Google ha recentemente annunciato che il suo framework di scoperta delle vulnerabilità assistito da modelli linguistici di grandi dimensioni (LLM) ha identificato una grave falla di sicurezza in SQLite prima che potesse essere sfruttata attivamente dai criminali informatici. La vulnerabilità, catalogata come CVE-2025-6965 con un punteggio CVSS di 7.2, riguarda un problema di corruzione della memoria che interessa tutte le versioni precedenti alla 3.50.2 del popolare motore di database open source.

Un nuovo attacco informatico sta sfruttando una vulnerabilità nota del server Apache HTTP per installare un miner di criptovalute chiamato Linuxsys. La falla in questione, identificata come CVE-2021-41773, è una vulnerabilità di path traversal di gravità elevata che colpisce la versione 2.4.49 di Apache HTTP Server e può consentire l’esecuzione di codice da remoto.

Il gruppo di cyber spionaggio denominato UNG0002 sta conducendo una vasta campagna contro organizzazioni di diversi settori in Cina, Hong Kong e Pakistan. Questo cluster di attività, identificato come particolarmente sofisticato, si distingue per l’utilizzo strategico di file di collegamento LNK, script VBScript e strumenti post-exploitation come Cobalt Strike e Metasploit, con l’obiettivo di compromettere le vittime tramite documenti esca a tema curriculum vitae.

Nel panorama attuale della sicurezza informatica, il concetto di backup tradizionale non basta più a garantire la continuità operativa delle aziende, soprattutto di fronte all'evoluzione delle minacce ransomware. Gli attacchi ransomware moderni, spesso veicolati da piattaforme Ransomware-as-a-Service, non si limitano più a criptare i dati, ma puntano anche a esfiltrare informazioni sensibili, cancellare i backup e compromettere le infrastrutture di recupero, rendendo inefficaci molte strategie di backup classiche.

Negli ultimi mesi è stata rilevata una nuova campagna di attacchi informatici che sfrutta vulnerabilità zero-day nei dispositivi Ivanti Connect Secure (ICS), portando all’installazione del malware MDifyLoader e all’esecuzione in memoria di Cobalt Strike. Questi attacchi, osservati tra dicembre 2024 e luglio 2025, hanno sfruttato le falle di sicurezza identificate come CVE-2025-0282 e CVE-2025-22457, entrambe già oggetto di patch da parte di Ivanti, ma inizialmente utilizzate come zero-day.

Il Computer Emergency Response Team dell'Ucraina, noto come CERT-UA, ha recentemente portato alla luce una sofisticata campagna di phishing finalizzata alla distribuzione di un nuovo malware denominato LAMEHUG. Questa minaccia informatica si distingue per l'uso innovativo dei modelli di linguaggio di grandi dimensioni (LLM), in particolare il modello Qwen2.5-Coder-32B-Instruct sviluppato da Alibaba Cloud, normalmente impiegato per attività di programmazione e automazione.

Negli ultimi mesi, l’industria dei semiconduttori di Taiwan è stata bersaglio di una serie di campagne di spear phishing condotte da tre gruppi di cyber criminali sponsorizzati dallo stato cinese. Queste attività, rilevate tra marzo e giugno 2025, hanno coinvolto aziende attive nella produzione, progettazione e test di semiconduttori, ma anche operatori della supply chain e analisti finanziari specializzati nel settore taiwanese dei chip.

L’operazione internazionale condotta da Europol ha segnato un punto di svolta nella lotta contro la cybercriminalità di matrice hacktivista, colpendo duramente il gruppo NoName057(16), noto per i suoi attacchi DDoS mirati contro l’Ucraina e i suoi alleati. Questo gruppo pro-Russia è stato attivo dal marzo 2022, subito dopo l’inizio dell’invasione dell’Ucraina, e si è distinto per la mobilitazione di simpatizzanti tramite Telegram, incentivando gli attacchi con pagamenti in criptovaluta attraverso il programma DDoSia.

Negli ultimi mesi, l’uso malevolo di repository GitHub pubblici per distribuire malware come Amadey e vari stealer ha rappresentato una crescente minaccia per la sicurezza informatica. Esperti del settore hanno rilevato che gli operatori di servizi MaaS (malware-as-a-service) stanno sfruttando account GitHub falsi per ospitare payload, strumenti e plug-in di Amadey, aggirando così i filtri web e facilitando la distribuzione dei malware.

Negli ultimi anni AsyncRAT si è imposto come uno dei malware più diffusi nell’ambito della cybersicurezza, diventando il fulcro di una fitta rete di varianti e fork che minacciano utenti e aziende a livello globale. Nato come progetto open source su GitHub nel 2019, AsyncRAT ha sfruttato la sua architettura modulare e la facilità di personalizzazione per favorire la nascita di numerose versioni modificate, tra cui spiccano DCRat e Venom RAT.