I cavi sottomarini in fibra ottica stanno diventando uno degli elementi più strategici delle relazioni internazionali. Pur essendo spesso ignorati rispetto alle tecnologie più visibili, come l’intelligenza artificiale, rappresentano l’infrastruttura attraverso cui transita la quasi totalità dei dati globali. Con oltre 1,4 milioni di chilometri di reti posate sui fondali, costituiscono la struttura essenziale che sostiene comunicazioni civili, militari e finanziarie.

Le agenzie internazionali che monitorano il settore, tra cui l’ITU e l’Agenzia europea per la sicurezza informatica, confermano che un’interruzione di questi collegamenti avrebbe ripercussioni immediate su cloud, servizi digitali, mercati e logistica. Le capacità dei satelliti non sono in grado di eguagliare la quantità di dati che i cavi riescono a trasportare, rendendoli una componente insostituibile del sistema digitale mondiale.

Di fronte a questa centralità, Stati Uniti ed Europa stanno rafforzando la protezione delle loro infrastrutture sottomarine. Washington ha discusso limitazioni alla partecipazione di Paesi considerati rivali nei progetti di posa dei cavi che collegano gli USA, mentre Bruxelles sta sviluppando nuove misure per aumentare il monitoraggio marittimo e coordinare la sicurezza con la NATO. Nessuna di queste iniziative cita minacce specifiche, ma tutte evidenziano un crescente allarme.

La vulnerabilità delle reti è emersa con chiarezza tra il 2023 e il 2024, quando due episodi – uno nel Mar Rosso e uno nel Mar Baltico– hanno causato gravi rallentamenti nelle comunicazioni intercontinentali. Indagini e rapporti della NATO hanno sottolineato come le infrastrutture europee siano esposte sia a incidenti tecnici sia al rischio di sabotaggi, in particolare nei passaggi marittimi più sensibili.

Il controllo delle rotte dei cavi è diventato un terreno di scontro tra le grandi potenze. Secondo analisi del CSIS, la competizione tra Stati Uniti e Cina si concentra soprattutto nell’Indo-Pacifico, una zona attraverso cui passa una quota significativa del traffico globale. Il costo elevato della posa e della manutenzione rende questi progetti legati a investimenti nazionali e sostegni governativi, trasformandoli in strumenti di influenza strategica.

Tra i sistemi più estesi e rilevanti c’è la serie di cavi “Sea Me We”, che collega il Sud-est asiatico all’Europa attraverso il Medio Oriente. L’evoluzione di questi progetti, insieme alla crescita di cloud computing, e-commerce e servizi digitali, ha reso indispensabile ampliare e aggiornare le reti esistenti. La necessità di manutenzione costante aumenta però i rischi, soprattutto nelle aree geopoliticamente instabili.

Parallelamente, la Cina sta ampliando la propria presenza globale attraverso i cavi sottomarini, integrandoli nella sua “Via della Seta Digitale”. Studi universitari e documenti ufficiali indicano che Pechino sta finanziando nuovi collegamenti in Africa e Asia per costruire un’infrastruttura meno dipendente dai sistemi occidentali. Questo approccio è visto da Stati Uniti ed Europa come una spinta espansionistica che potrebbe influenzare gli standard e il flusso dei dati.

Infine, anche le economie emergenti e i Paesi in via di sviluppo stanno investendo per accedere ai cavi sottomarini, considerandoli una condizione necessaria per integrarsi nell’economia digitale globale. In assenza di standard condivisi per la protezione da sabotaggi e minacce, la sicurezza resta un tema aperto.

In un mondo sempre più dipendente dai flussi di dati, il controllo e la protezione dei cavi sottomarini stanno diventando un elemento decisivo negli equilibri strategici internazionali.

L'articolo Cavi sottomarini: sempre più infrastrutture strategiche per la connessione globale proviene da Red Hot Cyber.

Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la posizione dei commercianti di numeri anonimi. Questa conclusione emerge da uno studio sull’offerta nei mercati dell’elettronica di Mosca.

Nonostante l’introduzione di nuove procedure di registrazione delle schede SIM nella Federazione Russa, ottenere un numero anonimo rimane ancora semplice, inclusa la possibilità di ripristinarlo in un secondo momento. Per aggirare questi requisiti, i venditori utilizzano schede SIM aziendali registrate presso società fittizie.

Come ha scoperto Izvestia, una scheda SIM di questo tipo può essere acquistata senza particolari ostacoli.

Gli annunci di vendita si trovano solitamente sui social media o anche nei negozi stessi e nei loro siti internet. Anche altri prodotti “particolari”, come le telecamere compromesse, vengono vendute in questi market. Il prezzo per un numero “anonimo” parte dai 4.000 rubli, ovvero circa 45 euro.

Secondo le fonti della pubblicazione, i principali acquirenti di tali schede SIM sono i mercati criminali : “Il flusso incontrollato di numeri sfruttati per attività criminali proviene da cittadini stranieri. Per loro, il mercato nero non è affatto un mercato, ma una pratica comune.

I commercianti non hanno paura di vendere carte a sconosciuti e spesso operano tramite intermediari fidati.” Come ha spiegato Viktor Ievlev, responsabile della sicurezza informatica del Garda Group of Companies, le schede SIM sono intestate a società fittizie che le acquistano dagli operatori a tariffe aziendali”.

A volte vengono utilizzate connessioni tra dipendenti degli operatori o negozi di telefonia mobile. Sono possibili anche opzioni più discutibili, come registrarle a nome di persone decedute finite in database trapelati.

Tuttavia, Ievlev avverte che l’acquisto di tali carte è associato a gravi rischi, dai problemi con le forze dell’ordine e sono da ritenersi “pratiche illegali”.

L'articolo Le SIM anonime in Russia sono ancora possibili anche dopo l’introduzione di nuove leggi proviene da Red Hot Cyber.

Microsoft ha silenziosamente corretto una vulnerabilità di Windows di vecchia data, sfruttata in attacchi reali per diversi anni. L’aggiornamento è stato rilasciato nel Patch Tuesday di novembre , nonostante l’azienda fosse stata in precedenza lenta nell’affrontare il problema. Questa informazione è stata rivelata da 0patch, che ha indicato che la falla era stata sfruttata attivamente da vari gruppi dal 2017.

Il problema, denominato CVE-2025-9491, riguarda la gestione da parte di Windows delle scorciatoie LNK. Un errore dell’interfaccia utente faceva sì che parte del comando incorporato nella scorciatoia rimanesse nascosta durante la visualizzazione delle sue proprietà. Ciò consentiva l’esecuzione di codice dannoso come file innocuo. Gli esperti hanno osservato che le scorciatoie erano progettate per ingannare gli utenti, utilizzando caratteri invisibili e mascherandosi da documenti.

I primi dettagli emersero nella primavera del 2025, quando i ricercatori segnalarono che questo meccanismo veniva utilizzato da undici gruppi sponsorizzati da stati provenienti da Cina, Iran e Corea del Nord per attività di spionaggio, furto di dati e attacchi finanziari.
Paesi di origine APT che hanno sfruttato ZDI-CAN-25373 (Fonte Trendmicro)
All’epoca, la falla era nota anche come ZDI-CAN-25373. Microsoft dichiarò all’epoca che il problema non richiedeva un’attenzione immediata, citando il blocco del formato LNK in molte applicazioni Office e gli avvisi visualizzati quando si tentava di aprire tali file.

HarfangLab ha successivamente segnalato che la vulnerabilità era stata sfruttata dal gruppo XDSpy per distribuire il malware XDigo in attacchi ai governi dell’Europa orientale. Nell’autunno del 2025, Arctic Wolf ha rilevato un’altra ondata di abusi, questa volta rivolta a gruppi online cinesi che prendevano di mira istituzioni diplomatiche e governative europee e utilizzavano il malware PlugX. Microsoft ha successivamente rilasciato un chiarimento, ribadendo di non considerare il problema critico a causa della necessità di intervento da parte dell’utente e della presenza di avvisi di sistema.

Secondo 0patch, il problema andava oltre il semplice nascondere la coda del comando. Il formato di collegamento consente stringhe lunghe fino a decine di migliaia di caratteri, ma la finestra delle proprietà mostrava solo i primi 260 caratteri, troncando il resto senza preavviso. Ciò ha permesso di nascondere una parte significativa del comando eseguito. Una correzione di terze parti di 0patch ha risolto il problema in modo diverso : aggiunge un avviso quando si tenta di aprire un collegamento con argomenti più lunghi di 260 caratteri.

Un aggiornamento Microsoft ha risolto il problema espandendo il campo Destinazione in modo che venga visualizzato l’intero comando, anche se supera il limite di lunghezza precedente.

Un rappresentante dell’azienda, contattato, non ha confermato direttamente il rilascio dell’aggiornamento, ma ha fatto riferimento alle raccomandazioni generali sulla sicurezza e ha assicurato che l’azienda continua a migliorare l’interfaccia e i meccanismi di sicurezza.

L'articolo Era ora! Microsoft corregge vulnerabilità di Windows sfruttata da 8 anni proviene da Red Hot Cyber.

Sviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di eseguire codice non autenticato da remoto con una singola richiesta HTTP. L’exploit è ora disponibile al pubblico e il problema ha ricevuto il punteggio di gravità più alto, 10 su 10, sul CVSS.

React viene utilizzato attivamente sui server per accelerare il rendering di JavaScript e dei contenuti: invece di ricaricare completamente la pagina a ogni richiesta, ridisegna solo le parti modificate dell’interfaccia. Ciò consente un notevole risparmio di risorse e migliora le prestazioni dell’applicazione. Si stima che React sia utilizzato da circa il 6% di tutti i siti web e da circa il 39% degli ambienti cloud, quindi la vulnerabilità interessa un’ampia fetta dell’infrastruttura.

Gli specialisti di Wiz riferiscono che lo sfruttamento richiede una sola richiesta HTTP appositamente predisposta e i loro test hanno mostrato un tasso di successo “quasi del 100%”. Un ulteriore rischio è rappresentato dal fatto che molti framework e librerie popolari integrano React Server di default. Di conseguenza, anche le applicazioni che non utilizzano direttamente le funzionalità di React, ma il cui livello di integrazione richiama comunque codice vulnerabile, possono essere vulnerabili.

È la combinazione tra l’ampia adozione di React, la facilità di sfruttamento e il potenziale di completa acquisizione del server che ha portato al suo più alto livello di gravità. Sui social media, esperti di sicurezza e sviluppatori stanno esortando gli sviluppatori ad aggiornare senza indugio. “Di solito non lo dico, ma risolvetelo subito, accidenti “, scrive un esperto, sottolineando che la vulnerabilità di React, CVE-2025-55182, è un “10 perfetto”.

Sono interessate le versioni 19.0.1, 19.1.2 e 19.2.1 di React. Anche i componenti di terze parti che utilizzano React Server Components sono vulnerabili: i plugin Vite RSC e Parcel RSC, la versione pre-release di React Router RSC, RedwoodSDK, Waku e Next.js. La vulnerabilità per Next.js è tracciata separatamente con l’identificatore CVE-2025-66478.

Secondo Wiz e Aikido, il problema deriva dalla deserializzazione non sicura in Flight, il protocollo utilizzato nei componenti server di React. La deserializzazione è il processo di conversione di stringhe, flussi di byte e altri dati “serializzati” in oggetti e strutture in memoria. Se questo processo viene implementato in modo errato, un aggressore potrebbe iniettare dati appositamente creati che altererebbero la logica di esecuzione del codice lato server.

Gli sviluppatori di React hanno già rilasciato aggiornamenti che rafforzano la convalida dei dati in entrata e rendono più efficace il comportamento di deserializzazione per prevenire tali attacchi.

Wiz e Aikido raccomandano vivamente ad amministratori e sviluppatori di aggiornare React e tutte le dipendenze che lo utilizzano il prima possibile e di seguire attentamente le raccomandazioni dei responsabili dei framework e dei plugin sopra menzionati. Aikido consiglia inoltre di cercare informazioni sull’utilizzo di React nel codice sorgente e nei repository del progetto e di assicurarsi che tutti i componenti potenzialmente vulnerabili siano stati patchati.

L'articolo Una richiesta e il server è tuo! Il bug critico di React Server ha bisogno di patch immediate proviene da Red Hot Cyber.

Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastrutture critiche, l’AI può essere utilizzata per aumentare l’efficienza e la produttività, migliorare il processo decisionale, ridurre i costi e migliorare l’esperienza dei clienti.

Nonostante i numerosi vantaggi, integrare l’AI negli ambienti di tecnologia operativa (OT) che gestiscono servizi pubblici essenziali introduce anche rischi significativi — come la deriva nel tempo dei modelli di processo OT o l’elusione dei processi di sicurezza — che i proprietari e gli operatori devono gestire con attenzione per garantire la disponibilità e l’affidabilità delle infrastrutture critiche.

L’Australian Signals Directorate, attraverso l’Australian Cyber Security Centre, insieme alla CISA e a partner internazionali e federali, ha reso pubblica una guida aggiornata in materia di sicurezza informatica, dal titolo: Principi per l’integrazione sicura dell’intelligenza artificiale nella tecnologia operativa.

L’obiettivo di questa guida è supportare gli operatori e i proprietari di infrastrutture critiche nell’integrazione sicura dell’intelligenza artificiale (IA) nei sistemi tecnologici operativi (OT), contemperando i benefici dell’IA, quali aumento dell’efficienza, ottimizzazione delle decisioni e riduzione dei costi, con le minacce specifiche che essa comporta per la sicurezza, la protezione e l’affidabilità degli ambienti OT.

Le complesse sfide in termini di sicurezza costituiscono il focus principale del documento, che prende in considerazione l’apprendimento automatico (ML), i modelli linguistici di grandi dimensioni (LLM) e gli agenti di intelligenza artificiale.

Tuttavia, le considerazioni esposte sono ugualmente pertinenti per i sistemi che si basano sulla modellazione statistica classica e sull’automazione logica.

Principi chiave per l’integrazione sicura dell’IA:

1. Comprendere l’intelligenza artificiale: formare il personale sui rischi, gli impatti e i cicli di sviluppo sicuri dell’intelligenza artificiale.
2. Valutare l’utilizzo dell’intelligenza artificiale in OT: valutare i casi aziendali, gestire i rischi per la sicurezza dei dati OT e affrontare le sfide di integrazione immediate e a lungo termine.
3. Stabilire la governance dell’IA: implementare quadri di governance, testare continuamente i modelli di IA e garantire la conformità normativa.
4. Integra sicurezza e protezione: mantieni la supervisione, garantisci la trasparenza e integra l’intelligenza artificiale nei piani di risposta agli incidenti.

I proprietari e gli operatori di infrastrutture critiche sono incoraggiati ad adottare questi principi per massimizzare i benefici dell’IA e mitigare al contempo i rischi. Per ulteriori dettagli, consultare la guida completa.

L'articolo CISA: Guida per l’integrazione sicura dell’AI nella tecnologia operativa (OT) proviene da Red Hot Cyber.

Durante il processo di registrazione, una falla di sicurezza critica (CVE-2025-8489) nel plugin King Addons per Elementor di WordPress viene sfruttata dagli aggressori, consentendo loro di acquisire privilegi amministrativi grazie ad una vulnerabilità che permette l’escalation dei privilegi.

Un componente aggiuntivo di terze parti denominato King Addons amplia le funzionalità di Elementor, un noto plugin per la creazione visiva di pagine web per siti WordPress. Con un utilizzo stimato su circa 10.000 siti web, fornisce una gamma di widget, modelli e funzionalità supplementari.

L’attività di minaccia è iniziata il 31 ottobre, appena un giorno dopo la divulgazione del problema. Finora, lo scanner di sicurezza Wordfence di Defiant, un’azienda che fornisce servizi di sicurezza per i siti web WordPress, ha bloccato oltre 48.400 tentativi di exploit.

I ricercatori hanno notato un picco nell’attività di sfruttamento tra il 9 e il 10 novembre, con due indirizzi IP più attivi: 45.61.157.120 (28.900 tentativi) e 2602:fa59:3:424::1 (16.900 tentativi).

Gli aggressori, stando alle analisi condotte da Wordfence, effettuano una richiesta contraffatta “admin-ajax.php” al fine di generare account con privilegi di amministratore non autorizzati sui siti presi di mira, specificando “user_role=administrator”.

Il difetto, identificato come CVE-2025-8489 da Peter Thaleikis, risiede nel gestore di registrazione del plugin, permettendo a qualsiasi utente registrato di assegnare a sé stesso un ruolo a propria scelta all’interno del sito web, compreso quello di amministratore, senza che siano applicate restrizioni di alcun tipo.

Si consiglia ai proprietari di siti web di eseguire l’aggiornamento alla versione 51.1.35 di King Addons, che risolve il problema CVE-2025-8489, rilasciato il 25 settembre.

Un’altra vulnerabilità critica nel plugin Extended di Advanced Custom Fields, che interessa più di 100.000 siti web WordPress, è stata segnalata dai ricercatori di Wordfence. Questa falla può consentire a un aggressore non autenticato di eseguire codice a distanza, mettendo a rischio la sicurezza dei siti interessati.

Il problema di sicurezza è stato segnalato il 18 novembre e il fornitore del plugin lo ha risolto nella versione 0.9.2 di Advanced Custom Fields: Extended, rilasciata un giorno dopo aver ricevuto il rapporto sulla vulnerabilità.

Poiché è possibile sfruttare la falla senza necessità di autenticazione attraverso una richiesta opportunamente strutturata, c’è il rischio che la diffusione pubblica di informazioni tecniche dettagliate provochi azioni dannose. Ai titolari di siti web si suggerisce di migrare alla versione più aggiornata al più presto oppure di rimuovere il plugin dai propri siti.

L'articolo Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino proviene da Red Hot Cyber.

Google sta testando titoli generati dall’intelligenza artificiale nel suo feed Discover, sostituendo i titoli delle notizie originali con quelli originali. Lo ha riferito Sean Hollister, caporedattore di The Verge, che ha notato che titoli brevi e spesso fuorvianti generati dall’intelligenza artificiale hanno iniziato ad apparire nel feed del suo smartphone al posto dei titoli dei giornali.

L’esperimento ha coinvolto il feed di notizie di Google Discover sugli smartphone Samsung Galaxy e Google Pixel. Hollister ha osservato che il sistema tenta di ridurre il significato di un post a poche parole, ma i risultati sono spesso distorti. I post su Baldur’s Gate 3 stanno ricevendo titoli che accusano i giocatori di sfruttamento minorile, mentre gli articoli sullo standard Qi2 sono impantanati in accuse di rallentamento dei vecchi Pixel.

Un articolo di Ars Technica sul prossimo prezzo della console di Valve si trasforma in un’affermazione secondo cui il prezzo sarebbe già stato rivelato, mentre un titolo accattivante sulle vendite di schede grafiche presso un rivenditore tedesco viene abbreviato in una frase sulle soluzioni AMD che presumibilmente “supereranno” Nvidia.

Compaiono semplicemente frasi prive di senso, come riferimenti a vaghi “backup” e “controversie sull’etichettatura dell’IA”, che, senza il contesto della notizia, suonano come un guazzabuglio di parole casuali.

I giornalisti sottolineano che il problema non riguarda solo la qualità della formulazione. Le pubblicazioni stanno perdendo il controllo su come i loro contenuti vengono presentati nel feed di Google e i lettori potrebbero presumere che i titoli clickbait siano creati dagli stessi redattori, poiché loghi e nomi dei media vengono ancora visualizzati accanto a essi.

La mancanza di trasparenza è una fonte particolare di frustrazione: Google contrassegna tali schede con un avviso che indica l’utilizzo di intelligenza artificiale e la possibilità di errori, ma questo avviso è visibile solo espandendo la sezione “Ulteriori dettagli”, non direttamente nel feed.

L’azienda descrive le modifiche come un piccolo esperimento di interfaccia per alcuni utenti di Discover. Secondo la portavoce di Google, Mallory DeLeon, l’obiettivo delle modifiche è rendere le informazioni su un argomento più facili da assimilare prima di arrivare sul sito. Tuttavia, la comunità giornalistica vede questo come la continuazione di una tendenza in cui il motore di ricerca e i suoi servizi correlati mantengono sempre più il pubblico all’interno dell’ecosistema Google e inviano sempre meno traffico ai siti di informazione.

In questo contesto, i team editoriali sono alla ricerca di nuove fonti di reddito, tra cui modelli di abbonamento, e avvertono che un ulteriore spostamento dell’attenzione verso l’elaborazione dei contenuti basata sull’intelligenza artificiale potrebbe solo accelerare il declino di Internet.

L'articolo Google testa titoli AI in Discover, ma è un disastro: confusione e disinformazione proviene da Red Hot Cyber.