Sommario
La superficie d’attacco digitale ha cessato di essere un’entità perimetrale per diventare un ecosistema disperso, sociale e continuamente manipolabile. I recenti casi documentati mostrano come i vettori di compromissione si siano spostati dai bug tecnici al controllo dell’interazione, della reputazione, delle firme e della catena della fiducia. Video virali, firmware obsoleti, falsi ambienti di autenticazione e identità digitali emulate sono oggi strumenti operativi di attacco, capaci di eludere controlli tecnici e ingannare il comportamento umano. La varietà dei metodi usati — dai contenuti TikTok infetti fino all’abuso di certificati Apple legittimi — conferma che l’attaccante moderno agisce in modo distribuito, asincrono e persistente, puntando sempre al controllo silenzioso delle credenziali e dei flussi.
I video TikTok diventano arma: infostealer camuffati da utility Windows
Una campagna identificata con il nome ClickFix sta sfruttando la viralità della piattaforma TikTok per distribuire infostealer mascherati da strumenti di supporto tecnico. Gli attaccanti pubblicano brevi video con messaggi rassicuranti che promettono la risoluzione di errori comuni di Windows. Gli utenti, seguendo i link in descrizione, scaricano file eseguibili presentati come patch o fix. In realtà, si tratta di script Visual Basic che avviano loader offuscati in grado di installare Vidar Stealer, PennyWise e altri malware orientati alla raccolta di dati sensibili.
Una volta eseguiti, questi programmi accedono al contenuto dei browser, portachiavi di sistema, client di messaggistica come Telegram e Discord, estraendo token, credenziali salvate e informazioni personali. I dati vengono trasmessi a server controllati via webhook o bot Telegram, eludendo i controlli convenzionali. Il meccanismo sfrutta la fiducia implicita nell’aspetto video, aggirando le difese antivirus e intercettando l’utente su un piano comportamentale, più che tecnico.
Router Cisco trasformati honeypot distribuiti e raccolta di payload
Un’altra campagna sofisticata, battezzata ViciousTrap, prende di mira router Cisco RV320/325 sfruttando una vulnerabilità ancora diffusa tra i dispositivi non aggiornati. L’obiettivo degli attaccanti è duplice: compromettere i router per trasformarli in ambienti honeypot controllati e usarli come punti di raccolta per payload e traffico malevolo diffuso in rete.
Una volta ottenuto l’accesso, l’attaccante carica uno shellcode in memoria e configura il dispositivo come sistema di monitoraggio attivo. A differenza dei tradizionali honeypot usati a fini difensivi, questi ambienti agiscono come sonde operative, utili a intercettare exploit di altri attori e a testare la resilienza dei tool avversari. In parallelo, i router infetti servono da relay per attacchi secondari, sfruttando la loro posizione di gateway per accedere a reti locali o dispositivi IoT non monitorati.
L’uso offensivo di router edge, spesso trascurati in fase di audit, dimostra come l’infrastruttura periferica sia diventata un’arma tattica, capace di operare a bassa visibilità e con costi operativi minimi.
Ledger sotto attacco su macOS: seed phrase rubate con app firmate Apple
Nel settore crypto, un’ondata di attacchi contro utenti macOS sta sfruttando false versioni dell’app Ledger Live per carpire seed phrase e compromettere wallet. Gli attaccanti hanno realizzato applicazioni perfettamente identiche all’originale, utilizzando certificati Apple Developer regolari, pubblicate su siti clone o distribuite tramite risultati sponsorizzati nei motori di ricerca.
Una volta installata, l’app chiede di reinserire la propria frase di recupero, fingendo una fase di “riattivazione del portafoglio”. Il dato, una volta immesso, viene inviato a server remoti e consente l’accesso completo e irreversibile al wallet della vittima. In diversi casi documentati, il trasferimento degli asset in uscita avviene nel giro di pochi minuti verso indirizzi crypto associati a mixer o bridge cross-chain.
La sofisticazione di questa campagna si fonda su un principio semplice ma efficace: la firma del software e l’interfaccia fedele generano una falsa percezione di autenticità. Il risultato è una trappola perfetta, capace di colpire anche utenti esperti, grazie a una perfetta emulazione del comportamento dell’app legittima.
Prompt injection in GitLab Duo: codice malevolo generato dall’assistente AI
L’integrazione dell’intelligenza artificiale in ambienti DevOps sta mostrando nuove superfici d’attacco finora non codificate nelle policy di sicurezza. L’ultima segnalazione riguarda GitLab Duo, l’assistente AI della nota piattaforma di version control, che è risultato vulnerabile a tecniche di prompt injection capaci di indurre il modello a generare codice compromesso, aggirando i meccanismi di validazione automatica.
L’attacco parte da un commit malevolo contenente stringhe manipolate per alterare il comportamento dell’assistente AI. Quando il modello viene interrogato sul codice — per esempio, per eseguire un refactor o generare una patch — il prompt iniettato porta il sistema a inserire funzioni dannose in modo apparentemente legittimo. Secondo gli analisti, la falla dimostra che la fiducia cieca nei modelli generativi nei flussi CI/CD può introdurre vettori di compromissione silenziosi, difficilmente rilevabili da scanner statici.
Questo tipo di minaccia non è legata a una falla classica, ma a un abuso del contesto linguistico che l’assistente considera autorevole. Il codice inserito non è il risultato di un bug, ma di una deliberata manipolazione semantica che sfrutta l’AI come canale di esecuzione non supervisionato.
DMSA in Windows Server: abuso strumento Microsoft per scalare i privilegi in dominio
Un’analisi pubblicata da Akamai ha evidenziato una tecnica di privilege escalation in ambienti Active Directory basata sull’abuso di Device Management and Security Accounts (DMSA), un componente incluso in Windows Server 2025. Sebbene DMSA sia pensato per facilitare la gestione remota e la diagnostica, può essere utilizzato in combinazione con comandi PowerShell legittimi per ottenere privilegi amministrativi locali e di dominio, senza alcuna modifica al sistema.
La tecnica si fonda su un abuso delle API DMSA non correttamente segregate nei contesti di sicurezza, permettendo a un utente con permessi limitati di accedere a componenti di configurazione avanzata e di riscrivere chiavi di sistema. L’esecuzione può avvenire in memoria, senza lasciare tracce rilevanti su disco, rendendo l’attacco persistente, invisibile e resistente al riavvio.
Il rischio principale è la possibilità di escalation laterale in ambienti federati o hybrid-cloud, in cui l’infrastruttura di directory è condivisa con servizi Azure AD o Microsoft Entra. La vulnerabilità, pur non essendo ancora classificata come CVE, è in fase di valutazione da parte di Microsoft, che ha rilasciato workaround per il contenimento temporaneo.
Attacchi SaaS: Commvault e la fragilità dei backup nel cloud
Il bollettino CISA recentemente pubblicato segnala una campagna di compromissione contro ambienti SaaS, con focus particolare su Commvault, uno dei principali fornitori globali di soluzioni di backup e disaster recovery. I sistemi colpiti sono istanze cloud gestite, configurate secondo i parametri standard, ma esposte a session hijacking e privilege escalation tramite API insufficientemente protette.
La compromissione è avvenuta in modo silente: non attraverso exploit pubblici, ma tramite accessi OAuth manipolati e token rilasciati tramite redirect chains, sfruttando la configurazione multi-tenant tipica degli ambienti enterprise. Una volta acquisito l’accesso a un account con privilegi estesi, gli attaccanti sono stati in grado di accendere, spegnere, cancellare o esportare backup di interi cluster aziendali, compromettendo così la strategia di resilienza dell’organizzazione.
CISA suggerisce una verifica immediata dei log di accesso, con particolare attenzione alle sessioni API in orari anomali, alle modifiche improvvise ai criteri di retention e alle modifiche non autorizzate ai piani di backup, spesso utilizzate per nascondere l’esfiltrazione prima della cancellazione dei dati.
Controllo del codice e della replica è il nuovo terreno operativo
I sette casi analizzati rivelano un filo conduttore tecnico: la minaccia oggi non agisce più solo per eseguire codice malevolo, ma per infiltrarsi nei meccanismi di replica, fiducia, autorizzazione e automazione. Che si tratti di un AI che scrive codice manipolato, di un’app firmata in modo legittimo che sottrae identità crittografiche o di una console di backup esposta a sessioni maligne, l’attacco moderno punta al cuore delle funzioni critiche di ogni sistema.
La difesa, di conseguenza, deve uscire dall’approccio “perimetrale” per concentrarsi su visibilità semantica, validazione delle identità operative, controllo delle catene di automazione e resilienza distribuita. I vettori analizzati dimostrano che ogni livello — dall’utente all’API, dal device all’assistente AI — può diventare una porta aperta, se non correttamente isolato, sorvegliato e sottoposto a verifiche comportamentali.
