Il team GReAT di Kaspersky ha identificato una pericolosa campagna di cybercriminalità che sfrutta la crescente popolarità dei modelli linguistici generativi (LLM). Al centro dell’attacco c’è un malware mascherato da “DeepSeek-R1 Large Language Model”, una falsa applicazione IAper PC che inganna gli utenti promettendo l’uso offline di strumenti AI, ma in realtà installa un trojan chiamato BrowserVenom, con lo scopo di intercettare dati sensibili.

Un sito web falso che imita DeepSeek

Come si propaga la minaccia?

Il malware viene distribuito tramite un sofisticato sito di phishing che replica fedelmente la homepage di DeepSeek, un noto LLM open-source. Questo sito truffaldino viene promosso su Google Ads, sfruttando keyword mirate come “deepseek r1”, così da apparire in alto nei risultati di ricerca e attirare ignari utenti.
Una volta giunto sul sito, l’utente trova un’interfaccia convincente che propone il download di strumenti per usare l’LLM offline, come Ollama o LM Studio. Dopo aver superato un CAPTCHA e selezionato il pacchetto desiderato, il sistema avvia il download sia del software legittimo che del malware BrowserVenom. L’installazione riesce solo se l’utente dispone di privilegi di amministratore su Windows.

Le due opzioni per installare i framework LLM contenenti il malware

Il comportamento malevolo del trojan è particolarmente subdolo: modifica le impostazioni di tutti i browser presenti sul dispositivo per forzare l’uso di un proxy controllato dagli attaccanti, reindirizzando così tutto il traffico Internet e permettendo la raccolta di dati privati, come credenziali, cronologia e altre informazioni sensibili. Le infezioni confermate si sono verificate in paesi come Brasile, Cuba, Messico, India, Nepal, Sudafrica ed Egitto, ma la campagna ha tutte le caratteristiche per diventare globale.

L’esperto Lisandro Ubiedo di Kaspersky GReAT sottolinea come “l’uso offline dei modelli linguistici presenti vantaggi, soprattutto per la privacy, ma rappresenta anche una nuova superficie di attacco per i cybercriminali. Questi sfruttano la fiducia nei tool open-source per diffondere software dannosi, capaci di installare infostealer, keylogger o cryptominer sotto mentite spoglie.”

Gli esperti consigliano

Per difendersi da BrowserVenom e minacce simili, Kaspersky raccomanda agli utenti di:

• Controllare sempre l’indirizzo web dei siti da cui si scaricano strumenti AI.

• Usare solo fonti ufficiali, come ollama.com o lmstudio.ai.

• Dotarsi di soluzioni di sicurezza affidabili in grado di rilevare ed eliminare file dannosi.

• Verificare l’autenticità dei link sponsorizzati nei motori di ricerca.

• Evitare l’utilizzo di account con privilegi di amministratore, quando non necessario.

Leggi anche: “Deepseek: bersaglio su larga scala“

*illustrazione articolo progettata da SecureList

Kaspersky ha annunciato il lancio di Kaspersky eSIM Store, una nuova soluzione pensata per semplificare la connettività mobile durante i viaggi internazionali. Accessibile da web e app mobile, il servizio consente di attivare piani dati digitali in oltre 150 Paesi, scegliendo tra più di 2.000 pacchetti senza bisogno di SIM fisiche, riducendo così i costi di roaming e i rischi legati all’uso di reti Wi-Fi pubbliche non sicure.
Secondo la GSMA, entro il 2028 la metà delle connessioni mobili globali avverrà tramite eSIM. Con Kaspersky eSIM Store, l’azienda risponde a questa crescente esigenza, offrendo una piattaforma intuitiva per selezionare, acquistare, attivare e gestire piani dati in modo rapido e sicuro. La soluzione è stata sviluppata in collaborazione con BNESIM, operatore esperto di eSIM a livello globale.

Per soddisfare le esigenze di ogni viaggiatore, sono disponibili molti modi per scegliere e gestire in modo flessibile i piani dati.

Sicurezza e flessibilità in viaggio

Grazie a Kaspersky eSIM Store, chi viaggia può restare connesso senza dover acquistare SIM locali o condividere informazioni personali. Il servizio è pensato per chi vuole condividere momenti del viaggio in tempo reale o accedere a documenti di lavoro, email e videochiamate in qualsiasi momento e luogo, garantendo protezione e continuità operativa. La piattaforma permette la gestione del traffico dati in tempo reale, con notifiche per evitare di esaurire i gigabyte disponibili, e consente la programmazione dell’attivazione del piano dati prima della partenza.
La eSIM si installa una sola volta e può essere utilizzata per viaggi futuri, anche con piani attivi in più Paesi contemporaneamente.

Ampia scelta di piani per ogni esigenza

Gli utenti possono selezionare piani in base alla destinazione (nazionali, regionali o globali), alla durata (con o senza scadenza) e alle modalità di attivazione, con la massima libertà di configurazione. I piani mini-globali, per esempio, sono ideali per chi si muove all’interno di specifiche aree geografiche, mentre quelli globali offrono copertura in 122 destinazioni.
Kaspersky eSIM Store si affianca agli altri prodotti dell’azienda come Kaspersky VPN Secure Connection e Kaspersky Premium, per garantire una connessione sicura e affidabile ovunque nel mondo. Il servizio rappresenta un ulteriore passo avanti nella missione di Kaspersky di offrire strumenti che uniscano tecnologia, sicurezza e semplicità d’uso. Disponibile su Kasperskyesimstore.com e negli store mobile, Kaspersky eSIM Store è destinato a diventare un punto di riferimento per tutti coloro che viaggiano e vogliono farlo in sicurezza, senza rinunciare alla connettività.

Leggi anche: “Kaspersky protegge la posta elettronica“

*illustrazione articolo progettata da Kaspersky

Check Point Research (CPR) ha scoperto una nuova e sofisticata operazione di spionaggio informatico condotta dal gruppo APT Stealth Falcon, attivo nel cyberspionaggio almeno dal 2012. L’operazione ha sfruttato una vulnerabilità zero-day di Windows (CVE-2025-33053), fino ad allora sconosciuta e sfruttata attivamente contro obiettivi strategici. Dopo la segnalazione, Microsoft ha rilasciato una patch il 10 giugno 2025 durante il consueto Patch Tuesday. L’attacco, altamente mirato, è stato rilevato nel marzo 2025 contro un’importante organizzazione del settore difesa in Turchia, ed è stato condotto tramite un file di collegamento (URL) camuffato da documento PDF. Il file attivava in modo silenzioso un malware, abusando del comportamento nativo delle API Windows e sfruttando una condivisione remota WebDAV.

Attacco silenzioso e invisibile

Il file di collegamento fungeva da trigger iniziale della catena di infezione, facendo leva su un tool di sistema legittimo per eseguire codice malevolo senza alcun intervento da parte dell’utente. Questa tecnica ha permesso agli attori della minaccia di evitare il rilascio di file direttamente sul dispositivo e di sfuggire al rilevamento, utilizzando esclusivamente componenti di Windows affidabili.

L’attacco è proseguito con Horus Loader, un loader multistadio progettato per:

• Eliminare le tracce precedenti

• Bypassare i meccanismi di difesa base

• Eseguire un documento esca per distrarre la vittima

• Rilasciare il payload spyware finale in background

Il loader ha quindi installato Horus Agent, un impianto di spionaggio personalizzato basato su Mythic, un framework C2 open source noto per essere usato nei red team.

La catena di infezione

Horus Agent: il cuore dell’operazione

Scritto in C++ e costruito da zero, Horus Agent rappresenta una versione altamente furtiva e personalizzata di un agente Mythic. Include solo le funzionalità minime richieste per funzionare sulla piattaforma, ma è stato progettato per:

• Evitare analisi e rilevamento

• Eseguire comandi selezionati in modo mirato

• Facilitare il rilascio modulare di ulteriori payload

La sua struttura semplificata, unita a funzionalità avanzate anti-analisi e comunicazioni con server C2 remoti, suggerisce un’operazione con alto livello di competenza tecnica, specificamente mirata a evitare qualsiasi attività sospetta che possa attirare l’attenzione delle difese aziendali.

Il gruppo Stealth Falcon

Attribuita l’operazione a Stealth Falcon (noto anche come FruityArmor), CPR conferma il modus operandi tipico del gruppo: attacchi mirati a entità governative e strategiche nel Medio Oriente e in Africa, con uso combinato di zero-day, malware custom e tecniche di living-off-the-land. Il nome “Horus” utilizzato per il loader e l’agente spyware è un chiaro riferimento al dio egizio e simboleggia, nel contesto dell’attacco, visione strategica, sorveglianza continua e invisibilità.

Implicazioni e difese

Questo attacco evidenzia la crescente capacità degli attori APT di sfruttare vulnerabilità nascoste e di orchestrare catene di infezione altamente evasive, facendo leva su caratteristiche di sistema apparentemente innocue come WebDAV e il comportamento delle directory di lavoro di Windows. Secondo Check Point, è fondamentale che le organizzazioni adottino un approccio proattivo alla sicurezza, basato sull’osservazione dei comportamenti anomali e su un’analisi approfondita dei log.

Tra i segnali d’allarme indicati, troviamo:

• File .url o .lnk mascherati da documenti legittimi
• Connessioni anomale a server WebDAV avviate da processi Windows
• Utilizzo insolito di tool interni come iediagcmd.exe, CustomShellHost.exe
• Processi legittimi come ipconfig.exe o explorer.exe lanciati da contesti non attesi

Leggi anche: “Vulnerabilità Zero-day in Chrome”

*illustrazione articolo progettata da Check Point

IBM ha annunciato il lancio di IBM z17, l’ultima generazione del mainframe pensato per integrare nativamente l’Intelligenza Artificiale (AI) nel cuore dell’infrastruttura IT. Basato sul nuovo processore IBM Telum® II, z17 porta l’IA direttamente nei dati aziendali, con un’accelerazione di seconda generazione capace di eseguire oltre 450 miliardi di operazioni AI al giorno con una latenza di appena 1 millisecondo.

La novità principale è l’integrazione di funzionalità AI generativa e LLM su scala enterprise. Z17 permette alle aziende di valutare in tempo reale il 100% delle transazioni, con un incremento del 50% nelle operazioni di inferenza AI rispetto alla generazione precedente (z16). Il sistema è pensato per casi d’uso critici: dalla sicurezza informatica alla prevenzione delle frodi, dall’analisi delle immagini mediche alla gestione di chatbot avanzati.

Nuove funzionalità IA multi-modello

Il sistema introduce nuove funzionalità di sicurezza per proteggere i dati e strumenti che utilizzano l’IA per migliorare l’usabilità e la gestione del sistema. Tra le innovazioni più rilevanti:

• IBM Spyre™ Accelerator, disponibile dal Q4 2025, aggiungerà capacità di AI generativa al mainframe tramite scheda PCIe, permettendo di eseguire assistenti e agenti AI aziendali direttamente sulla piattaforma.

• L’integrazione di watsonx Code Assistant for Z e watsonx Assistant for Z con Z Operations Unite, consente il rilevamento automatico degli incidenti IT tramite interazioni in linguaggio naturale, migliorando la risposta agli eventi critici.

Per quanto riguarda la sicurezza, z17 consolida l’approccio “security by design”, con avanzamenti chiave:

• IBM Vault, basato su tecnologia HashiCorp, garantisce una gestione sicura dei segreti aziendali (token, chiavi, certificati) in ambienti cloud ibridi.

• Il sistema è in grado di scoprire e classificare automaticamente dati sensibili, grazie a capacità di NLP integrate nel chip Telum II.

• IBM Threat Detection for z/OS sfrutta l’AI per identificare comportamenti anomali che potrebbero indicare attacchi cyber.

Nuovo sistema operativo

L’OS z/OS 3.2, atteso per il Q3 2025, è progettato per supportare elaborazioni IA su vasta scala, anche con database NoSQL e ambienti cloud ibridi. Inoltre, la piattaforma supporta IBM Z Operations Unite, che utilizza dati operativi in formato OpenTelemetry per semplificare la gestione IT e migliorare la resilienza attraverso l’uso dell’intelligenza artificiale. Infine, IBM z17 si integra perfettamente con lo storage IBM DS8000 Gen10, offrendo prestazioni elevate, continuità operativa e un’infrastruttura sicura per la gestione di carichi critici. Con oltre 300 brevetti e il contributo di più di 100 clienti, IBM z17 rappresenta un salto generazionale nel mondo dei mainframe, portando l’IA al centro delle operazioni aziendali in modo sicuro, scalabile e integrato.

Leggi anche: “IBM acquisisce RED HAT“

Secondo l’ultimo report pubblicato da Kaspersky, relativo al periodo maggio 2024 – aprile 2025, si registra un forte incremento dell’interesse dei bambini verso le tecnologie basate sull’intelligenza artificiale, con un aumento del doppio nelle ricerche online legate ai chatbot IA rispetto all’anno precedente. Il report, basato su dati anonimi raccolti tramite la soluzione di parental control Kaspersky Safe Kids, offre una panoramica dettagliata su abitudini, tendenze e potenziali rischi del mondo digitale frequentato dai più giovani.

Analisi in dettaglio

Il dato più rilevante è la rapida ascesa dell’app Character.AI, una piattaforma che consente agli utenti di dialogare con bot ispirati a personaggi reali o fittizi. Mentre nel 2023 nessuna app IA figurava tra le prime 20 usate dai minori, quest’anno Character.AI ha conquistato un posto in classifica. Parallelamente, oltre il 7,5% delle query analizzate è legato a chatbot IA come ChatGPT, Gemini e appunto Character.AI, un netto aumento rispetto al 3,19% del periodo precedente.
Tuttavia, l’utilizzo di questi strumenti non è privo di rischi. I chatbot generati dagli utenti, spesso non moderati, possono esporre i bambini a contenuti inappropriati, temi emotivamente intensi o disinformazione.

Kaspersky sottolinea l’importanza di dialoghi aperti in famiglia sull’uso consapevole dell’IA e consiglia l’impiego di strumenti di digital parenting per monitorare e proteggere i minori.

Da dove vengono i rischi

Accanto all’IA, emergono nuove curiosità nella cultura digitale dei bambini. Tra queste, il fenomeno dei meme brainrot, brevi video dall’umorismo surreale e volutamente caotico. In Italia, spiccano ricerche legate a espressioni virali come tralalero tralala e tung tung sahur. Questi contenuti, per quanto apparentemente nonsense, riflettono forme di comunicazione identitaria tra pari, che si diffondono rapidamente sulle principali piattaforme.

Esempi di brainrot italiani

Interessante anche l’ascesa del gioco Sprunki, un browser game ritmico che abbina musica, interazione visiva e dinamismo fisico. Entrato nella top 5 dei giochi più cercati su YouTube, Sprunki si affianca a titoli consolidati come Roblox, Minecraft e Brawl Stars. Il suo successo, spiega Kaspersky, è indicativo del crescente interesse verso esperienze digitali rapide, coinvolgenti e facilmente accessibili.

Canzoni Sprunki

In Italia, le piattaforme di streaming continuano a dominare l’attività online dei bambini: il 57,68% delle ricerche riguarda contenuti audio e video. YouTube si conferma l’app più usata (28,58%), seguita da WhatsApp (18,32%), che supera Instagram e TikTok. Questo cambiamento suggerisce un’evoluzione verso una comunicazione più diretta e privata, con una crescente condivisione di video, meme e link tra pari.

Il report completo è disponibile a questo indirizzo KDaily.

Leggi anche: “Arrivano le truffe che sfruttano l’IA“

*illustrazione articolo progettata da KDAILY

Dopo il debutto al CES 2025, SwitchBot ha ufficialmente lanciato il K20+ Pro, il primo robot domestico multitasking intelligente progettato per rivoluzionare la vita smart in casa. Il nuovo dispositivo è già disponibile in pre-ordine sul sito ufficiale dell’azienda, a partire da 599,99 €.

Un robot, molte funzioni

Il K20+ Pro combina funzioni avanzate in un’unica piattaforma: aspirapolvere, videosorveglianza, purificatore d’aria e assistente per la consegna di oggetti. Tutto ciò è reso possibile grazie a FusionPlatform, una base modulare personalizzabile arricchita dalla tecnologia ClawLock, che consente di collegare facilmente accessori e dispositivi smart.

Assistente per la casa intelligente

• Consegna a domicilio interna: trasporta alimenti, bevande e pacchi fino a 8 kg, ideale per famiglie con anziani o animali domestici.

• Sicurezza mobile: grazie alla SwitchBot Pan/Tilt Cam Plus 2K o 3K, il robot offre videosorveglianza in tempo reale con notifiche smart.

• Purificazione dell’aria: con il kit Air Purifier, il robot elimina polveri e allergeni in ogni stanza, muovendosi autonomamente.

• Ventilazione efficiente: la versione Air Flow Kit sfrutta un ventilatore portatile per migliorare la circolazione dell’aria in tutta la casa.

Una piattaforma per i creativi

La vera innovazione è FusionPlatform, che consente infinite personalizzazioni: supporta accessori stampati in 3D, lampade UV, altoparlanti, e altri dispositivi di terze parti. SwitchBot lancerà inoltre un contest per i maker che vorranno progettare i propri moduli per il robot.

Integrazione smart completa

Dotato di navigazione laser D-ToF e compatibile con Alexa, Google Assistant e Siri, il K20+ Pro si integra perfettamente nella smart home. È pensato per aiutare famiglie, anziani e chiunque voglia un assistente domestico versatile e autonomo.

Per maggiori informazioni e per pre-ordinare il prodotto, visita il sito ufficiale di SwitchBot.

Una nuova campagna malware ha preso di mira utenti italiani attraverso l’uso fraudolento della Posta Elettronica Certificata (PEC), sfruttando sofisticate tecniche di social engineering e tempismo mirato. L’attacco, segnalato dal Cert-AGID, è finalizzato alla diffusione di malware della famiglia infostealer tramite il loader MintsLoader, basato su PowerShell.

Come funziona l’attacco

Gli attaccanti utilizzano caselle PEC compromesse per inviare email con allegati contenenti file JavaScript offuscati. Questi file, una volta eseguiti, attivano un dominio malevolo generato dinamicamente tramite algoritmo DGA (Domain Generation Algorithm), rendendo più difficile il blocco preventivo dei domini da parte dei sistemi di sicurezza.

Ciò che rende questa campagna particolarmente insidiosa è la sua capacità di sincronizzarsi con il calendario lavorativo nazionale. Gli attacchi si intensificano in particolare dopo i fine settimana e le festività, momenti in cui gli utenti, al rientro al lavoro, sono più propensi ad aprire comunicazioni relative a fatture, multe o documenti ufficiali. In questi frangenti, il rischio di cliccare su link dannosi o scaricare allegati infetti aumenta sensibilmente.

Secondo David Gubiani, Regional Director SE EMEA & Israel di Check Point Software, l’uso sempre più accurato del contesto locale da parte dei cyber criminali dimostra un’evoluzione preoccupante. “Questa nuova campagna mette in luce come gli attori malevoli siano in grado di modellare i loro attacchi in base alle abitudini lavorative e sociali del Paese bersaglio”, ha dichiarato Gubiani. “Inoltre, l’integrazione dell’intelligenza artificiale in questi attacchi sta contribuendo a perfezionare ulteriormente la qualità e la verosimiglianza delle comunicazioni fraudolente.” Quella attualmente in corso rappresenta la nona ondata di attacchi tramite MintsLoader registrata in Italia dall’inizio del 2025, segnando un aumento evidente nella frequenza e nella precisione degli attacchi mirati.

Come proteggersi

Per mettersi al riparo da questi rischi crescenti, Check Point suggerisce alcune buone pratiche essenziali:

• Esaminare attentamente il testo dell’email, anche se proviene da una casella PEC.

• Verificare la coerenza del logo e della grafica con il mittente presunto.

• Controllare con attenzione gli URL, senza cliccare impulsivamente su link ricevuti, specialmente se l’email fa riferimento a pagamenti, sanzioni o comunicazioni da enti pubblici.

Altro consiglio: non farsi ingannare dall’apparente ufficialità della PEC. Anche canali ritenuti più sicuri possono essere sfruttati dagli attaccanti se vengono compromessi. Una cultura della cybersecurity consapevole rimane l’arma più efficace contro queste minacce sempre più avanzate e contestualizzate.

Leggi anche: “Aruba: grave vulnerabilità nel sistema PEC“

*illustrazione articolo progettata da Freepik