Google Threat Intelligence Group ha collegato un attore di minaccia finora poco documentato a una serie di attacchi informatici contro organizzazioni ucraine tramite il malware CANFAIL. Le analisi indicano una possibile affiliazione con servizi di intelligence russi e un focus su settori strategici come difesa, militare, governo ed energia, sia a livello regionale sia nazionale.

Le più recenti analisi di threat intelligence mostrano come il settore della difesa e, in particolare, la Defense Industrial Base sia diventato un obiettivo prioritario di operazioni cyber coordinate. Gruppi legati a Cina, Iran, Russia e Corea del Nord, insieme ad attori hacktivist e criminali, stanno concentrando gli attacchi su aziende aerospaziali, fornitori militari e organizzazioni connesse alla produzione e alla ricerca.

Google ha rilevato un uso sempre più intenso di Gemini AI da parte di gruppi di hacker sponsorizzati da stati, con l’obiettivo di velocizzare e rendere più efficaci le fasi di ricognizione e supporto agli attacchi informatici. In particolare, è stato osservato un attore legato alla Corea del Nord, identificato come UNC2970, mentre sfruttava l’intelligenza artificiale generativa per sintetizzare OSINT e costruire profili dettagliati di obiettivi ad alto valore.

Negli ultimi mesi diverse entità indiane legate a difesa e governo sono finite nel mirino di campagne di cyber spionaggio costruite per colpire sia Windows sia Linux con malware di tipo Remote Access Trojan. L’obiettivo è ottenere accesso remoto persistente, rubare dati sensibili e mantenere una presenza stabile sui sistemi compromessi per operazioni a lungo termine.

Il ransomware Reynolds si sta facendo notare nel panorama delle minacce informatiche per una tecnica di evasione particolarmente efficace: integra direttamente nel payload un componente BYOVD (bring your own vulnerable driver). In pratica gli attaccanti includono un driver legittimo ma vulnerabile per ottenere privilegi elevati e disattivare le soluzioni EDR (endpoint detection and response), così da rendere più difficile l’individuazione delle attività malevole.

Una recente campagna di spear phishing sta colpendo in modo mirato organizzazioni in Uzbekistan e Russia distribuendo NetSupport RAT, un remote access trojan basato su un software legittimo di amministrazione remota. Questa tecnica rende l’attacco più credibile e difficile da individuare, perché lo strumento usato è normalmente impiegato per assistenza tecnica e gestione dei sistemi.

Nel corso del 2025 una nuova ondata di cyber spionaggio ha preso di mira enti governativi e forze dell ordine nel Sud Est asiatico, con operazioni attribuite a un cluster collegato alla Cina identificato come Amaranth Dragon. I paesi interessati includono Cambogia, Thailandia, Laos, Indonesia, Singapore e Filippine.

Un nuovo gruppo di cyber spionaggio legato a interessi statali e identificato come TGR STA 1030 ha compromesso almeno 70 organizzazioni tra enti governativi e infrastrutture critiche in 37 Paesi nell’arco dell’ultimo anno. La campagna mostra un approccio strutturato e di lungo periodo, con permanenza negli ambienti delle vittime per mesi e con l’obiettivo di sottrarre dati sensibili da server di posta elettronica e sistemi interni.

Nel panorama della cybersecurity i numeri dei DDoS stanno crescendo a ritmi impressionanti e un caso recente lo dimostra in modo netto. La botnet AISURU Kimwolf e stata collegata a un attacco DDoS HTTP iper volumetrico che ha raggiunto il picco di 31.4 Tbps e si e concluso in soli 35 secondi.

Nel panorama della cybersecurity di inizio 2026 emergono molti segnali piccoli ma coerenti che mostrano come gli attacchi stiano diventando meno visibili nella fase di ingresso e più rapidi e scalabili nella fase di impatto. Le intrusioni partono sempre più spesso da punti considerati ordinari come workflow di sviluppo, strumenti di accesso remoto, percorsi di identità nel cloud e azioni comuni degli utenti.