Nei primi tre mesi del 2026 il phishing è tornato il principale vettore di accesso iniziale. Pubblica amministrazione e sanità sono i settori più colpiti; interventi tempestivi hanno abbassato l’incidenza del ransomware.
Autore: Redazione SecurityOpenLab
Nel primo trimestre 2026 il phishing torna in cima alla classifica dei vettori di accesso iniziale, superando oltre un terzo dei casi analizzati in cui è stato possibile identificare l'origine dell'intrusione. Il dato è pubblicato nel report trimestrale di Cisco Talos Incident Response e non è banale, dato che il phishing non era più il vettore primario dal secondo trimestre 2025, quando era stato scalzato dallo sfruttamento massiccio di applicazioni esposte su internet. Era stata la campagna ToolShell a portare lo sfruttamento di applicazioni pubbliche al 62% dei casi gestiti, ma nel Q1 2026 quella stessa percentuale è crollata al 18%, grazie alla disponibilità di patch di emergenza e al rafforzamento della protezione di SharePoint.
Il caso più significativo del trimestre riguarda una campagna di phishing contro un'organizzazione della pubblica amministrazione, che introduce un elemento inedito nella casistica di Talos: il primo utilizzo documentato di uno strumento AI specifico in una campagna di phishing confermata. Gli attaccanti hanno utilizzato la piattaforma di sviluppo web Softr basata su AI per costruire una pagina di raccolta credenziali che simulava il login di Microsoft Exchange e Outlook Web Access. Softr consente di generare in pochi minuti e senza scrivere una riga di codice, applicazioni web tramite template preconfigurati e funzionalità automatizzate, di modo che senza competenze di programmazione si ottiene una pagina funzionante, visivamente credibile. Secondo gli esperti di Talos, Softr poterebbe essere utilizzato per questo scopo almeno dal maggio 2023 e con frequenza crescente.
Inoltre, il report denuncia che gruppi criminali e APT stanno impiegando modelli linguistici avanzati per generare contenuti di phishing e script malevoli. Ne sono un esempio alcuni operatori di DDoS-as-a-service che hanno adottato algoritmi AI per orchestrare gli attacchi in modo più evasivo.
Un altro inedito di questa edizione del report riguarda la gestione di quello che potrebbe essere il primo incidente attribuito a Crimson Collective, un gruppo emerso nel settembre 2025. Il vettore di accesso iniziale è stato un account legittimo compromesso. L’aspetto interessante è la catena di attacco: l'esposizione è iniziata dalla pubblicazione accidentale di un token GitHub su un sito pubblico, rimasto visibile per mesi. Gli attaccanti hanno poi utilizzato strumenti legittimi, tra cui TruffleHog, per cercare credenziali esposte in repository pubblici e privati, fino a ottenere accesso allo storage cloud Azure della vittima. L'attribuzione si basa su indirizzi IP associati al gruppo e usati per scansionare i firewall Cisco della vittima, insieme alla sovrapposizione con le tattiche pubblicamente note di Crimson Collective.
L'episodio illustra la tendenza consolidata di abuso di strumenti legittimi per rendere gli attacchi difficili da distinguere dall'attività ordinaria. Questo caso apre il tema ransomware, sul quale ci sono buone notizie: fra i clienti Cisco Talos, nel Q1 2026 non si è verificato alcun deployment di ransomware, grazie a interventi tempestivi dell’incident reponsase che hanno bloccato gli attacchi prima che gli attaccanti potessero cifrare i dati. Non è un buon motivo per abbassare la guardia, dato che la percentuale di incidenti in fase pre-ransomware è salita al 18%, rispetto al 13% complessivo del trimestre precedente. È difficile definire l’identità degli attaccanti in assenza di cifratori e di note di riscatto. Talos attribuisce con moderata confidenza due degli episodi monitorati a Rhysida e MoneyMessage, più che altro in virtù dell’infrastruttura e dall’usodi alcuni strumenti caratterizzanti, come.
Tre quarti degli incidenti analizzati nel trimestre in oggetto si spiegano con tre categorie di debolezza ricorrenti. La prima, presente nel 35% dei casi, riguarda l'assenza, la non completezza o l’aggiramento della MFA grazie al account compromessi o alla connessione di Outlook direttamente a un server Exchange, così da eludere completamente i requisiti di multi factor authentication. La seconda categoria, nel 25% dei casi, riguarda infrastrutture vulnerabili o esposte. La terza, nel 18% degli incidenti, è la mancanza di visibilità, che ha ostacolato l'analisi e la ricostruzione delle attività degli attaccanti. Talos raccomanda l'adozione di piattaforme SIEM per la conservazione centralizzata dei log, in modo che i dati eliminati o modificati sui singoli host rimangano disponibili per l'analisi forense.