Lo stato dell’arte sul rischio spyware in Europa

Si parla di:

Toggle

• La diffusione incontrollata
• Il ruolo di EDRi e il document pool
• Implicazioni tecniche e politiche

Il mercato europeo dello spionaggio digitale continua a prosperare nell’ombra, con software spyware che infettano smartphone e trasformano dispositivi personali in strumenti di sorveglianza totale, nonostante scandali ripetuti in numerosi paesi dell’Unione Europea. Queste tecnologie, spesso vendute a governi e agenzie private senza alcun controllo significativo, sfruttano vulnerabilità zero-day per ottenere accesso completo: lettura di messaggi, attivazione di microfoni e fotocamere, estrazione di dati sensibili, il tutto in modo invisibile e persistente, aggirando protezioni native come sandboxing e crittografia end-to-end.

La diffusione incontrollata

Programmi come Pegasus o tool di RCS Lab penetrano nei sistemi operativi mobili attraverso catene di exploit complessi, che iniziano con link malevoli in SMS o app legittime e culminano con l’installazione di rootkit kernel-level capaci di sopravvivere a reboot e aggiornamenti. Casi documentati riguardano Spagna, Polonia, Ungheria, Grecia, Italia, Slovacchia e Serbia, dove giornalisti, attivisti per i diritti umani, politici e oppositori sono stati presi di mira da agenzie statali, con operazioni che violano sistematicamente la proporzionalità e la necessità richieste dalle norme sui diritti fondamentali. L’assenza di “linee rosse” a livello UE permette a vendor commerciali di operare con impunità, ricevendo persino fondi pubblici europei, mentre le vittime rimangono prive di notifiche o rimedi legali efficaci.

Il ruolo di EDRi e il document pool

European Digital Rights (EDRi) ha lanciato un “spyware document pool”, una repository pubblica che aggrega analisi, indagini giornalistiche, valutazioni sui diritti umani e documenti ufficiali, inclusi i rapporti del comitato PEGA del Parlamento Europeo del 2023, per tracciare abusi e spingere verso un divieto totale. Questa risorsa centralizza evidenze frammentate: da report su scandali nazionali a ricerche tecniche su exploit, evidenziando come lo spyware comprometta l’integrità dei dispositivi e esponga dati massivi senza possibilità di oversight giudiziario adeguato. EDRi richiede un bando completo su produzione, vendita e uso di spyware commerciale, sanzioni mirate ai venditori, stop agli appalti pubblici e accesso prioritario a forensics digitali per le vittime.

Implicazioni tecniche e politiche

Dal punto di vista tecnico, questi malware evadono EDR aziendali e protezioni OS attraverso tecniche di offuscamento dinamico, iniezione di processi legittimi e persistence via meccanismi come launch daemons su iOS o servizi system su Android, rendendo la rilevazione forense un’impresa ardua che richiede analisi reverse engineering avanzata. Politicamente, la Commissione Europea non ha risposto alle raccomandazioni PEGA con legislazione vincolante, lasciando i vendor liberi di proliferare minacce transnazionali che erodono la fiducia democratica. Coalizioni di ONG e giornalisti insistono su riforme strutturali, inclusa la accountability politica e rimedi transfrontalieri per cause legali.

@sicurezza

I Giochi olimpici invernali di Milano-Cortina 2026 saranno il primo mega-evento sportivo davvero “full stack”: tutto è connesso, tutto è telemetria, tutto è superficie di attacco, dai droni per le riprese agli “athlete moments” in cloud, fino ai sistemi di ticketing centralizzati e ai backbone 5G che cuciranno insieme valli, piste e villaggi olimpici. È proprio questa convergenza di IT, OT, IoT e media in tempo reale che rende la prossima Olimpiade un laboratorio perfetto per sperimentare nuove TTP, sia per gli attaccanti sia per chi prova a difendere l’ecosistema digitale.

Il report di Palo Alto Networks analizza Milano-Cortina come un “target-rich environment” in cui la complessità organizzativa diventa un moltiplicatore di rischio: venue temporanee, reti pop-up, fornitori locali, app ufficiali, sistemi di pagamento, piattaforme di hospitality e infrastrutture telco vengono assemblati in pochi mesi e collegati tramite trust temporanei, federazioni d’identità e VPN nate solo per vivere quanto basta a reggere due settimane di evento globale. L’esperienza degli ultimi cicli olimpici è una timeline piuttosto chiara: interruzioni di WiFi e servizi digitali a PyeongChang 2018, operazioni di sabotaggio attribuite ad attori russi nel pre-Games di Tokyo, ondate di DDoS e phishing a tema olimpico su Paris 2024, con centinaia di milioni di tentativi di attacco registrati lungo tutto il periodo dell’evento. La differenza è che Milano-Cortina eredita tutto questo background di tradecraft offensivo e lo sovrappone a un’architettura ancora più digital-first, con 6.500 ore di copertura broadcast, AI in produzione video e ticketing/hospitality completamente centralizzati.

Se si guardano gli incentivi economici, la narrativa resta brutalmente lineare: il ransomware è ancora il modello di business dominante contro i sistemi core dell’evento, dai portali di ticketing alle piattaforme di scheduling fino ai backend che orchestrano accessi, trasporti e servizi di pagamento. Il report cita gruppi che, dal 2022, hanno accumulato oltre 500 vittime sfruttando campagne di social engineering con email bombing e richieste di accesso remoto: in diversi casi l’intero ciclo, dall’iniziale compromissione alla exfiltration massiva, si è consumato in meno di 14 ore, un tempo perfetto per colpire alla vigilia di una gara chiave quando ogni minuto di downtime ha un costo reputazionale e contrattuale enorme. All’edge dell’evento il denaro si sposta sui fan e sui vendor: fake ticket shop con domini typosquatted o DNS “dangling”, QR code malevoli stampati su volantini, pannelli e pseudo-materiale ufficiale, app fasulle che imitano companion app olimpiche ma integrano SDK malevoli per esfiltrare credenziali, dati di pagamento o sessioni social. In un contesto di emergenza logistica, con utenti costretti ad acquistare in fretta biglietti, pass e servizi, l’asticella di diffidenza si abbassa e il margine per le truffe a scala industriale si allarga.

Sul versante politico-strategico, gli attori di cyber-spionaggio giocano una partita diversa: non cercano il blackout spettacolare, ma la persistenza discreta dentro l’ecosistema che supporta delegazioni, governi, comitati e grandi sponsor. Le analisi citano esplicitamente gruppi collegati a Cina e Russia, già attivi su telco, ministeri, fornitori di infrastrutture critiche e player del settore media; la traiettoria è nota: phishing mirato verso staff diplomatico e di governance, infrastrutture di comando e controllo custom, tunneling e living-off-the-land tramite PowerShell e WMI per ridurre la firma rilevabile in log e EDR. In scenari di questo tipo la leva non è solo l’accesso alle comunicazioni sensibili durante i Giochi, ma la possibilità di riutilizzare le stesse catene di fiducia, account di servizio e integrazioni API anche mesi o anni dopo la cerimonia di chiusura, quando i log vengono archiviati e molte contromisure emergenziali vengono dismesse.

Più in basso nella catena, ma spesso più rumorosi, i gruppi hacktivisti proiettano sulle Olimpiadi conflitti geopolitici e cause identitarie, dalla guerra in Ucraina alle tensioni in Medio Oriente fino alle proteste sui diritti umani. Qui il playbook è ibrido: discovery aggressivo di asset esposti, defacement di siti istituzionali o di partner, DDoS contro portali di streaming, scommesse e biglietteria, fino al dump di dati e campagne di doxing orchestrate a colpi di canali Telegram e bot social. In molti casi gli incidenti tecnici sono solo il detonatore di narrative: leak selettivi, manipolazione del contesto, documenti pubblicati “a orologeria” durante momenti di massima visibilità, con l’obiettivo di colpire l’immagine del Paese ospitante o dei suoi alleati più che la resilienza tecnica delle infrastrutture.

La colla che tiene insieme tutte queste campagne, dal ransomware all’APT fino all’hacktivismo, è la social engineering a densità crescente, spinta dall’uso intensivo dell’AI generativa sul fronte offensivo. Nel campione analizzato da Palo Alto Networks, il 76% degli incidenti di phishing che hanno portato a compromissioni significative passa da business email compromise, spesso travestito da comunicazioni di executive, fornitori o partner che chiedono modifiche urgenti a coordinate di pagamento, whitelist di IP, policy MFA o privilegi di account. L’evoluzione qualitativa è ancora più inquietante dei numeri: deepfake audio e testuali permettono di replicare stile, lessico e timbro vocale della leadership con pochi minuti di materiale, costruendo telefonate di “supporto IT” o richieste dell’ultimo minuto perfettamente credibili per personale logistico o amministrativo sotto stress. Uno degli scenari documentati riguarda l’abuso sistematico degli help desk: gli attaccanti studiano flussi interni e script di verifica, poi chiamano fingendo di essere un dirigente in trasferta verso un venue, chiedono reset di password o nuova enrollment MFA e, nel caso descritto, riescono a scalare fino a privilegi di domain admin in circa 40 minuti di interazione.

Se si scende nel dettaglio dei servizi, Milano-Cortina mostra un pattern di dipendenze incrociate che rende quasi accademica la distinzione fra “IT” e “operazioni”. I sistemi di event management orchestrano accessi fisici, ingressi scaglionati, flussi di pubblico e credenziali per staff, spesso appoggiandosi a identity provider cloud con SSO verso decine di applicazioni diverse; le piattaforme di hospitality e pagamento sono integrate con CRM, loyalty, app mobile e sistemi fiscali, mentre i network di trasporto e le utility (energia, acqua, gestione ambientale) espongono interfacce digitali verso partner, fornitori e servizi di monitoraggio centralizzati. Un fault su uno di questi tasselli non resta confinato: un attacco a un fornitore di pagamenti può bloccare acquisti e accrediti, generare code e assembramenti, stressare i sistemi di accesso fisico e, per cascata, impattare sulla copertura media e sulle timeline delle competizioni. Dal punto di vista degli attaccanti, questa interdipendenza è un moltiplicatore di leva: colpendo un nodo periferico ma connesso, si ottiene un effetto domino che eccede di molto il valore “intrinseco” del singolo target.

L’altro layer critico è la connettività: TIM fornirà fibra ad alta capacità e 5G per supportare l’intera infrastruttura di comunicazione dei Giochi, dal backhaul delle venue all’upload delle riprese dai droni, fino ai servizi di collaborazione e ai collegamenti di ridondanza fra i vari siti. Sul piano tecnico questo significa reti segmentate ma densamente collegate, slicing 5G per servizi privilegiati, orchestrazione centralizzata via software-defined networking e un mosaico di apparati on-prem e cloud managed che espongono API e pannelli di controllo a squadre operative distribuite. Ogni layer – dalla gestione delle SIM M2M nei dispositivi IoT fino ai controller SDN che instradano traffico broadcast – è potenziale entry point per una catena di attacco che mira a degradare la QoS, intercettare flussi o dirottare porzioni di banda verso attività malevole.

In parallelo, la strategia “digital-first” del CIO porta sulle spalle una quantità inedita di dati e automazione: AI per replay e produzione delle immagini, 24 droni e 32 camere cinematiche per copertura immersiva, workflow di produzione in cloud attraverso piattaforme come Alibaba Cloud, stazioni “Athlete Moment” per connettere in tempo reale atleti e famiglie. Ogni componente introduce una combinazione di asset: feed video ad alta banda, metadata in tempo reale, pipeline di inferenza AI, storage transitorio e permanente in cloud, endpoint fisici distribuiti, interfacce a bassa latenza con operatori umani sul campo. Dal punto di vista della threat modeling, ognuno di questi elementi può diventare vettore: compromissione di un nodo di produzione cloud per manipolare overlay grafici o dati in sovraimpressione, attacchi alle API di orchestrazione dei droni, abuso delle stazioni “Athlete Moment” come pivot dentro VLAN poco segmentate o per la distribuzione di malware via endpoint condivisi.

Il problema di fondo, sul lato difensivo, è la scala del segnale: durante gli ultimi Giochi estivi si sono contate centinaia di milioni di tentativi di attacco, con picchi di DDoS nell’ordine di centinaia di Gbps e oltre, e trend globali che mostrano una crescita a tre cifre nella frequenza di questi attacchi dal 2022 al 2024. In uno scenario dove ogni log, allarme e flusso di telemetria compete per l’attenzione di un SOC già saturato, la differenza tra un incidente rumoroso ma gestibile e una compromissione silente che si muove sotto il rumore di fondo sta nella capacità di normalizzare, correlare e prioritizzare i segnali. È il motivo per cui le raccomandazioni più recenti parlano di consolidare telemetrie di rete, endpoint e cloud in un hub universale, applicare AI e machine learning per filtrare il rumore, misurare sistematicamente MTTD e MTTR, automatizzare la triage dei casi a bassa complessità per liberare analisti sulla caccia proattiva alle minacce.

Milano-Cortina diventa così un banco di prova anche per gli approcci “AI-first” alla difesa: sistemi di detection comportamentale che modellano l’uso normale di identità, API e asset e cercano deviazioni minime, playbook di risposta automatizzata che isolano host, resettano credenziali o chiudono accessi privilegiati in minuti anziché ore, continuous security validation che “red-teama” gli agenti e i workflow in produzione prima che lo facciano gli attaccanti. La stessa logica viene applicata al cloud: scansioni continue nel ciclo CI/CD per intercettare misconfigurazioni e vulnerabilità prima del deploy, gestione centralizzata delle autorizzazioni e dei privilegi in eccesso, threat detection in tempo reale su app, API e workload distribuiti fra data center, cloud pubblico e edge. In questo senso, la narrativa dei Giochi non è solo la storia di un Paese che ospita un evento globale, ma un’anteprima della normalità che l’industria dovrà gestire nei prossimi anni: ecosistemi iperconnessi, eventi ad alta visibilità, flussi di dati guidati dall’AI e una superficie di attacco che non si spegne con la cerimonia di chiusura.

Si parla di:

Toggle

• La vulnerabilità CVE-2026-23550
• Il trucco con l’header Origin
• Impatto e risposta

I ricercatori hanno scoperto una vulnerabilità critica nel plugin Modular DS per WordPress che ha permesso a hacker di compromettere oltre 40.000 siti con un metodo sorprendentemente semplice.

La vulnerabilità CVE-2026-23550

Il plugin Modular DS, installato su decine di migliaia di siti WordPress, presentava una falla di privilege escalation classificata con un punteggio CVSS di 10.0, il massimo livello di severità. Questa debolezza, identificata come CVE-2026-23550 e catalogata nel database di Positive Technologies, riguardava le versioni 2.5.1 e 2.5.2 e derivava da una mancanza di autenticazione adeguata nell’endpoint API /apimodular-connector/login. Gli attaccanti potevano inviare una richiesta GET a questo endpoint senza credenziali, sfruttando parametri come login, server-information e manager per elevare i privilegi e ottenere accesso amministrativo completo, inclusi moduli per il login, la gestione del server e i backup.

Patchstack ha rilevato le prime exploitation il 13 gennaio 2026 alle 02:00 UTC, con richieste anomale provenienti da IP come 45.11.89.19 e 185.196.0.11, che puntavano proprio a quell’endpoint vulnerabile. La tecnica non richiedeva payload complessi né exploit zero-day elaborati: bastava una semplice chiamata HTTP per bypassare i controlli e iniettare un account amministratore, permettendo l’esecuzione di comandi arbitrari sul server sottostante.

Il trucco con l’header Origin

Gli hacker hanno affinato l’attacco aggiungendo un header HTTP "Origin: mo.", una stringa apparentemente innocua che il plugin Modular DS interpretava come indicatore di una richiesta legittima proveniente dal dominio “originmo”. Questo header, combinato con la mancanza di validazione sull’API apimodular-connector, convinceva il sistema a trattare la chiamata come interna, eludendo ulteriori verifiche di sicurezza. In pratica, l’attaccante simulava una richiesta dal pannello di controllo del plugin stesso, ottenendo accesso istantaneo a funzionalità sensibili come la gestione dei backup e le informazioni sul server.

Tale approccio, definito il “metodo più pigro” dagli analisti, ha colpito siti vulnerabili in modo massivo perché non necessitava di scansioni personalizzate o tool avanzati: una semplice modifica all’header in una richiesta GET standard era sufficiente per compromettere l’intero ambiente WordPress. Positive Technologies ha dettagliato come questo meccanismo permettesse non solo l’elevazione di privilegi ma anche l’inserimento di backdoor persistenti, con potenziali ramificazioni su database e file system.

Impatto e risposta

L’exploit ha interessato circa 40.000 installazioni attive del plugin, esponendo siti a rischi di defacement, furto dati e ulteriore propagazione di malware tramite i manager di backup integrati. Patchstack ha rilasciato una patch urgente nella versione 2.5.2, che introduce validazioni rigorose sugli header Origin e sull’autenticazione API, bloccando richieste non autorizzate attraverso controlli nonce e verifica IP whitelisting.

Gli amministratori di WordPress devono verificare immediatamente la presenza del plugin Modular DS, aggiornarlo alla versione corretta e monitorare i log di accesso per endpoint sospetti come /apimodular-connector/.

Questa discussione è aperta anche su Feddit in @informatica