Il gruppo di cyber spionaggio noto come Transparent Tribe, identificato anche come APT36, è stato collegato a una nuova ondata di attacchi informatici mirati contro enti governativi indiani, organizzazioni strategiche e mondo accademico. La campagna punta a ottenere accesso remoto persistente ai sistemi compromessi tramite un RAT (remote access trojan), capace di mantenere il controllo nel tempo e di supportare attività di raccolta informazioni.

Una recente campagna di spear phishing ha sfruttato il registro npm come infrastruttura per rubare credenziali di accesso, pubblicando 27 pacchetti malevoli in un arco di circa cinque mesi. Il punto chiave non è convincere gli utenti a installare librerie dannose, ma riutilizzare npm e le CDN dei pacchetti come hosting affidabile per pagine di phishing eseguite direttamente nel browser.

Una nuova campagna di botnet chiamata RondoDox sta colpendo in modo continuo da mesi dispositivi IoT e applicazioni web, con l’obiettivo di arruolare sistemi compromessi in una rete controllata da criminali informatici. Il punto di forza di questa offensiva è lo sfruttamento della vulnerabilità React2Shell, identificata come CVE-2025-55182 e valutata con gravità massima.

Il 2026 si apre con un panorama di minacce informatiche che premia gli attaccanti silenziosi e penalizza chi si affida solo ai segnali più evidenti. Al centro delle nuove campagne c’è la capacità di sfruttare piccoli varchi in modo coordinato, combinando malware, truffe online, vulnerabilità e tecniche di persistenza su cloud e dispositivi personali.

Un attacco alla supply chain ha colpito la Trust Wallet Chrome extension e ha portato al furto di circa 8.5 milioni di dollari in criptovalute, sottratti da 2.520 wallet. Il caso mostra in modo chiaro quanto la sicurezza delle estensioni browser e dei processi di rilascio sia un punto critico per chi gestisce asset digitali e per chi sviluppa software legato al mondo crypto.

Il Dipartimento del Tesoro degli Stati Uniti, tramite l’ufficio OFAC, ha rimosso tre persone collegate al gruppo Intellexa dal registro delle sanzioni noto come lista SDN. Intellexa e la holding associata sono indicati come attori centrali nella diffusione di Predator, uno spyware commerciale usato per la sorveglianza digitale su dispositivi mobili.

Negli ultimi mesi la sicurezza della supply chain software è tornata al centro dell’attenzione a causa di nuove campagne che abusano dei repository di dipendenze più usati. Un caso emblematico riguarda un ceppo modificato del worm Shai Hulud individuato nel registro npm all’interno del pacchetto @vietmoney/react-big-calendar.

Le aziende che adottano intelligenza artificiale in produzione stanno scoprendo un problema concreto di cybersecurity: i framework di sicurezza tradizionali non coprono in modo adeguato i vettori di attacco specifici dell’AI. Anche organizzazioni con programmi maturi, audit superati e conformità a standard diffusi possono restare esposte.

Nel panorama della cyber security, una delle evoluzioni più insidiose è l’uso di componenti kernel mode per nascondere malware e aggirare i controlli. Una recente campagna di cyber espionage attribuita al gruppo Mustang Panda mostra proprio questo salto di qualità, con la distribuzione di una variante aggiornata della backdoor TONESHELL tramite un rootkit in modalità kernel firmato digitalmente.

Il gruppo cybercriminale noto come Silver Fox ha spostato parte delle proprie operazioni verso l’India, sfruttando email di phishing a tema dichiarazione dei redditi per distribuire ValleyRAT, un remote access trojan modulare per Windows noto anche come Winos 4.0. La campagna punta a creare urgenza e credibilità simulando comunicazioni che sembrano provenire dal Dipartimento delle imposte sul reddito, inducendo gli utenti ad aprire allegati e scaricare file malevoli.