Nel mondo della cybersecurity, le minacce sono in continua evoluzione e recentemente sono emerse nuove preoccupazioni riguardo a un malware che prende di mira dispositivi Android utilizzati dal personale militare russo. Questo spyware, nascosto dietro l'applicazione di mappatura Alpine Quest, è stato scoperto dai ricercatori di sicurezza informatica come un vettore di attacco mirato.

Il gruppo di cyber criminali noto come UNC2428, legato all'Iran, è stato osservato mentre distribuiva un malware backdoor chiamato MURKYTOUR come parte di una campagna di ingegneria sociale a tema lavorativo, mirata a Israele nell'ottobre 2024. Secondo Mandiant, una società di sicurezza di proprietà di Google, UNC2428 è un attore di minacce allineato con l'Iran che si occupa di operazioni di spionaggio informatico.

Il gruppo di cyber spionaggio Lotus Panda, collegato alla Cina, è stato attribuito a una campagna che ha compromesso diverse organizzazioni in un paese del sud-est asiatico tra agosto 2024 e febbraio 2025. Gli obiettivi includevano un ministero del governo, un'organizzazione di controllo del traffico aereo, un operatore di telecomunicazioni e una società di costruzioni.

Recentemente, i ricercatori di sicurezza informatica hanno scoperto una campagna malware che sfrutta gli ambienti Docker per minare criptovalute utilizzando una tecnica mai documentata prima. Questa attività, analizzata da Darktrace e Cado Security, rappresenta un cambio di paradigma rispetto alle tradizionali campagne di cryptojacking che installano direttamente miner come XMRig per sfruttare le risorse di calcolo altrui.

SuperCard X è una nuova piattaforma di malware-as-a-service (MaaS) per Android che sfrutta attacchi di relay NFC per consentire ai cybercriminali di eseguire prelievi fraudolenti. Questa campagna è attualmente attiva in Italia e punta a clienti di istituzioni bancarie e emittenti di carte, mirando a compromettere i dati delle carte di pagamento.

Recentemente, i ricercatori di cybersecurity hanno scoperto un significativo aumento delle attività di "mass scanning, brute force delle credenziali e tentativi di sfruttamento" originati da indirizzi IP associati a un servizio di hosting russo chiamato Proton66. Queste attività, rilevate dall'8 gennaio 2025, hanno preso di mira organizzazioni a livello globale, come riportato in un'analisi pubblicata da Trustwave SpiderLabs.

Recentemente, è emersa una campagna malevola orchestrata dal gruppo di cybercriminali sponsorizzato dallo stato nordcoreano noto come Kimsuky, che sfrutta una vulnerabilità ormai risolta dei Servizi Desktop Remoto di Microsoft per ottenere accesso iniziale ai sistemi. Questa attività è stata denominata "Larva-24005" dall'AhnLab Security Intelligence Center (ASEC).

Nell'ultimo periodo, il panorama della sicurezza informatica ha visto un aumento dei rischi legati a vulnerabilità exploitabili in modo silente. Questo fenomeno è stato chiaramente evidenziato dal recente sfruttamento di una vulnerabilità nel sistema Windows NTLM, identificata come CVE-2025-24054.

Le vulnerabilità scoperte nel componente principale del servizio di pianificazione delle attività di Windows rappresentano una significativa minaccia alla sicurezza informatica. Queste falle possono essere sfruttate da attaccanti locali per ottenere un'escalation di privilegi e cancellare i log, coprendo così le tracce delle loro attività malevole.

Una grave vulnerabilità di sicurezza è stata scoperta nell'implementazione SSH della piattaforma Erlang/Open Telecom Platform (OTP), che potrebbe consentire a un attaccante di eseguire codice arbitrario senza autenticazione in determinate condizioni. Questa vulnerabilità, tracciata come CVE-2025-32433, ha ricevuto il punteggio massimo di CVSS, 10.0.