Crate Rust dannosi rubano le chiavi di Solana ed Ethereum — 8.424 download confermati

I ricercatori hanno scoperto due crate Rust dannosi — faster_log e async_println — che si spacciavano per la libreria legittima fast_log per rubare le chiavi dei portafogli Solana ed Ethereum. Pubblicati il 25 maggio 2025 dagli alias rustguruman e dumbnbased, i crate sono stati scaricati oltre 8.400 volte prima di essere rimossi da crates.io. I pacchetti contenevano codice di registrazione funzionale come copertura, ma includevano anche routine che scansionavano i file sorgente Rust alla ricerca di chiavi private e le esfiltravano tramite HTTP POST a un dominio Cloudflare Workers che imitava l'endpoint RPC di Solana.

UNC5221 utilizza la backdoor BRICKSTORM per infiltrarsi nei settori legale e tecnologico degli Stati Uniti

Un gruppo di minaccia legato alla Cina noto come UNC5221 ha distribuito la backdoor BRICKSTORM contro organizzazioni statunitensi nei settori legale, SaaS, BPO e tecnologico. La campagna, in corso almeno dal 2022, è progettata per ottenere un accesso furtivo a lungo termine, con una media di 393 giorni senza essere rilevata, sfruttando dispositivi e apparecchiature periferici che non dispongono di rilevamento degli endpoint. Il malware basato su Go fornisce funzionalità quali la manipolazione dei file, l'esecuzione di comandi shell, il proxy SOCKS e l'azione come server web, comunicando con i server di comando e controllo tramite WebSocket. I suoi obiettivi includono l'accesso a e-mail sensibili, il furto di credenziali e la raccolta di informazioni relative alla sicurezza nazionale, al commercio e alla proprietà intellettuale, nonché lo sfruttamento dei fornitori SaaS per raggiungere i clienti a valle.

Gli aggressori spesso ottengono l'accesso attraverso vulnerabilità zero-day di Ivanti Connect Secure e poi stabiliscono la persistenza modificando gli script di avvio, distribuendo shell web JSP o utilizzando credenziali valide per passare all'infrastruttura VMware. È stato anche osservato che utilizzano BRICKSTEAL, un filtro Apache Tomcat dannoso, per raccogliere le credenziali vCenter e clonare server critici per un accesso più approfondito. Il malware è in fase di sviluppo attivo, con alcune varianti che ritardano l'esecuzione per eludere il rilevamento. Mandiant e Google avvertono che BRICKSTORM rappresenta una minaccia di spionaggio informatico altamente sofisticata, esortando le organizzazioni a cercare in modo proattivo backdoor nascoste su Linux, BSD e altri dispositivi al di fuori della tradizionale copertura EDR.

Il nuovo malware YiBackdoor condivide importanti sovrapposizioni di codice con IcedID e Latrodectus

I ricercatori di Zscaler hanno scoperto una nuova famiglia di malware chiamata YiBackdoor, che condivide importanti somiglianze di codice con IcedID e Latrodectus. Scoperto nel giugno 2025, è in grado di eseguire comandi, raccogliere informazioni di sistema, acquisire screenshot e caricare plugin per funzioni aggiuntive, eludendo al contempo il rilevamento con tecniche anti-analisi e persistenza tramite la chiave di registro Windows Run. Il suo uso limitato finora suggerisce che sia ancora in fase di test o sviluppo.

Parallelamente, sono emerse nuove versioni di ZLoader (2.11.6.0 e 2.13.7.0) con un'offuscamento più forte, un'anti-analisi migliorata, la scoperta basata su LDAP per il movimento laterale e una comunicazione DNS/WebSocket C2 aggiornata, che riflettono la continua evoluzione verso attacchi più furtivi e mirati.

La botnet ShadowV2 sfrutta i container Docker AWS configurati in modo errato per il servizio DDoS-for-Hire

I ricercatori hanno scoperto ShadowV2, una nuova botnet DDoS-for-hire che sfrutta i container Docker configurati in modo errato su AWS per distribuire un RAT basato su Go, gestito tramite un Python C2 su GitHub Codespaces. È dotata di metodi di attacco avanzati come HTTP/2 Rapid Reset flood e tentativi di bypass Cloudflare, che ne evidenziano il design come piattaforma di cybercrime-as-a-service. La scoperta arriva in un momento in cui si registrano attacchi DDoS da record, tra cui un attacco da 22,2 Tbps mitigato da Cloudflare, e l'ascesa della botnet AISURU, che ha infettato quasi 300.000 dispositivi IoT in tutto il mondo.

Microsoft corregge una vulnerabilità critica di Entra ID che consentiva l'impersonificazione dell'amministratore globale tra i tenant

I ricercatori hanno scoperto una vulnerabilità critica in Microsoft Entra ID (CVE-2025-55241, CVSS 10.0) che avrebbe potuto consentire agli aggressori di impersonare qualsiasi utente, compresi gli amministratori globali, su qualsiasi tenant senza accesso preventivo. Il problema derivava da una gestione non sicura dei token degli attori da servizio a servizio e da un errore di convalida nella API Azure AD Graph legacy, che consentiva la compromissione tra tenant. Lo sfruttamento avrebbe aggirato l'autenticazione a più fattori (MFA), l'accesso condizionale e la registrazione, senza lasciare traccia, garantendo agli aggressori il controllo completo sui servizi Azure e Microsoft 365. Microsoft ha corretto la vulnerabilità il 17 luglio 2025, senza richiedere alcuna azione da parte dei clienti, e ha deprecato l'API Graph a partire dal 31 agosto.

Il bug è stato scoperto da Dirk-jan Mollema e mette in evidenza i rischi delle dipendenze dalle API legacy negli ambienti cloud. Segue una serie di recenti scoperte sulla sicurezza del cloud che hanno interessato Microsoft e AWS, tra cui configurazioni errate di OAuth, fughe di credenziali e abuso di API che hanno portato ad accessi cross-tenant, esfiltrazione di dati e escalation dei privilegi. Nel loro insieme, queste vulnerabilità dimostrano come l'uso improprio dei token, le configurazioni errate e la convalida insufficiente nei sistemi di identità possano esporre le organizzazioni a compromissioni silenziose a livello di tenant nel cloud.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.