L’evoluzione di “The Gentlemen” dimostra come l’intelligenza artificiale e l’agilità strategica consentano alle gang criminali di superare i vecchi limiti logistici e di sicurezza. Quando un data leak ha esposto le loro chat interne nel maggio 2026, il gruppo ha reagito all’istante, migrando l’intera infrastruttura di comunicazione verso piattaforme decentralizzate. Questa capacità di riorganizzarsi e sviluppare tool in tempi record azzera i tempi morti degli attaccanti, riducendo drasticamente la finestra temporale per difendersi. Di conseguenza, la semplice reazione all’incidente non è più sufficiente: diventa indispensabile una difesa proattiva basata su tre azioni immediate.

GitHub ha risolto una vulnerabilità critica, catalogata come CVE-2026-3854, che interessa sia l’infrastruttura cloud sia le installazioni on-premise di GitHub Enterprise Server (GHES). La falla risiede in una gestione impropria delle push options durante le operazioni di git push. Tali parametri opzionali, forniti dal client, venivano incorporati in un flusso di metadati interno senza una sanitizzazione adeguata del carattere delimitatore (;).

L’impatto è elevato perché deriva da un errore di fiducia tra componenti interni e può portare alla compromissione dei repository, soprattutto in ambienti GitHub Enterprise Server.

A differenza di bug passati, Ni8mare non richiede credenziali. Un attaccante remoto può sfruttare un difetto nel modo in cui n8n gestisce le richieste ai webhook e ai nodi Form per ottenere accesso non autorizzato al server, estrarre file locali, generare credenziali amministrative e infine comandare l’istanza.

Venerdì 19 dicembre è stata resa pubblica, direttamente dal team di n8n, una vulnerabilità critica di esecuzione remota di codice, identificata come CVE-2025-68613, con punteggio CVSS 9.9/10. La falla interessa diverse versioni di n8n precedenti alle patch di sicurezza rilasciate a dicembre 2025 (v1.122.0).

In data odierna il CERT-AGID ha avuto evidenza di scansioni pubbliche mirate a individuare host vulnerabili. Attualmente, su una lista di 18K host, risultano oltre 70 i domini italiani potenzialmente esposti, tra cui Pubbliche Amministrazioni, qualche istituto bancario, agenzie assicurative e organizzazioni private. Le Pubbliche Amministrazioni coinvolte sono state puntualmente informate dal CERT-AGID affinché possano intraprendere con urgenza le azioni di mitigazione necessarie.

La vulnerabilità, scoperta e segnalata tempestivamente al CERT-AGID dalla società Shielder, riguarda il meccanismo di verifica delle risposte SAML. Il problema interessa esclusivamente i Service Provider che hanno implementato l’autenticazione a SPID o CIE utilizzando le suddette librerie .NET.

Un recentissimo attacco alla supply chain ha colpito Polyfill[.]io, un web service ampiamente diffuso e utilizzato da oltre 100.000 siti web, che consente di garantire la compatibilità con le moderne funzionalità offerte dai browser più recenti anche ai browser più datati.

Recentemente il sito Sucuri.net ha lanciato l’allarme riguardo a una nuova campagna malevola che, sfruttando una vulnerabilità nota al pubblico dal mese di dicembre 2023, ha già compromesso oltre 3000 siti basati su CMS Wordpress. Tra questi, sono stati identificati domini italiani coinvolti in questa campagna.

La vulnerabilità non è nelle specifiche dei protocolli SMTP, Internet Message Format, estensione Pipelining, che sono estremamente chiari, anche in questi elementi, ma nelle loro implementazioni, che, come visto, vuoi per ragioni di interoperabilità verso mailer non conformi, vuoi per interpretazione non conformi allo standard, hanno portato a questa vulnerabilità del sistema email Internet.

Nel corso di recenti analisi effettuate dal CERT-AgID si è avuta evidenza di compromissioni volte ad installare eseguibili ELF per attività di mining tramite upload ed esecuzione di script JSP. Nello specifico, gli attacchi sono finalizzati ad eseguire il malware miner “Kinsing”