Il 2026 si è aperto con un segnale chiaro per chi si occupa di cybersecurity: gli attacchi non hanno bisogno di essere rumorosi per essere efficaci. Il filo conduttore delle minacce recenti è l’abuso costante della fiducia, sfruttando aggiornamenti, estensioni del browser, accessi e messaggi che gli utenti tendono a considerare sicuri. In questo scenario, anche sistemi percepiti come stabili o poco interessanti finiscono nel mirino, soprattutto quando restano esposti a vulnerabilità critiche non corrette.

Tra i casi più rilevanti spicca una campagna di lunga durata che ha preso di mira dispositivi IoT e applicazioni web per arruolarli in una botnet. Il punto di ingresso è una falla critica che consente esecuzione di codice da remoto senza autenticazione in specifiche implementazioni di componenti server e framework web. Il dato che preoccupa è l’ampia superficie di attacco ancora disponibile: decine di migliaia di istanze risultano vulnerabili e quindi potenzialmente sfruttabili in modo automatico su larga scala.

Parallelamente cresce il rischio legato alla supply chain software e agli ambienti di sviluppo. Un attacco ha permesso di compromettere una estensione per browser di un wallet crypto, grazie all’esposizione di segreti di sviluppo e chiavi di pubblicazione. Con accesso diretto alle API dello store, l’attaccante ha potuto caricare build malevole aggirando i normali controlli interni. L’obiettivo finale è stato il furto di asset digitali e la raccolta di frasi mnemoniche, dimostrando quanto sia fragile la catena che va dal repository al canale di distribuzione.

Le estensioni del browser restano un vettore privilegiato anche per operazioni su scala massiva. Sono emerse campagne che hanno colpito milioni di utenti su più browser, con tecniche come steganografia in immagini e attivazioni ritardate per eludere i controlli. In ambito enterprise, aumentano anche gli abusi di strumenti e canali legittimi: notifiche e chiamate possono essere usate per phishing e vishing, inducendo le vittime a installare software di assistenza remota e avviando catene di infezione fileless con payload caricati in memoria.

Infine, l’uso offensivo dell’intelligenza artificiale amplia la superficie di attacco, soprattutto con agenti browser e prompt injection, rendendo essenziale combinare difese a livello di modello e controlli di sistema per ridurre il rischio operativo.