Nel nuovo bollettino di cybersecurity emergono diversi segnali chiari su come stanno cambiando gli attacchi informatici nel 2026. Il filo conduttore è la capacità degli attaccanti di concatenare vulnerabilità apparentemente piccole per ottenere impatti enormi, riducendo al minimo le tracce e sfruttando punti ciechi in cloud, software aziendali e dispositivi mobili.

Una campagna hack for hire collegata al cluster Bitter ha preso di mira giornalisti, attivisti e funzionari tra Medio Oriente e Nord Africa, con un focus marcato su account Apple e Google e su tecniche di phishing mirato. Le attività osservate tra il 2023 e il 2025 mostrano un approccio persistente basato su social engineering e su canali di messaggistica molto usati, come iMessage e WhatsApp, con esche che imitano procedure di verifica e supporto tecnico.

I ricercatori di cybersecurity stanno osservando una nuova variante del malware Chaos che amplia in modo significativo il perimetro dei bersagli, puntando su deployment cloud configurati in modo errato. In passato Chaos era noto soprattutto per attacchi contro router e dispositivi edge, ma l’evoluzione recente mostra un interesse crescente verso ambienti cloud dove errori di configurazione possono aprire la strada a compromissioni rapide e difficili da attribuire.

Una campagna di attacchi informatici sta prendendo di mira oltre 1000 istanze ComfyUI esposte su Internet, sfruttando configurazioni non sicure per ottenere esecuzione di codice da remoto e trasformare i server in nodi di una botnet per cryptomining e proxy. ComfyUI è una piattaforma molto usata per Stable Diffusion e workflow di generazione immagini, spesso installata su macchine cloud con interfacce web accessibili pubblicamente.

Nel panorama della cybersecurity di aprile 2026 emergono segnali chiari di un cambio di passo nelle tecniche di attacco, dove spesso non servono zero day rumorosi per causare danni rilevanti.

Nuova ondata di botnet ibride

Tra i temi piu discussi spicca la nuova ondata di botnet ibride, capaci di resistere ai tentativi di smantellamento grazie a comunicazioni miste. Una variante di Phorpiex utilizza un modello che combina polling HTTP verso server di comando e controllo con un protocollo peer to peer su TCP e UDP. Questo approccio aumenta la continuita operativa quando i server vengono sequestrati o bloccati.

Il malware funge anche da canale per payload cifrati, rendendo piu difficile l iniezione di comandi da parte di terzi e favorendo la distribuzione di clipper per criptovalute, campagne di sextortion via email e persino la consegna di ransomware. La propagazione in stile worm tramite unita rimovibili e drive remoti amplia ulteriormente la superficie di infezione.

Vulnerabilita storiche che tornano attuali

Un altro punto critico riguarda le vulnerabilita storiche che tornano attuali. Una falla di remote code execution in Apache ActiveMQ Classic, rimasta latente per oltre un decennio, puo essere concatenata con un difetto piu recente per aggirare l autenticazione. In alcuni scenari, l esposizione dell API Jolokia senza credenziali rende possibile un RCE non autenticato, con impatti diretti su broker di messaggistica spesso presenti in ambienti enterprise.

Frodi online e frammentazione del ransomware

Sul fronte delle frodi online i numeri continuano a crescere. Le perdite economiche legate a truffe abilitate dal digitale raggiungono livelli record, con l investimento in criptovalute tra le fonti principali di danno finanziario, seguita da business email compromise e falsi supporti tecnici. Parallelamente aumentano le varianti di ransomware identificate, segno di un ecosistema criminale in continua frammentazione e specializzazione.

Abuso di canali legittimi, e-commerce e supply chain

La minaccia si estende anche ai canali considerati affidabili. Piattaforme SaaS e pipeline di notifica vengono sfruttate per inviare phishing e spam da infrastrutture legittime, riducendo la probabilita di blocco da parte dei filtri email.

Nel mondo e commerce, campagne Magecart evolvono nascondendo skimmer in elementi SVG invisibili per sottrarre dati di pagamento con overlay di checkout credibili. Nel frattempo, pacchetti malevoli su repository pubblici e leak di codice vengono rapidamente strumentalizzati come esche, facilitando la diffusione di stealer e malware tramite canali come release di repository e archivi trojanizzati.

Rischi emergenti dall integrazione AI

L integrazione di funzionalita AI in strumenti aziendali apre nuove vie di esfiltrazione: tecniche di prompt injection indiretta possono portare a fughe silenziose di dati, senza clic e senza credenziali, dimostrando quanto la sicurezza applicativa debba estendersi anche ai componenti basati su modelli.

Negli ultimi mesi la sicurezza delle infrastrutture critiche negli Stati Uniti è finita sotto pressione a causa di una campagna di attacchi informatici attribuita ad attori legati all’Iran. Il bersaglio principale sono i dispositivi di operational technology esposti su internet, in particolare i PLC (programmable logic controller) utilizzati per controllare processi industriali.

La minaccia informatica identificata come UAT 10362 è stata collegata a campagne di spear phishing mirate contro organizzazioni non governative di Taiwan e, con ogni probabilità, anche contro alcune università. L’obiettivo è la distribuzione di LucidRook, un malware di nuova generazione basato su Lua progettato per garantire flessibilità operativa, persistenza e un elevato livello di evasione dai controlli di sicurezza.

Negli ultimi mesi la sicurezza della supply chain software è tornata al centro dell’attenzione per una campagna persistente collegata alla Corea del Nord che sta diffondendo pacchetti malevoli in diversi ecosistemi open source. L’operazione, nota come Contagious Interview, utilizza librerie che imitano strumenti legittimi per sviluppatori ma che in realtà agiscono come loader di malware, aprendo la strada a infezioni più profonde e mirate.

Una nuova campagna di spear phishing attribuita al gruppo APT28 sta colpendo Ucraina e alleati NATO con l’obiettivo di distribuire PRISMEX, una suite malware finora non documentata che unisce steganografia avanzata, hijacking tramite Component Object Model e abuso di servizi cloud legittimi per il comando e controllo. L’attività risulta operativa almeno da settembre 2025 e mostra un approccio aggressivo e rapido nella weaponization di vulnerabilità appena rese note, con un chiaro orientamento alla compromissione di enti pubblici e infrastrutture critiche.

La botnet Masjesu sta attirando una crescente attenzione nel panorama della cybersecurity per la sua natura furtiva e per il modello DDoS for hire con cui viene promossa online dal 2023. Si tratta di una rete di dispositivi IoT compromessi, come router e gateway, in grado di operare su più architetture e di lanciare attacchi DDoS volumetrici contro obiettivi diversi, dai CDN ai game server fino alle infrastrutture aziendali.