Questa settimana facciamo luce sulle violazioni silenziose che aggirano i controlli e restano sotto il radar per mesi.

Ogni settimana la cybersecurity ci ricorda una verità scomoda: il silenzio non è sinonimo di sicurezza. Gli attacchi spesso iniziano in sordina — una patch mancata, una credenziale dimenticata, un backup lasciato scoperto — e quando scattano gli allarmi, il danno è già fatto. Ed è facile pensare che le difese tengano, finché non scopri che gli intrusi sono rimasti nei tuoi sistemi per mesi senza farsi notare.

I casi di questi giorni mostrano come le violazioni silenziose e di lunga durata stiano diventando la norma: gli attaccanti combinano vulnerabilità diverse, collaborano oltre confine e trasformano perfino strumenti legittimi in armi. Per questo la miglior difesa non è solo patchare in fretta, ma osservare meglio: monitoraggio intelligente e completo, attenzione ai segnali e prontezza verso ciò che non ti aspetti.

Riconoscere per tempo le violazioni silenziose significa osservare meglio e collegare i segnali deboli.

In primo piano

Anche gli enti pubblici non sono immuni: le violazioni silenziose possono bloccare servizi critici in poche ore.

Puglia, tentativo di intrusione informatica blocca i sistemi sanitari regionali.
Nella mattinata del 17 ottobre, un tentativo di accesso non autorizzato alla piattaforma Edotto, gestita da InnovaPuglia, ha causato il blocco temporaneo dei sistemi informativi sanitari regionali. Dalle 8:15 circa, la piattaforma è risultata irraggiungibile, compromettendo i servizi CUP , telecardiologia, ambulanze del 118, farmacie e il portale sanita.puglia.it, poi gradualmente ripristinato.

Spunto tecnico: l’incidente evidenzia l’importanza delle procedure di continuità operativa per servizi critici e procedure di test periodiche e certificate.

Caso della settimana

Violazione nei sistemi F5: sottratti file e informazioni su vulnerabilità —
F5, società statunitense nota per le soluzioni di Application Delivery e sicurezza edge (BIG-IP), ha comunicato di essere stata vittima di una violazione interna ai propri sistemi. Gli attaccanti – presumibilmente legati a un gruppo di cyberspionaggio di matrice cinese (UNC5221) – avrebbero avuto accesso per almeno dodici mesi, riuscendo a rubare file contenenti parti del codice sorgente di BIG-IP e dettagli tecnici su vulnerabilità non ancora divulgate.

Secondo i ricercatori, è probabile che la compromissione sia avvenuta tramite il malware BRICKSTORM, già associato a operazioni di spionaggio di lungo periodo. Attività anomale di scansione verso dispositivi F5 sono state osservate a più riprese tra settembre e ottobre, segno che altri attori potrebbero tentare di replicare l’exploit.

La società ha precisato che oltre 680.000 istanze di BIG-IP e gateway applicativi risultano esposte su Internet, con la maggior concentrazione negli Stati Uniti, ma anche in Europa e Asia. Non tutti i sistemi risultano vulnerabili, ma ogni host pubblico rappresenta un punto di ingresso sensibile.

Si tratta di una delle violazioni silenziose più insidiose degli ultimi mesi.

Altre minacce in evidenza:

• Storm-1175 e GoAnywhere MFT (CVE-2025-10035): Microsoft collega il gruppo Storm-1175 allo sfruttamento di una falla critica in GoAnywhere MFT, usata per catene d’attacco multi-fase: web shell, strumenti di assistenza remota (SimpleHelp/MeshAgent), movimento laterale e in alcuni casi ransomware Medusa. Colpiti trasporti, education, retail e manifattura.
• OpenAI interrompe tre cluster malevoli: bloccati account da Cina, Corea del Nord e Russia che usavano ChatGPT per creare RAT Remote Access Trojan, stealer, C2 e campagne di phishing multilingua. L’uso improprio dell’AI per automatizzare operazioni offensive è ormai diffuso e difficile da tracciare.
• Nezha / Gh0st RAT: attori legati alla Cina hanno trasformato lo strumento open-source di monitoraggio Nezha in una piattaforma di attacco, distribuendo Gh0st RAT tramite web shell installate su phpMyAdmin compromessi. Le infezioni più numerose sono state osservate in Asia orientale.
• Rootkit Linux LinkPro: nuova backdoor per GNU/Linux che sfrutta moduli eBPF per nascondersi e riattivarsi tramite un magic packet (TCP SYN 54321). Consente comandi remoti, gestione file e tunnel SOCKS5, eludendo i sistemi di rilevamento tradizionali.
• Operation Zero Disco su Cisco IOS e IOS XE: la vulnerabilità CVE-2025-20352 (overflow SNMP) permette a un attaccante autenticato di impiantare rootkit Linux su apparati legacy (serie 9400, 9300, 3750G). Se SNMP è esposto e mal configurato, l’accesso remoto è immediato.
• Pixnapping su Android: vulnerabilità CVE-2025-48561 consente un attacco side-channel che cattura codici 2FA, cronologie e dati sensibili pixel per pixel. Google e Samsung hanno rilasciato patch a settembre, con ulteriori aggiornamenti previsti a dicembre.

Molte campagne si reggono su violazioni silenziose abilitate da esposizioni minime o cattiva igiene IT.

Come capire se sei esposto

Gli attacchi di questa settimana condividono un tratto comune: la bassa visibilità. Non generano allarmi immediati, ma piccoli segnali che spesso passano inosservati. Riconoscerli in tempo può evitare una violazione completa.

• F5 BIG-IP: accessi amministrativi fuori orario o modifiche non spiegate. Verifica che l’interfaccia di management non sia raggiungibile dall’esterno e controlla log SSH.
• GoAnywhere MFT: trasferimenti non pianificati o nuovi account. Esamina audit log e ricerca web shell o agent remoti.
• Nezha / Gh0st RAT: traffico HTTP continuo verso domini sconosciuti o pannelli phpMyAdmin esposti. Controlla file web recenti e processi sospetti.
• Rootkit Linux LinkPro: server rallentati o servizi “fantasma”. Analizza moduli eBPF e processi kernel non riconosciuti.
• Cisco IOS / IOS XE: messaggi SNMP anomali o reboot inspiegabili. Disattiva SNMP non necessario e rivedi le ACL.
• Pixnapping: app che si chiudono da sole o errori nei codici 2FA. Aggiorna i dispositivi Android al patch level più recente.
• npm / UNPKG phishing: redirect inattesi o dipendenze appena aggiunte. Rimuovi pacchetti con pattern “redirect-” o “mad-”.
• Ransomware: connessioni RDP non autorizzate e backup mancanti. Controlla i log e isola i sistemi critici.
• Abuso dell’AI: script generati da tool AI che eseguono azioni non previste. Applica code review e controlli di sicurezza.
• Continuità operativa: portali bloccati o nodi desincronizzati. Assicurati che i servizi critici abbiano failover attivo e monitoraggio costante.

Se anche uno di questi segnali ti è familiare, agisci subito e affidati a esperti che presidino l’intera infrastruttura IT, prima che le violazioni silenziose diventino incidenti conclamati.

Rassegna lampo

Chiudiamo con le notizie essenziali della settimana:

Microsoft annuncia nuovi miglioramenti di sicurezza

Microsoft ha annunciato una serie di interventi architetturali e pratici per rinforzare Windows e l’ecosistema IA: parti critiche del kernel sono state riscritte in Rust per ridurre le vulnerabilità di corruzione memoria, gli agenti IA dovranno girare con permessi limitati e sarà richiesto il signing crittografico per gli agenti esterni. L’obiettivo è diminuire la superficie d’attacco e rendere più semplice revocare componenti ritenuti malevoli.

Sophos indaga i legami del worm WhatsApp con Coyote

Sophos sta analizzando una campagna di malware auto-propagante via WhatsApp (Water Saci / SORVEPOTEL) che potrebbe essere evoluzione del trojan bancario Coyote. I messaggi contengono file LNK che innescano PowerShell e possono consegnare payload secondari (anche Selenium) per automatizzare browser e compromettere sessioni.

Lavoratori IT nordcoreani cercano impiego in nuovi settori

Analisi di intelligence evidenziano che sviluppatori e tecnici nordcoreani stanno cercando ruoli remoti in ambiti come design industriale e architettura, spesso tramite società di copertura. Il fenomeno solleva rischi di spionaggio, elusione delle sanzioni e possibili esposizioni di progetti sensibili.

FBI sequestra il sito usato dagli estorsori di Salesforce

Le autorità statunitensi hanno sequestrato un sito usato per pubblicare dati rubati e coordinare estorsioni contro Salesforce e clienti. L’azione mette in luce la continua guerra legale e tecnica contro i data leak site, anche se varianti e mirror sul dark web possono riemergere rapidamente.

Apple rivede il programma bug bounty

Apple ha aggiornato il programma Security Bounty aumentandone i premi (fino a 2 milioni di dollari per catene exploit particolarmente critiche) e allargando le categorie remunerate (sandbox escape, exploit radio, accessi iCloud su larga scala). Mossa pensata per incentivare la scoperta responsabile di vulnerabilità sofisticate.

Guardia Civil smantella il GXC Team

La Guardia Civil spagnola ha arrestato il presunto leader del GXC Team, una rete che forniva kit di phishing con IA, malware Android e servizi di truffa su Telegram. L’operazione interrompe un’infrastruttura di crime-as-a-service con impatti internazionali su banche, e-commerce e trasporti.

Austria: Microsoft avrebbe violato le leggi UE

L’autorità austriaca per la protezione dei dati ha rilevato pratiche non conformi in Microsoft 365 Education, segnalando tracciamento di studenti senza validi consensi. La decisione sottolinea come servizi cloud ampiamente adottati vadano costantemente verificati per conformità privacy.

La Russia blocca temporaneamente SIM straniere

Le autorità russe hanno annunciato misure per limitare o bloccare temporaneamente l’uso di SIM card straniere su reti mobili, motivando la scelta con ragioni di sicurezza nazionale. La misura impatta viaggiatori e operatori che forniscono connettività internazionale.

Phishing “tech support” usa il logo Microsoft

Campagne di phishing sfruttano il brand Microsoft per convincere gli utenti a chiamare falsi numeri di supporto tecnico; gli attaccanti manipolano il browser con pop-up e finti CAPTCHA, inducendo alla condivisione di credenziali o all’installazione di remote-access tool. Attenzione agli avvisi urgenti non sollecitati.

Smishing su rimborsi e pedaggi prende di mira cittadini

Campagne di smishing colpiscono contribuenti e automobilisti con messaggi che promettono rimborsi, restituzione di pedaggi o compensi carburante; i link portano a pagine mobile-first che raccolgono dati personali e carte di pagamento. Sul web sono stati registrati centinaia di domini correlati.

Garante olandese multa Experian per €2,7M

L’autorità olandese per la protezione dei dati ha multato Experian Netherlands per raccolta eccessiva e non giustificata di dati personali, imponendo la cancellazione del database interessato. La decisione ricorda che processi di data aggregation devono rispettare strettamente GDPR e i requisiti di minimizzazione.