Sospetto arrestato dopo il cyber attacco al Ministero dell’Interno francese

Le autorità francesi hanno arrestato un uomo di 22 anni in relazione a un cyber attacco contro il Ministero dell’Interno francese, a seguito di un’indagine condotta dall’unità cybercrime della procura di Parigi. L’arresto è avvenuto il 17 dicembre 2025 e riguarda l’accesso non autorizzato ai sistemi di posta elettronica interni e ai server documentali del ministero.
Secondo il Ministero dell’Interno, il sospetto, nato nel 2003, è già noto alla giustizia ed era stato condannato all’inizio del 2025 per reati informatici simili. È indagato per accesso non autorizzato a un sistema automatizzato di trattamento dei dati statali, un reato punibile fino a 10 anni di carcere.
La violazione è stata individuata nella notte tra l’11 e il 12 dicembre e ha comportato l’accesso non autorizzato a file interni, inclusi precedenti penali. Il ministro dell’Interno Laurent Nuñez ha definito l’incidente grave, sottolineando che, sebbene non sia stata confermata un’estrazione di dati su larga scala, l’effettiva portata della compromissione resta poco chiara.
L’Ufficio francese per la lotta al cybercrime sta guidando l’indagine, con ulteriori aggiornamenti attesi al termine della custodia cautelare.

Cisco avverte di uno zero-day AsyncOS sfruttato attivamente

Cisco ha avvertito i clienti di una vulnerabilità zero-day di massima gravità in Cisco AsyncOS attualmente sfruttata attivamente. La falla, identificata come CVE-2025-20393, colpisce le appliance Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM) con configurazioni non standard, quando la funzione Spam Quarantine è abilitata ed esposta su Internet. Al momento non è disponibile alcuna patch.
Cisco Talos attribuisce gli attacchi, con moderata sicurezza, a un attore di minaccia collegato alla Cina tracciato come UAT-9686. Il gruppo sfrutta la vulnerabilità per eseguire comandi arbitrari con privilegi di root, distribuire backdoor persistenti AquaShell, stabilire tunnel SSH inversi tramite AquaTunnel e Chisel e cancellare prove forensi con uno strumento di pulizia dei log chiamato AquaPurge. La campagna è attiva almeno dalla fine di novembre 2025.
Cisco invita gli amministratori a limitare l’esposizione a Internet, rafforzare i controlli di accesso, monitorare attentamente i log e contattare il TAC per valutare eventuali compromissioni. In alcuni casi potrebbe essere necessario ricostruire le appliance colpite per rimuovere completamente la persistenza.

Gruppo ransomware sfrutta la falla React2Shell in pochi secondi

Un gruppo ransomware è stato osservato mentre sfruttava la vulnerabilità critica React2Shell (CVE-2025-55182) per ottenere accesso iniziale alle reti aziendali e distribuire malware di cifratura dei file in meno di un minuto. React2Shell è una falla di deserializzazione insicura nel protocollo Flight dei React Server Components, utilizzato da React e Next.js, che consente l’esecuzione di codice remoto non autenticato su server vulnerabili.
I ricercatori di S-RM hanno confermato che la falla è stata utilizzata il 5 dicembre per distribuire il ransomware Weaxor. Poco dopo lo sfruttamento, gli attaccanti hanno lanciato un comando PowerShell offuscato per distribuire un beacon Cobalt Strike, disabilitato la protezione in tempo reale di Windows Defender ed eseguito il payload ransomware. L’intera sequenza si è svolta in meno di 60 secondi.
Weaxor, ritenuto un rebrand dell’operazione Mallox, si concentra su attacchi opportunistici contro sistemi esposti pubblicamente e richiede riscatti relativamente bassi. S-RM avverte che la sola applicazione delle patch non è sufficiente e invita le organizzazioni a esaminare log e telemetria EDR per individuare segni di sfruttamento.

SoundCloud conferma una grave violazione dei dati che colpisce 28 milioni di utenti

SoundCloud ha confermato un cyber attacco che ha esposto i dati di circa 28 milioni di account, pari a circa il 20% della sua base utenti globale. La violazione è stata rilevata dopo l’individuazione di attività non autorizzate all’interno di una dashboard di servizio interna. Sebbene non siano stati compromessi password o dati finanziari, gli attaccanti hanno avuto accesso agli indirizzi email degli utenti combinati con informazioni di profilo pubblicamente visibili, aumentando il rischio di campagne di phishing mirate.
L’attacco è stato collegato a ShinyHunters, un noto gruppo di estorsione di dati già associato ad altre violazioni di alto profilo. SoundCloud ha dichiarato che l’intrusione ha interessato un sistema interno secondario e non la piattaforma principale, consentendo agli attaccanti di aggirare protezioni più robuste.
In risposta, SoundCloud ha implementato misure di sicurezza di emergenza che hanno causato interruzioni temporanee del servizio e problemi di accesso tramite VPN in diversi Paesi. L’azienda ha rafforzato il monitoraggio e i controlli di accesso e ha invitato gli utenti a cambiare password e abilitare l’autenticazione a due fattori.
L’incidente evidenzia la crescente attenzione dei criminali verso il furto di dati su larga scala come preludio ad attacchi di social engineering.

Il botnet Kimwolf sfrutta 1,8 milioni di dispositivi Android

I ricercatori di QiAnXin XLab hanno scoperto un nuovo e imponente botnet DDoS chiamato Kimwolf, che ha compromesso circa 1,8 milioni di TV Android, set-top box e tablet in tutto il mondo. Attivo almeno da ottobre 2025, il botnet è in grado di lanciare attacchi DDoS su larga scala, oltre a supportare funzionalità di proxy forwarding, reverse shell e gestione dei file.
Tra il 19 e il 22 novembre, Kimwolf ha emesso circa 1,7 miliardi di comandi di attacco, portando temporaneamente uno dei suoi domini di comando e controllo in cima alla lista dei domini più interrogati di Cloudflare. Le infezioni sono concentrate in Paesi come Brasile, India, Stati Uniti, Sudafrica e Filippine, con i TV box intelligenti identificati come obiettivi principali.
XLab ritiene che Kimwolf sia collegato al noto botnet AISURU, con infrastrutture e codice condivisi che suggeriscono l’appartenenza allo stesso gruppo di minaccia. Le varianti più recenti hanno adottato tecniche basate su Ethereum Name Service per eludere i tentativi di smantellamento, evidenziando la crescente resilienza e scala dei moderni botnet focalizzati sull’IoT.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.