La campagna attribuita al cluster di minaccia UNC6692 mostra come la social engineering stia evolvendo sfruttando strumenti di collaborazione aziendale come Microsoft Teams. Gli attaccanti avviano spesso la compromissione con un email bombing, cioe una raffica di messaggi spam che intasa la casella della vittima e crea urgenza e confusione.

Una nuova campagna malware Android legata alla famiglia NGate sta colpendo principalmente il Brasile e sfrutta una tecnica particolarmente insidiosa: la trojanizzazione di HandyPay, una app legittima pensata per il relay dei dati NFC.

Invece di appoggiarsi a soluzioni note come NFCGate, gli attaccanti hanno preso HandyPay e vi hanno inserito codice malevolo, con indizi che suggeriscono anche un possibile uso di strumenti di generazione automatica del codice.

Il risultato è un malware capace di rubare dati NFC delle carte di pagamento e il PIN della vittima, abilitando frodi come prelievi contactless agli sportelli ATM e pagamenti non autorizzati.

La distribuzione avviene tramite siti web e pagine che imitano servizi affidabili.

• Falso portale “lotteria”: un sito costruito per convincere l’utente a inviare un messaggio WhatsApp per riscattare un premio; da lì la vittima viene guidata al download della versione infetta dell’app.
• Finta scheda Google Play: una pagina che simula l’aspetto di una scheda di Google Play per una presunta app di protezione della carta, aumentando la credibilità del contenuto e la probabilità di installazione fuori dallo store ufficiale.

Dopo l’installazione, la app malevola chiede di essere impostata come app di pagamento predefinita. Questo passaggio è cruciale per la truffa, perché HandyPay di base non richiede permessi invasivi e quindi può sembrare innocua.

La vittima viene poi invitata a inserire il PIN della carta nell’app e ad appoggiare la carta sul retro dello smartphone con NFC.

In quel momento il malware intercetta e inoltra i dati NFC a un dispositivo controllato dagli attaccanti, che possono emulare la carta per operazioni fraudolente. In parallelo, il PIN viene esfiltrato verso un server di comando e controllo, completando il quadro per l’abuso finanziario.

La campagna risulterebbe attiva almeno da novembre 2025 e la versione infetta non sarebbe stata pubblicata su Google Play, segnale che la catena di infezione punta su social engineering e installazioni da fonti esterne. HandyPay avrebbe avviato una indagine interna sull’accaduto.

La trasformazione digitale in Medio Oriente sta accelerando e con essa cresce la necessità di cybersecurity in Arabia Saudita. Il Paese è tra le economie digitali in più rapida espansione della regione, grazie a programmi pubblici come Vision 2030 che stanno spingendo online servizi di e-government, fintech, infrastrutture intelligenti e piattaforme per cittadini e imprese.

I ricercatori di cybersecurity hanno individuato una nuova variante del malware LOTUSLITE, un backdoor associato a campagne di cyber espionage, che in questa ondata viene distribuito con un tema legato al settore bancario in India. La minaccia si distingue per un set di funzioni tipiche dello spionaggio informatico e non di frodi finanziarie, includendo accesso remoto tramite shell, operazioni sui file e gestione delle sessioni.

L’operazione ransomware-as-a-service chiamata The Gentlemen sta mostrando una crescita rapida e una capacità operativa sempre più industrializzata. Un elemento chiave emerso nelle analisi recenti è l’uso del malware proxy SystemBC, collegato a un server di comando e controllo che ha permesso di individuare una botnet con oltre 1570 vittime.

Nel panorama della cybersecurity il ransomware continua a evolversi non solo sul piano tecnico ma anche su quello umano e organizzativo. Un caso recente mette sotto i riflettori una figura considerata di supporto alle vittime, il ransomware negotiator, che invece avrebbe collaborato con un gruppo criminale legato al ransomware BlackCat durante il 2023.

La CISA ha aggiornato il catalogo KEV (Known Exploited Vulnerabilities) aggiungendo otto vulnerabilità con prove di sfruttamento attivo. Il KEV è uno strumento chiave per la gestione delle vulnerabilità e per la prioritizzazione delle patch, perché include falle già usate in attacchi reali.

Il riepilogo settimanale sulla cybersecurity evidenzia un filo conduttore sempre più chiaro nelle violazioni moderne: non si tratta solo di sfruttare una vulnerabilità tecnica, ma di piegare la fiducia che aziende e utenti ripongono in strumenti legittimi e canali considerati sicuri. Gli attaccanti cercano il punto di ingresso più credibile (un tool di terze parti, un percorso di download ufficiale, un plugin, un aggiornamento o una notifica push) e da lì si muovono verso sistemi interni e dati sensibili.

Nel 2026 i podcast su cybercrime e cybersecurity sono diventati uno strumento operativo per chi guida la sicurezza in azienda. Per un CISO e per i security leader restare aggiornati significa filtrare rumore e contenuti ripetitivi, scegliendo fonti autorevoli con episodi brevi e ad alta densita informativa.

I ricercatori di cybersecurity hanno individuato un nuovo malware chiamato ZionSiphon, progettato per colpire sistemi OT legati al trattamento delle acque e alla desalinizzazione in Israele. La minaccia si distingue per un approccio mirato alle infrastrutture critiche e per funzioni che combinano persistenza, escalation dei privilegi, propagazione tramite USB e scansione di servizi industriali sulla rete locale, con possibili capacita di sabotaggio.