La metà di giugno 2026 porta alla luce tre incidenti che evidenziano le principali sfide della sicurezza informatica contemporanea. Da una parte emerge un vasto archivio contenente credenziali VPN Fortinet associate a oltre 73.000 dispositivi distribuiti in quasi duecento Paesi. Dall’altra i ricercatori documentano una nuova versione Windows del malware SprySocks, dotata di funzionalità stealth a livello kernel e attribuita al gruppo di cyberspionaggio Earth Lusca. A completare il quadro arriva la conferma da parte di Microsoft di problemi introdotti dagli aggiornamenti di giugno che impediscono l’avvio corretto delle applicazioni Office da software di terze parti. Sebbene si tratti di episodi distinti, tutti evidenziano la crescente complessità della gestione del rischio informatico in ambienti enterprise, governativi e infrastrutturali.
Cosa leggere
Un leak espone credenziali VPN Fortinet per oltre 73.000 dispositivi
L’episodio più esteso riguarda la pubblicazione accidentale di un archivio contenente credenziali associate a circa 73.932 dispositivi FortiGate distribuiti in 194 Paesi. Il dataset include username, indirizzi email, password in chiaro e informazioni aggiuntive sulle organizzazioni coinvolte, comprese indicazioni relative a dimensioni aziendali, numero di dipendenti e settore operativo. Secondo le analisi effettuate dai ricercatori, i dati sono stati individuati su un server configurato in modo errato e lasciato accessibile pubblicamente. All’interno erano presenti database di credenziali, script utilizzati durante attività offensive e tracce di campagne di compromissione precedenti. L’esposizione interessa organizzazioni appartenenti a settori strategici come telecomunicazioni, sanità, finanza, istruzione e manifattura, aumentando il rischio di accessi non autorizzati verso infrastrutture critiche e reti aziendali.
Brute force e cracking degli hash dietro la raccolta delle credenziali
Le indagini indicano che le credenziali non derivano da una nuova vulnerabilità di Fortinet ma da una lunga attività di raccolta effettuata attraverso campagne di brute force e compromissioni pregresse. I ricercatori hanno identificato un gruppo di lingua russa che avrebbe eseguito oltre 1,16 miliardi di tentativi di autenticazione contro più di 320.000 target FortiGate. Parallelamente gli attaccanti avrebbero raccolto e successivamente crackato hash associati ai servizi SSL VPN sfruttando un cluster composto da 45 GPU. La disponibilità di credenziali valide consente potenzialmente l’accesso a firewall esposti direttamente su Internet e apre la strada a operazioni di movimento laterale verso ambienti interni, sistemi Active Directory e dati sensibili. La portata della raccolta dimostra un approccio sistematico e industrializzato alla compromissione delle infrastrutture di accesso remoto.
Fortinet invita a ruotare le password e rafforzare le difese
Fortinet ha precisato che i dati emersi derivano da credenziali compromesse in passato e non da un difetto recentemente scoperto nei propri prodotti. Nonostante ciò, il rischio operativo resta elevato perché molte delle password potrebbero essere ancora valide o riutilizzate in altri sistemi aziendali. L’azienda raccomanda la rotazione immediata delle credenziali, l’attivazione dell’autenticazione multifattore (MFA) e la verifica approfondita dei log di accesso. Gli amministratori dovrebbero inoltre limitare l’esposizione delle interfacce di gestione direttamente su Internet e implementare controlli di accesso più restrittivi. Il caso evidenzia ancora una volta come password deboli, riutilizzate o mai aggiornate rappresentino uno dei principali punti di ingresso sfruttati dagli attaccanti contro infrastrutture di sicurezza considerate critiche.
SprySocks arriva su Windows con capacità stealth avanzate
Parallelamente al leak Fortinet, i ricercatori di ESET hanno documentato una nuova evoluzione del malware SprySocks, precedentemente osservato principalmente in ambienti Linux. La nuova variante Windows introduce componenti progettati per garantire persistenza e occultamento avanzato all’interno dei sistemi compromessi. Il malware è composto da due moduli principali denominati WIN_DRV e WIN_PLUS. Il primo include un driver kernel che consente di manipolare direttamente il sistema operativo, mentre il secondo opera come backdoor per la gestione remota della macchina infetta. Questa architettura permette agli operatori di mantenere un elevato livello di controllo sul dispositivo riducendo al minimo la probabilità di rilevamento da parte degli strumenti di sicurezza tradizionali.
Il driver kernel nasconde processi, file e connessioni
L’elemento più preoccupante della nuova variante di SprySocks è rappresentato dal driver a livello kernel. Grazie a questo componente il malware è in grado di nascondere processi, file, chiavi di registro e connessioni di rete, rendendo particolarmente complessa l’analisi forense dei sistemi compromessi. Le funzionalità di command-and-control comprendono oltre trenta comandi differenti che consentono raccolta di informazioni, gestione dei servizi di sistema, operazioni sui file e monitoraggio delle attività dell’utente. Il malware integra inoltre funzioni di keylogging, acquisizione degli appunti e monitoraggio delle finestre attive. Una caratteristica particolarmente sofisticata consiste nella capacità di intercettare traffico TCP e reindirizzare pacchetti specifici verso il backdoor senza esporre direttamente una porta di ascolto visibile agli strumenti di scansione tradizionali.
Earth Lusca amplia le operazioni contro enti governativi
Le attività attribuite con elevato livello di confidenza al gruppo Earth Lusca hanno preso di mira organizzazioni governative e istituzionali in diversi Paesi, tra cui Taiwan, Thailandia, Pakistan e Honduras. Gli attacchi osservati tra il 2023 e il 2024 hanno interessato enti operanti nei settori degli affari esteri, delle telecomunicazioni e della tecnologia. Secondo gli analisti, la disponibilità di una versione Windows con funzionalità stealth così avanzate rappresenta un significativo salto di qualità nell’arsenale del gruppo. Alcuni indicatori suggeriscono inoltre possibili collegamenti con componenti capaci di interagire con meccanismi di avvio del sistema, inclusi scenari che coinvolgono vulnerabilità storiche di Secure Boot. Questa evoluzione aumenta la capacità del malware di sopravvivere alle attività di bonifica e di mantenere accesso prolungato alle reti bersaglio.
Microsoft conferma problemi nelle applicazioni Office
Sul fronte operativo, Microsoft ha confermato l’esistenza di un problema introdotto dagli aggiornamenti Windows distribuiti a partire dal 9 giugno 2026. Il difetto impedisce a software di terze parti di avviare correttamente applicazioni come Word, Excel, PowerPoint e Access attraverso meccanismi di automazione OLE. Quando un programma esterno tenta di aprire un documento o lanciare un’applicazione Office, l’operazione fallisce senza generare messaggi di errore particolarmente chiari. Il comportamento ha causato difficoltà in numerosi ambienti aziendali che fanno affidamento su integrazioni consolidate tra Office e software gestionali, documentali o contabili.
Impatto sulle integrazioni aziendali e workaround temporanei
Le conseguenze risultano particolarmente rilevanti per le organizzazioni che utilizzano applicazioni legacy o sviluppate internamente per automatizzare processi documentali. La rottura delle integrazioni OLE comporta rallentamenti operativi, interventi manuali e interruzioni nei flussi di lavoro. Microsoft ha confermato di essere al lavoro su una correzione che verrà distribuita attraverso futuri aggiornamenti di Windows, ma nel frattempo invita le organizzazioni interessate a contattare il supporto tecnico per ottenere eventuali mitigazioni specifiche. Per la maggior parte degli utenti la soluzione temporanea consiste nell’aprire direttamente le applicazioni Office e i documenti interessati, evitando il passaggio tramite software esterni fino alla disponibilità di una patch definitiva.
Credenziali esposte, malware stealth e aggiornamenti problematici aumentano il rischio
I tre episodi emersi nel giugno 2026 mostrano come le minacce informatiche moderne non siano limitate alle vulnerabilità software tradizionali. L’esposizione di credenziali VPN valide, l’evoluzione di malware con capacità di occultamento a livello kernel e gli effetti collaterali derivanti dagli aggiornamenti di sistema rappresentano problemi differenti ma ugualmente critici. Le organizzazioni devono adottare strategie multilivello che comprendano rotazione delle credenziali, autenticazione multifattore, monitoraggio avanzato degli endpoint, verifica dell’integrità dei driver e processi rigorosi di test degli aggiornamenti prima della distribuzione in produzione. La combinazione di accessi privilegiati compromessi, strumenti offensivi sempre più sofisticati e dipendenza crescente dall’automazione rende infatti essenziale una gestione continua del rischio per ridurre le possibilità di compromissione e limitare gli impatti operativi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
