I lavoratori IT nordcoreani espandono le operazioni in tutta Europa

La forza lavoro IT segreta della Corea del Nord, spesso definita "guerrieri IT", sta prendendo di mira sempre più aziende in Europa dopo essere stata sanzionata negli Stati Uniti. Secondo il Threat Intelligence Group (GTIG) di Google, lavoratori legati al regime nordcoreano stanno ottenendo impieghi da remoto in Germania, Portogallo e Regno Unito fingendosi freelance di altri paesi.
Utilizzano identità false o rubate provenienti da Italia, Giappone, Ucraina e Stati Uniti, candidandosi tramite piattaforme come Upwork e Freelancer. I pagamenti vengono riciclati tramite criptovalute e servizi come Payoneer e Wise.
Il GTIG ha collegato alcuni di questi operatori a ruoli in progetti di AI, blockchain, sviluppo CMS e persino difesa. L’Office of Financial Sanctions Implementation del Regno Unito ha avvertito che assumerli potrebbe violare le sanzioni. Gli USA hanno incriminato diversi soggetti coinvolti, avvertendo anche di minacce di estorsione da parte di ex dipendenti licenziati.

Apple rilascia patch urgenti per tre zero-day sfruttati

Apple ha rilasciato aggiornamenti urgenti per correggere tre vulnerabilità zero-day attivamente sfruttate: CVE-2025-24200, CVE-2025-24201 e CVE-2025-24085, che colpiscono iPhone, iPad, Mac e altri dispositivi Apple.
CVE-2025-24200 consente agli attaccanti con accesso fisico di bypassare la Modalità USB Ristretta su dispositivi bloccati.
CVE-2025-24201 riguarda WebKit di Safari e potrebbe permettere a contenuti web malevoli di uscire dal sandbox del browser.
CVE-2025-24085 è una falla in CoreMedia che permette l’elevazione dei privilegi tramite app malevole.
Apple ha rilasciato patch per tutti i sistemi operativi, invitando gli utenti ad aggiornare subito e ad abilitare la Modalità Isolamento per maggiore protezione.

Attacco DDoS a Ferrovie Russe, Ukrzaliznytsia ripristina i servizi

Dopo l’attacco della scorsa settimana alle ferrovie ucraine, questa settimana le Ferrovie Russe (Russian Railways) hanno confermato un massiccio attacco DDoS che ha messo offline sito web e app mobile, impedendo l’acquisto di biglietti online. I punti vendita fisici sono rimasti operativi.
Secondo i report, l’app mobile si bloccava a causa dell’attacco. Non sono stati diffusi ulteriori dettagli.
Nel frattempo, Ukrzaliznytsia ha confermato il ripristino completo dei servizi dopo un guasto tecnico del 23 marzo. Il 30 marzo sono state ripristinate anche le bacheche digitali e le tariffe scontate per passeggeri con disabilità.

CISA avverte su nuova variante di malware Ivanti chiamata Resurge

La CISA ha segnalato una nuova variante di malware chiamata Resurge, che sfrutta la vulnerabilità critica CVE-2025-0282 nei dispositivi Ivanti Connect Secure.
Legato a un gruppo di spionaggio cinese (UNC5337), Resurge presenta funzionalità avanzate, tra cui la manipolazione dei controlli d’integrità, sopravvivenza ai riavvii e l’installazione di web shell.
È stato scoperto su un’infrastruttura critica insieme a un’altra variante, SpawnSloth.
CISA consiglia il reset di fabbrica con immagini pulite. Ivanti invita i clienti a patchare subito i sistemi.

Gravi vulnerabilità nel plugin WordPress WP Ultimate CSV Importer

I ricercatori di sicurezza hanno scoperto due vulnerabilità critiche nel plugin WP Ultimate CSV Importer, usato su oltre 20.000 siti WordPress.
CVE-2025-2008 (CVSS 8.8) consente il caricamento arbitrario di file PHP malevoli, permettendo l’esecuzione di codice da remoto.
CVE-2025-2007 (CVSS 8.1) consente la cancellazione arbitraria di file, incluso wp-config.php, che forza un reset del sito e consente il dirottamento della configurazione.
Le vulnerabilità, presenti fino alla versione 7.19, sono state segnalate a Smackcoders tramite il programma bug bounty di Wordfence.
Il 25 marzo è stata rilasciata la patch 7.19.1. Gli amministratori WordPress sono invitati ad aggiornare immediatamente.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.