🛡️ Executive Summary
- CISA aggiunge CVE-2026-48939 e CVE-2026-56291 al catalogo KEV per upload arbitrario già sfruttato attivamente.
- Un server Python malconfigurato espone infrastrutture Evilginx, log, sessioni Telegram e campagne AiTM contro Microsoft 365 e servizi crypto.
- La mitigazione richiede patch prioritarie, verifica delle compromissioni pregresse, token protection e controlli contestuali sui flussi device code.
CISA ha inserito CVE-2026-48939 e CVE-2026-56291 nel catalogo Known Exploited Vulnerabilities, confermando lo sfruttamento attivo di due difetti che permettono il caricamento non controllato di file pericolosi. Le vulnerabilità interessano rispettivamente iCagenda e Balbooa Forms, estensioni web che possono trasformare un semplice upload in accesso remoto, installazione di webshell e compromissione completa del server. Parallelamente, un server Python HTTP configurato con directory listing aperto ha esposto l’infrastruttura di tre operatori indipendenti impegnati in campagne di phishing Adversary-in-the-Middle. I file pubblicamente accessibili hanno rivelato configurazioni Evilginx, token, log, combolist, sessioni Telegram e installer RMM utilizzati per sottrarre cookie di sessione e aggirare l’autenticazione multifattore. I due fronti evidenziano una minaccia convergente: da un lato vulnerabilità note sfruttate contro applicazioni esposte, dall’altro tecniche di identity compromise capaci di mantenere accessi persistenti anche dopo il superamento della fase di login.
Cosa leggere
CISA inserisce due vulnerabilità di upload arbitrario nel catalogo KEV
L’aggiunta di CVE-2026-48939 e CVE-2026-56291 al catalogo KEV indica che entrambe le vulnerabilità non rappresentano più un rischio teorico, ma sono già utilizzate in operazioni reali. I due difetti appartengono alla classe Unrestricted Upload of File with Dangerous Type, una categoria particolarmente critica per applicazioni web e sistemi di gestione dei contenuti. Quando un componente accetta file senza verificare adeguatamente estensione, tipo MIME, contenuto e autorizzazioni, un aggressore può caricare script eseguibili direttamente in una directory accessibile dal server. In ambienti PHP, un file malevolo può diventare una webshell capace di eseguire comandi, modificare pagine, sottrarre credenziali o installare ulteriori payload. L’inserimento nel catalogo CISA deriva da evidenze concrete di sfruttamento e impone alle organizzazioni di considerare le due falle come priorità operative, soprattutto quando i componenti interessati risultano esposti su Internet o integrati in portali con accesso a database e sistemi interni.
iCagenda e Balbooa Forms espongono applicazioni web a compromissione completa
La CVE-2026-48939 interessa iCagenda, mentre la CVE-2026-56291 colpisce Balbooa Forms. Entrambi i componenti gestiscono contenuti caricati dagli utenti e presentano un controllo insufficiente sui file accettati. Il rischio non si limita alla modifica del sito web: una volta ottenuta l’esecuzione di codice, l’attaccante può leggere file di configurazione, recuperare credenziali del database, accedere a chiavi API, creare account amministrativi e muoversi verso altri sistemi raggiungibili dal server compromesso. I portali web vengono spesso ospitati su infrastrutture condivise o collegati a servizi di autenticazione, storage e posta elettronica, aumentando il possibile raggio d’azione. La compromissione può inoltre essere utilizzata per distribuire malware ai visitatori, ospitare pagine di phishing o inserire redirect verso domini controllati dagli aggressori. La natura non autenticata dell’upload riduce drasticamente la barriera di ingresso e rende queste vulnerabilità adatte a scansioni automatizzate su larga scala.
Le agenzie federali devono verificare anche le compromissioni precedenti
L’inclusione nel Known Exploited Vulnerabilities Catalog richiede alle agenzie federali statunitensi di seguire le indicazioni della BOD 26-04, dando priorità agli asset pubblicamente esposti e ai sistemi con impatto operativo elevato. La remediation non dovrebbe però limitarsi all’installazione dell’aggiornamento. Poiché lo sfruttamento è già in corso, le organizzazioni devono verificare se gli attaccanti abbiano installato webshell, creato utenti, modificato file o sottratto credenziali prima dell’applicazione della patch.
- CVE-2026-48939 iCagenda Unrestricted Upload of File with Dangerous Type Vulnerability
- CVE-2026-56291 Balbooa Forms Unrestricted Upload of File with Dangerous Type Vulnerability
Un server aggiornato può restare compromesso se il payload persistente non viene rimosso o se le chiavi esposte non vengono ruotate. Le attività di risposta dovrebbero includere analisi dei log web, verifica dell’integrità delle directory applicative, ricerca di file con estensioni anomale e controllo dei processi generati dal servizio HTTP. I sistemi sui quali viene individuata una webshell devono essere considerati completamente compromessi, isolati e ricostruiti da immagini affidabili, accompagnando il ripristino con la sostituzione delle credenziali accessibili dall’host.
Un server Python aperto rivela tre ecosistemi di phishing distinti
Il secondo fronte emerge dall’esposizione accidentale di un server Python HTTP ospitato sull’indirizzo 185.163.204.7 a Budapest. Il directory listing abilitato ha reso consultabili file che descrivevano l’intera attività di tre operatori indipendenti: codemado, mail-argenta e saroula01. Il server conteneva configurazioni di phishing, log delle vittime, archivi di credenziali, installer per strumenti di gestione remota, combolist e sessioni Telegram. L’errore operativo ha permesso di osservare direttamente infrastrutture che normalmente restano nascoste dietro domini temporanei, proxy e servizi cloud.

Tutti e tre gli attori utilizzavano fork personalizzati di Evilginx, ottenuti da repository pubblici e modificati per supportare campagne specifiche. Le personalizzazioni risultavano limitate ma sufficienti per adattare l’aspetto delle pagine, la gestione dei token e i meccanismi anti-bot ai diversi obiettivi.
Evilginx intercetta cookie e token durante l’autenticazione reale
Le campagne si basano sul phishing Adversary-in-the-Middle, nel quale il server malevolo agisce come proxy tra la vittima e il servizio legittimo. L’utente visualizza una pagina apparentemente autentica e inserisce le proprie credenziali, che vengono inoltrate in tempo reale a Microsoft 365, a un exchange di criptovalute o a un’altra piattaforma.

Quando il servizio richiede il secondo fattore, la vittima completa normalmente la verifica, ma il proxy intercetta il cookie di sessione o il token OAuth generato dopo l’autenticazione. L’attaccante non deve quindi indovinare il codice MFA o comprometterne il canale: riutilizza direttamente la sessione già autenticata. Questo approccio riduce l’efficacia delle forme tradizionali di autenticazione multifattore basate su OTP, notifiche push o SMS, perché il controllo viene superato legittimamente dalla vittima e la sessione risultante viene sottratta subito dopo.
codemado e mail-argenta colpiscono Microsoft 365 e servizi crypto

L’operatore codemado, di origine egiziana e attivo dal 2018, gestiva una campagna ospitata sul dominio picis.net e costruita attorno a esche per account Microsoft 365. Le attività confermate tra marzo e maggio 2026 hanno coinvolto almeno due organizzazioni, mostrando un approccio selettivo e orientato all’accesso aziendale. mail-argenta, collegato invece alla Nigeria, conduceva campagne multipiattaforma rivolte sia a servizi enterprise sia al settore delle criptovalute, compreso Kraken.

Tra giugno 2025 e luglio 2026 sono state confermate 15 vittime, incluse aziende francesi e account crypto. In entrambi i casi, il valore delle sessioni sottratte deriva dalla possibilità di accedere a caselle di posta, documenti cloud, applicazioni SaaS o fondi digitali senza ripetere il processo di autenticazione. Le sessioni possono essere utilizzate direttamente, rivendute o impiegate per ulteriori operazioni di business email compromise.
saroula01 abusa del Device Code Flow con token persistenti
La campagna più estesa è attribuita a saroula01, attivo da giugno 2025 e responsabile della compromissione di 218 vittime in 12 paesi. Circa il 94% degli obiettivi appartiene a piccole e medie imprese o al settore pubblico. L’operatore utilizza un fork denominato black-queen, progettato per abusare del Microsoft Device Code Flow. Questo flusso consente normalmente di autenticare dispositivi privi di tastiera o browser completo mediante un codice temporaneo inserito su una pagina Microsoft.

Nell’attacco, l’utente riceve un codice reale ma viene guidato attraverso un’interfaccia falsificata con un conto alla rovescia di 15 minuti. Dopo l’autorizzazione, il sistema ottiene token validi e li mantiene attivi attraverso refresh automatici. In alcuni casi il rinnovo è stato eseguito fino a 25 volte, garantendo una persistenza che può protrarsi per mesi anche dopo la chiusura della pagina di phishing.
Le campagne integrano anti-bot, allegati cifrati e RMM trojanizzati
Gli operatori hanno aggiunto diversi livelli di evasione per ridurre il rilevamento da parte di gateway email, sandbox e crawler automatici. Le pagine utilizzavano FingerprintJS2 per distinguere browser reali da sistemi automatizzati, mentre la rotazione dei mittenti limitava l’impatto delle blacklist. Alcuni allegati venivano cifrati o protetti da password per impedire l’analisi preventiva, e parti del testo venivano convertite in immagini per eludere i filtri basati sul contenuto. Dopo la compromissione, gli attori distribuivano installer RMM trojanizzati, ottenendo controllo remoto persistente sui dispositivi della vittima. Questi strumenti possono apparire legittimi perché derivano da software normalmente utilizzato per assistenza tecnica e amministrazione. La combinazione tra furto di sessione, accesso remoto e persistenza consente di trasformare un singolo login compromesso in una presenza prolungata nella rete aziendale.
L’intelligenza artificiale accelera lo sviluppo senza creare tecniche nuove
I materiali esposti indicano che i tre operatori hanno utilizzato modelli di intelligenza artificiale per supportare la generazione del codice e l’adattamento dei fork pubblici. Il ruolo dell’AI non consiste nella creazione autonoma di nuove tecniche, ma nell’accelerazione di modifiche, automazione e troubleshooting.

Un attore con competenze limitate può chiedere a un modello di modificare template, integrare logica per Telegram, automatizzare la rotazione dei domini o correggere errori nei phishlet. Questo riduce il tempo necessario per passare da un repository pubblico a un’infrastruttura operativa. Le campagne dimostrano quindi come strumenti già disponibili possano diventare più accessibili e scalabili quando vengono affiancati da assistenti di programmazione, senza richiedere lo sviluppo di framework originali.
Il monitoraggio dei token diventa centrale nella difesa contro AiTM
Le difese tradizionali fondate esclusivamente su password robuste e MFA non sono sufficienti contro proxy AiTM. Le organizzazioni devono monitorare l’utilizzo dei token, verificando accessi da indirizzi, dispositivi o località incoerenti con la sessione originaria. Le policy di Conditional Access possono limitare l’impiego dei token a dispositivi gestiti, reti autorizzate e livelli di rischio accettabili. Tecnologie resistenti al phishing, come passkey, chiavi hardware e autenticazione legata all’origine, riducono la possibilità di riutilizzare le credenziali su domini intermediari. È inoltre necessario controllare le autorizzazioni concesse attraverso il Device Code Flow, disabilitando il meccanismo quando non richiesto o applicando restrizioni specifiche. La revoca delle sessioni deve essere accompagnata dalla rotazione delle password e dalla revisione delle regole di inoltro, delle applicazioni OAuth e dei dispositivi registrati.
Vulnerabilità web e furto di identità richiedono una risposta coordinata
Le due CVE inserite nel catalogo CISA e le campagne Evilginx rappresentano vettori differenti ma complementari. Le vulnerabilità di upload arbitrario consentono di compromettere direttamente server esposti, mentre il phishing AiTM prende di mira identità, sessioni e servizi cloud. Un attaccante può sfruttare un sito vulnerabile per ospitare pagine di phishing, utilizzare account rubati per accedere a pannelli amministrativi o distribuire ulteriori payload sui sistemi già compromessi. La risposta deve quindi unire vulnerability management, identity security e incident response. Gli asset KEV devono ricevere patch prioritarie e attività di threat hunting, mentre i sistemi di autenticazione devono essere configurati per ridurre la durata e la riutilizzabilità dei token. L’esposizione del server di Budapest dimostra inoltre che errori operativi apparentemente banali possono rivelare interi ecosistemi criminali, ma anche che gli attori continuano a ottenere risultati utilizzando strumenti pubblici, configurazioni riutilizzate e tecniche di phishing ormai industrializzate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









