Check Point Research (CPR) ha scoperto una nuova e sofisticata operazione di spionaggio informatico condotta dal gruppo APT Stealth Falcon, attivo nel cyberspionaggio almeno dal 2012. L’operazione ha sfruttato una vulnerabilità zero-day di Windows (CVE-2025-33053), fino ad allora sconosciuta e sfruttata attivamente contro obiettivi strategici. Dopo la segnalazione, Microsoft ha rilasciato una patch il 10 giugno 2025 durante il consueto Patch Tuesday. L’attacco, altamente mirato, è stato rilevato nel marzo 2025 contro un’importante organizzazione del settore difesa in Turchia, ed è stato condotto tramite un file di collegamento (URL) camuffato da documento PDF. Il file attivava in modo silenzioso un malware, abusando del comportamento nativo delle API Windows e sfruttando una condivisione remota WebDAV.

Attacco silenzioso e invisibile

Il file di collegamento fungeva da trigger iniziale della catena di infezione, facendo leva su un tool di sistema legittimo per eseguire codice malevolo senza alcun intervento da parte dell’utente. Questa tecnica ha permesso agli attori della minaccia di evitare il rilascio di file direttamente sul dispositivo e di sfuggire al rilevamento, utilizzando esclusivamente componenti di Windows affidabili.

L’attacco è proseguito con Horus Loader, un loader multistadio progettato per:

• Eliminare le tracce precedenti

• Bypassare i meccanismi di difesa base

• Eseguire un documento esca per distrarre la vittima

• Rilasciare il payload spyware finale in background

Il loader ha quindi installato Horus Agent, un impianto di spionaggio personalizzato basato su Mythic, un framework C2 open source noto per essere usato nei red team.

La catena di infezione

Horus Agent: il cuore dell’operazione

Scritto in C++ e costruito da zero, Horus Agent rappresenta una versione altamente furtiva e personalizzata di un agente Mythic. Include solo le funzionalità minime richieste per funzionare sulla piattaforma, ma è stato progettato per:

• Evitare analisi e rilevamento

• Eseguire comandi selezionati in modo mirato

• Facilitare il rilascio modulare di ulteriori payload

La sua struttura semplificata, unita a funzionalità avanzate anti-analisi e comunicazioni con server C2 remoti, suggerisce un’operazione con alto livello di competenza tecnica, specificamente mirata a evitare qualsiasi attività sospetta che possa attirare l’attenzione delle difese aziendali.

Il gruppo Stealth Falcon

Attribuita l’operazione a Stealth Falcon (noto anche come FruityArmor), CPR conferma il modus operandi tipico del gruppo: attacchi mirati a entità governative e strategiche nel Medio Oriente e in Africa, con uso combinato di zero-day, malware custom e tecniche di living-off-the-land. Il nome “Horus” utilizzato per il loader e l’agente spyware è un chiaro riferimento al dio egizio e simboleggia, nel contesto dell’attacco, visione strategica, sorveglianza continua e invisibilità.

Implicazioni e difese

Questo attacco evidenzia la crescente capacità degli attori APT di sfruttare vulnerabilità nascoste e di orchestrare catene di infezione altamente evasive, facendo leva su caratteristiche di sistema apparentemente innocue come WebDAV e il comportamento delle directory di lavoro di Windows. Secondo Check Point, è fondamentale che le organizzazioni adottino un approccio proattivo alla sicurezza, basato sull’osservazione dei comportamenti anomali e su un’analisi approfondita dei log.

Tra i segnali d’allarme indicati, troviamo:

• File .url o .lnk mascherati da documenti legittimi
• Connessioni anomale a server WebDAV avviate da processi Windows
• Utilizzo insolito di tool interni come iediagcmd.exe, CustomShellHost.exe
• Processi legittimi come ipconfig.exe o explorer.exe lanciati da contesti non attesi

Leggi anche: “Vulnerabilità Zero-day in Chrome”

*illustrazione articolo progettata da Check Point

IBM ha annunciato il lancio di IBM z17, l’ultima generazione del mainframe pensato per integrare nativamente l’Intelligenza Artificiale (AI) nel cuore dell’infrastruttura IT. Basato sul nuovo processore IBM Telum® II, z17 porta l’IA direttamente nei dati aziendali, con un’accelerazione di seconda generazione capace di eseguire oltre 450 miliardi di operazioni AI al giorno con una latenza di appena 1 millisecondo.

La novità principale è l’integrazione di funzionalità AI generativa e LLM su scala enterprise. Z17 permette alle aziende di valutare in tempo reale il 100% delle transazioni, con un incremento del 50% nelle operazioni di inferenza AI rispetto alla generazione precedente (z16). Il sistema è pensato per casi d’uso critici: dalla sicurezza informatica alla prevenzione delle frodi, dall’analisi delle immagini mediche alla gestione di chatbot avanzati.

Nuove funzionalità IA multi-modello

Il sistema introduce nuove funzionalità di sicurezza per proteggere i dati e strumenti che utilizzano l’IA per migliorare l’usabilità e la gestione del sistema. Tra le innovazioni più rilevanti:

• IBM Spyre™ Accelerator, disponibile dal Q4 2025, aggiungerà capacità di AI generativa al mainframe tramite scheda PCIe, permettendo di eseguire assistenti e agenti AI aziendali direttamente sulla piattaforma.

• L’integrazione di watsonx Code Assistant for Z e watsonx Assistant for Z con Z Operations Unite, consente il rilevamento automatico degli incidenti IT tramite interazioni in linguaggio naturale, migliorando la risposta agli eventi critici.

Per quanto riguarda la sicurezza, z17 consolida l’approccio “security by design”, con avanzamenti chiave:

• IBM Vault, basato su tecnologia HashiCorp, garantisce una gestione sicura dei segreti aziendali (token, chiavi, certificati) in ambienti cloud ibridi.

• Il sistema è in grado di scoprire e classificare automaticamente dati sensibili, grazie a capacità di NLP integrate nel chip Telum II.

• IBM Threat Detection for z/OS sfrutta l’AI per identificare comportamenti anomali che potrebbero indicare attacchi cyber.

Nuovo sistema operativo

L’OS z/OS 3.2, atteso per il Q3 2025, è progettato per supportare elaborazioni IA su vasta scala, anche con database NoSQL e ambienti cloud ibridi. Inoltre, la piattaforma supporta IBM Z Operations Unite, che utilizza dati operativi in formato OpenTelemetry per semplificare la gestione IT e migliorare la resilienza attraverso l’uso dell’intelligenza artificiale. Infine, IBM z17 si integra perfettamente con lo storage IBM DS8000 Gen10, offrendo prestazioni elevate, continuità operativa e un’infrastruttura sicura per la gestione di carichi critici. Con oltre 300 brevetti e il contributo di più di 100 clienti, IBM z17 rappresenta un salto generazionale nel mondo dei mainframe, portando l’IA al centro delle operazioni aziendali in modo sicuro, scalabile e integrato.

Leggi anche: “IBM acquisisce RED HAT“

Secondo l’ultimo report pubblicato da Kaspersky, relativo al periodo maggio 2024 – aprile 2025, si registra un forte incremento dell’interesse dei bambini verso le tecnologie basate sull’intelligenza artificiale, con un aumento del doppio nelle ricerche online legate ai chatbot IA rispetto all’anno precedente. Il report, basato su dati anonimi raccolti tramite la soluzione di parental control Kaspersky Safe Kids, offre una panoramica dettagliata su abitudini, tendenze e potenziali rischi del mondo digitale frequentato dai più giovani.

Analisi in dettaglio

Il dato più rilevante è la rapida ascesa dell’app Character.AI, una piattaforma che consente agli utenti di dialogare con bot ispirati a personaggi reali o fittizi. Mentre nel 2023 nessuna app IA figurava tra le prime 20 usate dai minori, quest’anno Character.AI ha conquistato un posto in classifica. Parallelamente, oltre il 7,5% delle query analizzate è legato a chatbot IA come ChatGPT, Gemini e appunto Character.AI, un netto aumento rispetto al 3,19% del periodo precedente.
Tuttavia, l’utilizzo di questi strumenti non è privo di rischi. I chatbot generati dagli utenti, spesso non moderati, possono esporre i bambini a contenuti inappropriati, temi emotivamente intensi o disinformazione.

Kaspersky sottolinea l’importanza di dialoghi aperti in famiglia sull’uso consapevole dell’IA e consiglia l’impiego di strumenti di digital parenting per monitorare e proteggere i minori.

Da dove vengono i rischi

Accanto all’IA, emergono nuove curiosità nella cultura digitale dei bambini. Tra queste, il fenomeno dei meme brainrot, brevi video dall’umorismo surreale e volutamente caotico. In Italia, spiccano ricerche legate a espressioni virali come tralalero tralala e tung tung sahur. Questi contenuti, per quanto apparentemente nonsense, riflettono forme di comunicazione identitaria tra pari, che si diffondono rapidamente sulle principali piattaforme.

Esempi di brainrot italiani

Interessante anche l’ascesa del gioco Sprunki, un browser game ritmico che abbina musica, interazione visiva e dinamismo fisico. Entrato nella top 5 dei giochi più cercati su YouTube, Sprunki si affianca a titoli consolidati come Roblox, Minecraft e Brawl Stars. Il suo successo, spiega Kaspersky, è indicativo del crescente interesse verso esperienze digitali rapide, coinvolgenti e facilmente accessibili.

Canzoni Sprunki

In Italia, le piattaforme di streaming continuano a dominare l’attività online dei bambini: il 57,68% delle ricerche riguarda contenuti audio e video. YouTube si conferma l’app più usata (28,58%), seguita da WhatsApp (18,32%), che supera Instagram e TikTok. Questo cambiamento suggerisce un’evoluzione verso una comunicazione più diretta e privata, con una crescente condivisione di video, meme e link tra pari.

Il report completo è disponibile a questo indirizzo KDaily.

Leggi anche: “Arrivano le truffe che sfruttano l’IA“

*illustrazione articolo progettata da KDAILY

Dopo il debutto al CES 2025, SwitchBot ha ufficialmente lanciato il K20+ Pro, il primo robot domestico multitasking intelligente progettato per rivoluzionare la vita smart in casa. Il nuovo dispositivo è già disponibile in pre-ordine sul sito ufficiale dell’azienda, a partire da 599,99 €.

Un robot, molte funzioni

Il K20+ Pro combina funzioni avanzate in un’unica piattaforma: aspirapolvere, videosorveglianza, purificatore d’aria e assistente per la consegna di oggetti. Tutto ciò è reso possibile grazie a FusionPlatform, una base modulare personalizzabile arricchita dalla tecnologia ClawLock, che consente di collegare facilmente accessori e dispositivi smart.

Assistente per la casa intelligente

• Consegna a domicilio interna: trasporta alimenti, bevande e pacchi fino a 8 kg, ideale per famiglie con anziani o animali domestici.

• Sicurezza mobile: grazie alla SwitchBot Pan/Tilt Cam Plus 2K o 3K, il robot offre videosorveglianza in tempo reale con notifiche smart.

• Purificazione dell’aria: con il kit Air Purifier, il robot elimina polveri e allergeni in ogni stanza, muovendosi autonomamente.

• Ventilazione efficiente: la versione Air Flow Kit sfrutta un ventilatore portatile per migliorare la circolazione dell’aria in tutta la casa.

Una piattaforma per i creativi

La vera innovazione è FusionPlatform, che consente infinite personalizzazioni: supporta accessori stampati in 3D, lampade UV, altoparlanti, e altri dispositivi di terze parti. SwitchBot lancerà inoltre un contest per i maker che vorranno progettare i propri moduli per il robot.

Integrazione smart completa

Dotato di navigazione laser D-ToF e compatibile con Alexa, Google Assistant e Siri, il K20+ Pro si integra perfettamente nella smart home. È pensato per aiutare famiglie, anziani e chiunque voglia un assistente domestico versatile e autonomo.

Per maggiori informazioni e per pre-ordinare il prodotto, visita il sito ufficiale di SwitchBot.

Una nuova campagna malware ha preso di mira utenti italiani attraverso l’uso fraudolento della Posta Elettronica Certificata (PEC), sfruttando sofisticate tecniche di social engineering e tempismo mirato. L’attacco, segnalato dal Cert-AGID, è finalizzato alla diffusione di malware della famiglia infostealer tramite il loader MintsLoader, basato su PowerShell.

Come funziona l’attacco

Gli attaccanti utilizzano caselle PEC compromesse per inviare email con allegati contenenti file JavaScript offuscati. Questi file, una volta eseguiti, attivano un dominio malevolo generato dinamicamente tramite algoritmo DGA (Domain Generation Algorithm), rendendo più difficile il blocco preventivo dei domini da parte dei sistemi di sicurezza.

Ciò che rende questa campagna particolarmente insidiosa è la sua capacità di sincronizzarsi con il calendario lavorativo nazionale. Gli attacchi si intensificano in particolare dopo i fine settimana e le festività, momenti in cui gli utenti, al rientro al lavoro, sono più propensi ad aprire comunicazioni relative a fatture, multe o documenti ufficiali. In questi frangenti, il rischio di cliccare su link dannosi o scaricare allegati infetti aumenta sensibilmente.

Secondo David Gubiani, Regional Director SE EMEA & Israel di Check Point Software, l’uso sempre più accurato del contesto locale da parte dei cyber criminali dimostra un’evoluzione preoccupante. “Questa nuova campagna mette in luce come gli attori malevoli siano in grado di modellare i loro attacchi in base alle abitudini lavorative e sociali del Paese bersaglio”, ha dichiarato Gubiani. “Inoltre, l’integrazione dell’intelligenza artificiale in questi attacchi sta contribuendo a perfezionare ulteriormente la qualità e la verosimiglianza delle comunicazioni fraudolente.” Quella attualmente in corso rappresenta la nona ondata di attacchi tramite MintsLoader registrata in Italia dall’inizio del 2025, segnando un aumento evidente nella frequenza e nella precisione degli attacchi mirati.

Come proteggersi

Per mettersi al riparo da questi rischi crescenti, Check Point suggerisce alcune buone pratiche essenziali:

• Esaminare attentamente il testo dell’email, anche se proviene da una casella PEC.

• Verificare la coerenza del logo e della grafica con il mittente presunto.

• Controllare con attenzione gli URL, senza cliccare impulsivamente su link ricevuti, specialmente se l’email fa riferimento a pagamenti, sanzioni o comunicazioni da enti pubblici.

Altro consiglio: non farsi ingannare dall’apparente ufficialità della PEC. Anche canali ritenuti più sicuri possono essere sfruttati dagli attaccanti se vengono compromessi. Una cultura della cybersecurity consapevole rimane l’arma più efficace contro queste minacce sempre più avanzate e contestualizzate.

Leggi anche: “Aruba: grave vulnerabilità nel sistema PEC“

*illustrazione articolo progettata da Freepik

Microsoft ha annunciato il lancio di una nuova iniziativa strategica per la cybersecurity europea: il Programma Europeo per la Sicurezza. L’obiettivo è rafforzare la difesa contro le minacce informatiche nel continente, sfruttando le potenzialità dell’intelligenza artificiale e intensificando la collaborazione tra attori pubblici e privati. Il programma si inserisce nel più ampio quadro degli impegni digitali di Microsoft in Europa, presentati recentemente a Bruxelles, e si rivolge non solo ai 27 Stati membri dell’Unione Europea, ma anche ai Paesi candidati all’adesione, ai membri dell’EFTA, al Regno Unito, Monaco e Vaticano.

Cosa prevede il Programma Europeo per la Sicurezza?

Tra i principali elementi del progetto emergono:

• Condivisione avanzata di informazioni sulle minacce informatiche basate sull’intelligenza artificiale con i governi europei, per anticipare e contrastare attacchi sempre più sofisticati.

• Nuovi investimenti dedicati a potenziare la capacità e la resilienza della cybersicurezza degli Stati coinvolti, con l’obiettivo di migliorare le difese e ridurre le vulnerabilità critiche.

• Espansione delle collaborazioni e partnership operative per individuare, interrompere e smantellare reti di criminalità informatica che agiscono su scala globale.

Il lancio di questa iniziativa arriva in un momento in cui il panorama delle minacce in Europa si mostra sempre più complesso e dinamico. Gruppi ransomware e attori sponsorizzati da Stati come Russia, Cina, Iran e Corea del Nord stanno intensificando gli attacchi contro infrastrutture pubbliche e private. Particolare attenzione è rivolta ai ripetuti attacchi informatici contro l’Ucraina e i Paesi che la sostengono, oltre a campagne di spionaggio digitale mirate a università, centri di ricerca e think tank. La criminalità informatica evolve adottando modelli “Ransomware-as-a-Service” e utilizzando l’intelligenza artificiale per affinare tecniche di attacco, phishing e disinformazione, rendendo la lotta contro queste minacce più difficile ma cruciale.

Collaborazioni chiave e iniziative operative

Microsoft ha messo in campo una serie di collaborazioni concrete per aumentare l’efficacia della difesa europea:

• È stato avviato un programma pilota con l’European Cybercrime Centre (EC3) di Europol, che vede investigatori della Digital Crimes Unit (DCU) di Microsoft operare direttamente presso la sede EC3 all’Aia. Questa presenza favorisce la condivisione immediata di intelligence e il coordinamento operativo, accelerando le indagini e la risposta alle minacce.

• Microsoft ha rinnovato la partnership con il CyberPeace Institute, una ONG che supporta le vittime di attacchi informatici, mettendo a disposizione volontaria quasi 100 dipendenti che collaborano a identificare i responsabili delle cyberminacce e a proteggere i soggetti più vulnerabili.

• È stata rafforzata la cooperazione con il Western Balkans Cyber Capacity Centre (WB3C), volto a migliorare la resilienza informatica nella regione balcanica, particolarmente esposta alle attività dei cybercriminali.

• Partnership con il Laboratory for AI Security Research (LASR) del Regno Unito, per sviluppare tecnologie avanzate di sicurezza basate sull’intelligenza artificiale, con un focus specifico sulle infrastrutture critiche europee.

• Sostegno ai progetti open source fondamentali per la sicurezza della supply chain digitale europea, come Log4J e Scancode, attraverso il GitHub Secure Open Source Fund, garantendo così una base più sicura per lo sviluppo software in Europa.

Il futuro della sicurezza digitale europea

L’approccio integrato e collaborativo sta già portando risultati tangibili. Recentemente, la Digital Crimes Unit di Microsoft ha cooperato con Europol per smantellare il malware Lumma, responsabile di circa 400.000 infezioni in tutto il mondo in soli due mesi, molte delle quali concentrate in Europa. L’operazione ha portato al blocco di oltre 2.300 domini utilizzati per diffondere il malware e raccogliere dati. Questa iniziativa testimonia l’impegno costante di Microsoft nel difendere l’ecosistema digitale europeo, promuovendo un futuro dove la sicurezza informatica sia un pilastro imprescindibile dello sviluppo tecnologico e della tutela di cittadini, istituzioni e imprese.

Per approfondire l’argomento, consultare il blog ufficiale Microsoft.

Leggi anche: “Bug Microsoft: tutta la verità“

*illustrazione articolo progettata da Blog Microsoft

Una nuova campagna di malware, tracciata da Check Point Research, sfrutta la popolarità dell’intelligenza artificiale generativa per colpire ignari utenti. L’attacco si presenta sotto forma di un innocuo file immagine chiamato Generated_Image_2025.jpg, ma in realtà si tratta di un programma mascherato progettato per infettare i sistemi. Una volta aperto, il file installa in modo silenzioso un malware persistente che si avvia automaticamente a ogni accensione del computer e tenta di eludere i sistemi di sicurezza. Ma la minaccia non si ferma qui: in una seconda fase, viene scaricato un Trojan ad accesso remoto (RAT) che consente agli attaccanti di controllare il dispositivo della vittima a distanza.

INFEZIONE SUBDOLA

Il veicolo dell’infezione è particolarmente subdolo: l’attacco inizia su Facebook, dove sono stati individuati circa 70 annunci sponsorizzati ingannevoli, creati per imitare perfettamente la popolare piattaforma AI Kling AI. Gli utenti, attirati dalla promessa di un generatore di immagini, vengono indirizzati a un sito web contraffatto che replica fedelmente l’interfaccia del vero Kling AI. Qui, il visitatore viene invitato a caricare un’immagine e cliccare su “Genera”. Al posto del risultato, però, scarica un archivio malevolo contenente il falso file immagine infetto. I ricercatori hanno scoperto che ogni versione di questo file include un file di configurazione nascosto, utilizzato per collegarsi ai server di comando e controllo degli aggressori. Alcuni elementi del codice e i nomi delle campagne — come “Kling AI Test Startup” — suggeriscono test e aggiornamenti regolari del malware.

Una volta attivo, il software dannoso monitora i browser e le estensioni per intercettare credenziali e dati sensibili, permettendo il furto di informazioni personali e il mantenimento dell’accesso a lungo termine. Sebbene gli autori dell’attacco non siano stati identificati con certezza, diversi indizi, tra cui messaggi di debug in lingua vietnamita, fanno pensare al coinvolgimento di gruppi di minaccia vietnamiti, noti per campagne simili tramite malvertising su Facebook.

Questa operazione si inserisce in un trend crescente che unisce ingegneria sociale, IA e malware avanzato, dimostrando quanto sia urgente aumentare la consapevolezza degli utenti, soprattutto quando si interagisce con strumenti AI popolari attraverso i social.

 Il consiglio è quello di evitare di cliccare su link pubblicitari non verificati, anche se sembrano provenire da fonti affidabili. Verificare sempre l’URL del sito visitato e scaricare software solo da fonti ufficiali.

Leggi anche: “Intelligenza artificiale per tutti“

*illustrazione articolo progettata da CheckPoint