Gli attacchi informatici diventano sempre più intelligenti e difficili da fermare. In questa analisi sulle minacce informatiche della settimana vediamo come i threat actor hanno usato strumenti subdoli, ingannato sistemi ritenuti affidabili e sfruttato in poche ore vulnerabilità appena emerse, mettendo sotto pressione difese in ogni settore.

Si è visto di tutto: dallo spionaggio industriale alle finte offerte di lavoro, fino a ransomware aggressivi e phishing mirato. Nel mirino sono finiti persino i backup cifrati e i perimetri sicuri.

Qui sotto trovi il riepilogo delle notizie cyber più rilevanti della settimana.

In primo piano

Il 4 novembre l’Agenzia per la Cybersicurezza Nazionale e l’Ente Nazionale per il Microcredito hanno firmato un Protocollo d’Intesa che mette a terra un programma congiunto di sensibilizzazione, formazione e workshop rivolti a micro e piccole imprese, professionisti, operatori dei servizi non finanziari del microcredito e Pubbliche Amministrazioni, con percorsi calibrati sul livello di maturità digitale dei destinatari. Obiettivo: alzare prontezza digitale e resilienza cibernetica nei segmenti più esposti del tessuto produttivo italiano, trasformando la sicurezza da adempimento a capacità operativa diffusa. Fonte: ACN

La tempistica non è casuale: pochi giorni prima, a Milano, Assolombarda e ACN hanno legato la sicurezza alla competitività e alla compliance NIS2 in un evento che ha riportato la cyber al centro dell’agenda industriale; e l’ultimo report ACN sulla sanità segnala un +40% di eventi cyber nel 2025 rispetto al 2024, ricordando quanto l’esposizione delle filiere italiane resti concreta.

In questo contesto, l’intesa ACN – ENM può incidere sul campo: diffondere prassi minime, governance e igiene digitale nelle realtà più piccole significa ridurre la superficie d’attacco di interi ecosistemi e prevenire l’effetto-domino lungo le catene di fornitura.

In uno scenario segnato dalle minacce informatiche della settimana, iniziative come quella firmata da ACN ed ENM diventano decisive per rafforzare la resilienza delle realtà più esposte.

Caso della settimana

Tra le minacce informatiche della settimana, l’impatto degli aggiornamenti Office su ambienti VDI ha creato disservizi e possibili rischi operativi. Con la fine del supporto per Office 2016 e 2019 e l’arrivo delle nuove build di Microsoft 365, molte aziende stanno riscontrando problemi di compatibilità tra la suite Office aggiornata e i sistemi operativi meno recenti utilizzati nei propri ambienti VDI (Virtual Desktop Infrastructure). Microsoft ha confermato che diverse versioni di Windows 10 Enterprise Multi-Session e Windows Server non garantiscono più pieno supporto, provocando errori di attivazione, crash delle macro VBA, blocchi dei componenti COM e impossibilità di connettersi ai servizi cloud integrati.

In molte infrastrutture virtuali ancora basate su sistemi non più supportati, gli aggiornamenti di sicurezza di Office non vengono applicati correttamente, lasciando il software esposto a vulnerabilità note e potenzialmente sfruttabili. Quello che in apparenza è un semplice disservizio tecnico può trasformarsi in un punto di fragilità.

Microsoft raccomanda di verificare la versione dei sistemi host e guest, aggiornare alle build più recenti compatibili o pianificare la graduale migrazione verso ambienti Windows 11 Enterprise o Azure Virtual Desktop.

Altre minacce in evidenza

Tra le minacce informatiche della settimana, alcune campagne si distinguono per rapidità, stealth e capacità di aggirare le difese aziendali.

• Vulnerabilità Motex Lanscope / Gokcpdoor (CVE-2025-61932, CVSS 9.3) — un gruppo di cyberspionaggio cinese noto come Tick ha sfruttato una grave falla in Motex Lanscope Endpoint Manager per infiltrarsi in reti selezionate e installare la backdoor Gokcpdoor. Sophos segnala attività mirata limitata a settori in linea con i loro obiettivi di intelligence.
• Zero Trust + AI — threat actors stanno usando strumenti di AI per automatizzare phishing, ricognizione e movimenti laterali, aumentando velocità e volume degli attacchi. In ambienti non segmentati, un singolo accesso valido può dare troppa libertà dentro la rete. Un approccio Zero Trust riduce il danno perché verifica continuamente identità e contesto, limita i privilegi (least privilege), segmenta i percorsi interni e usa analisi comportamentale/ML per bloccare accessi anomali anche dopo l’autenticazione.
• TEE.fail: side-channel su Intel/AMD DDR5 — un gruppo di ricercatori della Georgia Tech e della Purdue University ha scoperto un nuovo attacco chiamato TEE.fail. La vulnerabilità riguarda i sistemi Intel e AMD che utilizzano enclave sicure, ovvero ambienti progettati per proteggere dati sensibili durante l’elaborazione. L’attacco sfrutta un canale laterale fisico sul bus DDR5: con un semplice analizzatore logico costruito con componenti commerciali per meno di mille dollari, è possibile intercettare il traffico di memoria, estrarre chiavi crittografiche e aggirare i meccanismi di sicurezza delle enclave Intel SGX, TDX e AMD SEV-SNP. TEE.fail rientra tra le minacce informatiche della settimana più rilevanti, perché dimostra come un attacco fisico a basso costo possa aggirare protezioni hardware affidabili.
• Russia – Ucraina, tattiche stealth — secondo un’analisi pubblicata da Symantec e Carbon Black, gruppi legati alla Russia hanno violato reti di un ente governativo locale e di un’azienda di servizi in Ucraina, utilizzando strumenti amministrativi già presenti nei sistemi delle vittime. Gli attacchi sono avvenuti in territorio ucraino e si distinguono per la tecnica “living-off-the-land”, che consente di muoversi all’interno delle reti senza usare malware personalizzato e quindi senza generare allarmi. L’obiettivo era sottrarre dati e restare inosservati il più a lungo possibile.
• BlueNoroff: GhostCall e GhostHire — il gruppo nordcoreano BlueNoroff (alias APT38/TA444), collegato al Lazarus Group, è stato segnalato questa settimana da Kaspersky per due campagne chiamate GhostCall e GhostHire: gli aggressori inviano falsi inviti a riunioni e offerte di lavoro via LinkedIn e Telegram per indurre dirigenti e sviluppatori Web3 a eseguire malware multi-stadio che compromette host Windows, Linux e macOS. Le campagne, attive a livello globale e mirate soprattutto al settore Web3, sono state osservate nelle ultime settimane e puntano a raccogliere informazioni estese per facilitare attacchi alla supply chain e sfruttare relazioni di fiducia tra vittime e fornitori.
• Herodotus, nuovo banking trojan Android — un nuovo malware è stato scoperto questa settimana dai ricercatori di ThreatFabric. Il virus, diffuso attraverso SMS che invitano a scaricare app false, è progettato per rubare credenziali bancarie e codici OTP. Una volta installato, sovrappone una schermata identica a quella delle app legittime di pagamento o home banking e intercetta i messaggi in arrivo. Le campagne sono state rilevate in più Paesi europei e dimostrano come i trojan bancari continuino a evolversi, sfruttando tecniche sempre più credibili e difficili da individuare, Herodotus si conferma una delle minacce informatiche della settimana più insidiose per gli utenti mobile, grazie alla sua capacità di imitare il comportamento umano durante il controllo remoto.
• Qilin ransomware usa encryptor Linux su Windows — usa una tecnica ibrida per colpire host Windows: gli operatori trasferiscono un encryptor Linux (file ELF) sul sistema compromesso, lo avviano usando Windows Subsystem for Linux (WSL) e così cifrano i dati senza usare binari Windows tradizionali. Le campagne, rilevate a livello globale e rivendicate su un data-leak site con oltre 700 vittime in 62 paesi, sfruttano strumenti legittimi come WinSCP per il trasferimento e Splashtop per l’esecuzione remota. L’obiettivo è eludere i controlli e i rilevamenti tipici su Windows, rendendo più difficile individuare e bloccare l’encryptor. Le conseguenze sono estese interruzioni operative, perdita e compromissione di dati e costi elevati per il ripristino.

Come capire se sei esposto

Capire se la propria organizzazione è potenzialmente esposta non richiede strumenti complessi, ma attenzione costante ai segnali che spesso passano inosservati. Alcuni semplici controlli possono aiutare a individuare criticità prima che si trasformino in incidenti.

• Non installare sempre al volo gli aggiornamenti. Fai controllare a un tecnico che i nuovi update siano compatibili con ciò che usate. Aspetta i bollettini del fornitore e i primi riscontri su bug/compatibilità. Poi aggiorna in una finestra programmata, con backup pronto e piano di rollback.
• verifica la presenza di Windows Subsystem for Linux (WSL) attivo su host aziendali, se non serve, disattivalo o limita l’accesso;
• analizza i log di rete e i tool amministrativi per individuare un uso anomalo di software legittimo;
• assicurati che i sistemi web e i plugin (ad esempio WordPress) siano aggiornati e che non vi siano componenti dismessi o non più supportati;
• forma periodicamente il personale contro phishing e nuove campagne sospette: campagne come Herodotus si basano proprio su errori umani;
• applica il principio del minimo privilegio e verifica periodicamente le eccezioni: riduce la superficie di movimento laterale.

Piccoli interventi di patching, monitoraggio e formazione riducono sensibilmente la superficie d’attacco. Se non sai da dove iniziare, un assessment mirato di Security Architect può aiutarti a individuare i punti deboli reali e a costruire un piano di difesa proporzionato alla tua infrastruttura e al tuo business.

Rassegna lampo

Chiudiamo con una panoramica delle minacce informatiche della settimana più rilevanti, dagli attacchi su ICS alle nuove tecniche di phishing.

Canada: attacchi hacktivist contro infrastrutture critiche

Il Canadian Centre for Cyber Security ha segnalato diversi attacchi condotti da gruppi hacktivist contro impianti idrici, reti energetiche e sistemi agricoli. Gli aggressori hanno manipolato parametri come pressione, temperatura e sensori ATG, causando disservizi. Le autorità invitano a mappare i servizi esposti online e a rafforzare l’autenticazione e il monitoraggio dei sistemi industriali.

Kinsing sfrutta ancora Apache ActiveMQ per cryptomining

Il gruppo Kinsing continua a sfruttare la falla CVE-2023-46604 di Apache ActiveMQ per installare backdoor e miner XMRig su server Windows e Linux. Oltre al mining, gli aggressori utilizzano strumenti come Cobalt Strike e PowerShell Empire per mantenere l’accesso e muoversi lateralmente. La vulnerabilità, vecchia di un anno, resta una delle più sfruttate su sistemi non aggiornati.

Falle in otto sistemi di confidential computing

Due vulnerabilità (CVE-2025-59054 e CVE-2025-58356) colpiscono otto piattaforme di confidential computing basate su LUKS2, permettendo di estrarre o alterare dati cifrati. Per sfruttarle serve accesso ai dischi, ma l’impatto è critico per ambienti cloud e virtualizzati. Gli sviluppatori hanno già rilasciato una mitigazione parziale nella versione 2.8.1 di cryptsetup.

Phishing su LinkedIn contro dirigenti del settore finance

Ricercatori hanno scoperto una campagna di phishing via LinkedIn che impersona inviti a consigli di amministrazione per rubare credenziali Microsoft 365. I link portano a pagine di login false protette da Cloudflare Turnstile per bloccare gli scanner automatici. L’obiettivo è colpire direttamente i dirigenti fuori dai controlli di sicurezza aziendali.

Proton lancia il Data Breach Observatory

La società svizzera Proton ha annunciato un servizio gratuito che monitora il dark web per individuare fughe di dati aziendali. Il report iniziale segnala oltre 306 milioni di record compromessi e conferma che il 70% dei breach riguarda PMI con protezioni limitate. Lo strumento consente alle aziende di verificare se i propri domini compaiono in raccolte di dati trafugati.

12 estensioni malevole su Visual Studio Code

Sono state individuate 12 estensioni compromesse nel marketplace di VS Code, usate per rubare credenziali o installare backdoor permanenti. Il codice malevolo era nascosto tramite caratteri Unicode invisibili, difficili da rilevare. Gli esperti invitano a controllare le estensioni installate e rimuovere quelle non ufficiali o mai aggiornate.

Russia: arrestati gli autori di Meduza Stealer

Le autorità russe hanno arrestato tre persone accusate di sviluppare e vendere il malware Meduza Stealer, usato anche contro reti governative. Durante le perquisizioni sono stati sequestrati dispositivi e carte bancarie.

Cittadino ucraino estradato negli USA per gli attacchi Conti

Un cittadino ucraino, è stato estradato negli Stati Uniti con l’accusa di aver partecipato alle operazioni del ransomware Conti tra il 2020 e il 2022. Secondo il Dipartimento di Giustizia, controllava dati rubati a numerose vittime ed era coinvolto nella gestione delle note di riscatto. Conti è stato responsabile di oltre 1.000 attacchi e almeno 150 milioni di dollari in riscatti.

La Danimarca si ritira dal progetto europeo “Chat Control”

Il governo danese ha ritirato il proprio supporto alla proposta UE di “Chat Control”, che prevedeva la scansione delle comunicazioni digitali, anche cifrate, per contrastare il materiale di abuso su minori. La misura non ha ottenuto sostegno sufficiente tra gli Stati membri e molti Paesi hanno sollevato forti preoccupazioni per la privacy.

Polonia: 11 arresti per una maxi truffa d’investimento

Le autorità polacche hanno arrestato 11 persone coinvolte in una vasta frode d’investimento gestita tramite call center all’estero. Le vittime venivano spinte a investire in piattaforme finanziarie fasulle. La rete avrebbe raccolto oltre 20 milioni di dollari, con almeno 1.500 persone raggirate.

Quattro nuovi RAT utilizzano Discord come centro di comando

I ricercatori hanno identificato quattro nuovi trojan di accesso remoto (UwUdisRAT, STD RAT, Minecraft RAT e Propionanilide RAT) che usano Discord come canale di comando e controllo. Si tratta di una delle minacce informatiche della settimana più rilevanti nel panorama malware, perché questi RAT condividono gran parte del codice e impiegano un packer (Proplock/STD Crypter) che nasconde la componente malevola rendendo più difficile il rilevamento.

Gravi debolezze di sicurezza sui siti Tata Motors

Il ricercatore Eaton Zveare ha scoperto vulnerabilità critiche nei siti Tata Motors, tra cui E-Dukaan e FleetEdge: chiavi API e AWS esposte e un account “backdoor” con accesso non autorizzato a oltre 70 TB di dati e infrastrutture. Le falle permettevano anche di manipolare la flotta dei test drive. I problemi sono stati risolti dopo disclosure coordinata.

Tangerine Turkey usa script batch e Visual Basic per distribuire crypto miner

La campagna “Tangerine Turkey”, attiva dal 2024, si diffonde tramite USB infetti che avviano script VB e batch tramite wscript.exe, sfruttando strumenti legittimi di Windows per evitare i controlli. Gli script garantiscono persistenza e installano miner XMRig su Windows, colpendo organizzazioni di vari settori.

Hezi Rash prende di mira siti globali con attacchi DDoS

Il gruppo hacktivist curdo “Hezi Rash” ha rivendicato circa 350 attacchi DDoS tra agosto e ottobre 2025 contro siti di Paesi considerati ostili alle comunità curde o musulmane. Le operazioni, più dirompenti che sofisticate, utilizzano servizi DDoS-as-a-Service condivisi con gruppi come KillNet e NoName057(16).

Campagne di phishing distribuiscono il malware Lampion

Una campagna brasiliana sta diffondendo il malware “Lampion” tramite e-mail con finti documenti di bonifico in file ZIP. All’interno si trovano pagine HTML con tecnica “ClickFix” che eseguono script VB e installano una DLL stealer. Attivo dal 2019, Lampion ha recentemente aggiunto nuovi meccanismi di persistenza.

MITRE aggiorna il framework ATT&CK

MITRE ha pubblicato la versione 18 del framework ATT&CK, che introduce “Detection Strategies” e “Analytics” per migliorare il rilevamento mirato delle tecniche di attacco. L’aggiornamento amplia la copertura anche per il settore industriale (ICS) e per le minacce mobile, inclusi abusi su dispositivi legati a Signal e WhatsApp.

Il quadro delle minacce informatiche della settimana conferma una crescente diversificazione degli attacchi e un impatto sempre più diretto sul business.