Nel nostro mestiere non esistono pause: i log scorrono anche quando le luci dell’ufficio si spengono, e gli avversari imparano in fretta.

Lavoriamo sul campo tra SOC, alert e incidenti reali: da qui nasce una rubrica settimanale firmata Security Architect, un recap curato per informare e aggiornare clienti e partner. Qui trovi ciò che davvero orienta le priorità.

In primo piano

ACN ha pubblicato la nuova Determinazione sulla piattaforma NIS con regole aggiornate per registrazione/aggiornamenti e designazione del Referente CSIRT e dei sostituti.

Il Referente, nominato dal Punto di Contatto, è la persona che dialoga con CSIRT Italia ed effettua le notifiche di incidente ai sensi degli artt. 25–26 del D.Lgs. 138/2024. Possono essere designati sostituti per garantire continuità; competenze minime richieste: sicurezza e gestione incidenti, conoscenza dei sistemi dell’organizzazione.

Finestra di designazione: 20 novembre – 31 dicembre 2025 via Portale ACN con CIE o SPID.

Restano definiti anche ruoli e responsabilità di Punto di Contatto e Sostituto, gli obblighi di registrazione e di aggiornamento annuale/continuo delle informazioni (inclusi indirizzi IP pubblici e domini), nonché la responsabilità degli organi di amministrazione e direttivi e le sanzioni per inadempienze.

Suggerimento operativo: pianificare subito individuazione del referente, definizione dei sostituti, preparazione dei dati richiesti e verifica delle deleghe.

Caso della settimana

Attacco a Oracle 0-day: gruppi legati a Cl0p hanno sfruttato una vulnerabilità critica (CVE-2025-61882, CVSS 9,8) in Oracle E-Business Suite per rubare dati. La falla permette a un utente non autenticato, via HTTP, di prendere il controllo del componente Concurrent Processing.
Secondo Charles Carmakal (CTO di Mandiant, Google Cloud), gli intrusi hanno combinato bug già corretti a luglio 2025 con questa nuova falla, esfiltrando grandi volumi di dati da più vittime.

In pratica: se E-Business Suite è esposta, anche indirettamente, l’impatto può essere rapido e profondo, con movimento laterale e furto dati nel giro di poche ore.
Cosa fare subito: applicare gli update più recenti, ridurre al minimo l’esposizione Internet (WAF/Reverse Proxy), rivedere job e log del Concurrent Manager, controllare gli account tecnici e i flussi di estrazione dati.

Altre minacce in evidenza:

• Phantom Taurus (China-nexus) punta obiettivi governativi, diplomatici e militari tra Africa, Medio Oriente e Asia. Il tratto distintivo è la chirurgia operativa: NET-STAR come toolkit principale, con strumenti su misura (es. TunnelSpecter, SweetSpecter) per agganciare mail server e fare data theft mirato.
• Detour Dog continua a “parassitare” siti WordPress dal 2020: sfrutta record DNS TXT per impartire comandi nascosti e consegnare Strela Stealer. I siti restano quasi sempre funzionali, il payload compare solo in condizioni precise: ed è così che le infezioni durano mesi o anni.
• SORVEPOTEL è un worm, così chiamato da Trend Micro, che si propaga via WhatsApp sui sistemi Windows. L’attacco parte da un messaggio di phishing inviato da un contatto reale già compromesso, così da conferirgli una parvenza di credibilità. Il messaggio include un allegato ZIP che si spaccia per una ricevuta o per un file legato a un’app sanitaria. Una volta aperto l’allegato, il malware si propaga automaticamente tramite la versione desktop o web di WhatsApp, portando infine al ban degli account infetti per invio eccessivo di spam.
• ProSpy / ToSpy (Android): finti Signal/ToTok diffusi tramite siti fasulli o social engineering negli EAU; una volta installati, mantengono persistenza ed esfiltrano dati.
• Battering RAM, WireTap e VMScape: tre studi mettono in luce debolezze in hardware e virtualizzazione. Battering RAM (con un interposer da ~50 €) aggira difese di confidential computing; WireTap indebolisce Intel SGX su DDR4; VMScape (variante di Spectre) consente a una VM malevola di leggere memoria dell’hypervisor in configurazione predefinita.

Come capire se sei esposto

Il modo più semplice è contattarci: in pochi minuti indichiamo cosa verificare e, se serve, interveniamo. Se vuoi fare un primo check interno, ecco i segnali chiari da cui partire:

• Oracle E-Business Suite 0-day: accessi insoliti, errori anomali sul portale, report o estrazioni avviati da soli o fuori orario. Controlla i log del Concurrent Manager e gli account tecnici.
• WhatsApp (worm su PC): dai PC aziendali partono messaggi identici con un file ZIP verso molti contatti; poco dopo l’account viene bloccato per spam. Verifica le macchine con WhatsApp Web/Desktop attivo.
• Sito WordPress: alcuni utenti vedono redirect casuali o pagine truffa, altri no; compaiono plugin/utenti admin non richiesti. Controlla log di accesso e record DNS.
• App fasulle sui telefoni aziendali: installazioni di Signal/ToTok scaricate dal web e non dallo store; permessi insoliti, consumo dati/batteria anomalo. Verifica la provenienza delle app e rimuovi quelle non ufficiali.
• Server virtualizzati (VM): rallentamenti senza causa, log sicurezza pieni, connessioni “est-ovest” tra server che di norma non parlano. Osserva traffico interno, CPU e storage.
• PC con BitLocker: schermate di avvio insolite, richieste di avvio di rete non richieste o comparsa inattesa della chiave di ripristino. Verifica Secure Boot ed eventi di boot.
• Allegati che sbloccano download: apri un ZIP/LNK/HTML e partono azioni non richieste (finestre che si aprono/chiudono); compaiono molti ZIP/RAR nelle share; di notte vedi trasferimenti verso FTP o cloud sconosciuti.
• Dashboard e monitoraggi (Grafana ecc.): picchi improvvisi di tentativi di accesso da molti indirizzi IP, stessi percorsi provati in massa. Rafforza autenticazione e regole di blocco.
• Repository e progetti interni: download massivi di codice o documenti da utenti insoliti; nuovi token di accesso non previsti. Controlla audit log e accessi da IP inconsueti.
• Email anomale: immagini che non si caricano (SVG) o link a “visualizzatori fatture” mai usati. Verifica mittente, dominio e reindirizzamenti.
• NIS2 / Portale ACN: richieste urgenti di invio dati via email o moduli non ufficiali. Gli aggiornamenti si fanno solo sul Portale ACN con CIE/SPID.

Se ti ritrovi anche solo in uno di questi scenari, scrivici subito: verifichiamo i log, fermiamo la propagazione e impostiamo le correzioni prioritarie senza bloccare il business.

Rassegna lampo

Chiudiamo con le notizie essenziali della settimana:

Nuovo strumento di video-injection su iOS per deepfake

Analyst hanno individuato un tool che, su iPhone con jailbreak (iOS 15+), falsifica i video usati nelle verifiche d’identità online. Secondo iProov aggira controlli biometrici deboli e colpisce anche procedure senza biometria. Usa un server RPTM per collegare il PC dell’attaccante al telefono e iniettare filmati sintetici credibili.

Qilin ransomware rivendica 104 attacchi

Qilin è stato il gruppo più attivo del mese, davanti ad Akira (56), Sinobi (36), DragonForce (30) e SafePay (29). Nel mirino soprattutto manifatturiero, retail, sanità e trasporti: pressione costante su settori operativi e servizi essenziali.

Impact Solutions: nuovo toolkit di phishing

È emerso un kit “punta-e-clicca” che genera allegati credibili per campagne email: scorciatoie .LNK, pagine per HTML smuggling, finti login, SVG con script e payload ClickFix via finestra “Esegui”. Abnormal AI lo descrive come un framework che imita allegati legittimi per superare sia utenti sia filtri.

Outlook ritira gli SVG inline

Da settembre 2025 Outlook Web e il nuovo Outlook per Windows non mostrano più SVG incorporati nei messaggi (gli SVG come allegato restano). La misura chiude un canale usato nel phishing e si affianca al blocco dei file .library-ms e .search-ms nell’app per Windows.

Keymous+: criminali del DDoS

Secondo NETSCOUT il gruppo è legato a 249 attacchi in 15 paesi e 21 settori, con focus su PA, turismo, trasporti/logistica, finanza e telco. Picchi a 11,8 Gbps in singolo e 44 Gbps in azioni con partner: obiettivo rendere i servizi indisponibili.

Lunar Spider usa CAPTCHA falsi per consegnare malware

Il gruppo russo (Gold Swathmore) diffonde Latrodectus con finti “Non sono un robot”. Al clic parte uno script che scarica un installer e carica Latrodectus v2, in grado di controllare il PC. The DFIR Report descrive un caso durato quasi due mesi, tra ricognizione ed esfiltrazione.

Red Hat conferma incidente su GitLab

Intrusi hanno copiato dati da un’istanza GitLab usata da Red Hat Consulting: specifiche, snippet di codice e scambi interni. L’istanza di norma non contiene dati personali sensibili. Red Hat sta contattando i clienti, mentre il gruppo Crimson Collective rivendica il furto.

Gmail CSE: E2EE anche verso destinatari esterni

Google estende la cifratura lato client (CSE): ora si possono inviare email end-to-end cifrate anche a chi non usa Gmail. Il destinatario riceve una notifica e legge il messaggio con un account ospite, senza scambio chiavi o software aggiuntivo.

FunkSec ritorna con nuovi ransomware

Il gruppo riemerge con FunkLocker, famiglia che mostra tracce di sviluppo assistito da IA: alcune varianti instabili, altre con controlli anti-VM. Nonostante gli errori, spesso il risultato è il blocco dei sistemi colpiti.

Affiliazioni multiple in una singola intrusione

A settembre 2024 un falso installer di EarthTime ha installato SectopRAT, che ha scaricato SystemBC e altri tool. Nella rete violata sono emersi anche strumenti legati a Play, RansomHub e DragonForce: segno di un affiliato multi-brand. Nessuna cifratura, ma movimento laterale ed esfiltrazione verso server esterni.

LinkedIn fa causa a ProAPIs per scraping

La piattaforma accusa la società di gestire milioni di account falsi per raccogliere dati dei profili e rivenderli (fino a 15.000 $/mese), includendo anche informazioni dietro login non autorizzate alla conservazione.

Tentativo di corruzione a un giornalista BBC

Un soggetto vicino a Medusa ha offerto il 15% di un riscatto in cambio dell’accesso al PC aziendale. Per prudenza l’account del giornalista è stato disconnesso e il contatto su Signal rimosso.

Picco di sfruttamento su Grafana (CVE-2021-43798)

Il 28 settembre 2025 GreyNoise ha contato 110 IP che tentavano lo stesso path traversal per leggere file interni, con pattern simili tra paesi e strumenti: probabile regia unica o kit condiviso.

Nasce il data-leak site “Scattered LAPSUS$ Hunters”

LAPSUS$, Scattered Spider e ShinyHunters annunciano sul dark web un portale che minaccia la pubblicazione di quasi un miliardo di record rubati da database cloud su Salesforce.

Signal introduce SPQR nel protocollo

Lo Sparse Post Quantum Ratchet si unisce al Double Ratchet creando il Triple Ratchet. Obiettivo: proteggere le chat anche contro futuri computer quantistici e mantenere la riservatezza dopo un’eventuale fuga di chiavi.

Operazione PhaaS su larga scala invisibile per anni

Un’infrastruttura di phishing-as-a-service con 48.000 host e oltre 80 cluster ha abusato di domini scaduti ma ad alta reputazione su Google Cloud/Cloudflare. I siti falsi imitavano brand noti e a volte caricavano risorse dal cloud originale, rafforzando l’inganno.

HeartCrypt evolve in loader per stealer e RAT

Campagne note anche in Italia, a tema copyright usano file .LNK che lanciano PowerShell: a schermo compare un documento finto mentre in background viene scaricato HeartCrypt da Dropbox. Il malware altera eseguibili legittimi per caricare stealer e trojan remoti; in alcuni casi tenta di disattivare gli antivirus (AVKiller).

Maven-Hijack: attacco alla supply chain Java

Ricercatori di KTH e Université de Montréal mostrano che, nei progetti Maven, basta inserire in una dipendenza una classe con lo stesso nome di una legittima. Se quella libreria è “prima nella fila”, la JVM carica la versione falsa e l’app cambia comportamento senza toccare il codice principale.

File .LNK che installano un RAT via Discord

K7 Security Labs segnala scorciatoie .LNK diffuse su Discord: all’apertura mostrano un PDF esca e avviano PowerShell che scarica uno ZIP; da lì una DLL viene caricata con odbcconf.exe. Il trojan consente accesso remoto, comandi da server di controllo e raccolta informazioni, eludendo i controlli.

Cognex InSight IS2000M-120: nove falle senza patch

Una smart-camera industriale presenta nove vulnerabilità che possono portare al controllo completo del dispositivo, soprattutto in reti non segmentate o senza cifratura. Il modello è vicino all’end-of-life e non sono previste patch.

App mobili che perdono dati

Zimperium rileva che una su tre app Android e oltre metà delle app iOS espongono dati sensibili; frequenti API key hard-coded. Su 800 VPN gratuite analizzate emergono permessi eccessivi, privacy debole e codice datato. Configurazioni errate espongono inoltre oltre 150 servizi Firebase.

XSS secondo Microsoft: ancora molto diffuso

Nel bilancio dell’ultimo anno, il Microsoft Security Response Center (MSRC) segnala che una quota rilevante dei casi riguarda XSS (cross-site scripting): errori che consentono a pagine altrimenti legittime di eseguire codice dell’attaccante nel browser, con furti di sessione, reindirizzamenti e azioni indesiderate.

Bypass BitLocker con “bitpixie”

Una falla legata al PXE soft reboot consente, con downgrade a un Boot Manager non patchato, di recuperare dalla RAM la chiave VMK e aggirare BitLocker. Difese prioritarie: PIN pre-boot e patch Microsoft 2023 (CVE-2023-21563) che aggiorna i certificati di Secure Boot.

Certificati non autorizzati per 1.1.1.1

Cloudflare segnala che la CA Fina ha emesso 12 certificati per l’IP 1.1.1.1 (resolver DNS pubblico) tra febbraio 2024 e agosto 2025 senza autorizzazione. Non risultano abusi; per impersonare il servizio servirebbero anche la chiave privata e la fiducia degli utenti nella CA Fina.

Agenti web LLM vulnerabili al cloaking

JFrog dimostra che i siti possono riconoscere gli agenti automatici (impronte del browser, automazione, rete) e servire versioni “cloaked” delle pagine con istruzioni nascoste: l’agente viene dirottato (esfiltrazione, esecuzione codice) mentre la pagina appare normale all’utente.

Tool Invocation Prompt: rischio RCE/DoS in IDE “AI-assisted”

Nuove ricerche mostrano che in strumenti come Cursor e Claude Code è possibile indurre esecuzioni pericolose inserendo prompt/codice nelle descrizioni dei tool. In parallelo, Forescout segnala limiti attuali degli LLM nella scoperta di vulnerabilità e nello sviluppo di exploit.zioni dei tool. In parallelo, Forescout segnala limiti attuali degli LLM in discovery di vulnerabilità ed exploit.