Tra marzo e aprile 2026 una campagna malware attribuita al cluster UAC-0247 ha preso di mira enti governativi e strutture sanitarie municipali in Ucraina, con un focus su cliniche e ospedali di emergenza. L’obiettivo è il furto di dati sensibili, in particolare informazioni memorizzate nei browser basati su Chromium e contenuti legati a WhatsApp, con tecniche utili anche a ricognizione e movimento laterale nella rete.

Una nuova campagna malware sta colpendo la forza lavoro nella Repubblica Ceca con un botnet finora non documentato chiamato PowMix, attivo almeno da dicembre 2025. Il punto distintivo di PowMix è la sua capacità di eludere il rilevamento di rete grazie a un traffico di comando e controllo (C2) non costante.

Il trojan Mirax per Android si sta facendo notare nel panorama della sicurezza mobile per una caratteristica che va oltre il classico controllo remoto del dispositivo. Si tratta di un Android RAT in grado non solo di spiare e comandare lo smartphone infetto, ma anche di trasformarlo in un proxy residenziale basato su protocollo SOCKS5.

Microsoft ha rilasciato un nuovo pacchetto di aggiornamenti di sicurezza che corregge 169 vulnerabilita in un ampio numero di prodotti, segnando uno dei Patch Tuesday piu consistenti degli ultimi anni. La maggior parte dei difetti risolti e classificata come Important, ma sono presenti anche vulnerabilita Critical e casi che coinvolgono scenari ad alto impatto come esecuzione di codice da remoto, escalation di privilegi, bypass di funzioni di sicurezza e divulgazione di informazioni.

Da ottobre 2025 diversi gruppi criminali stanno abusando dei webhooks di n8n per potenziare campagne di phishing e distribuire malware tramite email. n8n è una piattaforma di workflow automation molto usata per collegare applicazioni web, API e servizi di intelligenza artificiale così da sincronizzare dati e automatizzare attività ripetitive.

Una nuova campagna di truffe online chiamata Pushpaganda sta sfruttando Google Discover per diffondere contenuti ingannevoli, scareware e frodi finanziarie, combinando tecniche di SEO poisoning e testi generati con intelligenza artificiale. Il meccanismo è semplice ma efficace: i criminali pubblicano false notizie su domini controllati, ottimizzandole per apparire nei feed personalizzati di Android e Chrome.

Una recente operazione congiunta tra FBI e Polizia Nazionale Indonesiana ha portato allo smantellamento di una rete globale di phishing legata a un toolkit pronto all’uso chiamato W3LL. La campagna avrebbe puntato a rubare credenziali di accesso a migliaia di account e a tentare frodi per oltre 20 milioni di dollari, dimostrando quanto le piattaforme di cybercrime possano scalare rapidamente quando offrono strumenti facili da usare e servizi a supporto.

OpenAI ha revocato il certificato di firma delle app macOS dopo aver individuato un rischio legato a un incidente di supply chain che ha coinvolto Axios, una delle librerie più usate per le richieste HTTP. Il punto critico non è stato un attacco diretto ai sistemi interni, ma il fatto che un workflow di GitHub Actions impiegato nel processo di firma e notarizzazione delle applicazioni macOS abbia scaricato ed eseguito una versione compromessa di Axios in data 31 marzo 2026.

Il gruppo di cyber spionaggio nordcoreano noto come APT37 è stato collegato a una nuova campagna di social engineering su Facebook, usata come canale iniziale per distribuire il malware RokRAT. La tecnica parte da un contatto apparentemente innocuo, con richieste di amicizia e conversazioni costruite per aumentare la fiducia della vittima.

JanelaRAT è un malware bancario che sta colpendo con continuità istituti finanziari in America Latina, con un picco di attività registrato soprattutto in Brasile e Messico. I dati di telemetria indicano 14739 attacchi in Brasile nel 2025 e 11695 in Messico, numeri che confermano una pressione costante sul settore bancario e sui servizi legati anche alle criptovalute.