Una nuova campagna di spear phishing attribuita al gruppo APT28 sta colpendo Ucraina e alleati NATO con l’obiettivo di distribuire PRISMEX, una suite malware finora non documentata che unisce steganografia avanzata, hijacking tramite Component Object Model e abuso di servizi cloud legittimi per il comando e controllo. L’attività risulta operativa almeno da settembre 2025 e mostra un approccio aggressivo e rapido nella weaponization di vulnerabilità appena rese note, con un chiaro orientamento alla compromissione di enti pubblici e infrastrutture critiche.

La botnet Masjesu sta attirando una crescente attenzione nel panorama della cybersecurity per la sua natura furtiva e per il modello DDoS for hire con cui viene promossa online dal 2023. Si tratta di una rete di dispositivi IoT compromessi, come router e gateway, in grado di operare su più architetture e di lanciare attacchi DDoS volumetrici contro obiettivi diversi, dai CDN ai game server fino alle infrastrutture aziendali.

Una nuova campagna di cyber spionaggio attribuita al gruppo APT28 ha mostrato quanto i router SOHO possano diventare un punto debole critico per aziende e pubbliche amministrazioni. Gli attaccanti hanno compromesso router MikroTik e TP Link non sicuri, modificandone le impostazioni di rete per trasformarli in infrastruttura malevola sotto controllo remoto.

Le recenti campagne ransomware attribuite ai gruppi Qilin e Warlock mostrano un salto di qualità nelle tecniche di evasione e sabotaggio delle difese endpoint. Entrambe le operazioni stanno sfruttando la strategia BYOVD (bring your own vulnerable driver) per disattivare strumenti di sicurezza a livello kernel e preparare il terreno alla cifratura.

Nel panorama della cybersecurity, il gruppo noto come Storm 1175 si distingue per la capacità di condurre attacchi ad alta velocità contro sistemi esposti su internet, con l’obiettivo di distribuire rapidamente il ransomware Medusa. La caratteristica più preoccupante di queste campagne è l’uso combinato di vulnerabilità zero day e di falle già note ma non ancora corrette, sfruttate per ottenere accesso iniziale a infrastrutture critiche.

Una recente campagna di attacchi informatici attribuita a gruppi legati alla Corea del Nord sta prendendo di mira organizzazioni in Corea del Sud con una catena multi stage che sfrutta GitHub come infrastruttura di command and control. Questa scelta permette agli aggressori di confondersi nel traffico legittimo e di sfruttare la fiducia associata a una piattaforma molto usata dagli sviluppatori, riducendo le probabilita di rilevamento.

La polizia criminale federale tedesca BKA ha annunciato di aver identificato due figure chiave legate a REvil, noto anche come Sodinokibi, uno dei gruppi più attivi nel panorama ransomware as a service. La notizia è rilevante per la cybersecurity europea perché collega in modo diretto identità reali a una lunga scia di attacchi ransomware che hanno colpito aziende e organizzazioni in Germania, con impatti economici estremamente significativi.

La settimana della cybersecurity ha mostrato quanto sia fragile la catena di fiducia che sostiene software e servizi usati ogni giorno. Il caso più rilevante riguarda la compromissione di un pacchetto npm molto diffuso, Axios, con quasi 100 milioni di download settimanali.

Nel 2026 la sicurezza informatica diventa un fattore decisivo anche per chi lavora in coworking e uffici flessibili. Con danni da cybercrime che continuano a crescere e con il costo medio di una violazione dati negli Stati Uniti che supera i dieci milioni di dollari, molte aziende si trovano esposte senza avere un team dedicato.

Il maxi furto da 285 milioni di dollari che ha colpito Drift, exchange decentralizzato basato su Solana, viene ricondotto a una lunga operazione di social engineering durata circa sei mesi e avviata nell’autunno 2025. L’attacco, avvenuto il primo aprile 2026, non sarebbe stato un evento improvviso ma il risultato di una campagna mirata e meticolosamente pianificata, attribuita con confidenza media a un gruppo di hacker legato alla Corea del Nord noto come UNC4736, già associato a diverse intrusioni nel settore crypto.