Il bug “CitrixBleed 2” minaccia i gateway NetScaler: gli esperti invitano a correggere subito

Una nuova vulnerabilità critica scoperta nei dispositivi Citrix NetScaler ADC e Gateway — soprannominata “CitrixBleed 2” — sta allarmando la comunità della sicurezza informatica per la sua somiglianza con la falla CitrixBleed ampiamente sfruttata nel 2023. Tracciata come CVE-2025-5777, la falla consente ad attaccanti non autenticati di accedere a memoria fuori limite su dispositivi esposti pubblicamente, potenzialmente esponendo token di sessione, credenziali e altri dati sensibili.

Il ricercatore di sicurezza Kevin Beaumont ha confrontato questa vulnerabilità con la precedente, avvertendo che potrebbe permettere di dirottare sessioni attive e bypassare l’autenticazione multifattore. Una seconda vulnerabilità, CVE-2025-5349, interessa anche l’interfaccia di gestione di NetScaler.

Citrix ha rilasciato aggiornamenti e invita tutti gli utenti ad applicarli immediatamente. Gli amministratori sono inoltre invitati a terminare tutte le sessioni ICA e PCoIP dopo l’aggiornamento per evitare che i token di sessione rubati vengano riutilizzati — un consiglio ignorato da alcune organizzazioni nel 2023, causando attacchi ransomware e spionaggio.

Attualmente ci sono oltre 56.500 endpoint NetScaler esposti online. Le versioni obsolete non supportate non riceveranno correzioni.

Il gruppo hacktivista Noname057(16) prende di mira la NATO e gli alleati con una nuova campagna DDoS

Il gruppo hacktivista filorusso Noname057(16) ha pubblicato il 24 giugno 2025 una nuova lista di obiettivi DDoS sul suo canale Telegram. L’elenco include oltre 20 siti web legati ai settori governativo, della difesa, ONG e commerciale negli Stati Uniti, Belgio, Israele, Paesi Bassi, Ucraina, Norvegia e Italia.
Tra i bersagli più rilevanti vi sono numerosi domini legati alla NATO come nato-pa.int, cmre.nato.int e sto.nato.int, oltre a siti di enti locali israeliani e piattaforme ONG nei Paesi Bassi e in Ucraina.
Il gruppo utilizza spesso Check Host per dimostrare l’efficacia degli attacchi mostrando l’inaccessibilità dei siti colpiti. Sebbene gli effetti siano limitati a interruzioni temporanee del servizio, la campagna evidenzia la crescente attività degli hacktivisti contro la NATO e i suoi alleati.
Questi attacchi DDoS politicamente motivati fanno parte di operazioni di influenza legate alle attuali tensioni geopolitiche.

BlueNoroff si finge contatto Zoom per colpire aziende crypto

I ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna di social engineering da parte del gruppo nordcoreano BlueNoroff (APT38), che prende di mira aziende nel settore delle criptovalute e finanziario tramite Zoom. Il gruppo, attivo da marzo, si finge contatti noti durante videochiamate per convincere le vittime a installare malware mascherati da strumenti di riparazione audio.
In un caso del 28 maggio, gli aggressori hanno colpito un’azienda canadese del settore del gioco online usando un finto aggiornamento SDK di Zoom contenente comandi nascosti per distribuire malware infostealer. Lo script stabiliva persistenza tramite LaunchDaemon e payload camuffati come “icloud_helper”, esfiltrando dati da wallet e credenziali del browser.
La campagna è attiva in Nord America, Europa e Asia-Pacifico, focalizzata su criptovalute, fintech e gaming. Sebbene sofisticata, richiede competenze tecniche moderate e rappresenta una minaccia di livello medio.
Si consiglia di verificare l’identità dei partecipanti alle riunioni Zoom, formare il personale su tecniche di impersonificazione e bloccare gli script non autorizzati a livello endpoint.

Hacker nordcoreani prendono di mira sviluppatori con pacchetti npm dannosi

Una nuova ondata della campagna “Contagious Interview” della Corea del Nord prende di mira chi cerca lavoro nel settore tech tramite pacchetti npm dannosi progettati per infettare i sistemi degli sviluppatori con infostealer e backdoor.
I ricercatori di sicurezza hanno scoperto 35 pacchetti npm distribuiti tramite 24 account e scaricati oltre 4.000 volte. Camuffati da librerie legittime (es. react-plaid-sdk, vite-plugin-next-refresh), distribuiscono BeaverTail (infostealer) e InvisibleFerret (backdoor), entrambi collegati a gruppi DPRK.
La campagna inizia con falsi recruiter su LinkedIn che inviano test di programmazione ospitati su Bitbucket. Le vittime vengono incoraggiate a eseguire codice dannoso, spesso condividendo lo schermo. La catena di infezione include HexEval Loader (riconoscimento host), BeaverTail (furto dati browser e wallet), InvisibleFerret (backdoor persistente), e in alcuni casi un keylogger multipiattaforma.
Si tratta dell’ennesima offensiva del gruppo Lazarus che sfrutta npm come vettore. Gli sviluppatori devono trattare con cautela offerte di lavoro non richieste e usare ambienti containerizzati per testare codice sconosciuto.

Nucor conferma il furto di dati nel cyberattacco al settore siderurgico

Nucor, il più grande produttore e riciclatore di acciaio del Nord America, ha confermato che gli autori dell’attacco informatico subito hanno anche sottratto dati dai suoi sistemi IT. L’azienda, che impiega oltre 32.000 persone e ha registrato ricavi per 30,73 miliardi di dollari lo scorso anno, aveva annunciato l’attacco a maggio, dopo aver interrotto la produzione in alcuni impianti per contenere il danno.
In una recente comunicazione alla SEC, Nucor ha dichiarato che una quantità limitata di dati è stata esfiltrata. Anche se non ha specificato la natura dei dati o se i sistemi siano stati criptati, l’azienda sta valutando l’impatto e informerà le parti interessate secondo quanto previsto dalla legge.
Nucor afferma di aver ripristinato le operazioni e che gli aggressori non hanno più accesso alla rete. Nessun gruppo ransomware ha rivendicato l’attacco, ma gli esperti notano che il furto di dati è spesso parte di strategie di doppia estorsione. Le indagini proseguono con il supporto di esperti di cybersicurezza e delle autorità.

 Se sei preoccupato per una delle minacce evidenziate in questo bollettino o se hai bisogno di supporto per definire le azioni più adeguate a proteggere la tua organizzazione dalle minacce più rilevanti, ti invitiamo a contattare il tuo account manager oppure a metterti in contatto con noi per scoprire come possiamo aiutarti a proteggere la tua azienda 

Il Threat Intel Roundup è stato redatto da Integrity360 e rappresenta un riepilogo delle minacce rilevate alla data di pubblicazione. Non deve essere interpretato come consulenza legale, tecnica o professionale. Le raccomandazioni contenute devono essere valutate nel contesto specifico della tua organizzazione. 
Integrity360 non assume posizioni politiche nelle informazioni condivise. Inoltre, le opinioni espresse non riflettono necessariamente la posizione ufficiale di Integrity360.