Il panorama della cybersecurity continua a evolversi rapidamente, evidenziando come le minacce moderne siano spesso il risultato di una catena di vulnerabilità apparentemente minori che, se collegate, possono portare a conseguenze critiche. Questa settimana il settore ha visto una combinazione di attacchi sofisticati, falle zero-day, frodi tramite social engineering e campagne malware sempre più avanzate.

Vulnerabilità su WhatsApp e Apple

Uno degli eventi centrali è la vulnerabilità patchata su WhatsApp per dispositivi Apple iOS e macOS. La falla, identificata come CVE-2025-55177, permetteva a utenti non autorizzati di processare contenuti tramite URL arbitrari sul dispositivo bersaglio. WhatsApp ha agito rapidamente inviando notifiche a meno di 200 utenti potenzialmente coinvolti in questa campagna di spyware mirata, che sfruttava la falla in combinazione con una vulnerabilità Apple già nota.

Docker e l’isolamento dei container

Non meno importante, Docker ha corretto una vulnerabilità critica (CVE-2025-9074) che permetteva a un attaccante di evadere l’isolamento dei container su Windows, accedendo così al sistema host. Questa falla, dovuta all’esposizione non autenticata dell’API Docker Engine, sottolinea l’urgenza di mantenere aggiornati gli ambienti di sviluppo e produzione.

Attacchi alla supply chain e phishing evoluto

Sempre in tema di supply chain, una campagna individuata come ZipLine ha preso di mira aziende manifatturiere statunitensi attraverso i form “Contact Us” sui siti web, invertendo la classica tecnica di phishing: sono le vittime a iniziare il contatto, favorendo così l’installazione del malware MixShell. Parallelamente, campagne di credential harvesting hanno colpito amministratori ScreenConnect tramite email di spear phishing estremamente mirate.

Data breach e compromissione Salesforce

Sul fronte dei data breach, un cluster di attori noti come UNC6395 ha compromesso numerose istanze Salesforce estraendo grandi quantità di dati, inclusi accessi AWS e credenziali sensibili, sfruttando l’integrazione con applicazioni terze come Salesloft Drift.

Cloud, AI e nuove tecniche di attacco

Le vulnerabilità non risparmiamo nemmeno le infrastrutture cloud e gli ecosistemi AI. Attacchi come quelli del gruppo Storm-0501 utilizzano account privilegiati per spostarsi tra ambienti on-premise e cloud, esfiltrando dati e cancellando backup per aumentare la pressione sulle vittime. Nuove tecniche di attacco colpiscono anche sistemi di intelligenza artificiale tramite prompt injection nascosti in immagini scalate, mentre ComfyUI è stato sfruttato per veicolare il backdoor Pickai.

Non mancano aggiornamenti su ransomware e campagne truffaldine basate su proxyware, CAPTCHA falsi e siti didattici compromessi. In questo scenario, la sicurezza delle infrastrutture AI e delle soluzioni MCP è cruciale: audit, test di resilienza, enforcement di regole tramite OPA o Kyverno, e monitoraggio continuo sono consigli pratici per proteggere sistemi sempre più complessi e interconnessi.