Sicurezza, fiducia e stabilità sono i valori che per anni sono stati alla base del nostro mondo digitale e della difesa dalle minacce informatiche. Oggi questi valori, se dati per scontati, diventano leve per i threat actor. Dall’account aziendale compromesso alla falsa offerta di lavoro, i criminali informatici non smettono di evolversi: sfruttano le falle dei sistemi e la disattenzione umana.

In questa edizione del Security Architect Weekly vedremo come l’apparente tranquillità si stia incrinando ancora una volta.

In primo piano

La legge 23 settembre 2025 n. 132, entrata in vigore il 10 ottobre 2025, rappresenta il primo quadro normativo nazionale sull’intelligenza artificiale e si affianca all’AI Act europeo. La norma definisce principi di trasparenza, tracciabilità e controllo umano per i sistemi di intelligenza artificiale. Stabilisce che l’intervento umano resti sempre possibile nei processi decisionali automatizzati. La nuova legge impatterà anche la gestione delle minacce informatiche in ambito aziendale.

Si affidano funzioni di coordinamento e vigilanza ad AgID e ACN, mentre i ministeri competenti dovranno emanare i decreti attuativi per i singoli ambiti di applicazione. Nei settori più sensibili viene richiesto un livello elevato di supervisione e di protezione dei dati personali.

La legge introduce anche possibili sanzioni penali per l’uso doloso dell’IA, come la creazione e diffusione di deepfake o contenuti manipolati. Chiarisce che la tutela del diritto d’autore si applica solo alle opere con contributo umano sostanziale. Limita il text & data mining ai soli casi consentiti.

Nei prossimi mesi sono attesi i decreti attuativi che definiranno gli obblighi operativi per imprese, enti pubblici e soggetti che sviluppano o utilizzano piattaforme IA. Per tutti sarà necessario avviare fin d’ora una mappatura dei propri utilizzi, verificare trasparenza, sicurezza e tracciabilità. Occorrerà, inoltre, aggiornare governance e informative per conformarsi alla nuova cornice normativa e rafforzare la resilienza contro le minacce informatiche.

Caso della settimana

Microsoft ha rilasciato un aggiornamento fuori banda per chiudere CVE-2025-59287 (CVSS 9,8). Si tratta di una vulnerabilità di esecuzione di codice remoto in Windows Server Update Services, una delle minacce informatiche più critiche del mese. I ricercatori hanno notato sfruttamenti attivi poche ore dopo il rilascio della patch. I server WSUS esposti pubblicamente risultano i più colpiti. Nelle catene d’attacco compaiono un eseguibile .NET e un payload PowerShell Base64 in grado di eseguire comandi arbitrari.

In parallelo, il cloud ha mostrato nuove fragilità di piattaforma. Il 29 ottobre Microsoft Azure ha segnalato problemi a partire dalle 16:00 UTC. Azure Front Door e il portale Azure hanno avuto disservizi globali, con impatto a cascata su più servizi (Microsoft 365, Xbox, ecc.). Microsoft ha effettuato instradamenti alternativi e risolto gradualmente il problema.

Episodi simili dimostrano quanto la gestione del cloud resti un punto nevralgico nella difesa dalle minacce informatiche.

Altre minacce in evidenza:

• Rete fantasma su YouTube diffonde stealer malware — analisti di threat intel hanno individuato una rete dannosa di account che pubblica e promuove video-esca su software pirata e cheat per Roblox. Attiva dal 2021, ha diffuso oltre 3.000 video malevoli, con un volume triplicato dall’inizio dell’anno. Gli account compromessi sostituiscono i contenuti originali. Reindirizzano gli utenti verso link di download infetti, alimentando la diffusione delle minacce informatiche.
• Campagna “Dream Job” della Corea del Nord contro il settore difesa — il gruppo Lazarus ha rilanciato la storica operazione Dream Job, inviando email che si spacciano per offerte di lavoro di grandi aziende. I messaggi includono allegati malevoli che installano ScoringMathTea. Prendono di mira imprese europee della difesa, tra cui aziende coinvolte nella produzione di droni impiegati in Ucraina.
• Muddywater e la backdoor Phoenix — il gruppo iraniano ha condotto una delle campagne di spionaggio più ampie tra le attuali minacce informatiche globali, sfruttando un account email compromesso per distribuire la backdoor Phoenix a oltre cento organizzazioni in Medio Oriente e Nord Africa. L’obiettivo è infiltrare enti governativi. E facilitare la raccolta di intelligence per il Ministero dell’Intelligence iraniano.
• Meta introduce nuovi strumenti anti-truffa — Meta ha introdotto su WhatsApp un avviso quando si condivide lo schermo con contatti sconosciuti. Su Messenger arriva la funzione “rilevamento truffe” per proteggere gli utenti e ridurre l’impatto delle minacce informatiche legate alle frodi digitali. L’azienda ha disattivato quasi otto milioni di account legati a reti di scam internazionali che prendono di mira utenti vulnerabili, come anziani o vittime di frodi precedenti.
• “Jingle Thief” e frodi con gift card nel cloud — un gruppo criminale prende di mira ambienti cloud di aziende retail e consumer per condurre frodi con gift card. Usa phishing e smishing per rubare credenziali. Ottiene privilegi e genera carte regalo non autorizzate, poi rivendute su mercati grigi. Un chiaro esempio di come le minacce informatiche colpiscano anche i servizi cloud e retail.

Come capire se sei esposto

Capire di essere esposti non significa individuare un attacco in corso. Significa riconoscere quei piccoli segnali che spesso anticipano una violazione. Molti di essi si nascondono nei log o nelle anomalie quotidiane che passano inosservate. Controlla questi segnali:

• verifica nei log di sistema eventuali esecuzioni di script PowerShell codificati o offuscati.
• controlla se sono stati creati nuovi servizi, scheduled task o account amministrativi negli ultimi giorni; in particolare su server che non dovrebbero subire modifiche operative.
• analizza i log di accesso cloud e autenticazione per individuare login da regioni o dispositivi anomali, token OAuth non autorizzati o app registrate di recente.
• esamina gli alert EDR e antivirus disattivati o messi in pausa. La soppressione dei controlli di sicurezza è spesso un segnale di compromissione già avvenuta.
• verifica l’integrità dei portali aziendali, canali social e repository. Contenuti modificati, link insoliti o pubblicazioni fuori orario possono indicare un accesso non legittimo.
• controlla nei sistemi cloud eventuali richieste di emissione o movimentazione di crediti, coupon o gift card fuori dagli orari normali.
• monitora l’uso di strumenti amministrativi o di audit (come scanner di rete, script di enumerazione o tool open source interni) lanciati da workstation o host insoliti.
• esamina le configurazioni dei filtri e dei gateway di posta. Variazioni recenti nei record SPF/DKIM, nuove regole di inoltro o flussi Direct Send inattesi possono nascondere phishing interno.
• controlla i permessi di applicazioni terze o integrazioni API. Bot, agent o connettori creati di recente e con privilegi eccessivi rappresentano vettori comuni di abuso.
• analizza la continuità dei log e delle metriche. Le interruzioni improvvise nella telemetria possono segnalare attività di cancellazione o offuscamento intenzionale.

Restare vigili è l’unico modo per restare sicuri. Analizzare ciò che accade nella propria infrastruttura e affidarsi a partner con competenze di monitoraggio e threat intelligence, come Security Architect, permette di trasformare questi segnali in prevenzione reale e in una protezione più efficace contro le minacce informatiche.

Rassegna lampo

Chiudiamo con le notizie essenziali della settimana sulle minacce informatiche più recenti:

iOS 26 e tracce forensi

L’ultimo aggiornamento di Apple per iPhone, iOS 26, introduce una modifica apparentemente minore ma con implicazioni rilevanti per la sicurezza. Il sistema ora sovrascrive a ogni riavvio il file di log shutdown.log. In precedenza conservava informazioni preziose per l’analisi forense, come indizi di infezioni da spyware o comportamenti anomali del dispositivo.

Operazioni di disinformazione

Google ha segnalato operazioni di disinformazione pro-Russia attive nello spazio informativo polacco dopo l’incursione di droni russi avvenuta a settembre 2025. Le campagne sono attribuite ai cluster Portal Kombat (alias Pravda Network), Doppelganger e al sito Niezależny Dziennik Polityczny (NDP). Diffondono messaggi coordinati per negare la responsabilità russa, incolpare l’Occidente e indebolire il sostegno del pubblico alla posizione filo-ucraina del governo polacco.

RedTiger usato per rubare account Discord

RedTiger, strumento open-source, viene riadattato come infostealer con focus sugli account Discord. Inietta JavaScript nel file index.js del client per intercettare token, leggere dati e password salvati nel browser, sottrarre file di gioco, wallet crypto e screenshot. Può anche catturare il flusso webcam. In parallelo circola un RAT in Python che usa le API di Telegram Bot e si spaccia per “Nursultan Client” di Minecraft. Consente controllo remoto, furto dei token Discord e apertura di URL sul dispositivo.

XWorm 6.0

XWorm 6.0 è una versione aggiornata di un malware che rende più difficile la sua individuazione e rimozione. Viene spesso avviato da un file o uno script che la vittima apre per sbaglio. Una volta dentro, scarica ed esegue componenti che si nascondono nella memoria. Questi componenti cercano di impedire agli antivirus l’analisi. Il malware può anche rendersi difficile da terminare, risultando come processo critico.

Abuso di Microsoft 365 Direct Send

Threat actor BEC sfruttano la funzione Direct Send di Microsoft 365 per inviare email che sembrano provenire da dispositivi o sistemi interni. Aggirano controlli come SPF, DKIM e DMARC. In pratica i messaggi arrivano in posta come se fossero “di fiducia”, rendendo più efficaci phishing e compromissioni di account.

CoPhish via Copilot Studio

Team di security research hanno mostrato che le impostazioni di login di un agent su Copilot Studio possono essere abusate per reindirizzare un utente verso URL controllati da criminali informatici. Quando la vittima tenta l’accesso, un’app OAuth malevola cattura il token emesso da Entra ID. Il trucco risulta credibile perché parte da un dominio ufficiale (copilotstudio.microsoft.com). Il vettore non richiede che l’agent malevolo sia registrato nell’ambiente della vittima, aumentando la portata dell’attacco.

AzureHound in attacchi reali

Ricercatori di Unit 42 e altri vendor segnalano che vari gruppi di minaccia stanno abusando di AzureHound, uno strumento open-source per la raccolta di informazioni su ambienti Azure. Dopo aver ottenuto un accesso iniziale, eseguono AzureHound per mappare risorse, identificare permessi e scoprire potenziali percorsi di escalation dei privilegi.
L’uso dello strumento fornisce una visione completa delle configurazioni e delle relazioni tra risorse cloud. L’abuso di utility legittime come AzureHound rende più difficile distinguere attività malevole da operazioni di amministrazione.

Telegram X fasullo con backdoor

È stata individuata una versione modificata dell’app Telegram per Android, chiamata “Telegram X”, che funziona normalmente ma installa una backdoor denominata Baohuo. Questa si connette a un database Redis come canale di comando e controllo e riceve istruzioni per eseguire azioni sul dispositivo compromesso.
Una volta attiva, Baohuo può rubare dati sensibili come credenziali e cronologie chat, nascondere connessioni da dispositivi terzi nell’elenco delle sessioni attive e aggiungere o rimuovere l’utente da canali a nome della vittima, rendendo difficile accorgersi della compromissione. È stata osservata una diffusione ampia: oltre 58.000 dispositivi compromessi tra smartphone, tablet, TV box e persino automobili.

Windows disabilita le anteprime di File Explorer

Microsoft ha disattivato le anteprime nel riquadro di File Explorer per i file scaricati da internet (contrassegnati con Mark-of-the-Web). Dopo l’aggiornamento, il riquadro mostrerà un avviso che invita l’utente a sbloccare manualmente il file se si ritiene sicuro della sua provenienza.
La modifica è stata introdotta per mitigare una classe di attacchi in cui anteprime contenenti tag HTML esterni potevano causare la fuoriuscita di hash NTLM o altri leak di credenziali.

Phishing con nuove tecniche di evasione

Secondo Kaspersky, gli hacker stanno impiegando tecniche sempre più sofisticate per eludere i controlli automatici nelle loro campagne di phishing (una delle minacce informatiche più diffuse attualmente). Nelle email, al posto dei classici link malevoli vengono spesso utilizzati documenti PDF con codici QR che rimandano a siti fraudolenti, molto più difficili da intercettare dai filtri.
In altri casi, gli allegati vengono protetti da password inviata in un’email separata, rendendo complessa l’analisi automatica dei contenuti. Le pagine di phishing, inoltre, sono spesso protette da CAPTCHA multipli o schermate di verifica che bloccano gli strumenti di scansione automatica e rallentano le analisi.

Domini e app fake per Comet di Perplexity

BforeAI ha rilevato oltre 40 domini fraudolenti registrati in scia al lancio di Comet, il browser potenziato dall’IA di Perplexity. I threat actor hanno creato siti che imitano le pagine ufficiali e pubblicato app copia su Apple App Store e Google Play Store, proponendo download o “aggiornamenti” che in realtà installano applicazioni malevole.

LockBit 5.0

Il gruppo di ransomware è tornato operativo con una nuova versione del suo malware, denominata LockBit 5.0 (nome in codice “Chuongdong”), dopo l’interruzione subita a inizio 2024. Il gruppo ha già rivendicato più di una dozzina di vittime tra Europa, Americhe e Asia, colpendo sistemi Windows e Linux.
La nuova variante introduce supporto multipiattaforma, cifratura più rapida, meccanismi di evasione avanzati e l’uso di estensioni casuali a 16 caratteri per rendere più difficile il rilevamento. Per aderire al programma, gli affiliati devono versare circa 500 dollari in Bitcoin.
Le note di riscatto identificano chiaramente la versione 5.0 e includono link di negoziazione personalizzati, offrendo alle vittime una scadenza di 30 giorni prima della pubblicazione dei dati rubati.

Firefox e trasparenza sulle estensioni

A partire dal 3 novembre, Mozilla richiederà che tutte le nuove estensioni per Firefox dichiarino in modo esplicito, all’interno del file manifest.json, se raccolgono o trasmettono dati personali a terze parti. Queste informazioni verranno mostrate anche nei prompt dei permessi quando l’utente tenta di installare un componente aggiuntivo dal portale addons.mozilla.org.
La misura punta a migliorare la trasparenza e la fiducia verso gli add-on del browser, fornendo agli utenti un controllo più chiaro sui comportamenti di raccolta dati.

WordPress mass-exploitation

Prosegue la campagna di mass exploitation che prende di mira siti WordPress tramite i plugin GutenKit e Hunk Companion, entrambi affetti da vulnerabilità note (CVE-2024-9234, CVE-2024-9707 e CVE-2024-11972). Le falle consentono a threat actor non autenticati di installare e attivare plugin arbitrari, ottenendo così esecuzione di codice remoto sui siti compromessi.
Secondo Wordfence, l’attività è iniziata l’8 ottobre 2025 e ha già generato oltre 8,7 milioni di tentativi di exploit bloccati. In diversi casi, gli actor caricano archivi ZIP da GitHub in grado di eseguire login automatici come amministratore, caricare o scaricare file e installare ulteriori backdoor PHP per defacement o controllo remoto. Quando la compromissione completa non riesce, viene installato un plugin vulnerabile chiamato wp-query-console per ottenere accesso RCE alternativo.

Phishing con domini .org casuali

Ricercatori di Cofense hanno descritto uno script di phishing che seleziona in modo casuale domini .org da una lista hardcoded per servire pagine di login fasulle. Lo script genera inoltre un UUID univoco per ogni vittima, permettendo al threat actor di tracciare le risposte e segmentare le campagne.
La tecnica rende più difficile bloccare le landing page con liste statiche di domini e complica l’analisi automatica, perché ogni istanza può apparire come un sito diverso. Gli attacchi arrivano via email con allegati HTML o link che aprono la pagina dinamica; la pagina poi genera un form di login ad hoc per la piattaforma imitata (documenti, firma digitale, storage cloud).

Russia verso una legge sulla divulgazione delle vulnerabilità

La Russia sta valutando un disegno di legge che obbligherebbe security researcher e aziende a segnalare tutte le vulnerabilità al servizio di sicurezza federale (FSB), con sanzioni penali per chi non lo fa. Questa impostazione ricorda la normativa cinese del 2021 e solleva dubbi: potrebbe stringere i canali di collaborazione tra ricerca indipendente e vendor, incentivare l’uso delle vulnerabilità per finalità di intelligence e ridurre la condivisione pubblica di informazioni tecniche.
Per i ricercatori e le organizzazioni internazionali la proposta mette in luce un problema pratico e politico: la possibilità che una legge del genere sposti dinamiche di responsabilità e utilizzo degli 0-day, con impatti sulla sicurezza globale e sulla collaborazione transfrontaliera nella gestione delle vulnerabilità.

Trattato ONU sul cybercrime

Finora 72 Paesi hanno aderito alla nuova Convenzione delle Nazioni Unite contro il cybercrime, che prevede cooperazione su scambio dati e possibili estradizioni per contrastare reati informatici transnazionali. Interpol sottolinea che il trattato offre una base legale più solida per azioni coordinate.

Loader Caminho

È stata osservata una nuova operazione loader-as-a-service (LaaS) di origine brasiliana chiamata Caminho, che utilizza steganografia LSB per nascondere payload .NET all’interno di immagini su piattaforme legittime come Internet Archive o Pastebin. Attiva almeno da marzo 2025, la campagna distribuisce vari malware tramite email di spear-phishing con allegati JavaScript o Visual Basic.
Una volta avviato, lo script scarica un payload PowerShell offuscato, estrae il loader dall’immagine steganografica e lo esegue direttamente in memoria, senza lasciare file su disco. La persistenza è mantenuta tramite attività pianificate che riavviano la catena d’infezione. L’uso della steganografia e di servizi legittimi per l’hosting rende Caminho particolarmente difficile da individuare con i controlli tradizionali.

WorkExaminer Professional vulnerabile

Sono state scoperte diverse vulnerabilità in WorkExaminer Professional (CVE-2025-10639, CVE-2025-10640, CVE-2025-10641) che consentono a un threat actor con accesso di rete di ottenere controllo remoto sul server del prodotto. Queste falle includono possibilità di escalation dei privilegi, autenticazione mancante lato server e furto di credenziali.
I ricercatori hanno osservato che la comunicazione tra console, client e server avviene in chiaro in alcuni scenari, esponendo dati sensibili su rete locale. In pratica, un actor posizionato nella stessa LAN o in grado di intercettare il traffico può leggere dati, catturare screenshot e installare componenti amministrativi non autorizzati.
Ad oggi le vulnerabilità risultano non completamente corrette nelle build pubbliche, rendendo prioritario il controllo degli ambienti che usano il prodotto e la verifica delle comunicazioni in chiaro tra i componenti.

Ex contractor USA accusato di vendita di segreti

Il Dipartimento di Giustizia statunitense ha incriminato Peter Williams, ex dirigente di Trenchant, per furto e vendita di segreti commerciali a un acquirente in Russia in cambio di circa 1,3 milioni di dollari.
Secondo i documenti giudiziari, Williams avrebbe sottratto otto segreti industriali tra aprile 2022 e agosto 2025, legati a tecnologie sensibili del settore difesa.
Il caso emerge mentre Trenchant è già coinvolta in un’indagine separata riguardante la fuga di alcuni dei propri strumenti di hacking, rafforzando l’attenzione degli Stati Uniti sul rischio di insider threat nel comparto cyber–difesa.

Abusi su Azure Blob Storage

Microsoft ha documentato come diversi threat actor stiano sfruttando Azure Blob Storage, il servizio di archiviazione del cloud Azure, come parte delle loro catene di attacco. Lo strumento, concepito per gestire grandi quantità di dati non strutturati, viene usato per ospitare payload malevoli, distribuire file infetti o archiviare dati esfiltrati.
Secondo l’analisi, gli actor cercano ambienti con configurazioni errate o permessi eccessivamente aperti, in modo da caricare o recuperare contenuti senza autenticazione. In alcuni casi, Blob Storage viene impiegato anche come snodo temporaneo per distribuire comandi o aggiornamenti a infrastrutture compromesse.
L’abuso di servizi cloud legittimi consente di mascherare il traffico malevolo dietro piattaforme affidabili, rendendo più difficile distinguere le attività di un actor da quelle di un normale utente aziendale.

Vault Viper e Universe Browser

Un’indagine di Infoblox ha collegato un browser personalizzato chiamato Universe Browser a una rete di piattaforme di gioco d’azzardo e frodi operata da sindacati criminali nel Sud-Est asiatico, identificata con il moniker Vault Viper. Il browser, distribuito come soluzione “privacy-friendly” per aggirare restrizioni locali, instrada il traffico attraverso server controllati e installa componenti che girano silenziosamente in background.
Le analisi preliminari evidenziano comportamenti tipici di un trojan di accesso remoto: keylogging, raccolta della posizione, creazione di connessioni nascoste e modifica delle impostazioni di rete del dispositivo. Alcune build rimuovono anche strumenti di sviluppo (click destro, inspector) e impostano flag che riducono il livello di sandboxing, rendendo più difficile l’ispezione.
L’operazione appare organizzata su larga scala: migliaia di domini e oltre 1.000 nameserver unici sono stati collegati a siti di gioco illegale e a infrastrutture di pagamento fraudolente, suggerendo un ecosistema che integra hosting, frode e riciclaggio.