Una nuova campagna di cyber attacco sta prendendo di mira utenti di lingua cinese attraverso una versione trojanizzata di SumatraPDF, il noto lettore PDF per Windows. Il file malevolo viene distribuito in un archivio ZIP che contiene esche sotto forma di documenti a tema militare.

Gli AI agent stanno diventando un tema centrale nella sicurezza informatica aziendale per un motivo preciso: non sono solo nuovi attori digitali, ma attori delegati. Un agente non nasce con autorità propria: viene attivato o autorizzato da identità già presenti in azienda come utenti umani, account di servizio, bot e identità macchina.

Negli ultimi giorni è emersa una nuova minaccia di sicurezza informatica legata alla supply chain che coinvolge strumenti usati quotidianamente dagli sviluppatori e dai team DevOps. Ricercatori hanno individuato immagini Docker malevole pubblicate nel repository ufficiale checkmarx kics su Docker Hub, con tag sovrascritti rispetto a versioni esistenti e con un tag aggiuntivo non associato a un rilascio reale.

Nel bollettino settimanale di cybersecurity emergono schemi che si ripetono e che continuano a funzionare con piccole variazioni. Gli attaccanti sfruttano ancora percorsi noti, errori di configurazione e catene di fiducia deboli, con un impatto che va dai furti in ambito DeFi fino agli abusi di strumenti legittimi su macOS e alle campagne di supply chain malware nei registri di pacchetti.

La campagna attribuita al cluster di minaccia UNC6692 mostra come la social engineering stia evolvendo sfruttando strumenti di collaborazione aziendale come Microsoft Teams. Gli attaccanti avviano spesso la compromissione con un email bombing, cioe una raffica di messaggi spam che intasa la casella della vittima e crea urgenza e confusione.

Una nuova campagna malware Android legata alla famiglia NGate sta colpendo principalmente il Brasile e sfrutta una tecnica particolarmente insidiosa: la trojanizzazione di HandyPay, una app legittima pensata per il relay dei dati NFC.

Invece di appoggiarsi a soluzioni note come NFCGate, gli attaccanti hanno preso HandyPay e vi hanno inserito codice malevolo, con indizi che suggeriscono anche un possibile uso di strumenti di generazione automatica del codice.

Il risultato è un malware capace di rubare dati NFC delle carte di pagamento e il PIN della vittima, abilitando frodi come prelievi contactless agli sportelli ATM e pagamenti non autorizzati.

La distribuzione avviene tramite siti web e pagine che imitano servizi affidabili.

• Falso portale “lotteria”: un sito costruito per convincere l’utente a inviare un messaggio WhatsApp per riscattare un premio; da lì la vittima viene guidata al download della versione infetta dell’app.
• Finta scheda Google Play: una pagina che simula l’aspetto di una scheda di Google Play per una presunta app di protezione della carta, aumentando la credibilità del contenuto e la probabilità di installazione fuori dallo store ufficiale.

Dopo l’installazione, la app malevola chiede di essere impostata come app di pagamento predefinita. Questo passaggio è cruciale per la truffa, perché HandyPay di base non richiede permessi invasivi e quindi può sembrare innocua.

La vittima viene poi invitata a inserire il PIN della carta nell’app e ad appoggiare la carta sul retro dello smartphone con NFC.

In quel momento il malware intercetta e inoltra i dati NFC a un dispositivo controllato dagli attaccanti, che possono emulare la carta per operazioni fraudolente. In parallelo, il PIN viene esfiltrato verso un server di comando e controllo, completando il quadro per l’abuso finanziario.

La campagna risulterebbe attiva almeno da novembre 2025 e la versione infetta non sarebbe stata pubblicata su Google Play, segnale che la catena di infezione punta su social engineering e installazioni da fonti esterne. HandyPay avrebbe avviato una indagine interna sull’accaduto.

La trasformazione digitale in Medio Oriente sta accelerando e con essa cresce la necessità di cybersecurity in Arabia Saudita. Il Paese è tra le economie digitali in più rapida espansione della regione, grazie a programmi pubblici come Vision 2030 che stanno spingendo online servizi di e-government, fintech, infrastrutture intelligenti e piattaforme per cittadini e imprese.

I ricercatori di cybersecurity hanno individuato una nuova variante del malware LOTUSLITE, un backdoor associato a campagne di cyber espionage, che in questa ondata viene distribuito con un tema legato al settore bancario in India. La minaccia si distingue per un set di funzioni tipiche dello spionaggio informatico e non di frodi finanziarie, includendo accesso remoto tramite shell, operazioni sui file e gestione delle sessioni.

L’operazione ransomware-as-a-service chiamata The Gentlemen sta mostrando una crescita rapida e una capacità operativa sempre più industrializzata. Un elemento chiave emerso nelle analisi recenti è l’uso del malware proxy SystemBC, collegato a un server di comando e controllo che ha permesso di individuare una botnet con oltre 1570 vittime.

Nel panorama della cybersecurity il ransomware continua a evolversi non solo sul piano tecnico ma anche su quello umano e organizzativo. Un caso recente mette sotto i riflettori una figura considerata di supporto alle vittime, il ransomware negotiator, che invece avrebbe collaborato con un gruppo criminale legato al ransomware BlackCat durante il 2023.