Il panorama delle minacce informatiche è in continua evoluzione e tra i principali attori si trovano i gruppi di hacker nordcoreani, noti per la loro sofisticazione e capacità di adattamento. Recentemente, è stata osservata una significativa evoluzione nelle loro tecniche, in particolare attraverso la fusione delle funzionalità di due malware distinti, BeaverTail e OtterCookie, ora integrati in una versione avanzata denominata OtterCookie v5.

Microsoft ha recentemente revocato oltre 200 certificati digitali falsificati che erano stati utilizzati dal gruppo criminale noto come Vanilla Tempest per firmare in modo fraudolento file malevoli, coinvolti in attacchi ransomware di tipo Rhysida. Questo intervento rappresenta una risposta decisa contro una sofisticata campagna che sfruttava certificati apparentemente legittimi per distribuire malware tramite file di installazione fasulli di Microsoft Teams.

Negli ultimi tempi, il panorama della sicurezza informatica ha osservato nuove tecniche sofisticate di attacco che sfruttano la combinazione di blockchain e vulnerabilità dei siti WordPress. Un gruppo di cybercriminali, identificato come UNC5142, ha infatti adottato una strategia innovativa: utilizzare smart contract sulla blockchain come vettore per distribuire malware, in particolare stealer come Atomic (AMOS), Lumma, Rhadamanthys e Vidar, colpendo sia utenti Windows che macOS.

Negli ultimi tempi la sicurezza informatica è stata messa a dura prova da nuove tecniche sofisticate adottate da gruppi di hacker sponsorizzati da Stati. Un caso recente riguarda un gruppo legato alla Corea del Nord, identificato come UNC5342, che ha iniziato ad utilizzare una tecnica chiamata EtherHiding per distribuire malware attraverso smart contract su blockchain pubbliche come Binance Smart Chain ed Ethereum.

Il panorama della cybersecurity mondiale continua a evolversi a una velocità impressionante, con minacce sempre più sofisticate e diffuse che colpiscono individui, aziende e infrastrutture critiche. L’ultima analisi settimanale mette in luce come i cybercriminali abbiano trasformato la tecnologia di uso comune in potenti strumenti di attacco, sfruttando vulnerabilità, scarsa consapevolezza e perfino applicazioni legittime.

Il panorama delle minacce informatiche si arricchisce di un nuovo protagonista: ChaosBot, un sofisticato malware scritto in Rust che sfrutta la piattaforma Discord per il comando e controllo dei sistemi infetti. Individuato per la prima volta a settembre 2025 nell’ambito di servizi finanziari, ChaosBot si distingue per la sua capacità di eludere le difese tradizionali e per l’utilizzo creativo di canali Discord come mezzo di comunicazione tra l’attaccante e i dispositivi compromessi.

Una grave vulnerabilità è stata recentemente scoperta in ICTBroadcast, un software autodialer molto diffuso sviluppato da ICT Innovations, ed è già oggetto di attacchi attivi. La vulnerabilità, catalogata come CVE-2025-2611 con un punteggio CVSS di 9.3, è causata da una validazione inadeguata degli input: l’applicazione call center passa in modo non sicuro i dati del cookie di sessione a processi shell.

La società statunitense di cybersecurity F5 ha annunciato di aver subito una grave violazione della sicurezza, durante la quale attori malevoli sono riusciti a sottrarre file contenenti il codice sorgente del prodotto BIG-IP e informazioni su vulnerabilità non ancora rese pubbliche. L’attacco è stato attribuito a un gruppo avanzato sponsorizzato da uno Stato nazionale, che è riuscito a mantenere un accesso persistente e prolungato alla rete interna della compagnia.

Il trojan bancario Astaroth si conferma una delle minacce informatiche più avanzate e persistenti nell’ambito della sicurezza finanziaria, soprattutto in America Latina. Recentemente, i ricercatori di cybersecurity hanno scoperto una nuova campagna che utilizza GitHub come piattaforma principale per garantire la resilienza delle sue operazioni anche in caso di blocchi o rimozione dei server di comando e controllo tradizionali.

Un gruppo di hacker legato alla Cina è stato recentemente collegato a una sofisticata campagna di cyber spionaggio che ha visto la compromissione di un server ArcGIS, trasformato in una backdoor attiva per oltre un anno. Secondo quanto scoperto dagli esperti di sicurezza, l’operazione è stata orchestrata dal gruppo noto come Flax Typhoon, già identificato in passato con i nomi Ethereal Panda e RedJuliett e associato a una società quotata con sede a Pechino.