Negli ultimi mesi la sicurezza di Salesforce Experience Cloud è finita sotto i riflettori per un aumento di attività malevole orientate a sfruttare configurazioni errate nei siti pubblicamente accessibili. Il punto critico non riguarda una vulnerabilità nativa della piattaforma, ma le impostazioni troppo permissive assegnate al profilo guest user, cioè l’utente non autenticato che serve a mostrare pagine di atterraggio, FAQ e articoli di knowledge base.

Un recente attacco di supply chain legato al pacchetto nx su npm mostra quanto velocemente un aggressore possa passare dal compromesso di un endpoint di sviluppo al pieno controllo del cloud. Il gruppo identificato come UNC6426 avrebbe sfruttato chiavi e token sottratti in precedenza per ottenere accesso amministrativo su AWS in meno di 72 ore, con impatti che includono esfiltrazione dati e azioni distruttive sugli ambienti di produzione.

Negli ultimi mesi diversi attaccanti stanno usando i dispositivi FortiGate Next Generation Firewall come punto di ingresso per violare reti aziendali e rubare credenziali di account di servizio. Questi apparati, spesso posizionati sul perimetro e con ampia visibilita sul traffico, possono avere accesso a informazioni estremamente sensibili come topologia di rete, policy e integrazioni con servizi di autenticazione.

Nel contesto del conflitto con l Iran, la cybersecurity sta emergendo come un tema chiave per chi fa venture capital, anche se in modo meno rumoroso rispetto alla defense tech. Quando cresce la tensione geopolitica, le operazioni informatiche aumentano in parallelo alle azioni militari tradizionali e questo crea un impatto immediato su aziende e governi che devono proteggere servizi essenziali e catene operative.

Una nuova campagna di malware sta colpendo dispositivi di rete edge con un obiettivo preciso: trasformare router e apparati simili in una botnet proxy in grado di instradare traffico malevolo in modo silenzioso. Il malware si chiama KadNap e prende di mira soprattutto i router Asus, anche se le analisi indicano tentativi di infezione anche su altri dispositivi di networking.

Il gruppo di cyber spionaggio APT28, legato a operazioni governative russe, è stato osservato mentre conduce attività di sorveglianza prolungata contro personale militare ucraino tramite due impianti malware chiamati BEARDSHELL e COVENANT. La campagna risulta attiva almeno da aprile 2024 e mostra un approccio orientato alla persistenza, al controllo remoto e alla raccolta continua di informazioni sensibili, con un uso crescente di servizi cloud legittimi per nascondere il traffico di comando e controllo.

Nel 2025 un gruppo di minaccia noto come UNC4899 è stato collegato a una compromissione avanzata contro una organizzazione del settore criptovalute con l’obiettivo di sottrarre milioni in asset digitali. La campagna è interessante perché combina social engineering, trasferimenti peer-to-peer tra dispositivi personali e aziendali e un successivo passaggio al cloud con tecniche living off the cloud, sfruttando strumenti e flussi DevOps legittimi invece di malware rumoroso.

Una campagna di cyber attacchi di lunga durata ha preso di mira organizzazioni ad alto valore in Asia meridionale, sud orientale e orientale, con un focus particolare su infrastrutture critiche e settori sensibili come aviazione, energia, pubblica amministrazione, forze dell’ordine, farmaceutico, tecnologia e telecomunicazioni. Il gruppo responsabile è stato identificato come CL-UNK-1068 e, secondo le analisi disponibili, l’obiettivo principale appare il cyber espionage, cioè la raccolta silenziosa di informazioni e credenziali nel tempo.

Nel recap settimanale di cybersecurity emergono tre segnali chiari per chi gestisce IT e sicurezza: le campagne di phishing industrializzate continuano a crescere, le vulnerabilità zero day e le catene di exploit su mobile restano un vettore ad alto impatto, e perfino le reti Wi‑Fi considerate protette possono essere aggirate con tecniche nuove.