Il gruppo di cyber spionaggio Nebulous Mantis, di matrice russofona, si distingue nel panorama delle minacce informatiche per aver condotto sofisticati attacchi multipli contro entità legate alla NATO, infrastrutture critiche e agenzie governative. Dal 2022, Nebulous Mantis utilizza RomCom RAT, un trojan di accesso remoto dotato di tecniche avanzate di evasione, tra cui strategie "living-off-the-land" e comunicazioni crittografate con i server di comando e controllo (C2).

Nel 2024, Google ha identificato 75 vulnerabilità zero-day sfruttate nel mondo reale, un calo rispetto alle 98 del 2023, ma un aumento rispetto alle 63 dell'anno precedente. Di questi 75 zero-day, il 44% ha preso di mira prodotti aziendali, con 20 vulnerabilità identificate in software e dispositivi di sicurezza.

L'azienda di cybersecurity SentinelOne ha recentemente scoperto una campagna di spionaggio legata alla Cina, denominata PurpleHaze, che ha preso di mira la sua infrastruttura e alcuni clienti di alto valore. Gli esperti di sicurezza di SentinelOne sono venuti a conoscenza di questo gruppo durante un'intrusione del 2024, che ha coinvolto un'organizzazione fornitrice di servizi logistici per i dipendenti di SentinelOne.

Nel marzo 2025 è stata scoperta una nuova campagna che ha preso di mira i membri del World Uyghur Congress (WUC) utilizzando un malware basato su Windows. Questo malware è stato progettato per effettuare operazioni di sorveglianza e ha sfruttato una versione trojanizzata di UyghurEdit++, un software legittimo open-source per l'elaborazione di testi usato principalmente per supportare la lingua uigura.

Una vasta campagna di phishing sta prendendo di mira gli utenti di WooCommerce, diffondendo un falso avviso di sicurezza che invita a scaricare una "patch critica". In realtà, questo download distribuisce un malware che installa una backdoor nei sistemi compromessi.

La regione del Sud-Est asiatico, inclusi paesi come Filippine, Vietnam, Thailandia e Malesia, è diventata il bersaglio di una sofisticata campagna di cyber spionaggio condotta da un nuovo gruppo di minaccia persistente avanzata (APT) noto come Earth Kurma. Secondo quanto riportato da Trend Micro, questa campagna ha avuto inizio nel giugno 2024 e si distingue per l'uso di malware personalizzati, rootkit e servizi di archiviazione cloud per l'esfiltrazione dei dati.

Nell'attuale panorama della sicurezza informatica, le minacce non accennano a diminuire. I criminali informatici, sempre più sofisticati, utilizzano strumenti avanzati come kit di phishing alimentati da intelligenza artificiale e grandi reti botnet.

Il pacchetto JavaScript npm di Ripple, noto come xrpl.js, ha subito una compromissione da parte di attori malevoli nell'ambito di un attacco alla catena di fornitura software, mirato a raccogliere ed esfiltrare le chiavi private degli utenti. L'attività malevola ha interessato cinque diverse versioni del pacchetto: 4.2.1, 4.2.2, 4.2.3, 4.2.4 e 2.14.2.

Gli attori di minacce stanno sfruttando una nuova vulnerabilità in SAP NetWeaver per caricare web shell JSP, con l'obiettivo di facilitare il caricamento non autorizzato di file ed eseguire codice. Secondo un rapporto pubblicato da ReliaQuest, l'exploit potrebbe essere legato a una vulnerabilità già nota come CVE-2017-9844 o a un problema di inclusione remota di file (RFI) non riportato.

Nel primo trimestre del 2025 sono stati identificati ben 159 CVE sfruttati attivamente, un aumento rispetto ai 151 del quarto trimestre del 2024. Secondo un rapporto di VulnCheck, il 28.3% di queste vulnerabilità è stato sfruttato entro un solo giorno dalla loro divulgazione.