Nel primo trimestre 2026 il phishing è tornato a essere il principale vettore di accesso iniziale osservato da Cisco Talos Incident Response, rappresentando oltre un terzo degli engagement in cui è stato possibile determinarne la modalità. Si tratta di un ritorno al vertice per questa tecnica, che non risultava dominante dal secondo trimestre 2025.
Phishing di nuovo dominante, cala lo sfruttamento di applicazioni esposte
Nel corso del 2025 il phishing era stato superato dallo sfruttamento di applicazioni esposte su Internet, in particolare in relazione alla massiva exploitation delle vulnerabilità nei server Microsoft SharePoint on-premises, note come ToolShell.
Da allora si è registrato un calo costante di questo vettore, passato da un picco del 62% fino al 18% nel primo trimestre 2026. La riduzione viene attribuita alla disponibilità diffusa di patch d’emergenza e al miglioramento delle capacità di rilevamento, a conferma del ruolo critico del patch management tempestivo.
Nello stesso periodo, l’uso di account validi è tornato ai livelli precedenti alla fase ToolShell, attestandosi al 24% degli engagement e confermandosi come secondo vettore più diffuso per l’accesso iniziale.
AI e phishing: prima evidenza documentata dell’uso di un tool specific
Talos IR ha risposto a una campagna che ha utilizzato il phishing, principale vettore di accesso del trimestre, per compromettere il settore più colpito, la pubblica amministrazione, introducendo un elemento di forte discontinuità: l’uso della piattaforma Softr, un servizio di sviluppo web basato su AI.
Si tratta della prima volta in cui Talos documenta l’impiego di uno specifico strumento di intelligenza artificiale all’interno di una campagna di phishing. Softr è stato utilizzato per generare una pagina di raccolta credenziali mirata ad account Microsoft Exchange e Outlook Web Access.
Attori statali e criminali sono già stati osservati mentre sfruttano modelli linguistici per creare esche di phishing, script malevoli e supportare altre attività operative. Analogamente, operatori DDoS-as-a-service utilizzano algoritmi AI per evasione e orchestrazione degli attacchi. Tuttavia, questo rappresenta il primo caso in cui viene identificato esplicitamente uno strumento preciso in un incidente gestito da Talos IR.
Sulla base dei dati Cisco Umbrella e di altra telemetria, Talos ritiene con moderata confidenza che attori malevoli utilizzino la piattaforma Softr almeno da maggio 2023, con una frequenza in aumento nel tempo.
L’incidente dimostra come strumenti AI possano ridurre la barriera d’ingresso per attori meno sofisticati e accelerare significativamente lo sviluppo di campagne di phishing e raccolta credenziali. Attraverso template e funzionalità di vibe coding, una pagina come quella osservata può essere creata rapidamente con pochi prompt e senza scrittura di codice.
Le pagine generate possono inoltre inviare i dati raccolti a repository esterni temporanei, come Google Sheets, e notificare automaticamente nuove acquisizioni via email, sempre senza necessità di sviluppo.
Pubblica amministrazione e sanità ancora in cima ai target
Pubblica amministrazione e sanità risultano i settori più colpiti, entrambi con il 24% degli engagement. Per la pubblica amministrazione si tratta del terzo trimestre consecutivo in cima alla classifica.
Le organizzazioni di questo settore risultano particolarmente attrattive perché spesso sottofinanziate e caratterizzate da infrastrutture legacy. Allo stesso tempo gestiscono dati sensibili e presentano una bassa tolleranza ai downtime, rendendole obiettivi ideali sia per attacchi a scopo economico sia per operazioni di spionaggio.
Crimson Collective: credenziali esposte, API cloud e attacchi alla supply chain
Talos IR ha registrato il primo caso che coinvolge Crimson Collective, gruppo di cyber-estorsione emerso nel settembre 2025.
L’attacco ha evidenziato l’uso di account validi come vettore di accesso iniziale e lo sfruttamento di vulnerabilità come seconda principale debolezza osservata, presente nel 25% degli engagement. L’attribuzione si basa sull’utilizzo di indirizzi IP associati al gruppo per attività di scansione sui firewall ASA della vittima, oltre che su una sovrapposizione di tecniche e tattiche con attacchi già documentati pubblicamente.
L’incidente ha avuto origine dalla pubblicazione accidentale di un GitHub Personal Access Token su un sito pubblico, lasciando l’organizzazione esposta per diversi mesi.
Una volta ottenuto l’accesso, l’attaccante ha utilizzato TruffleHog, strumento open source comunemente impiegato anche dai team di sicurezza, per analizzare migliaia di repository GitHub alla ricerca di ulteriori segreti e informazioni sensibili. Questo approccio consente di operare sfruttando tool legittimi, riducendo il rischio di rilevamento.
Le credenziali individuate hanno permesso l’accesso allo storage cloud Azure, dove l’attaccante ha utilizzato Microsoft Graph API per autenticarsi, esplorare le risorse ed esfiltrare dati. L’abuso di API cloud legittime rappresenta una tendenza crescente, che consente agli attori malevoli di mimetizzarsi nel traffico normale.
Oltre all’esfiltrazione, l’attaccante ha tentato di inserire codice malevolo in diversi repository GitHub, progettato per intercettare eventuali nuovi segreti caricati in futuro e trasmetterli verso infrastrutture controllate. Sebbene questi tentativi siano stati in gran parte neutralizzati grazie alla scadenza delle credenziali e a controlli di sicurezza efficaci, la tecnica evidenzia un trend emergente verso attacchi alla supply chain e agli ambienti di sviluppo.
Ransomware: lieve aumento ma livelli complessivamente bassi
Gli incidenti pre-ransomware hanno rappresentato il 18% degli engagement. Non sono stati osservati casi di cifratura riuscita, grazie a mitigazioni tempestive da parte di Talos IR.
Il dato è in leggero aumento rispetto al trimestre precedente, quando ransomware e pre-ransomware insieme rappresentavano il 13% degli engagement, ma resta significativamente inferiore rispetto al primo e secondo trimestre 2025, quando il ransomware era presente nel 50% dei casi.
L’attribuzione nei casi pre-ransomware resta complessa in assenza di cifratori o ransom note, ma Talos ritiene che Rhysida e MoneyMessage siano stati coinvolti in almeno due engagement.
L’assenza di attività osservate da gruppi ransomware-as-a-service particolarmente attivi, come Qilin o Akira, non viene interpretata come una riduzione delle operazioni, poiché i loro siti di data leak risultano ancora costantemente aggiornati.
Rhysida e MeowBackConn: uso di backdoor non comuni
Talos IR ha risposto a un incidente in cui un attore ha tentato di distribuire ransomware Rhysida, senza riuscire a completare la fase di cifratura.
L’attribuzione si basa su infrastrutture associate al gruppo e sull’uso di Gootloader, frequentemente impiegato negli accessi iniziali di Rhysida. Elemento distintivo è l’uso di DLL proxy, come “meow_eu.dll”, probabilmente collegate alla backdoor MeowBackConn, una componente non comune ma associata a Gootloader secondo fonti pubbliche.
Le debolezze ambientali che hanno reso possibile l’intrusione includono porte WinRM esposte su Internet, account di servizio con privilegi eccessivi e carenze nei sistemi di logging. L’uso di Remote Desktop Protocol per il movimento laterale conferma inoltre una tendenza già osservata nei due trimestri precedenti.
Raccomandazioni: le tre aree critiche su cui intervenire
L’analisi di Talos individua tre ambiti prioritari di intervento – autenticazione, gestione delle vulnerabilità e logging – che emergono in modo ricorrente negli incidenti osservati.
Autenticazione: MFA diffusa ma spesso inefficace
Il 35% degli engagement ha coinvolto debolezze nei sistemi di autenticazione multifattore, in aumento rispetto al trimestre precedente. I problemi non riguardano solo l’assenza di MFA, ma soprattutto implementazioni incomplete o configurazioni che ne consentono l’aggiramento, in particolare nei servizi di accesso remoto.
Talos osserva diversi casi in cui gli attaccanti sono riusciti a bypassare la protezione registrando nuovi dispositivi su account già compromessi. In un episodio specifico, è stata sfruttata la possibilità di configurare client Outlook per connettersi direttamente ai server Exchange, aggirando i requisiti MFA.
La mitigazione passa da policy più rigorose: limitare o controllare l’enrollment self-service dei dispositivi, applicare criteri di autenticazione centralizzati e garantire che l’MFA sia effettivamente obbligatoria su tutti i punti di accesso critici.
Gestione delle vulnerabilità: infrastrutture esposte e patching tardivo
Il 25% degli engagement ha coinvolto infrastrutture vulnerabili o esposte, dato in lieve calo ma ancora rilevante. Oltre agli exploit, Talos segnala la presenza di porte di gestione esposte direttamente su Internet, come WinRM, che hanno facilitato ricognizione e movimento laterale degli attaccanti. Il quadro evidenzia una criticità strutturale: la combinazione di patch non applicate tempestivamente e superfici di attacco inutilmente esposte continua a rappresentare uno dei principali fattori di rischio.
Logging e visibilità: il limite più sottovalutato
Nel 18% degli engagement, capacità di logging insufficienti hanno ostacolato in modo significativo le attività investigative. L’assenza di una visione completa delle azioni eseguite dagli attaccanti rende difficile non solo la risposta immediata, ma anche il rafforzamento delle difese nel medio periodo.
Talos sottolinea l’importanza di adottare soluzioni SIEM per la centralizzazione dei log. In presenza di un sistema centralizzato, eventuali cancellazioni o modifiche effettuate sugli host compromessi non compromettono la disponibilità delle evidenze necessarie per l’analisi forense.
Accanto all’adozione tecnologica, viene raccomandata una revisione strutturata dell’architettura di logging, anche attraverso servizi di assessment dedicati, per identificare lacune e garantire una copertura completa degli eventi di sicurezza lungo l’intero perimetro IT.
