Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con diversi avvisi di sicurezza pubblicati dal CERT-FR relativi a vulnerabilità critiche che interessano componenti chiave dell’ecosistema Linux e degli ambienti aziendali. I bollettini riguardano in particolare Ubuntu, Red Hat e prodotti IBM, esposti a falle che possono consentire l’escalation dei privilegi, l’esecuzione di codice arbitrario o la compromissione della riservatezza. Queste vulnerabilità colpiscono componenti ampiamente distribuiti nelle infrastrutture server e cloud, evidenziando l’importanza di una gestione rigorosa delle patch.

Analizziamo poi una vulnerabilità che interessa il webmail Roundcube, identificata come CVE-2025-68461. Questa falla consente a un attaccante remoto di sfruttare i meccanismi di gestione degli input per compromettere la sicurezza delle sessioni o eseguire codice malevolo nel contesto dell’utente bersaglio. Considerata l’ampia diffusione di Roundcube, il rischio per le organizzazioni esposte su Internet è significativo.

Infine, torniamo su una vulnerabilità corretta da Microsoft, identificata come CVE-2025-13699. Questa falla interessa un componente del sistema Windows e può essere sfruttata per aggirare i meccanismi di sicurezza o ottenere privilegi elevati. Microsoft ha rilasciato le correzioni e raccomanda un’applicazione tempestiva.

Fonti

• CERT-FR – Vulnerabilità Ubuntu: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/
• CERT-FR – Vulnerabilità Red Hat: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/
• CERT-FR – Vulnerabilità prodotti IBM: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/
• Vulnerabilità Roundcube – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26
• Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con un caso che intreccia cybercriminalità e attività di intelligence nell’Europa orientale. In Georgia, l’ex capo del controspionaggio è stato arrestato nell’ambito di un’indagine su centri di truffa operanti su larga scala. Le autorità sospettano che abbia facilitato o protetto operazioni fraudolente strutturate con vittime internazionali, evidenziando ancora una volta la convergenza tra criminalità organizzata, corruzione e cyberfrodi.

Analizziamo poi una campagna di phishing rivolta agli utenti di criptovalute tramite email fraudolente che impersonano Grubhub. I messaggi promettono un rendimento dieci volte superiore sulle criptovalute inviate. I fondi vengono immediatamente trasferiti verso wallet controllati dagli attaccanti, senza possibilità di recupero, dimostrando l’efficacia persistente dell’ingegneria sociale applicata agli asset digitali.

Infine, esaminiamo un’operazione attribuita a Evasive Panda, gruppo collegato alla Cina, che ha condotto attività di spionaggio sfruttando un’infrastruttura DNS compromessa. Gli attaccanti hanno utilizzato tecniche avanzate di risoluzione DNS e reindirizzamento del traffico per distribuire payload malevoli furtivi, aggirando diversi meccanismi di rilevamento. La campagna mostra l’evoluzione continua delle TTP degli APT nel cyber-spionaggio statale.

Fonti

• Arresto in Georgia – centri di truffa: https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centers
• Phishing crypto – false email Grubhub: https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/
• APT Evasive Panda – infrastruttura DNS malevola: https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con una sequenza geopolitica che segna una nuova fase delle tensioni transatlantiche sulla regolamentazione digitale. Gli Stati Uniti hanno imposto restrizioni sui visti a diverse personalità europee coinvolte nella regolazione delle piattaforme tecnologiche, tra cui Thierry Breton, ex commissario europeo. Washington giustifica la decisione accusando l’Europa di censura extraterritoriale, in particolare nell’applicazione del Digital Services Act. L’Unione Europea ha condannato la misura e richiesto chiarimenti formali, richiamando la propria sovranità normativa.

Analizziamo poi CVE-2018-25154, una vulnerabilità critica di buffer overflow in GNU Barcode versione 0.99. Il difetto nel meccanismo di codifica Code 93 consente l’esecuzione di codice arbitrario tramite file di input appositamente costruiti. Il punteggio CVSS 3.1 è critico a 9.8.

Esaminiamo inoltre CVE-2023-36525, una Blind SQL Injection non autenticata che colpisce il plugin WordPress WPJobBoard fino alla versione 5.9.0, sfruttabile da remoto senza privilegi.

Nel segmento cybercrime, l’FBI ha sequestrato l’infrastruttura web3adspanels.org, utilizzata come backend per centralizzare credenziali bancarie rubate in campagne di phishing finalizzate ad attacchi di account takeover.

Ci soffermiamo poi su Urban VPN Proxy, un’estensione VPN gratuita che nelle versioni recenti implementa la raccolta ed esfiltrazione delle conversazioni con piattaforme di intelligenza artificiale, attiva di default.

Infine, affrontiamo lo sfruttamento attivo di CVE-2020-12812 sui firewall FortiGate, una vulnerabilità storica ancora utilizzata per il bypass della 2FA tramite LDAP.

Fonti :

• Regolamentazione tech e tensioni USA–UE: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.html
• CVE-2018-25154 – GNU Barcode buffer overflow: https://cvefeed.io/vuln/detail/CVE-2018-25154
• CVE-2023-36525 – WPJobBoard Blind SQL Injection: https://cvefeed.io/vuln/detail/CVE-2023-36525
• Sequestro dell'FBI – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html
• Raccolta dati di Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.html
• Sfruttamento del bypass 2FA di FortiGate: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Una nuova iniziativa unisce esperti volontari di cybersicurezza per supportare i servizi idrici nella difesa contro minacce informatiche in crescita. Professionisti della comunità DEF CON Franklin collaborano con operatori pubblici per valutare i sistemi OT e migliorare la resilienza delle infrastrutture critiche.

MongoDB ha lanciato un avviso urgente invitando gli amministratori ad applicare immediatamente le patch per una grave vulnerabilità di esecuzione remota di codice. La falla interessa ambienti Node.js ed è già accompagnata da exploit di prova pubblici.

Una campagna su larga scala associata al malware PCPcat ha compromesso oltre 59.000 server sfruttando vulnerabilità critiche in Next.js e React. Gli attaccanti hanno sottratto credenziali, chiavi SSH e variabili d’ambiente, mantenendo accessi persistenti.

In Francia, La Poste e La Banque Postale hanno subito interruzioni significative a seguito di un attacco DDoS durante il periodo festivo. Diversi servizi online sono stati temporaneamente indisponibili, senza compromissione dei dati dei clienti.

Fonti:

• Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-mssp
• MongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/
• PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/
• La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.html

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano sulla cybersicurezza.

CISA ha aggiunto la CVE-2023-52163 al catalogo KEV per lo sfruttamento attivo dei registratori Digiever DS-2105 Pro. La falla permette di bypassare i controlli di autorizzazione. CISA esorta ad aggiornare il firmware per mitigare i rischi di controllo non autorizzato. Questa vulnerabilità rappresenta un vettore critico per l'accesso iniziale nelle reti IoT e nei sistemi di sorveglianza.

Genians Security Center analizza la campagna "Artemis" di APT37 contro la Corea del Sud tramite documenti HWP malevoli. L'attacco sfrutta oggetti OLE e DLL side-loading tramite VolumeId per distribuire il malware RoKRAT. Gli attori utilizzano la steganografia e servizi cloud come Yandex e pCloud per le operazioni C2. La tecnica elude i rilevamenti operando nel contesto di processi legittimi.

SoundCloud ha ammesso un cyberattacco che ha esposto i dati di 26 milioni di utenti tramite una dashboard ausiliaria. Le informazioni includono email e profili pubblici; password e dati finanziari sono sicuri. L'incidente è stato seguito da attacchi DDoS. Il rafforzamento dei controlli IAM ha causato disservizi temporanei per gli utenti VPN durante le fasi di remediazione.

Ricercatori di Socket Security hanno individuato due estensioni Chrome, Phantom Shuttle, che rubano credenziali su 170 domini aziendali tra cui AWS e GitHub. Le estensioni agiscono come Man-in-the-Middle tramite script PAC e iniezioni proxy. I dati sensibili, inclusi token API e cookie, vengono inviati in chiaro al server C2 phantomshuttle[.]space ogni cinque minuti.

Il gruppo Anna’s Archive ha pubblicato un archivio da 300 terabyte con 86 milioni di brani prelevati da Spotify. Lo scraping è avvenuto tramite stream-ripping sistematico via account terzi per mesi. Spotify ha disattivato gli account e implementato nuovi monitoraggi per bloccare i pattern di riproduzione automatizzati, a tutela dei diritti dei creatori.

Sources:
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano sulla cybersecurity.

Pornhub allerta gli abbonati Premium in seguito a un'esposizione di dati l'8 novembre 2025 tramite il fornitore di analytics Mixpanel. I cybercriminali minacciano di contattare direttamente gli utenti interessati via email. Mixpanel contesta che i dati provengano dal suo incidente di sicurezza dell'8 novembre, indicando nessuna prova di esfiltrazione dai suoi sistemi. Pornhub conferma che password, dettagli di pagamento e informazioni finanziarie non sono compromessi, con l'esposizione limitata a un insieme ristretto di eventi analitici. Gli attaccanti sfruttano questi dati per campagne di sextortion mirate specificatamente agli utenti Premium identificati.

Intezer documenta una campagna del gruppo Goffee che mira al personale militare russo e alle organizzazioni di difesa. L'attacco iniziale identificato a ottobre utilizza un file XLL dannoso caricato dall'Ucraina poi dalla Russia su VirusTotal, intitolato "enemy's planned targets". Il file distribuisce il backdoor EchoGather per raccogliere informazioni di sistema, eseguire comandi ed esfiltrare file verso un server C2 mascherato da sito di consegna cibo. Le esche di phishing includono falso invito a concerto per ufficiali militari superiori e lettera che imita il Ministero dell'Industria e Commercio russo richiedendo documenti di giustificazione tariffaria per contratti difesa.

CISA e NIST pubblicano la bozza dell'Interagency Report 8597 sulla protezione di token e assertion di identità contro falsificazione, furto e uso malevolo. Il documento affronta incidenti recenti presso fornitori cloud maggiori miranti a furto, modifica o falsificazione di token d'identità per accedere a risorse protette. Il report copre controlli IAM per sistemi che utilizzano assertion e token firmati digitalmente nelle decisioni di accesso. NIST richiede ai CSP di applicare principi Secure by Design, prioritizzando trasparenza, configurabilità e interoperabilità. Le agenzie federali devono comprendere architettura e modelli di deployment dei loro CSP per allineare postura di rischio e ambiente di minaccia.

Check Point Research ha documentato GachiLoader, un loader malware Node.js fortemente offuscato distribuito tramite YouTube Ghost Network. La campagna sfrutta 39 account compromessi che diffondono oltre 100 video mirati agli utenti di cheat per videogiochi, accumulando 220.000 visualizzazioni da dicembre 2024. Il malware implementa verifiche anti-analisi che includono RAM minima di 4 GB, 2 core CPU e blacklist per username, hostname e processi in esecuzione. GachiLoader disabilita Windows Defender e aggiunge esclusioni per C:\Users, C:\ProgramData, C:\Windows e l'estensione .sys. Sono state osservate due varianti: la prima scarica Rhadamanthys da server C2, mentre la seconda distribuisce Kidkadi.node utilizzando tecnica Vectored Overloading per intercettare chiamate di sistema e caricare PE dannoso.

Fonti:

• Pornhub sextortion: https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure
• Goffee APT: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
• NIST/CISA token: https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and
• GachiLoader: https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web:https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

La maggior parte dei domini recentemente registrati e parcheggiati distribuisce ora contenuti malevoli. Le analisi evidenziano l’uso crescente di servizi di domain parking per ospitare pagine di phishing, falsi aggiornamenti software e redirezioni verso infrastrutture di scam. Questi domini vengono sfruttati come infrastruttura temporanea per aggirare i sistemi di reputazione e accelerare campagne di frode e malware delivery.

Il gruppo APT iraniano Infy torna operativo con una nuova campagna mirata. Le operazioni si basano su spear-phishing con documenti malevoli e lure di natura politica e diplomatica. I payload includono backdoor aggiornate, meccanismi di persistenza tramite registro Windows e canali C2 HTTP(S) offuscati, indicando una ripresa strutturata delle attività.

Il NIST pubblica nuove linee guida di sicurezza per l’uso degli smart speaker nella telemedicina domiciliare. I rischi includono l’intercettazione di flussi vocali non cifrati, l’esposizione di dati sanitari e l’utilizzo dei dispositivi come punti di pivot verso sistemi ospedalieri. Le raccomandazioni prevedono cifratura delle comunicazioni, segmentazione di rete e controllo rigoroso degli accessi.

Fonti :
Domain parking malevolo : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
APT Infy : https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
NIST smart speaker : https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersecurity.

Amazon ha rilevato un’infiltrazione collegata alla Corea del Nord durante un processo di assunzione IT. Un amministratore di sistema dichiarato come basato negli Stati Uniti è stato identificato tramite una latenza di digitazione superiore a 110 millisecondi verso i server di Seattle, indicando un controllo remoto intercontinentale. L’infrastruttura di controllo è stata ricondotta alla Cina. Dal mese di aprile 2024, Amazon afferma di aver bloccato oltre 1.800 tentativi di assunzione fraudolenta legati alla Corea del Nord, con un aumento trimestrale del 27%.

Un attore APT russo conduce una campagna di phishing mirata contro enti governativi nei Balcani e nell’area baltica. Gli attacchi utilizzano allegati HTML camuffati da PDF con esche istituzionali e moduli di autenticazione falsi. Le credenziali vengono esfiltrate tramite formcarry.com, con riutilizzo coerente di codice JavaScript e regex.

Microsoft ha confermato un’interruzione globale di Microsoft Teams che ha causato ritardi nella messaggistica su tutte le regioni e i client. Il servizio è stato completamente ripristinato entro un’ora. Non sono stati segnalati indicatori di attività malevole.

Una campagna malware sfrutta documenti Microsoft Office, file SVG e archivi compressi per compromettere sistemi Windows. La catena di infezione sfrutta CVE-2017-11882, steganografia PNG e process hollowing tramite RegAsm.exe per distribuire RAT e stealer.

Negli Stati Uniti, attacchi di ATM jackpotting sono attribuiti a un gruppo criminale che utilizza il malware Ploutus tramite accesso fisico agli sportelli automatici. Le perdite superano i 40 milioni di dollari dal 2020.

Non si riflette, si applicano le patch.

Fonti:

• Infiltrazione Amazon: https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.html
• Phishing APT russo: https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/
• Interruzione Microsoft Teams: https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/
• Campagna malware SVG e Office: https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/
• ATM jackpotting / malware Ploutus: https://www.theregister.com/2025/12/19/tren_de_aragua_atm/

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/