Rapporto mensile sulle minacce luglio 2025

Spionaggio, exploit e ansia per l'intelligenza artificiale tra i CISO

Il Monthly Threat Report di Hornetsecurity offre approfondimenti mensili sulle tendenze della sicurezza di M365, sulle minacce basate sulla posta elettronica e commenti sugli eventi attuali nel settore della sicurezza informatica. Questa edizione del Monthly Threat Report si concentra sugli eventi del settore a partire dal mese di giugno 2025, nonché su previsioni e raccomandazioni per i mesi a venire.

Si prega di notare che il report di questo mese si concentra principalmente su eventi e violazioni del settore, oltre ad alcuni contenuti aggiuntivi. Poiché luglio segna l’inizio di un nuovo trimestre fiscale, normalmente presenteremo alcuni dati oltre ai consueti contenuti del report. Il nostro confronto dei dati trimestrali sarà presentato il mese prossimo con un formato nuovo e migliorato e con dati più completi.

  • Un nuovo sondaggio CISO di Hornetsecurity rivela una crescente preoccupazione per l’intelligenza artificiale ombra, la scarsa consapevolezza degli utenti e la governance frammentata, con l’accelerazione dell’adozione dell’intelligenza artificiale.
  • Citrix Bleed 2 (CVE‑2025‑5777) – Bug critico di dirottamento di sessione in fase di sfruttamento attivo; la CISA ha emesso un mandato di patch di 24 ore.
  • Tifone Salt APT : violazioni sostenute dallo stato cinese hanno colpito Viasat e numerose società di telecomunicazioni nordamericane.
  • Rinascita dei dati Snowflake : ricompaiono i vecchi dati Ticketmaster del 2024; la falla è ancora in agguato.
  • Violazione dell’API di Zoomcar : endpoint con falla esposto 8,4 milioni di utenti, dati utili per campagne di phishing/truffa.
  • Malware Myth Stealer : browser e crypto stealer basato su Rust segnano una tendenza emergente nella progettazione di malware leggeri.

Prospettive del CISO sull'intelligenza artificiale nella sicurezza informatica

Questo mese, Hornetsecurity ha pubblicato un nuovo blog di ricerca basato su interviste e sondaggi spontanei con CISO di tutta Europa e Nord America. Invece di concentrarci sul clamore dell’IA o sulle presentazioni di prodotti, siamo andati direttamente alla fonte per capire come i leader della sicurezza nel mondo reale si stanno confrontando con l’ascesa dell’IA nei loro ambienti.

I risultati? Misti, ma illuminanti.

Mentre alcune organizzazioni stanno iniziando a integrare l’intelligenza artificiale nei flussi di lavoro di sicurezza, inclusi casi d’uso come il triage dei falsi positivi, l’efficienza del SOC e l’arricchimento dei ticket, la maggior parte dei CISO segnala un approccio cauto e misurato. La governance varia notevolmente, con alcune aziende che implementano policy interne e persino LLM self-hosted, mentre altre sono ancora in modalità lockdown a causa di problemi di conformità e privacy.

Un filo conduttore comune a tutte le conversazioni: la preoccupazione per l’utilizzo dell’intelligenza artificiale ombra e il rischio di fughe di dati sensibili tramite strumenti non autorizzati. La consapevolezza degli utenti finali rimane scarsa in molti ambienti e persino la comprensione dei rischi dell’intelligenza artificiale da parte dei dirigenti è, nella migliore delle ipotesi, disomogenea. Come ha osservato un CISO, “Il management vede i guadagni di produttività legati all’intelligenza artificiale, ma non necessariamente i rischi associati”.

Guardando al futuro, i CISO con cui abbiamo parlato hanno segnalato le frodi di identità sintetica, la clonazione vocale e l’avvelenamento dei modelli come principali preoccupazioni per il 2025, in particolar modo per le organizzazioni che gestiscono modelli interni o sviluppano software internamente.

Panoramica delle minacce

Citrix Bleed 2 (CVE‑2025‑5777) – Sfruttato attivamente

I dispositivi Citrix NetScaler ADC e Gateway sono stati colpiti a metà giugno da un pericoloso bug di lettura della memoria fuori limite, denominato “Citrix Bleed 2”, che consentiva ad aggressori non autenticati di rubare token di sessione e dirottare le connessioni degli utenti attivi. La falla è stata risolta il 17 giugno, ma scansioni ed exploit proof-of-concept hanno iniziato a circolare quasi immediatamente .

A luglio, la CISA ha intensificato l’allerta, intimando alle agenzie federali di applicare la patch entro 24 ore , un’inversione di tendenza senza precedenti. I ricercatori di Imperva hanno registrato oltre 11,5 milioni di tentativi di attacco su migliaia di sistemi esposti, il che dimostra quanto sia semplice trasformarli in un’arma.

Perché è importante

  • Non è richiesta alcuna autenticazione per rimuovere i token di sessione, il che lo rende un potente strumento per bypassare l’MFA.
  • Migliaia di dispositivi vulnerabili sono esposti su Internet; a fine giugno è stato confermato che oltre 1.200 di essi non erano stati riparati.
  • I PoC in rapida evoluzione e le conversazioni sugli exploit tra gli attori della minaccia garantiscono che questo rimanga un rischio di primo livello.

L'attacco cinese del tifone Salt prende di mira Viasat e le telecomunicazioni canadesi

A metà giugno, BleepingComputer ha segnalato che l’APT Salt Typhoon, legato alla Cina, ha violato il provider satellitare Viasat , sfruttando le falle di Cisco per infiltrarsi nella sua rete. Le agenzie di telecomunicazioni canadesi hanno confermato in modo indipendente le intrusioni risalenti a febbraio, il che indica una diffusa campagna di spionaggio.

Non si tratta di un fastidio casuale. Salt Typhoon è un’unità altamente sofisticata specializzata in infrastrutture di telecomunicazione, piattaforme di intercettazione e metadati sensibili. Il fatto che l’industria non sembri conoscere appieno la portata dell’intrusione del gruppo è al tempo stesso preoccupante e sconfortante.

Perché è importante

  • Le violazioni delle infrastrutture fondamentali come Viasat e dei fornitori di telecomunicazioni comportano rischi enormi per le comunicazioni nazionali e i dati di sorveglianza.
  • La persistenza della campagna in tutto il Nord America dimostra l’intento di uno spionaggio a lungo termine e di acquisizione di dati.
  • Il trattamento di queste intrusioni contribuisce ad affinare i protocolli di controspionaggio degli Stati nazionali e probabilmente ha ispirato cambiamenti di politica in attesa di ulteriori azioni governative.

Riemerge la violazione dell'APT di Snowflake: emergono i dati di Ticketmaster

Una banda di estorsori legata alla violazione di Snowflake del 2024 ha scosso la scena a giugno, rilanciando e rimettendo in vendita per un breve periodo dati rubati di Ticketmaster (~569 GB) . Nonostante il panico iniziale suggerisse una nuova fuga di notizie, BleepingComputer ha confermato che non si trattava di una nuova violazione, ma di dati residui del 2024.

Tuttavia, la ricomparsa di dati Snowflake obsoleti mette in luce diverse tendenze preoccupanti in diverse aziende: il riutilizzo delle credenziali, il persistente interesse clandestino e la lunga coda di esposizione dei dati dei provider cloud. Questa violazione lato cloud continua a farsi sentire a oltre un anno di distanza. Le organizzazioni farebbero bene a ricordare che configurazioni errate di Snowflake e un’igiene dei token insufficiente possono compromettere l’infrastruttura per lungo tempo.

Violazione dell'API di Zoomcar: 8,4 milioni di utenti esposti

Il 16 giugno, è emersa la notizia che Zoomcar , un’importante piattaforma indiana di car sharing, presentava una falla API non corretta che ha fatto trapelare 8,4 milioni di dati utente: nomi, indirizzi email, numeri di targa e profili. Sebbene non siano stati rilevati ransomware o estorsioni, il set di dati esposto rappresenta un’allettante miniera d’oro per furti di identità, campagne di spear-phishing e truffe legate ai veicoli.

Sebbene non siano così evidenti come il ransomware, è chiaro che le API offrono agli autori delle minacce una via d’accesso a cui molte organizzazioni non prendono in considerazione. La crescente minaccia rappresentata dalle API non protette negli ecosistemi SaaS, in particolare quelle che attraversano i confini internazionali, dovrebbe rappresentare una preoccupazione crescente per i CISO e i leader del settore. I dati rimangono attivi, gli endpoint degli utenti sono esposti e il controllo normativo può essere sempre più intenso.

Malware Rust per dispositivi mobili ("Myth Stealer")

All’inizio di giugno, è apparso un nuovo info-stealer basato su Rust, soprannominato Myth Stealer , che si diffondeva tramite falsi portali di gioco. Si concentrava sull’estrazione di credenziali di browser (Chrome, Firefox) e wallet di criptovalute, segnando una nuova fase nell’evoluzione dei malware.

La sicurezza della memoria e la facilità di cross-compilazione di Rust lo rendono uno dei malware preferiti dagli autori di malware che desiderano velocità e discrezione. Myth Stealer è un esempio lampante di un’impronta ridotta ed efficiente, difficile da rilevare per la protezione endpoint tradizionale. Il passaggio a campagne stealer leggere e multipiattaforma che prendono di mira sia i browser che gli artefatti specifici del portafoglio continua, e il settore deve continuare a evolversi per adattarsi a queste minacce in continua evoluzione.

Previsioni per i prossimi mesi

  • Probabilmente emergeranno altri exploit pre-auth in stile Citrix che prendono di mira hypervisor e dispositivi di rete, posticipando le scadenze delle patch da “urgenti” a “di vita o di morte”.
  • I resti di dati nel cloud continueranno a riemergere: aspettatevi dati obsoleti ma sensibili provenienti da Snowflake, AWS, Azure, GCP, ecc. che continueranno a riemergere nelle aste oscure.
  • Le configurazioni errate delle API saranno un problema persistente per i SaaS; ci si aspetta che gli enti regolatori trattino queste violazioni come qualcosa di più di semplici problemi operativi.
  • L’intelligenza artificiale ombra supererà la governance ufficiale, a meno che le organizzazioni non si muovano rapidamente per definire policy di utilizzo e strumenti interni. Prevediamo ulteriori fughe di dati sensibili tramite servizi di intelligenza artificiale non autorizzati.
  • L’adozione dell’intelligenza artificiale guidata dal CISO continuerà con cautela , con la sperimentazione continua nei flussi di lavoro di triage, arricchimento e automazione dei ticket, ma l’automazione completa sarà lenta a causa di attriti di conformità e mancanza di fiducia.
  • Le frodi di identità sintetiche e gli attacchi di impersonificazione basati su deepfake aumenteranno di frequenza , prendendo di mira soprattutto i settori finanziari e quelli in cui è fondamentale la conformità.
  • I rischi di avvelenamento dei modelli interni aumenteranno man mano che sempre più organizzazioni ospiteranno autonomamente LLM per flussi di lavoro proprietari, in particolare negli ambienti di sviluppo e nei settori ad alta intensità di dati.

Raccomandazioni mensili

  • Applica subito le patch ai dispositivi di rete critici : dai priorità a Citrix, Cisco e altri dispositivi perimetrali con cicli di patch aggressivi e firme WAF.
  • Rafforzare l’infrastruttura di livello telecomunicazioni : implementare EDR/XDR sui router, applicare la fiducia zero ed eseguire la caccia alle minacce per gruppi estorsori statali come Salt Typhoon.
  • Rivedere l’igiene della configurazione del cloud : verificare le configurazioni di Snowflake e API/microservizi, ruotare token/chiavi e impostare la registrazione degli accessi allo storage e gli allarmi.
  • Inventario dell’esposizione al malware basato sul browser : distribuisci archivi di credenziali, applica MFA e aggiorna la protezione degli endpoint per rilevare gli stealer in stile Rust come Myth.
  • Automatizza i test di sicurezza delle API : integra la scansione delle API durante le pipeline di CI; utilizza i WAF per il rilevamento di anomalie in tempo reale sul traffico verso le API interne.
  • Investi in feed di intelligence : iscriviti alla telemetria che rileva PoC e informazioni sulle minacce (ad esempio, exploit Citrix, informazioni APT) in modo da non reagire sempre in ritardo.
  • Crea o aggiorna la tua politica interna sull’uso dell’intelligenza artificiale : definisci strumenti approvati, standard di gestione dei dati e flussi di approvazione per le unità aziendali che sperimentano l’intelligenza artificiale.
  • Avviare una formazione sulla consapevolezza degli utenti finali , incentrata specificamente sui rischi dell’intelligenza artificiale: allucinazioni dei modelli, gestione dei dati sensibili e phishing tramite contenuti generati dall’intelligenza artificiale.
  • Collaborare con i team legali e di conformità per stabilire linee guida per un utilizzo accettabile e revisioni dei fornitori per strumenti di intelligenza artificiale di terze parti.

Articolo:

Monthly Threat Report July 2025

Espionage, Exploits, and AI Anxiety Amongst CISOs

Autore: Hornetsecurity  Blog 

Traduzione e riadattamento da parte di CIPS Informatica -Ridge Security Blog - © 2025 Ridge Security, Inc.

Credits articolo
MENU
Torna in cima