Nel bollettino ThreatsDay emergono segnali chiari su come si sta evolvendo la cybersecurity nel 2026 tra infrastrutture malevole sempre piu estese, kit di phishing pronti all uso e attacchi di supply chain che sfruttano la fiducia negli aggiornamenti firmati. Una delle evidenze piu pesanti riguarda l individuazione di oltre 1.300 server di comando e controllo nel Medio Oriente distribuiti su decine di provider.

Nel 2026 due campagne di banking malware stanno aumentando il rischio di frodi finanziarie in Europa e America Latina, colpendo sia PC Windows sia smartphone Android. Da una parte troviamo Grandoreiro, un trojan bancario attivo dal 2016 e in costante evoluzione, dall’altra BTMOB, un RAT per Android venduto come malware as a service che rende più semplice lanciare attacchi anche a gruppi poco esperti.

La recente operazione di contrasto contro GlassWorm ha interrotto in modo coordinato i canali di comando e controllo utilizzati da questo malware, noto per alimentare attacchi alla supply chain software rivolti in modo specifico agli sviluppatori. Il punto critico è che gli ambienti di sviluppo rappresentano un moltiplicatore di impatto: basta compromettere una singola workstation con accesso a repository, pipeline CI/CD, piattaforme cloud e registri di pacchetti per propagare codice malevolo verso migliaia di utenti e organizzazioni a valle.

Una nuova campagna di cryptojacking sta sfruttando un vettore sempre piu comune nelle abitudini digitali: i chatbot basati su intelligenza artificiale. Invece di limitarsi ai classici risultati dei motori di ricerca, gli attaccanti riescono a far comparire domini malevoli direttamente nelle risposte generate dai sistemi LLM, presentandoli come fonti affidabili per scaricare software.

Nel 2026 una nuova campagna di cyber espionage attribuita a un gruppo iraniano ha mostrato un salto di qualità nelle tecniche di infezione e nella distribuzione del malware. Gli attaccanti hanno preso di mira organizzazioni e dipendenti dei settori difesa, aviazione, telecomunicazioni e software in Stati Uniti, Europa e Medio Oriente, sfruttando esche di phishing molto credibili legate a offerte di lavoro e inviti a riunioni online.

Una vulnerabilità ad alta gravità nel sistema di gestione dell’apprendimento KnowledgeDeliver LMS, molto diffuso in Giappone, è stata sfruttata come zero-day per compromettere server esposti su Internet e avviare una catena di infezione che porta al web shell Godzilla e infine a Cobalt Strike Beacon. Il problema di sicurezza è identificato come CVE 2026 5426 con punteggio CVSS 7.5 e riguarda ASP.NET e, in particolare, l’uso di chiavi machineKey hard-coded all’interno della configurazione standard fornita dal vendor.

Nel primo trimestre del 2026 il gruppo di cyber spionaggio MuddyWater è stato collegato a una campagna che ha colpito almeno nove organizzazioni in nove paesi distribuiti su quattro continenti. I settori presi di mira includono industria e manifattura elettronica, istruzione, enti pubblici, servizi finanziari e servizi professionali.

Una vulnerabilità critica in Ghost CMS, identificata come CVE 2026 26980, viene sfruttata attivamente per compromettere siti web e distribuire attacchi ClickFix tramite iniezione di JavaScript malevolo. Il problema riguarda una SQL injection nella Content API di Ghost che consente a un attaccante non autenticato di leggere dati arbitrari dal database.

Una nuova campagna di attacco alla supply chain software sta colpendo in modo coordinato tre ecosistemi fondamentali per gli sviluppatori: npm, PyPI e Crates.io, distribuendo malware progettato per rubare credenziali e segreti di sviluppo. L’operazione, nota come TrapDoor, ha diffuso oltre 34 pacchetti malevoli attraverso più di 384 versioni pubblicate in ondate ravvicinate da account collegati tra loro, con attività osservate a partire dal 22 maggio 2026.

La sicurezza informatica questa settimana ha mostrato quanto sia fragile la catena che collega sviluppatori, strumenti e infrastrutture esposte. Il tema dominante è il caos della supply chain software, dove una singola estensione o dipendenza compromessa può generare un effetto a cascata su migliaia di ambienti.