Iniziamo la giornata con la selezione delle notizie più importanti del giorno dal mondo cybersecurity, con per ogni titolo il link diretto alla fonte originale.
1. Sovrapposizioni tattiche tra TA829 e UNK_GreenSec
Due gruppi APT — TA829 e il meno noto UNK_GreenSec — mostrano tecniche, strumenti e infrastrutture simili. Entrambi sfruttano router MikroTik compromessi e phishing via link che simulano pagine Google Drive o OneDrive per veicolare malware come RomCom RAT, Metasploit e il ransomware Morpheus. TA829 sfrutta vulnerabilità zero-day su Firefox e Windows.
Fonte: The Hacker News
2. Estensioni malevole di Firefox rubano wallet crypto
Sono state scoperte oltre 40 estensioni Firefox pericolose che impersonano wallet noti (MetaMask, Coinbase, Trust Wallet). Rubano seed phrase e chiavi private, usando codice open-source modificato, finte recensioni a 5 stelle e interfacce ingannevoli. Collegate a un gruppo di lingua russa.
Fonte: Koi Security
3. Vulnerabilità critica in Wing FTP Server (CVE-2025-47812)
Una falla grave (CVSS 10.0) consente esecuzione di codice remoto senza autenticazione via endpoint /loginok.html. Gli attaccanti possono iniettare codice Lua nei file di sessione, ottenendo il pieno controllo del server (root o SYSTEM). Riguarda tutte le versioni fino alla 7.4.3. Fix nella 7.4.4.
Fonte: GBHackers
4. Backdoor SSH in Cisco Unified CM (CVE-2025-20309)
Cisco ha rimosso un account root SSH hardcoded utilizzato per sviluppo nei sistemi Unified CM. La vulnerabilità consentiva accesso remoto non autenticato con privilegi root. Nessuna mitigazione disponibile: serve l’aggiornamento.
Fonte: Bleeping Computer
