AppSheet come canale di inoltro per inviare email fraudolente e compromettere account Facebook, con un impatto stimato di circa 30000 profili violati. Il meccanismo è particolarmente insidioso perché i messaggi partono da un indirizzo legittimo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., aumentando la probabilità di superare i filtri antispam e di risultare credibili agli occhi delle vittime.

La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo quattro vulnerabilità sfruttate attivamente che interessano SimpleHelp, Samsung MagicINFO 9 Server e i router D-Link della serie DIR-823X. Questa mossa rafforza le indicazioni operative per la gestione delle vulnerabilità nei sistemi esposti e richiama in particolare le agenzie federali a intervenire entro una scadenza definita.

VECT 2.0 è un ransomware che in realtà si comporta come un wiper, cioè un malware di distruzione dati. La particolarità che lo rende estremamente pericoloso è che su Windows, Linux ed ESXi finisce per rendere irrecuperabili molti file aziendali, anche nel caso in cui la vittima paghi il riscatto.

La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo due vulnerabilità attivamente sfruttate che riguardano ConnectWise ScreenConnect e Microsoft Windows. Questo elenco è un riferimento operativo per la gestione delle patch e per la riduzione del rischio, soprattutto negli ambienti dove la superficie di attacco include strumenti di accesso remoto e postazioni Windows diffuse.

Un recente attacco alla supply chain software ha colpito il pacchetto Python Lightning su PyPI, dimostrando ancora una volta quanto sia fragile la catena di distribuzione delle dipendenze open source. Sono state pubblicate due versioni malevole, Lightning 2.6.2 e 2.6.3, rilasciate il 30 aprile 2026, progettate per il furto di credenziali e l’uso improprio di token di accesso.