Le VPN FortiGate prese di mira in attacchi informatici altamente automatizzati guidati dall'AI

All'inizio di febbraio 2026 è emersa una minaccia informatica significativa dopo che i ricercatori hanno scoperto una campagna di intrusione che integrava profondamente modelli linguistici di grandi dimensioni nel ciclo di vita dell'attacco. Un server mal configurato ha esposto una pipeline automatizzata in cui gli attori delle minacce hanno incorporato DeepSeek e Claude direttamente nei loro flussi di lavoro, andando oltre il phishing di base assistito dall'intelligenza artificiale fino alla completa automazione della kill chain.

L'infrastruttura si è concentrata sulle appliance FortiGate SSL VPN, utilizzando i dati di configurazione e le credenziali rubate per ottenere l'accesso, mappare le reti interne e identificare le risorse di alto valore. Gli strumenti personalizzati hanno permesso agli operatori di elaborare migliaia di obiettivi simultaneamente, con prove che indicano che sono stati analizzati in parallelo più di 2.500 dispositivi in 106 Paesi.

Gli analisti hanno osservato un approccio a doppio modello, con DeepSeek utilizzato per la pianificazione strategica e Claude per l'esecuzione del codice e la valutazione delle vulnerabilità. Una volta ottenuto l'accesso, il sistema eseguiva autonomamente strumenti come Impacket e Metasploit.

I risultati sottolineano l'urgenza di applicare patch ai dispositivi edge, di verificare l'accesso alle VPN e di monitorare attentamente l'attività di rete, dato che gli attacchi guidati dall'intelligenza artificiale continuano a crescere rapidamente.

Gli attacchi informatici basati sull'intelligenza artificiale aumentano con l'intensificarsi delle campagne degli attori delle minacce

Secondo il Global Threat Report 2026 di CrowdStrike, il numero di attacchi informatici basati sull'intelligenza artificiale è quasi raddoppiato nell'ultimo anno. Il rapporto prevede un aumento dell'89% dell'attività dei cosiddetti "avversari abilitati all'intelligenza artificiale" nel 2025, poiché gli attori delle minacce hanno adottato sempre più l'apprendimento automatico e modelli linguistici di grandi dimensioni per ottimizzare le tecniche di attacco esistenti.

Piuttosto che creare vettori di attacco completamente nuovi, gli aggressori stanno utilizzando l'IA per rendere più efficaci e scalabili metodi già noti. Ciò include la generazione di e-mail di phishing più convincenti in più lingue, l'accelerazione della ricognizione e il supporto di campagne di disinformazione. CrowdStrike ha evidenziato campagne legate ai servizi segreti cinesi e ai gruppi criminali informatici russi che hanno utilizzato l'IA per aumentare la credibilità e la portata delle operazioni di social engineering.

Il rapporto rileva anche i primi esperimenti di sviluppo di malware assistito dall'intelligenza artificiale, compreso l'inserimento di prompting LLM in strumenti di spionaggio. Sebbene l'impatto sia ancora limitato, CrowdStrike prevede che questa tendenza crescerà, avvertendo le organizzazioni di rafforzare i controlli sull'identità, la formazione sulla consapevolezza della sicurezza e le capacità di threat intelligence mentre la corsa agli armamenti dell'AI si intensifica.

Sfruttamento di un giorno zero di Cisco SD-WAN per aggiungere peer di rete non autorizzati

Cisco ha emesso un avviso urgente dopo aver confermato lo sfruttamento attivo di una vulnerabilità critica di bypass dell'autenticazione in Cisco Catalyst SD-WAN. Tracciata come CVE-2026-20127 e classificata con la massima gravità di 10.0, la falla consente agli aggressori remoti di compromettere i controller SD-WAN e di aggiungere peer maligni alle reti interessate.

La vulnerabilità riguarda le implementazioni di controller e manager SD-WAN di Cisco Catalyst, sia on-premises che in ambienti cloud. Lo sfruttamento consente agli aggressori di autenticarsi come utente interno con privilegi elevati, di manipolare le configurazioni di rete e di penetrare potenzialmente negli ambienti aziendali attraverso connessioni crittografate. Cisco Talos ha collegato l'attività a un attore altamente sofisticato, con prove che suggeriscono che lo sfruttamento può risalire a diversi anni fa.

In risposta, le autorità statunitensi e britanniche hanno emesso avvisi coordinati, con il CISA che ha imposto un'indagine immediata e l'applicazione di patch sulle reti federali. Si consiglia vivamente alle organizzazioni di controllare i registri, ricercare attività di peering non autorizzate e applicare immediatamente gli aggiornamenti di Cisco, poiché non esistono soluzioni efficaci per questa vulnerabilità.

Il settore del trasporto e della logistica negli Stati Uniti e in Europa preso di mira da una campagna di phishing organizzata

Le organizzazioni di trasporto e logistica negli Stati Uniti e in Europa sono state colpite da un'operazione di phishing di credenziali su larga scala, collegata a un gruppo di minacce a sfondo finanziario noto come Diesel Vortex. Attiva dal settembre 2025, la campagna ha portato al furto di almeno 1.649 credenziali uniche, utilizzando più di 50 domini maligni per impersonare piattaforme su cui il settore della logistica fa affidamento quotidianamente.

I ricercatori hanno scoperto l'attività dopo aver individuato un archivio di phishing esposto contenente database, dettagli dell'infrastruttura e comunicazioni Telegram. L'analisi indica un'operazione altamente organizzata con ruoli, livelli operativi e modelli di monetizzazione definiti, che prende deliberatamente di mira un settore che spesso non è al centro dei tradizionali controlli di sicurezza aziendali.

Gli aggressori hanno combinato il phishing via e-mail, il phishing vocale e l'ingegneria sociale basata su Telegram con repliche perfette al pixel di piattaforme legittime di trasporto e logistica. Le credenziali e i dati di autenticazione rubati sono stati poi utilizzati per facilitare le frodi successive, tra cui l'impersonificazione del trasporto e la deviazione del carico.

Sebbene l'infrastruttura sia stata nel frattempo interrotta, la campagna evidenzia il crescente rischio informatico che incombe sulle catene di approvvigionamento globali e la necessità di rafforzare la protezione dell'identità e la consapevolezza degli utenti in tutto il settore.

L'abuso di chatbot AI è collegato alla violazione delle reti governative messicane

Un criminale informatico avrebbe utilizzato il chatbot AI Claude di Anthropic per compromettere diverse agenzie governative messicane, rubando grandi volumi di dati sensibili sulle tasse e sugli elettori. Secondo Bloomberg, i ricercatori della società di sicurezza israeliana Gambit Security hanno scoperto prove che dimostrano che l'aggressore ha utilizzato Claude per identificare le vulnerabilità della rete, generare script di exploit e automatizzare l'esfiltrazione dei dati con messaggi in lingua spagnola.

Si ritiene che l'attività si sia protratta per circa un mese a partire da dicembre, interessando l'Amministrazione fiscale federale messicana, l'Istituto elettorale nazionale e gli enti governativi regionali. Si stima che siano stati rubati circa 150 GB di dati, tra cui registri fiscali, informazioni sugli elettori, credenziali governative e file del registro della popolazione. Gambit non ritiene che l'attività sia legata a uno Stato estero.

Anthropic ha confermato che sta indagando e ha bloccato gli account associati, mentre OpenAI ha dichiarato che ChatGPT ha resistito a simili tentativi di abuso. L'incidente evidenzia la crescente tendenza degli aggressori ad abusare di strumenti avanzati di codifica dell'IA, sollevando questioni urgenti in merito alle salvaguardie, al monitoraggio e al rilevamento degli abusi dell'IA, man mano che queste tecnologie diventano più efficaci.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.