CYBERSECURITY BRIEFING 7 Maggio 2026
Edizione POMERIGGIO
🚨 STORIA PRINCIPALE
🤖 Il Primo Attacco Informatico Guidato dall’AI: Messico nel Mirino
Un gruppo di hacker non identificato ha condotto quella che i ricercatori definiscono la prima campagna cyber significativamente orchestrata da sistemi AI autonomi. Tra fine 2025 e inizio 2026, il gruppo ha violato almeno 9 enti governativi messicani — tra cui autorità fiscali, registri civili e istituzioni elettorali — utilizzando Claude Code e altri strumenti AI per automatizzare ricognizione, generazione di exploit e decisioni operative.
Milioni di record sensibili sarebbero stati compromessi. Il tentativo più audace ha riguardato il sistema idrico e fognario di Monterrey: gli attaccanti hanno individuato un gateway industriale (vNode) come punto di pivoting verso i sistemi SCADA, ma l’operazione si è arrestata contro autenticazione robusta e segmentazione OT correttamente implementata. L’AI ha fallito dove le pratiche di sicurezza fondamentali hanno tenuto.
💬 “L’AI ha abbassato la barriera d’ingresso a livelli mai visti. Un gruppo ristretto ha ottenuto risultati normalmente associati ad operazioni nation-state. Ma l’architettura OT isolata ha vinto.”
🦠 MALWARE & CAMPAGNE ATTIVE
🎭 Backdoor “Beagle” distribuita tramite falso sito Claude AI
Ricercatori di Sophos X-Ops hanno scoperto claude-pro[.]com, un dominio malevolo che imita il sito ufficiale di Anthropic. Le vittime scaricano un archivio ZIP da 505MB contenente un installer MSI che sfrutta DLL sideloading attraverso un eseguibile legittimo e firmato di G DATA Antivirus (NOVupdate.exe).
La catena d’infezione utilizza DonutLoader per eseguire il payload interamente in memoria, evitando il rilevamento tradizionale. La backdoor Beagle supporta 8 comandi remoti (shell, file transfer, directory browsing, auto-rimozione) e comunica via TCP/443 o UDP/8080 con traffico cifrato AES.
⚠️ Varianti successive hanno sostituito Beagle con shellcode AdaptixC2, già osservato in incidenti ransomware. L’infrastruttura C2 poggia su Cloudflare + Alibaba Cloud per massima resilienza. Trovati anche domini che impersonano CrowdStrike, SentinelOne e Trellix.
📎 Fonte: Infosecurity Magazine
🏛️ DATA BREACH & IDENTITY
🇺🇾 Presunta Violazione del Sistema di Identità Digitale TuID — Antel, Uruguay
Un threat actor su forum underground sostiene di aver violato TuID Digital, la piattaforma di identità cittadina del provider statale uruguaiano Antel. Le presunte informazioni esfiltrate includono: dati anagrafici completi (nome, CI, data di nascita, email, telefono), campi biometrici, metadati di autenticazione, ~8GB di file interni tra cui chiavi API, documentazione infrastrutturale e database backend.
⚠️ Stato: non verificato. Nessuna conferma ufficiale da Antel o autorità uruguaiane. L’accesso alle API key, se confermato, trasformerebbe una violazione di dati in una compromissione a livello sistemico. Due report separati — uno su X/DarkWebIntelligence — confermano la circolazione dell’allegazione nei canali threat intel.
📎 [Fonte: X / Dark Web Intelligence]
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani