Contenuti

01. Notizie in breve
  • La CISA aggiunge 4 vulnerabilità attivamente sfruttate al KEV

  • Hacker legati alla Cina prendono di mira i contribuenti indiani con uno strumento dannoso per la dichiarazione dei redditi che diffonde DcRAT

  • Secondo quanto riferito, un'organizzazione del settore pubblico statunitense avrebbe pagato 1 milione di dollari in seguito a un ricatto legato alla violazione dei dati di Kairos

  • Ubiquiti risolve diverse vulnerabilità critiche di UniFi che interessano componenti fondamentali della piattaforma

  • Gli autori delle minacce abusano di npm e PyPI con pacchetti di pagamento fraudolenti

02. Conclusione

Notizie in breve

La CISA aggiunge 4 vulnerabilità attivamente sfruttate al catalogo KEV

La CISA ha aggiunto quattro vulnerabilità attivamente sfruttate al proprio catalogo delle vulnerabilità note sfruttate (KEV), evidenziando un panorama di minacce elevato che interessa Adobe ColdFusion, le estensioni di Joomla e la piattaforma di workflow basata sull'intelligenza artificiale Langflow. La vulnerabilità più critica, CVE-2026-48282 (CVSS 10.0), è una vulnerabilità di tipo "path traversal" in Adobe ColdFusion che può portare all’esecuzione di codice da remoto e che, secondo quanto riferito, è stata sfruttata poche ore dopo la sua divulgazione pubblica. Inoltre, due vulnerabilità dei componenti di Joomla — CVE-2026-56290 in Page Builder CK e CVE-2026-48908 in SP Page Builder — vengono sfruttate dagli autori delle minacce per caricare web shell e ottenere l’esecuzione di codice remoto senza autenticazione, garantendo così un accesso persistente ai server web compromessi. L’inclusione della vulnerabilità di Langflow (CVE-2026-55255) dimostra ulteriormente la crescente attenzione degli aggressori verso le infrastrutture di IA; gli sfruttamenti osservati consentono l’accesso tra tenant, il furto di credenziali API del cloud e degli LLM, e facilitano attacchi successivi che coinvolgono RCE, cryptojacking e distribuzione di malware.

Le organizzazioni che utilizzano queste tecnologie dovrebbero dare priorità all’applicazione delle patch, condurre attività di threat hunting alla ricerca di web shell e account amministrativi non autorizzati, esaminare le applicazioni di IA esposte e monitorare le attività sospette di accesso tramite credenziali, poiché lo sfruttamento attivo indica che queste vulnerabilità vengono già utilizzate come armi in attacchi reali.

Hacker legati alla Cina prendono di mira i contribuenti indiani con uno strumento malevolo per la dichiarazione dei redditi che distribuisce DcRAT

È stato osservato un presunto attore malintenzionato legato alla Cina mentre conduceva una campagna di phishing mirata contro contribuenti indiani, professionisti fiscali e personale finanziario aziendale, utilizzando false comunicazioni del Dipartimento delle imposte sul reddito per distribuire il trojan di accesso remoto DcRAT. L’operazione, denominata DragonReturn, impiega esche altamente personalizzate relative alle questioni fiscali, allegati PDF dannosi e download fraudolenti di utility per la dichiarazione dei redditi per avviare una catena di infezione in più fasi che coinvolge il sideloading di DLL, l’escalation dei privilegi, l’elusione della sandbox, meccanismi di persistenza e l’esecuzione di malware in memoria.

I ricercatori hanno identificato l’impiego di DcRAT insieme a funzionalità di furto di dati, che consentono la raccolta di credenziali, l’acquisizione di screenshot e la potenziale raccolta di informazioni. I collegamenti dell’infrastruttura allo spazio IP di ChinaNet, i pannelli di gestione in lingua cinese e le somiglianze con le tecniche operative di Silver Fox osservate in precedenza suggeriscono un possibile nesso con la Cina, sebbene l’attribuzione rimanga non confermata. La campagna dimostra un elevato grado di maturità operativa attraverso l’uso di occultamento del payload basato su immagini in più lingue, distribuzioni ridondanti di RAT e canali di comando e controllo multipli progettati per migliorare la persistenza ed eludere il rilevamento.

Secondo quanto riferito, un’organizzazione del settore pubblico statunitense avrebbe pagato 1 milione di dollari in seguito a un’estorsione legata alla violazione dei dati da parte di Kairos

Un caso di studio reso noto di recente ha evidenziato il crescente passaggio dal ransomware tradizionale all’estorsione tramite furto di dati, dopo che un ente governativo statunitense avrebbe pagato circa 1 milione di dollari (9,44 BTC) al gruppo di hacker Kairos per impedire la divulgazione pubblica dei dati rubati. A differenza delle operazioni di ransomware convenzionali, i ricercatori non hanno trovato prove che Kairos abbia distribuito malware di crittografia dei file o compromesso i sistemi; al contrario, il gruppo ha fatto affidamento esclusivamente sul furto di informazioni sensibili come leva durante una trattativa di estorsione durata un mese. L’analisi delle chat di negoziazione trapelate e delle transazioni sulla blockchain suggerisce che la vittima possa essere stata la contea di Union, in Ohio, con gli aggressori che sostenevano di aver sottratto più di 2 TB di dati, comprendenti 1,6 milioni di file, tra cui documenti governativi altamente sensibili.

L’incidente richiama l’attenzione su un panorama delle minacce in evoluzione, in cui i criminali informatici preferiscono sempre più spesso l’esfiltrazione di dati a basso impatto visivo ma ad alto impatto, piuttosto che la crittografia, riducendo la complessità operativa pur mantenendo una pressione significativa sulle vittime. Il caso rafforza inoltre la limitata garanzia offerta dal pagamento del riscatto, poiché non esiste un meccanismo affidabile per verificare la cancellazione dei dati rubati una volta trasferiti agli autori dell’attacco.

Ubiquiti risolve diverse vulnerabilità critiche di UniFi che interessano componenti fondamentali della piattaforma

Ubiquiti ha rilasciato aggiornamenti di sicurezza per risolvere sette vulnerabilità critiche che interessano diversi prodotti UniFi, tra cui UniFi Connect, Talk, Access, Protect e UniFi OS, con diverse falle che presentano punteggi CVSS compresi tra 9,0 e 10,0. Tali vulnerabilità potrebbero consentire agli aggressori con accesso alla rete di eseguire comandi da remoto, ottenere l’escalation dei privilegi, effettuare attacchi SQL injection, sfruttare vulnerabilità SSRF e apportare modifiche non autorizzate ai dispositivi, con il rischio di compromettere completamente i sistemi interessati. Particolarmente preoccupanti sono le vulnerabilità di iniezione di comandi in UniFi Connect, UniFi Access e UniFi OS, che potrebbero consentire l’esecuzione di codice arbitrario sui dispositivi host, nonché le falle di escalation dei privilegi che interessano le implementazioni di UniFi Talk, Access e Protect. Sebbene al momento non vi siano prove di uno sfruttamento attivo, la gravità di queste vulnerabilità, unita al fatto che in passato gli autori delle minacce abbiano preso di mira l’infrastruttura Ubiquiti e al recente sfruttamento di altre falle relative a UniFi, rende essenziale un intervento correttivo tempestivo.

Le organizzazioni che utilizzano i prodotti UniFi interessati dovrebbero dare priorità all’applicazione degli ultimi aggiornamenti di sicurezza e monitorare eventuali attività insolite che potrebbero indicare tentativi di sfruttamento

Gli autori delle minacce abusano di npm e PyPI con pacchetti di pagamento fraudolenti

Una campagna sulla catena di fornitura del software, identificata di recente, ha preso di mira gli sviluppatori tramite 17 pacchetti dannosi pubblicati su npm e PyPI, mascherati da SDK legittimi per le piattaforme di pagamento Paysafe, Skrill e Neteller. I pacchetti erano progettati per imitare le librerie di integrazione dei pagamenti autentiche, mentre raccoglievano segretamente informazioni sensibili, tra cui chiavi API, credenziali AWS, token GitHub, token npm, nomi utente e metadati di sistema, per poi esfiltrare i dati verso un’infrastruttura controllata dagli autori degli attacchi e ospitata su AWS. I ricercatori hanno scoperto che i pacchetti dannosi esponevano le API previste e restituivano false risposte di successo, rendendo difficile il rilevamento da parte degli sviluppatori che integravano i servizi di pagamento nelle loro applicazioni.

La campagna evidenzia una minaccia crescente per l’ecosistema dello sviluppo software, in cui gli autori delle minacce sfruttano sempre più spesso repository open source affidabili per compromettere gli ambienti degli sviluppatori e ottenere l’accesso a credenziali di valore che potrebbero consentire ulteriori compromissioni del cloud, del codice sorgente e dei servizi finanziari.

Si raccomanda alle organizzazioni di rimuovere eventuali pacchetti compromessi, di ruotare le credenziali esposte e di esaminare i log CI/CD alla ricerca di eventuali segni di compromissione.

Sintesi conclusiva

Se siete preoccupati per una delle minacce descritte nel presente bollettino o avete bisogno di assistenza per stabilire quali misure adottare per proteggervi dalle minacce più rilevanti che la vostra organizzazione deve affrontare, vi invitiamo a contattare il vostro account manager oppurea contattarciper scoprire come proteggere la vostra organizzazione.

Dichiarazione di non responsabilità

Il “Threat Intel Roundup” è stato redatto da Integrity360 per riassumere le notizie relative alle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerato come un parere legale, di consulenza o di qualsiasi altro tipo di consulenza professionale. Eventuali raccomandazioni devono essere valutate nel contesto della propria organizzazione. Integrity360 non assume alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse potrebbero non corrispondere necessariamente al punto di vista di Integrity360.