Il mondo della cybersecurity torna a occuparsi di Citrix. Lo scorso 4 luglio 2025 sono stati infatti pubblicati i dettagli di una nuova e grave vulnerabilità, identificata come CVE-2025-5777 e soprannominata CitrixBleed 2, che colpisce i dispositivi Citrix NetScaler ADC e Gateway. Si tratta di una falla di tipo memory disclosure, che consente a un attaccante non autenticato di ottenere accesso arbitrario a porzioni casuali della memoria di sistema.

Accesso ai dati senza autenticazione

L’aspetto più preoccupante di CitrixBleed 2 è la sua semplicità di sfruttamento: basta una semplice richiesta POST all’endpoint /p/u/doAuthentication.do per attivare l’exploit. L’attacco sfrutta una variabile non inizializzata nel codice C/C++ del modulo di autenticazione, che permette al malintenzionato di leggere blocchi di memoria non protetti. In questi blocchi potrebbero trovarsi token di sessione, credenziali, chiavi di accesso e informazioni di configurazione interna, con un impatto potenzialmente devastante sulla sicurezza aziendale.

Rischi immediati e Proof of Concept online

Citrix aveva notificato la vulnerabilità ai propri clienti già il 17 giugno, ma la situazione è precipitata il 4 luglio con la pubblicazione di un proof of concept (PoC) pubblico. Nelle 24 ore successive, i ricercatori di Akamai hanno osservato una vera e propria ondata di traffico malevolo, con oltre 200.000 richieste sospette legate a scanner automatici e tentativi reali di sfruttamento. È quindi probabile che molti attori della minaccia abbiano già iniziato a testare la vulnerabilità in scenari reali.

La risposta di Akamai

In risposta alla minaccia, il team WAF Threat Research di Akamai ha rilasciato tempestivamente la Rapid Rule 3000967, integrandola nei sistemi App & API Protector. La regola, inizialmente attivata in modalità “alert”, è stata impostata su “deny” a partire dall’8 luglio, bloccando di fatto qualsiasi tentativo di attacco per tutti i clienti protetti da questa tecnologia. Chi utilizza Akamai per la protezione di applicazioni web e API non deve effettuare alcuna configurazione manuale: la mitigazione è stata applicata automaticamente a tutti i clienti con policy aggiornate. Un vantaggio significativo in situazioni in cui il tempo è un fattore critico per contenere l’esposizione.
CitrixBleed 2 richiama alla memoria il precedente CVE-2023-4966, noto come CitrixBleed, ma la nuova vulnerabilità si presenta con caratteristiche ancora più critiche. A differenza del suo predecessore, non è richiesto alcun livello di autenticazione, rendendo l’exploit accessibile anche ad attaccanti con risorse e competenze limitate.

Leggi anche: “Vulnerabilità zero day di Microsoft“

*illustrazione articolo progettata da Freepik

Con la ripresa globale del turismo, anche le minacce informatiche nel settore dei viaggi sono in netto aumento. Secondo un recente report di Check Point, tra il 2023 e il 2025 si è registrato un incremento significativo di attacchi informatici contro compagnie aeree, agenzie, piattaforme di prenotazione e fornitori di servizi di trasporto. Il settore, altamente digitalizzato e interconnesso, rappresenta un bersaglio ricco di dati e particolarmente vulnerabile.

Le tecniche usate

Gli attacchi più diffusi includono DDoS, ransomware, phishing mirato e compromissioni della supply chain. Una caratteristica chiave di questo settore è l’ampia dipendenza da sistemi legacy e infrastrutture cloud spesso mal configurate, oltre all’uso estensivo di fornitori terzi. Questi fattori amplificano la superficie di attacco e rendono più difficile la difesa.
Tra gli incidenti recenti più gravi, si segnala l’attacco DDoS che nel marzo 2025 ha colpito un importante operatore di biglietteria aerea in area DACH (Germania, Austria, Svizzera), causando il blocco delle prenotazioni e gravi disagi a clienti e agenzie. In Australia, invece, una configurazione errata di un bucket Amazon S3 ha portato alla violazione di oltre 112.000 record, tra cui passaporti, visti e numeri di carte di credito.
Anche il phishing si è evoluto: grazie all’intelligenza artificiale, gli attaccanti creano esche sempre più sofisticate. Nel 2023, una catena di resort statunitense è stata compromessa dopo che i criminali, fingendosi dipendenti, hanno ottenuto credenziali tramite una convincente campagna di social engineering, rubando 6 TB di dati e bloccando i sistemi di prenotazione e accesso alle camere.
La compromissione di terze parti è un altro vettore critico. Un attacco del 2023 a una compagnia aerea europea ha sfruttato malware di web skimming su un fornitore di pagamenti, portando al furto di dati sensibili come numeri di passaporto e informazioni di contatto, oltre alle carte di credito.
Infine, non mancano le minacce geopolitiche. Nell’agosto 2024, APT28 (Fancy Bear), gruppo collegato al governo russo, ha preso di mira il traffico aereo tedesco, compromettendo i sistemi amministrativi e le comunicazioni interne.

Il messaggio è chiaro: l’industria dei viaggi deve rafforzare le proprie difese informatiche, adottando misure come la segmentazione delle reti, il monitoraggio continuo, una corretta configurazione delle risorse cloud e solidi protocolli di gestione delle terze parti.

Leggi anche: “Il Phishing non va in vacanza“

*illustrazione articolo progettata da Freepik

Durante l’evento “Kaspersky Horizons” tenutosi a Madrid, il team GReAT (Global Research and Analysis Team) ha presentato una nuova minaccia informatica destinata a cambiare lo scenario dei ransomware: FunkSec. Questo gruppo, attivo dalla fine del 2024, si distingue per l’integrazione massiva dell’intelligenza artificiale nei propri strumenti e tattiche. Secondo il più recente State of Ransomware Report, gli attacchi ransomware continuano a crescere, con un incremento globale dello 0,44% degli utenti colpiti rispetto all’anno precedente.

Analisi del malware

FunkSec è un esempio lampante di questa evoluzione. Il gruppo prende di mira settori strategici – tra cui governativo, tecnologico, finanziario e accademico – con operazioni rapide e su larga scala, soprattutto in Europa e Asia. A renderlo particolarmente insidioso è la sua architettura tecnica sofisticata, costruita in linguaggio Rust, che include crittografia avanzata, esfiltrazione di dati e funzioni di auto-pulizia, tutto all’interno di un unico eseguibile. Uno degli aspetti più innovativi è il meccanismo “password-gated”: il malware si attiva con diverse intensità in base alla presenza di una password. Senza password, effettua una cifratura base; con la password corretta, scatena un attacco completo, combinando cifratura e furto mirato di dati. Questo approccio rende il ransomware estremamente versatile e personalizzabile per ogni attacco.
Altro elemento distintivo è l’utilizzo diretto dell’intelligenza artificiale generativa per scrivere il codice. Analisi forensi indicano che molte parti del malware – inclusi commenti placeholder e funzioni inutilizzate – sono state generate da LLM (Large Language Models), abbassando così la soglia tecnica per sviluppare strumenti avanzati. Come osserva Marc Rivero, Lead Security Researcher di Kaspersky, l’IA sta diventando un moltiplicatore di capacità per la criminalità informatica, permettendo anche a gruppi poco esperti di produrre malware su scala industriale.

A livello economico, FunkSec adotta una strategia controcorrente: richieste di riscatto contenute, anche a partire da 10.000 dollari, combinate con la rivendita di dati rubati a terzi. Questo modello “high-volume, low-ransom” punta a moltiplicare gli attacchi, costruendo rapidamente una solida reputazione nei forum cybercriminali.

Non solo ransomware

Sul proprio Dark Leak Site il gruppo ospita strumenti come un generatore di password basato su Python per attacchi brute-force e un modulo DDoS. L’intero kit è pensato per essere usato anche da affiliati, offrendo un pacchetto plug-and-play capace di eludere oltre 50 processi di sistema, evitando il rilevamento e complicando la risposta forense. Secondo Kaspersky, FunkSec rappresenta un punto di svolta nella cybercriminalità moderna, segnando il passaggio verso malware autonomi, adattivi e alimentati dall’intelligenza artificiale. La combinazione tra sofisticazione tecnica, automazione AI, basso costo e accessibilità potrebbe portare a una nuova ondata di minacce su scala globale. I sistemi Kaspersky rilevano questa minaccia come HEUR:Trojan-Ransom.Win64.Generic.

*illustrazione articolo progettata da SecureList

Con l’estate alle porte, cresce la corsa alle offerte per prenotare viaggi e vacanze. Ma dietro alle allettanti promozioni si nasconde una nuova minaccia informatica: falsi siti di prenotazione viaggi che, attraverso banner per l’accettazione dei cookie, installano malware nei dispositivi degli utenti. A lanciare l’allarme è HP, nel suo ultimo Threat Insights Report, pubblicato da HP Wolf Security.

Cookie malevoli: il nuovo volto dell’ingegneria sociale

Secondo gli esperti di HP, gli hacker stanno approfittando della “fatica da clic” che colpisce molti utenti durante la navigazione, specialmente in contesti stressanti come la ricerca di voli o hotel. I siti truffa, esteticamente simili a noti portali come Booking.com, mostrano un finto banner per la gestione dei cookie. Un clic su Accetta avvia in realtà il download di uno script malevolo in JavaScript.
Questo semplice gesto installa XWorm, un potente trojan di accesso remoto (RAT), che consente agli attaccanti di prendere il controllo completo del dispositivo: dai file personali alla webcam, dal microfono alla possibilità di disabilitare strumenti di sicurezza o installare ulteriore malware.

Altre tecniche in crescita: documenti camuffati e MSI infetti

Il report evidenzia anche altre tecniche sempre più usate dai cybercriminali, in particolare troviamo:

• File camuffati come PDF in cartelle familiari come “Documenti” o “Download”, ma che in realtà attivano codice dannoso. L’inganno avviene tramite un file di collegamento all’interno di una cartella remota WebDAV, che inganna l’utente facendogli credere che si tratti di un file sicuro.

• Presentazioni PowerPoint malevole che si aprono a schermo intero imitando una cartella di sistema. Un clic apparentemente innocuo attiva il download di un archivio contenente uno script e un eseguibile che scaricano un payload da GitHub.

• MSI infetti (installer di Windows) sempre più usati per diffondere malware, spesso in campagne legate a ChromeLoader. Gli attaccanti utilizzano certificati di firma del codice validi per aggirare i controlli di sicurezza di Windows.

Gli esperti consigliano sempre di verificare l’indirizzo web prima di inserire dati o cliccare su banner; di diffidare da siti con grafica “sfocata” o testi poco leggibili; di utilizzare software di sicurezza avanzati e aggiornati; di evitare di scaricare file da fonti non certificate o poco familiari.

*illustrazione articolo progettata da HP

Nel 2024, la quasi totalità delle organizzazioni industriali italiane ha subito almeno un incidente informatico: è quanto emerge dalla nuova ricerca di Kaspersky dedicata alla cybersecurity nel settore manifatturiero. Secondo il report, ben il 90% degli intervistati ha riportato attacchi negli ultimi 12 mesi, e oltre un terzo si è trovato ad affrontare eventi di gravità elevata. Un dato allarmante, che conferma come il comparto industriale sia oggi un bersaglio privilegiato per i cybercriminali.
Tra le minacce più comuni spiccano malware, ransomware, attacchi DDoS e le violazioni legate al fattore umano. Oltre l’80% delle aziende ha dichiarato di aver subito tentativi di furto di proprietà intellettuale o segreti industriali. Non solo: il 57% ha subito tra due e tre interruzioni operative in un solo anno, spesso con impatti significativi sulla continuità produttiva.
Una criticità particolarmente rilevante è quella delle supply chain: l’86% dei decision maker intervistati ritiene che la propria catena di fornitura sia vulnerabile, soprattutto a causa della presenza di sistemi legacy e tecnologie obsolete. Anche i partner e i fornitori rappresentano un punto debole, spesso sfruttato dai cybercriminali per penetrare nei sistemi aziendali più strutturati.

Quali conseguenze?

Le conseguenze di un attacco informatico nel settore industriale non si limitano ai danni immediati: secondo le aziende coinvolte nello studio, le principali ripercussioni sono la compromissione della qualità del prodotto, calo dell’efficienza, interruzioni produttive, perdite finanziarie, danni reputazionali, e inadempienze normative. Il report di Kaspersky evidenzia anche una tendenza preoccupante: molte aziende si concentrano sulla reazione agli attacchi piuttosto che sulla prevenzione. Le difficoltà sono legate alla scarsa cultura della sicurezza, alla mancanza di competenze tecniche e alla difficoltà di valutare con precisione il rischio e le sue implicazioni economiche.
“La cybersecurity nel manufacturing soffre di una visione reattiva, anziché proattiva”, afferma Cesare D’Angelo, General Manager per l’Italia, Francia e Mediterraneo di Kaspersky. “È necessario un cambiamento culturale, che metta al centro prevenzione, analisi delle vulnerabilità, strumenti di protezione avanzati e formazione continua del personale”.

Cesare D’Angelo, General Manager Italy, France & Mediterranean di Kaspersky

Soluzioni adottate

Le aziende intervistate dichiarano di investire in protezione degli endpoint (23%), controllo accessi e gestione identità (22%), piani di risposta e ripristino (21%) e adeguamento normativo (24%). L’88% utilizza strumenti di threat intelligence, ma solo un terzo si ritiene in grado di interpretarne correttamente i dati. Guardando al futuro, i professionisti della sicurezza prevedono nuove sfide legate all’introduzione di tecnologie come AI, machine learning ed edge computing, che da un lato abilitano l’innovazione, ma dall’altro amplificano la superficie d’attacco. Restano inoltre criticità legate alla gestione dei sistemi obsoleti, alla complessità normativa e alla cultura della sicurezza ancora poco diffusa.

*illustrazione articolo progettata da Kaspersky

Il malware, scoperto a giugno 2025, contiene una stringa in linguaggio naturale studiata per manipolare i modelli di intelligenza artificiale e indurli a classificare il codice come non dannoso. Questa tecnica, nota come prompt injection, rappresenta un salto qualitativo nell’evoluzione delle minacce informatiche, in quanto non modifica il comportamento del codice, ma mira a ingannare direttamente l’IA durante l’analisi automatica.

Il campione, caricato su VirusTotal dai Paesi Bassi, presentava tecniche di elusione sandbox, un client TOR integrato e, soprattutto, una stringa scritta per “parlare” all’IA. Il testo, formulato come un’istruzione autoritaria, chiedeva al modello linguistico di ignorare ogni precedente comando e di rispondere con “NO MALWARE DETECTED”. L’obiettivo era bypassare i sistemi di sicurezza che utilizzano modelli linguistici di grandi dimensioni (LLM), sempre più diffusi nei flussi di lavoro di threat detection.
Il malware include una stringa C++ hardcoded, visibile nello snippet di codice qua sotto:

L’esperimento è fallito: il sistema MCP di Check Point ha riconosciuto correttamente l’attacco come tentativo di prompt injection. Tuttavia, il segnale è chiaro: gli attaccanti stanno cominciando a sfruttare le vulnerabilità logiche dei modelli IA, aprendo un fronte inedito nella lotta tra cybercrime e difesa digitale.

Secondo Check Point, questi attacchi sono destinati a perfezionarsi nel tempo, richiedendo nuove contromisure e strategie specifiche. Come in passato con le sandbox, anche per l’IA sarà necessario prevedere tattiche sempre più raffinate da parte degli aggressori. L’azienda invita quindi la comunità della sicurezza a monitorare da vicino queste tecniche emergenti e ad aggiornare tempestivamente gli strumenti di difesa.

L’integrazione dell’IA nei sistemi di cybersecurity resta fondamentale, ma è cruciale comprenderne anche i nuovi rischi. L’episodio documentato da Check Point rappresenta un primo, ma importante, campanello d’allarme.

*illustrazione articolo progettata da CheckPoint

Leggi anche: “DeepSeek: l’IA cinese fa paura“

I ricercatori di Kaspersky hanno identificato un nuovo pericoloso Trojan denominato SparkKitty, capace di spiare gli utenti Android e iOS tramite app infette distribuite su App Store, Google Play e siti web fraudolenti. Il malware sottrae immagini dallo smartphone e raccoglie informazioni sul dispositivo, potenzialmente per il furto di portafogli di criptovalute. Secondo quanto emerso, SparkKitty è stato incluso in applicazioni legate al mondo delle criptovalute e del gioco d’azzardo, nonché in una versione modificata di TikTok, scaricabile da fonti non ufficiali. Il principale obiettivo sembrano essere gli utenti del sud-est asiatico e della Cina, ma Kaspersky avverte che anche gli utenti di altri Paesi, Italia compresa, sono potenzialmente a rischio.

Kaspersky ha segnalato il malware a Google e Apple. Alcuni indizi tecnici suggeriscono un legame tra SparkKitty e SparkCat, un precedente Trojan scoperto sempre da Kaspersky su dispositivi iOS. Quest’ultimo utilizzava un modulo OCR (riconoscimento ottico dei caratteri) per individuare e rubare frasi di recupero dei wallet crittografici contenute negli screenshot.

Falso web store incluso nella presunta app TikTok

Come agisce SparkKitty su iOS

Presunta app di scambio di criptovalute 币coin, su App Store

Pagina web che imita AppStore per installare una presunta app di TikTok attraverso gli strumenti per sviluppatori

Su App Store, il malware si presentava con il nome 币coin, fingendosi un’app di gestione criptovalute. In parallelo, veniva distribuito tramite siti di phishing che imitavano l’interfaccia dell’App Store ufficiale, con versioni infette di app popolari come TikTok e giochi d’azzardo. Gli aggressori hanno sfruttato uno strumento di distribuzione aziendale legittimo per installare l’app al di fuori dei canali ufficiali, aggirando così le restrizioni imposte da Apple. Una volta installata, l’app infetta di TikTok rubava le immagini della galleria del dispositivo durante la fase di autorizzazione, inserendo nel profilo dell’utente un link a un negozio sospetto che accettava pagamenti solo in criptovalute.

Infezioni Android anche tramite Google Play

Per quanto riguarda Android, SparkKitty è stato diffuso sia attraverso store ufficiali come Google Play sia mediante file APK distribuiti su siti di terze parti. Un esempio è SOEX, un messenger con funzionalità di exchange crypto, scaricato oltre 10.000 volte dallo store ufficiale. Come accaduto su iOS, anche in questo caso l’app funzionava come descritto ma, in background, inviava le foto presenti nella galleria dello smartphone ai server degli aggressori. L’obiettivo era intercettare eventuali informazioni riservate, come le frasi seed per il recupero di wallet. I siti di distribuzione erano pubblicizzati sui social, tra cui anche YouTube, e le app erano camuffate da progetti di investimento in criptovalute, un’esca perfetta per attirare utenti ignari.

Massima allerta anche fuori dall’Asia

Sebbene le prime tracce della campagna siano legate all’Asia, gli esperti di Kaspersky mettono in guardia anche gli utenti di altre aree geografiche. Il caso di SparkKitty dimostra come anche app ufficiali o insospettabili possano diventare vettori di malware, sfruttando la fiducia degli utenti nei confronti dei marketplace ufficiali e delle app note. Il Trojan è il secondo caso noto di malware stealer su App Store individuato da Kaspersky, a conferma del fatto che neanche i dispositivi iOS sono più immuni da questo tipo di minacce.

Per ulteriori dettagli tecnici, il report completo è disponibile a questo indirizzo.

Presunta app di scambio di criptovalute, SOEX, su Google Play

*illustrazione articolo progettata da SecureList