L'agenzia ucraina per il recupero dei beni ha trasferito più di 8,3 milioni di dollari in criptovaluta in un wallet ufficiale, mostrando come custodia, legalità e controlli blockchain si scontrino quando i proventi criminali diventano fondi pubblici.
Una campagna Turla segnalata indica un implant Windows modulare che può passare attraverso distribuzione tramite esche di phishing, file di accesso remoto e traffico web cifrato.
Un modello di campagna del 2025 attribuito a Gamaredon ha combinato spearphishing ripetuto e abuso di servizi cloud, mostrando come normali strumenti internet possano diventare copertura per un'intrusione persistente.
Una campagna GreyVibe segnalata mostra come l’IA possa essere usata meno come un’arma segreta e più come uno strato di camuffamento, rendendo più difficile leggere l’attività ostile mentre la pressione resta concentrata sull’Ucraina.
Ricerche sulle minacce collegate a Google hanno individuato StockStay come una nuova linea di malware nelle operazioni di Turla, sottolineando come le campagne di spionaggio mirate continuino a ricostruire i propri percorsi di accesso invece di affidarsi a un singolo impianto.
Una backdoor attribuita a Turla e rivolta a obiettivi governativi e militari ucraini mostra come i kit di intrusione di stampo statale facciano ormai affidamento su design modulare, traffico simile a quello web e comportamento specifico dell'host.
Una falla di Windows negli archivi, una funzionalità del filesystem poco visibile e una famiglia di stealer collegata a un targeting rivolto all'Ucraina mostrano come vecchi errori software possano continuare a fare il gioco degli attaccanti.
L'operatore postale statale dell'Ucraina ha collegato l'interruzione di alcuni servizi dell'app a un sospetto cyberattacco, un promemoria del fatto che i disservizi visibili al pubblico spesso rivelano catene di dipendenze più profonde piuttosto che un singolo schermo rotto.
I ricercatori avvertono che una campagna che utilizza falsi file relativi ai droni mira al settore della difesa con droni dell'Ucraina, con password e dati sensibili tra gli obiettivi segnalati.
Una campagna segnalata che utilizza esche a tema Besomar mostra come i flussi di approvvigionamento della difesa possano essere trasformati in un punto di ingresso, anche quando la catena del payload è ancora solo parzialmente visibile.
Una vulnerabilità di estrazione dei file già corretta può continuare a contare mesi dopo quando l'applicazione delle patch è disomogenea, trasformando un'utilità ordinaria in un punto di ingresso ripetibile per tentativi di intrusione mirati.
Una vulnerabilità corretta in un archiviatore di file riemerge in campagne mirate, mostrando come una correzione lenta possa lasciare uno strumento desktop familiare in prima linea nell’intrusione.
Un cluster di minaccia legato alla Russia e associato al targeting ucraino mostra come l'IA generativa possa accelerare la creazione di lures e il supporto al malware senza sostituire le vecchie tecniche di intrusione.
Una valutazione di sicurezza ucraina indica un uso più incisivo dell’AI nel conflitto informatico, ma il dettaglio più importante non è l’autonomia: è la velocità, la scala e flussi di lavoro d’attacco meglio mirati.
Una nuova ondata di spionaggio attribuita a FrostyNeighbor mostra come un threat actor di lunga data possa restare rilevante cambiando tattiche pur mantenendo lo stesso insieme di bersagli nel mirino.
Una campagna attribuita a Gamaredon mostra come esche via email, catene di downloader e una falla di traversal in WinRAR possano combinarsi in un percorso di intrusione a bassa rumorosità, difficile da individuare nelle fasi iniziali.
Una nuova affermazione su GammaDrop e GammaLoad si inserisce in uno schema familiare: una catena di intrusione a basso attrito, guidata via email e progettata per accessi ripetuti più che per una singola violazione eclatante.
L'attività segnalata contro organizzazioni governative ucraine utilizza attività pianificate per una persistenza furtiva, con un passaggio separato di validazione che potrebbe aiutare gli operatori a tenere nascoste esecuzioni rumorose.
Ghostwriter è di nuovo collegato a un pattern di intrusione focalizzato sull’Ucraina, questa volta combinando phishing PDF geofenced con Cobalt Strike in un modo che restringe la distribuzione e complica l’analisi.
Uno sguardo più attento a Colonial Pipeline, all'Estonia e all'Ucraina mostra perché la difesa moderna si stia spostando dalla protezione di un confine alla capacità di sopravvivere alle interruzioni.