Red Team AI on-prem — appunti di ingegneria dalla prima linea
Approfondimenti, confronti e note di campo su red team AI autonomo, pentest generativo, intelligence di traffico deep-packet, NIS2/DORA e come operare in modalità air-gapped.
- Sicurezza OTInfrastrutture CriticheICS
909 tank gauge esposti: l'OT delle infrastrutture critiche su Internet
909 misuratori di livello carburante negli USA sono raggiungibili da Internet e CISA dice che gli attaccanti ci stanno già eseguendo comandi. Perché l'OT critico è invisibile all'endpoint security — e cosa lo vede davvero.
7 min di lettura - CitrixBleed 3NetScalerIdentity Edge
CitrixBleed 3: perché un bug NetScaler di marzo è l'emergenza di giugno
CVE-2026-3055 (CitrixBleed 3) è stata corretta il 23 marzo. A inizio giugno Fortinet ha confermato lo sfruttamento su larga scala. Ecco perché la patch da sola non ha mai chiuso la porta.
7 min di lettura - Supply ChainnpmeBPF
IronWorm npm: quando il Trusted Publishing diventa la superficie d'attacco
JFrog ha scoperto IronWorm il 3 giugno: worm npm con binario Rust, rootkit eBPF, C2 su Tor e auto-propagazione via token OIDC di npm Trusted Publishing.
8 min di lettura - HTTP/2 BombCVE-2026-49975AI Pentest
HTTP/2 Bomb (CVE-2026-49975): quando un agente AI ha composto due primitive vecchie di dieci anni
Codex ha unito amplificazione HPACK e stallo Slowloris in una catena DoS 5.700:1 che colpisce nginx, Apache, IIS, Envoy e Pingora — 880.000 server esposti. La lezione difensiva è simmetrica.
8 min di lettura - PAN-OSVPN Auth BypassConformità Continua
PAN-OS CVE-2026-0257: GlobalProtect patchato e sfruttabile allo stesso tempo
Palo Alto ha pubblicato la patch del cookie-forge auth bypass GlobalProtect il 13 maggio. L'exploit funziona ancora sui firewall patchati se il portale riusa il certificato TLS. Lo stato della patch non è lo stato della configurazione.
9 min di lettura - Silent Ransom GroupStudi LegaliAnalisi del Traffico
Silent Ransom Group entra fisicamente negli studi legali — e l'EDR non li vede
FBI FLASH-20260526-01: Silent Ransom Group (Luna Moth, UNC3753) infiltra gli studi legali con telefonate di finto IT, sessioni RDP e — quando serve — entrando con una chiavetta USB. 38+ studi esfiltrati. Cosa l'endpoint non vede e cosa il traffico ML sì.
9 min di lettura - FortiClient EMSCVE-2026-35616EKZ Infostealer
FortiClient EMS CVE-2026-35616: quando la patch del tuo vendor *è* il malware
L'infostealer EKZ è arrivato sugli endpoint gestiti camuffato da aggiornamento Fortinet — spinto attraverso l'API di FortiClient EMS dopo un bypass non autenticato. Due mesi tra il bollettino e la campagna attiva, e Fortinet non ha ancora pubblicato IOC.
8 min di lettura - Attacchi con agenti AIMarimo CVE-2026-39987Furto credenziali cloud
Quando l'attaccante è un agente AI: Marimo CVE-2026-39987 e la catena di pivot in 60 minuti
Il 10 maggio 2026 Sysdig ha registrato il primo post-exploitation guidato da un agente LLM osservato in natura: da Marimo CVE-2026-39987 all'esfiltrazione di PostgreSQL in meno di un'ora, distribuita su 11 IP di egress.
8 min di lettura - Attacco Supply ChainBotnetAI Traffic Analysis
Smantellamento di Glassworm: quando il C2 si nasconde in Solana, BitTorrent e Google Calendar
Il 26 maggio 2026 CrowdStrike, Google e Shadowserver hanno smantellato Glassworm, la botnet che colpiva gli sviluppatori e gestiva il proprio C2 dentro memo Solana, DHT BitTorrent e titoli di eventi Google Calendar.
8 min di lettura