Una nuova campagna di cyberspionaggio collegata alla Cina ha preso di mira enti governativi, aziende legate alla difesa e operatori del settore trasporti in diversi Paesi asiatici e in un Paese europeo della NATO, sfruttando falle note ma ancora pericolose presenti in Microsoft Exchange e nei server IIS esposti su Internet. Secondo i ricercatori di Trend Micro, l’operazione, identificata come SHADOW-EARTH-053, punta soprattutto alla raccolta di informazioni riservate e al furto di proprietà intellettuale.

I dettagli su come funziona l’attacco

L’aspetto più interessante, e allo stesso tempo più preoccupante, è che gli attaccanti non avrebbero usato tecniche futuristiche o strumenti “magici”, ma vulnerabilità vecchie, come ProxyLogon, che in molti casi avrebbero già dovuto essere corrette con gli aggiornamenti di sicurezza. È un dettaglio importante anche per chi non è esperto: in pratica, è un po’ come lasciare una porta con una serratura difettosa nota da anni, sperando che nessuno se ne accorga.

Una volta trovata la strada per entrare, i cybercriminali installano una web shell, cioè un piccolo programma nascosto che consente di controllare il server da remoto. Per capirci, è come se un ladro riuscisse a infilare una porta secondaria invisibile dentro un edificio, così da poter rientrare quando vuole senza dover forzare ogni volta l’ingresso principale.

Da lì l’attacco può evolversi rapidamente. I ricercatori spiegano che il gruppo usa anche ShadowPad, una backdoor modulare già associata in passato ad attività allineate agli interessi cinesi. In parole semplici, una backdoor è un accesso segreto lasciato aperto nel sistema, utile per muoversi all’interno della rete, rubare credenziali, leggere e-mail di dirigenti o tecnici importanti ed estrarre dati sensibili senza attirare subito l’attenzione.

Da segnalare inoltre una sovrapposizione con un’altra serie di intrusioni, chiamata SHADOW-EARTH-054: quasi metà degli obiettivi colpiti da SHADOW-EARTH-053 sarebbe stata presa di mira anche dall’altro gruppo o cluster, con strumenti condivisi e file identici. Questo elemento suggerisce che non si tratti di un episodio isolato, ma di uno sfruttamento ripetuto della stessa infrastruttura vulnerabile.

Aprire la posta elettronica è diventato un gesto automatico. Lo facciamo decine di volte al giorno, dal computer e soprattutto dallo smartphone. Proprio per questo l’email continua a essere una delle armi preferite dai cybercriminali. Secondo il nuovo report 2026 di Barracuda Networks, oggi un messaggio su tre ricevuto dalle aziende è spam o contiene elementi malevoli.

Il dato più preoccupante riguarda il phishing, cioè le truffe che imitano comunicazioni ufficiali per rubare password, dati bancari o informazioni personali. Quasi la metà delle minacce via email individuate nel report appartiene proprio a questa categoria.

Ma il phishing del 2026 non è più quello pieno di errori grammaticali che prometteva improbabili vincite milionarie. Oggi i messaggi sono scritti meglio, spesso grazie all’intelligenza artificiale, e sfruttano tecniche sempre più credibili. Gli attaccanti copiano perfettamente grafica, loghi e tono di voce di aziende note come banche, corrieri o piattaforme cloud.

Uno degli strumenti più usati è il cosiddetto “Phishing-as-a-Service”, abbreviato in PhaaS. In pratica esistono piattaforme criminali che vendono kit pronti all’uso per organizzare campagne di phishing, un po’ come un abbonamento a un normale servizio online. Anche chi ha poche competenze tecniche può quindi lanciare attacchi sofisticati. Secondo Barracuda, il 90% delle campagne di phishing su larga scala utilizza proprio questi servizi.

I criminali stanno inoltre cambiando strategia. In passato le email pericolose contenevano soprattutto allegati infetti. Oggi si punta sempre di più sui link. Il motivo è semplice: gli antivirus moderni controllano meglio i file allegati, mentre un collegamento web può cambiare destinazione in pochi minuti e aggirare più facilmente i controlli automatici.

Nuove tecniche

Tra le tecniche emergenti ci sono anche i QR code malevoli inseriti nei PDF. Il report evidenzia che il 70% dei PDF dannosi contiene codici QR che rimandano a siti fraudolenti. In questo modo i criminali spingono l’utente ad aprire il collegamento dal telefono, dove spesso i controlli di sicurezza sono meno efficaci.

Un altro fenomeno in crescita è il furto degli account email aziendali. Il 34% delle aziende subisce almeno un caso di compromissione dell’account ogni mese. Una volta entrati nella casella di posta, i criminali possono leggere conversazioni reali, inviare email credibili ai colleghi o modificare le coordinate bancarie nelle fatture.

La buona notizia è che molte truffe possono essere evitate con alcune semplici abitudini: diffidare dei messaggi urgenti, controllare sempre il mittente reale, non cliccare impulsivamente su link o QR code e usare l’autenticazione a più fattori, cioè quel sistema che richiede un secondo codice oltre alla password.

In Italia gli attacchi informatici continuano ad aumentare e il dato inizia a diventare difficile da ignorare. Secondo l’ultimo report di Check Point Research, nel mese di aprile 2026 le organizzazioni italiane hanno subito in media 2.492 attacchi cyber a settimana, un valore superiore del 13,2% rispetto alla media globale.

Dietro questi numeri non ci sono soltanto grandi hackeraggi da film o sofisticate operazioni contro governi e multinazionali. Sempre più spesso gli attacchi colpiscono aziende comuni, enti pubblici, scuole e perfino piccole realtà locali. Il motivo è semplice: oggi quasi tutto passa dal digitale e ogni sistema connesso rappresenta un potenziale punto d’ingresso. Il rapporto evidenzia come il rallentamento registrato a marzo sia stato soltanto temporaneo. Ad aprile gli attacchi hanno ripreso a crescere, spinti da automazione, cloud e diffusione dell’intelligenza artificiale generativa.

Attacchi in dettaglio

Uno dei fenomeni più preoccupanti resta il ransomware, cioè quel tipo di malware che blocca computer e server chiedendo un riscatto per ripristinare i dati. È una sorta di “sequestro digitale”: l’azienda perde accesso ai propri file e gli attaccanti chiedono denaro, spesso in criptovalute, per restituirli o evitare la pubblicazione online delle informazioni rubate.

Nel mese di aprile sono stati segnalati pubblicamente 707 attacchi ransomware nel mondo, con una crescita del 5% rispetto al mese precedente. In Italia i settori più colpiti risultano essere quello governativo, i servizi pubblici e le telecomunicazioni.

Per capire quanto il problema sia concreto basta immaginare cosa potrebbe accadere in caso di attacco a un’azienda di trasporti o a un operatore telefonico: sistemi bloccati, servizi interrotti, clienti impossibilitati ad accedere alle piattaforme e dati sensibili potenzialmente esposti.

Secondo gli analisti, i gruppi criminali stanno diventando sempre più organizzati. Alcuni operano con modelli simili a vere aziende, offrendo persino “Ransomware-as-a-Service”. In pratica sviluppano il malware e lo “affittano” ad altri criminali in cambio di una percentuale sui riscatti ottenuti. Tra i gruppi più attivi segnalati nel report figurano Qilin, The Gentlemen e DragonForce.

Ma non c’è soltanto il ransomware. Un’altra area di rischio crescente riguarda l’uso della GenAI, cioè strumenti di intelligenza artificiale generativa come chatbot e assistenti virtuali.

Il report sottolinea che 1 prompt aziendale su 28 inviato a sistemi GenAI presenta un rischio elevato di fuga di dati sensibili. Tradotto: molti dipendenti stanno inserendo nelle piattaforme AI informazioni aziendali riservate senza rendersi conto delle possibili conseguenze.

Può trattarsi, ad esempio, di documenti interni copiati dentro un chatbot per ottenere un riassunto, di codici software condivisi per correggere errori oppure di dati commerciali utilizzati per generare report automatici. Operazioni apparentemente innocue che però possono esporre informazioni strategiche.

Il problema è che l’intelligenza artificiale viene adottata molto più rapidamente rispetto alle misure di sicurezza necessarie per governarla. Le aziende, infatti, utilizzano ormai in media dieci strumenti GenAI differenti e ogni dipendente genera decine di richieste ogni mese.

Il quadro che emerge è quello di una superficie digitale sempre più ampia e difficile da proteggere. Non basta più installare antivirus o firewall: servono formazione continua, controllo dei dati condivisi e strumenti capaci di prevenire gli attacchi prima che causino danni.

*Illustrazione progettata da CheckPoint

Una nuova vulnerabilità scoperta nel mondo Linux sta attirando l’attenzione degli esperti di cybersicurezza perché potrebbe permettere a un utente con permessi limitati di trasformarsi, in pochi istanti, in amministratore completo del sistema. La falla è stata identificata come CVE-2026-31431, ma è già conosciuta con un nome molto più facile da ricordare: “CopyFail”. Secondo gli analisti di Kaspersky, il problema riguarda il kernel Linux, cioè il “cuore” del sistema operativo. È il componente che gestisce memoria, hardware e comunicazione tra software e macchina. In pratica, se il kernel ha un problema, tutto il sistema può diventare vulnerabile.

Analisi dell’exploit

La particolarità di CopyFail è che non richiede tecniche sofisticate da hacker cinematografico. Gli esperti spiegano che un exploit funzionante può essere scritto con pochissime righe di codice Python. Tradotto in termini semplici: anche criminali informatici con competenze non avanzate potrebbero tentare di sfruttarla.

La vulnerabilità sfrutterebbe un errore nel modo in cui Linux gestisce alcune operazioni crittografiche. La crittografia è ciò che protegge dati e comunicazioni, un po’ come una cassaforte digitale. In questo caso, però, il meccanismo potrebbe essere manipolato per alterare programmi considerati affidabili dal sistema.

Per capire il rischio basta immaginare un badge aziendale. Un dipendente normale può entrare solo in alcune stanze, mentre l’amministratore ha accesso ovunque. CopyFail permetterebbe, di fatto, di “falsificare” il badge e ottenere le chiavi complete del sistema. A quel punto un attaccante potrebbe installare malware, modificare file, creare nuovi account oppure bloccare interi server.

La falla sarebbe particolarmente insidiosa anche perché potrebbe essere presente in Linux dal 2017. Questo significa che molte versioni del sistema operativo distribuite negli ultimi anni potrebbero esserne interessate, comprese piattaforme molto diffuse in ambito aziendale come Ubuntu e Red Hat.

Va però chiarito un aspetto importante: CopyFail non può essere sfruttata direttamente via Internet. Un aggressore deve prima ottenere un accesso locale alla macchina. Questo riduce il rischio per gli utenti comuni, ma non elimina il problema. In caso di compromissione iniziale di un server, oppure in presenza di un dipendente malintenzionato, la vulnerabilità potrebbe diventare un potente strumento per prendere il controllo completo dell’infrastruttura.

I rischi e… le soluzioni!

A preoccupare particolarmente gli esperti sono poi gli ambienti cloud e containerizzati, come Docker e Kubernetes, oggi ampiamente usati nelle aziende. I container funzionano un po’ come appartamenti separati all’interno dello stesso edificio: ogni applicazione vive nel proprio spazio isolato. Con CopyFail, però, un aggressore potrebbe riuscire a “sfondare il muro” del container e raggiungere il sistema principale che ospita tutto il resto.

La buona notizia è che una correzione sarebbe già stata introdotta nelle versioni più recenti del kernel Linux. Gli esperti consigliano quindi di aggiornare i sistemi il prima possibile. Dove non è possibile intervenire immediatamente, una misura temporanea consiste nel disabilitare il modulo vulnerabile chiamato “algif_aead”, riducendo così la superficie di attacco.

*Illustrazione progettata da Securelist

Un programma scaricato dal sito ufficiale, firmato con un certificato valido e considerato affidabile dagli antivirus. Sembrava tutto normale. E invece dietro alcune versioni di Daemon Tools si nascondeva un attacco informatico sofisticato capace di installare malware direttamente sui computer delle vittime.

Il caso riguarda Daemon Tools, storico software utilizzato per creare unità virtuali e gestire immagini disco. Per molti utenti è uno strumento comune, soprattutto in ambito tecnico e professionale. Proprio questa popolarità avrebbe reso il programma un bersaglio ideale per una cosiddetta “supply chain attack”, cioè un attacco alla catena di distribuzione del software.

In pratica, invece di colpire direttamente gli utenti, i cybercriminali avrebbero compromesso il software originale distribuito dal produttore. È un po’ come comprare un prodotto sigillato in un negozio ufficiale e scoprire che qualcuno ha inserito qualcosa di pericoloso direttamente nella confezione prima della vendita.

Secondo Kaspersky, a partire dall’8 aprile 2026 alcune versioni dell’installer di Daemon Tools disponibili sul sito ufficiale contenevano codice dannoso nascosto all’interno dell’applicazione legittima. Il malware veniva distribuito insieme al programma originale senza destare sospetti, anche perché il file risultava firmato digitalmente con certificati autentici dello sviluppatore.

Ed è proprio questo il dettaglio più preoccupante. Normalmente gli utenti si fidano dei software scaricati da siti ufficiali, soprattutto se Windows mostra che il programma è firmato digitalmente. In questo caso, però, quella fiducia è stata sfruttata dagli attaccanti per superare le difese tradizionali.

Analisi del malware

Il malware, una volta installato, poteva consentire ai criminali informatici di controllare il computer da remoto. Gli esperti parlano di “backdoor”, termine che indica una sorta di porta segreta lasciata aperta nel sistema. Attraverso questa porta gli attaccanti possono impartire comandi, installare altri software malevoli o rubare informazioni.

La situazione sarebbe particolarmente critica perché Daemon Tools richiede privilegi amministrativi elevati per funzionare correttamente. In pratica, durante l’installazione molti utenti autorizzano automaticamente il programma ad avere accesso completo al sistema operativo. Così facendo, senza saperlo, concedevano gli stessi privilegi anche al malware nascosto al suo interno.

Secondo i dati raccolti da Kaspersky, gli aggiornamenti compromessi sarebbero stati scaricati in oltre 100 Paesi. Tra quelli maggiormente colpiti figurano Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina. Circa il 10% dei sistemi infetti apparterrebbe inoltre ad aziende e organizzazioni.

I ricercatori hanno osservato che in alcuni casi gli attaccanti sarebbero intervenuti manualmente su computer selezionati appartenenti a enti governativi, aziende manifatturiere, organizzazioni scientifiche e realtà del settore retail. Su queste macchine sarebbero stati installati ulteriori strumenti di controllo remoto ancora sconosciuti.

Gli esperti sottolineano che questo tipo di attacco è particolarmente difficile da individuare perché sfrutta software considerato affidabile. Non si tratta del classico allegato sospetto ricevuto via email, ma di un programma scaricato dal canale ufficiale del produttore.

Per questo motivo Kaspersky raccomanda alle aziende di verificare immediatamente la presenza di Daemon Tools Lite nelle proprie reti, isolare i sistemi coinvolti e monitorare eventuali attività anomale. Gli utenti privati, invece, dovrebbero disinstallare le versioni compromesse del software ed eseguire una scansione completa del computer.

*Illustrazione progettata da SecureList

Un nuovo ransomware che, invece di “bloccare” i file, li distrugge definitivamente. È questa la scoperta fatta dai ricercatori di Check Point Research su VECT, una minaccia informatica emersa alla fine del 2025 che rompe completamente le regole tradizionali del cybercrimine.

Di solito, un ransomware funziona come un sequestro: i criminali cifrano i dati (cioè li rendono illeggibili) e chiedono un riscatto per fornire la chiave che permette di recuperarli. È un modello “economico”: tu paghi, io ti restituisco i file. Con VECT, però, questo schema salta. A causa di errori nel software, i file più grandi – come database aziendali, backup o sistemi virtuali – vengono danneggiati in modo irreversibile. In pratica è come se un ladro distruggesse una cassaforte invece di rubarne la combinazione: anche pagando, non c’è più nulla da recuperare.

Secondo l’analisi, il problema riguarda tutte le versioni del malware (Windows, Linux e ambienti virtualizzati) ed è presente fin dalle prime varianti. Questo significa che non esiste, e probabilmente non esisterà mai, uno strumento in grado di decifrare i dati colpiti. Pagare il riscatto, quindi, non solo finanzia i criminali ma non porta alcun beneficio alla vittima.

Diffusione tramite affiliazione

Un altro aspetto insolito di VECT è il suo modello di diffusione. Invece di affidarsi a pochi hacker esperti, il gruppo ha aperto la propria piattaforma a migliaia di affiliati tramite forum del cybercrimine. Più persone coinvolte significa più attacchi, ma anche meno controllo sulla qualità del software. Non a caso, i ricercatori sospettano che dietro VECT ci siano operatori poco esperti, forse supportati da codice riutilizzato o addirittura generato con l’aiuto dell’intelligenza artificiale.

Le falle non finiscono qui: alcune funzioni promesse agli “affiliati”, come la possibilità di regolare la velocità di cifratura, semplicemente non funzionano. Il risultato è un malware che appare sofisticato, ma che in realtà nasconde difetti strutturali importanti.

Questo non rende VECT meno pericoloso. Anche se i dati possono essere distrutti, prima dell’attacco possono comunque essere rubati. Inoltre, i sistemi colpiti si bloccano, causando danni operativi alle aziende. E soprattutto, se questi errori venissero corretti in futuro, VECT potrebbe trasformarsi in una minaccia ancora più efficace, sfruttando una rete già ampia di criminali affiliati.

*Illustrazione progettata da CheckPoint

Se gestite un sito Web e avete già dimestichezza con Linux, server e stack applicativi, la buona notizia è che qualcosa potete farla davvero. La cattiva è che nessuno di questi strumenti è una bacchetta magica. Funzionano in combinazione e soprattutto in prospettiva preventiva, non retroattiva.

Il file robots.txt

Il file robots.txt resta il primo punto di controllo. È banale da implementare, universalmente conosciuto e… facilmente ignorabile. Oggi molti crawler legati all’AI dichiarano uno user-agent specifico. Potete quindi aggiungere regole mirate come, per esempio:

User-agent: GPTBot
Disallow: /
User-agent: CCBot
Disallow: /
User-agent: /

Questo non impedisce tecnicamente l’accesso, ma stabilisce una volontà esplicita. Dal punto di vista legale e contrattuale, è un segnale importante: state dichiarando che quei contenuti non sono
concessi per quel tipo di utilizzo. Pensatelo come il cartello “proprietà privata”: non ferma un ladro determinato, ma cambia il quadro giuridico.

Meta tag e header HTTP

Oltre che con robots.txt, potete agire a livello di singola pagina usando meta tag HTML o header HTTP.

<meta name=”robots” content=”noai, noimageai”>

Oppure via header:
X-Robots-Tag: noai, noimageai

Il vantaggio è la granularità: potete escludere solo certe sezioni, certi tipi di contenuto o solo le pagine ad alto valore (articoli premium, documentazione interna pubblica, ecc.). Lo svantaggio è lo stesso di robots.txt: funzionano solo con attori che decidono di rispettarli. Ma di nuovo, il valore non è solo tecnico, è anche probatorio.

Blocco e filtraggio dei bot a livello server

Se analizzate i log (e dovreste), molti crawler IA sono riconoscibili per user-agent, pattern di richieste, frequenza e comportamento non umano. Con Nginx, Apache o a livello di reverse proxy potete bloccare user-agent noti, applicare rate limit aggressivi e servire risposte diverse (per esempio 403 o contenuti minimi).
Per esempio in Nginx:
if ($http_user_agent ~* (GPTBot|CCBot|ClaudeBot)) {
return 403;
}
Questo è un blocco reale, non una richiesta di cortesia. Attenzione però, perché gli user-agent possono essere falsificati, rischiate falsi positivi e inoltre dovete mantenere le regole aggiornate. È una misura efficace, ma va trattata come una regola firewall: monitorata, testata, rivista.

CDN e WAF: delegare la guerra sporca

Se usate una CDN (Content Delivery Network) o un Web Application Firewall, avete effettivamente un’arma in più. Molti provider permettono, infatti, di identificare bot “probabilmente non umani” e applicare quindi dei challenge (JS, CAPTCHA), bloccando così lo scraping massivo a monte. Il vantaggio è evidente: scaricate complessità su un provider e riducete il traffico indesiderato prima che tocchi il vostro server. Lo svantaggio è la perdita di controllo fine e, spesso, una certa opacità nelle decisioni automatiche. Per siti medio-grandi o con contenuti ad alto valore, però, è spesso la soluzione più pragmatica.

Autenticazione, anche leggera

Un fatto scomodo: i crawler amano i contenuti pubblici anonimi. Anche una barriera minima (login, token temporanei, sessioni, ecc.) riduce drasticamente la probabilità che un contenuto finisca in dataset di addestramento generalisti. Per esempio, potreste rendere la documentazione tecnica accessibile solo agli utenti registrati, avere articoli completi dietro paywall o login, usare API al
posto di dump statici, ecc. Non è solo una scelta di business: è una scelta di controllo della superficie di esposizione. Non potete impedire tutto, ma potete rendere costoso, tracciabile e giuridicamente contestabile l’uso dei vostri contenuti.

*Illustrazione progettata da Freepick