Edicola sequestrata da Google, scorta per il Garante e spyware ovunque
Giornalisti in piazza, Garante e ACN nella guerra ibrida di Trump, spyware di stato ovunque e patch fallite che spengono il 28% del web.
Caro lettore,
questa settimana il filo che unisce tutto è chi controlla davvero l’ecosistema dell’informazione e della sicurezza digitale. Dai giornalisti che scioperano in ritardo mentre gli algoritmi hanno già sequestrato l’edicola, al Garante Privacy che passa dalla smentita all’esposto in Procura e diventa bersaglio di giochi di potere che usano la “guerra ibrida” come cornice narrativa. Dalla nuova strategia di sicurezza nazionale di Trump, che mette nero su bianco un mondo diviso in aree di influenza economica, fino alla filiera della sorveglianza commerciale con Intellexa, alla backdoor cinese Brickstorm e alla campagna iraniana MuddyWater, che mostrano quanto fragile sia l’infrastruttura di cui ci fidiamo ogni giorno. Sullo sfondo, Cisa, Apache e Cloudflare ci ricordano che basta una CVE gestita male per spegnere un pezzo di internet in nome della difesa dal prossimo zero-day.
Se vuoi capire come questi piani – politico, mediatico, tecnologico e militare – si intrecciano e perché finiscono sempre per scaricare i costi su cittadini, editori indipendenti e infrastrutture critiche, qui sotto trovi i percorsi per approfondire.
Sciopero dei giornalisti: Benanti e Baracchini brindano alle spalle dell’informazione
Lo sciopero dei giornalisti arriva mentre governa Giorgia Meloni, in un momento in cui il sistema dei media italiani è già passato da crisi ciclica a crisi strutturale. Le motivazioni ufficiali parlano di mancate garanzie, precarietà, salari bassi, compressione degli spazi di libertà. Ma se si allarga lo sguardo, la sensazione è che il settore stia cercando di difendere se stesso quando il danno è già stato fatto, e quando la centralità dell’informazione è stata consegnata da anni a Google, ai social network e agli algoritmi che decidono chi vede cosa. Le stesse redazioni che oggi occupano le piazze sono quelle che, per decenni, hanno goduto di prossimità sistemica al potere, muovendosi nel perimetro sicuro dei talk show, delle grandi testate a distribuzione nazionale e degli spazi “garantiti” nelle scalette televisive. Nomi come Corrado Formigli o Milena Gabanelli, simboli di un certo giornalismo d’inchiesta televisivo, scoprono improvvisamente di trovarsi in un ecosistema che non controllano più: mentre loro litigavano sul prime time, Google News, Discover, i feed social e gli “spazi suggeriti” decidevano, al posto loro, cosa fosse o meno informazione.
Dentro questo quadro, la scelta di Matrice Digitale di non scioperare non è una provocazione, ma una posizione politica e professionale: le stesse criticità oggi brandite come bandiere – precarizzazione strutturale, dipendenza dagli algoritmi, dominio delle piattaforme, selezione politica della visibilità – sono esattamente ciò che la testata denuncia da anni, fin dai tempi de “La prigione dell’Umanità” (2017), quando criticare i grandi media e il loro rapporto tossico con le piattaforme significava perdere visibilità ed essere etichettati come disturbatori dell’ordine digitale prestabilito. Il punto non è se lo sciopero sia “giusto” in astratto, ma quanto arrivi in ritardo rispetto a un mercato dove il potere editoriale non è più nelle redazioni, ma nei datacenter di Mountain View, Menlo Park e San Francisco. Parlare oggi di “qualità dell’informazione” senza affrontare il tema di chi controlla la distribuzione significa usare la qualità come specchietto moralistico per mascherare il vero discrimine: se l’algoritmo non ti vede, non esisti. Nessuna inchiesta, per quanto solida, sopravvive se Google decide che quel pezzo deve stare tre pagine più in basso rispetto a un comunicato di agenzia. In questo contesto, la retorica del “giornalismo sotto attacco” rischia di diventare un’arma a doppio taglio. Gli editori che oggi denunciano la dipendenza dalle piattaforme sono gli stessi che hanno firmato contratti opachi, accettato progetti finanziati da Google e Meta, ceduto archivi e metriche in cambio di briciole di pubblicità programmatica e di una visibilità condizionata. L’edicola fisica, dove il lettore esercitava una scelta attiva, è stata rimpiazzata da una edicola digitale sequestrata in cui Google agisce come editore di fatto, decidendo cosa mettere in vetrina, in quale ordine e con quale intensità di traffico.
È qui che entrano in scena figure come Paolo Benanti e Alberto Barachini, che dovrebbero rappresentare una risposta politica e culturale a questo squilibrio, ma che finiscono per incarnare, di fatto, una cattura istituzionale dell’editoria. Benanti, teologo francescano, consulente di Microsoft e volto della Luiss dove opera la cellula italiana dell’EDMO, parla di “algoretica” e di IA umanistica, ma non apre un vero dibattito pubblico sulle condizioni materiali dell’informazione, sul monopolio algoritmico, sulle dipendenze economiche da Big Tech. Barachini, ex Mediaset, oggi al centro di una triangolazione permanente tra governo, televisione privata e piattaforme, premia pubblicamente figure come Diego Ciulli di Google, che sui social spiega a giornalisti ed editori che “non bisogna più scrivere, ma fare video brevi”, certificando la subordinazione del mestiere alle logiche dei Reels. Intanto le famiglie che hanno costruito il mito del giornalismo italiano, come gli Elkann, disinvestono dalle testate storiche per spostare peso sulla nuova edicola globale dei social e delle piattaforme, arrivando a vendere un giornale simbolo dell’identità nazionale a un fondo saudita, mentre mantengono ruoli nevralgici nei consigli di amministrazione di colossi come Meta. Non è un incidente: è la fotografia plastica di un’editoria che ha scelto di perdere sovranità sul proprio prodotto pur di restare attaccata al flusso di soldi e influenza che passa dalle piattaforme. Poi c’è il capitolo Elon Musk e X, che ha cambiato la natura del gioco: non più l’editore che compra i giornali, ma l’imprenditore che acquista direttamente la piattaforma su cui passano contenuti e pubblicità. È un cambio di paradigma che il sistema italiano non ha mai digerito: è molto più difficile controllare un’infrastruttura globale che non vive di contributi pubblici, che può ospitare voci scomode e che ridefinisce in modo brutale la gerarchia delle fonti. Non a caso, lo stesso Benanti è stato tra i più ostili a X, allineandosi alla narrazione statunitense che dipinge Musk come una minaccia alla democrazia, mentre le stesse istituzioni italiane usano i social come vetrina di consenso e non come luogo di accountability.
In mezzo a tutto questo, lo sciopero assume un sapore paradossale: si fermano le redazioni tradizionali, ma non si ferma l’infrastruttura che le rende sostituibili. L’algoritmo continua a mostrare video, contenuti sponsorizzati, clip di influencer e propaganda politica. I grandi editori temporaneamente spengono la macchina, ma l’attenzione del pubblico viene immediatamente riassegnata ad altri attori – spesso meno trasparenti, quasi mai sottoposti a regole professionali. La domanda allora non è “scioperare sì o no”, ma che cosa si vuole ottenere da uno sciopero che non tocca il livello in cui risiede oggi il vero potere: la distribuzione algoritmica e il controllo dell’edicola digitale. La proposta di Matrice Digitale è rovesciare il tavolo: pensare l’edicola come infrastruttura pubblica, garantita da regole trasparenti, con algoritmi che rispettino pluralismo, verificabilità e tracciabilità, finanziata non come assistenzialismo ma come investimento nella sovranità editoriale. Uno Stato capace di sostenere davvero chi fa informazione senza trasformare il settore in un nuovo superbonus o in un reddito di cittadinanza mascherato. Ma questo tipo di scelta richiede una volontà politica che oggi non si vede, mentre in Europa si preferisce brandire slogan come “si vis pacem, para bellum”, utilizzando il lessico della guerra – anche digitale – per giustificare nuove forme di controllo del dissenso. Di queste contraddizioni, dei rapporti tra Benanti, Barachini, Google, Meta e della posta in gioco reale di questo sciopero tardivo, trovi l’analisi completa nell’articolo “Sciopero dei giornalisti: Benanti e Baracchini brindano alle spalle dell’informazione” su Matrice Digitale.
Garante Privacy, ACN e Crosetto: quando la guerra ibrida diventa narrazione di comodo
La vicenda del Garante Privacy che prima nega un’intrusione, poi presenta un esposto alla Procura di Roma per accessi illeciti nei propri uffici e nei sistemi informatici, non è solo un caso di sicurezza informatica. È il punto di convergenza tra fragilità istituzionale, guerra delle narrazioni e gestione politica della sovranità digitale. In un Paese in cui l’Autorità chiamata a proteggere i dati di milioni di cittadini diventa potenziale vittima di un’operazione ibrida e al tempo stesso strumento di una lotta di potere tra partiti, agenzie e piattaforme, parlare solo di “intrusione” significa vedere un frammento del quadro. Il passaggio dalla smentita iniziale all’esposto formale segna una retromarcia che brucia credibilità. Prima si liquida tutto come “mai accaduto”, poi si trasmette agli inquirenti una ricostruzione che parla di accessi fisici non autorizzati, possibili tentativi di sottrazione di documenti e potenziali compromissioni cyber. In mezzo, c’è il ruolo dei media – in particolare Report – che con i propri servizi mette in contraddizione la versione ufficiale del Garante e costringe l’Autorità a un cambio di linea. È un caso didattico di come il giornalismo possa diventare fattore determinante per innescare una reazione istituzionale che altrimenti non ci sarebbe stata.
Ma dentro questo caso c’è anche il profilo di chi, come Guido Scorza, si trova fisicamente presente nei locali del Garante il 1° novembre 2025 e diventa, a posteriori, una figura considerata “sensibile” nel dibattito sulla necessità di una scorta istituzionale. La narrazione costruita attorno a questa presenza – combinata con le ipotesi di ingerenze esterne, complotti interni, monitoraggio di personale e possibili fughe di dati – mostra quanto velocemente un giornalista che denuncia criticità possa essere trasformato, a seconda delle convenienze, in testimone, sospetto o bersaglio senza che il quadro venga chiarito fino in fondo. Intorno al Garante ruota anche un’altra dinamica: quella che riguarda la guerra ibrida agitata dal Ministro della Difesa Guido Crosetto e da una parte dell’apparato politico. Si parla di attacchi sistemici, perimetro cibernetico fragile, minacce russe, cinesi e iraniane, ma quando un giornalista subisce la chiusura dei propri profili Meta per aver denunciato truffe, quando una PEC alle istituzioni sulla rimozione di una testata da YouTube viene archiviata in poche ore, la macchina della sicurezza si gira dall’altra parte. È la dimostrazione che la retorica della guerra ibrida viene usata con elasticità, per colpire avversari esterni o per drammatizzare il dibattito, mentre chi denuncia vulnerabilità concrete viene spesso isolato invece che integrato nella risposta di sistema.
Nel frattempo, ACN – l’Agenzia nazionale per la cybersicurezza – viene rappresentata come presidio tecnico, ma resta defilata quando si tratta di affrontare denunce scomode come quelle di Andrea Mavilla sugli archivi istituzionali in vendita in banche dati commerciali estere. La Polizia Postale, al contrario, ritiene le segnalazioni sufficientemente serie da aprire un’indagine. È una frattura simbolica: l’organo operativo che indaga, l’agenzia che dovrebbe fare cultura e governance cyber che minimizza o ignora. Come se la priorità fosse evitare che certe falle diventino imbarazzo politico, più che correggere la vulnerabilità tecnica. Sul piano strettamente politico, la posizione del Partito Democratico, che attraverso Sandro Ruotolo chiede le dimissioni di Pasquale Stanzione, presidente del Garante nominato proprio dall’area dem, rivela lo stato di un’istituzione schiacciata tra logiche di parte e crisi di legittimazione. Non si discute solo di come sono stati gestiti i dossier, ma di chi deve pagare il prezzo di uno scandalo che parla anche di rapporti con Meta, case Ferragni, Sanremo, narrazioni social costruite attorno alla figura del Presidente Mattarella e di un ecosistema in cui le piattaforme diventano lobbisti di fatto del potere politico.
In questo contesto, Guido Scorza diventa paradossalmente “la figura più esposta”, non perché protetto dal sistema, ma perché collocato nel punto dove convergono interessi di Big Tech, inchieste televisive, resistenze istituzionali e guerra di posizionamento tra partiti. Il fatto che si parli, anche solo come ipotesi, di una scorta istituzionale non è tanto un riconoscimento, quanto un indicatore del livello di tensione intorno a chi prova a raccontare i rapporti sporchi tra dati, potere e piattaforme.Al di là del singolo caso, il quadro che emerge è quello di un Paese in cui Garante, ACN e Ministero della Difesa sono insieme vittime e carnefici della narrazione sulla guerra ibrida. Vittime, perché operano in un contesto in cui gli archivi circolano all’estero, le decisioni chiave sulla privacy vengono prese a Bruxelles o a Dublino, i social oscurano profili istituzionali e giornalistici con un clic. Carnefici, perché spesso usano quella stessa narrativa per scaricare responsabilità, reprimere il dissenso, legittimare ulteriori strati di controllo e sorveglianza, mentre chi denuncia viene lasciato solo.
Le domande che restano sono precise: chi controllerà davvero la messa in sicurezza degli archivi istituzionali? chi garantisce che l’esposto del Garante non diventi solo un atto di autotutela politica? chi decide quali denunce vengono prese sul serio e quali finiscono nel cestino? E soprattutto: come si può parlare di sovranità digitale italiana, se la risposta sistemica alle vulnerabilità dipende da quanto conviene – o non conviene – a chi occupa le stanze del potere?
Se vuoi entrare nel dettaglio delle date, dei passaggi dell’esposto, del ruolo di ACN, Crosetto, Report e dei database in vendita, trovi tutto negli articoli “Garante Privacy è sotto attacco, presenta esposto dopo aver negato l’intrusione: diamogli la scorta” e “Garante Privacy, ACN e Crosetto: vittime e carnefici della narrazione sulla guerra ibrida” su Matrice Digitale.
La strategia di sicurezza nazionale di Trump: America First come dottrina globale
La nuova strategia di sicurezza nazionale 2025 della presidenza Trump è molto più di un documento di politica estera: è un manifesto geo-economico che ridisegna il mondo come un mosaico di regioni da competere, contenere o integrare sulla base di un unico criterio: l’interesse nazionale statunitense declinato in chiave economica e culturale. Al centro c’è l’obiettivo dichiarato di portare l’economia americana da 27,5 trilioni di euro nel 2025 a 36,7 trilioni nel 2030, usando come leve innovazione tecnologica, infrastrutture critiche e tecnologie dual-use. La Cina è indicata come il principale competitore strategico, accusata di avere sfruttato le aperture commerciali senza integrarsi davvero nell’ordine internazionale. L’Indo-Pacifico viene definito la regione strategicamente più importante del pianeta, quasi metà del PIL mondiale a parità di potere d’acquisto. Qui la strategia prevede non solo il rafforzamento di formati come il Quad, ma anche una rete di partnership mirate con Paesi come l’India, che diventano pillar della nuova architettura economica e di sicurezza. L’obiettivo è un mix di reciprocità commerciale, difesa della proprietà intellettuale e contrasto alle pratiche ritenute predatorie: dazi mirati, limiti agli investimenti cinesi in settori sensibili, controlli più rigidi sulle esportazioni di tecnologie critiche. Dietro il lessico della sicurezza, c’è la consapevolezza che il terreno vero dello scontro è economico e tecnologico: spazio, AI, sistemi autonomi, tecnologie quantistiche, infrastrutture digitali e fisiche diventano campo di battaglia per il vantaggio competitivo. Il documento non nasconde che, per mantenere la supremazia, gli Stati Uniti devono integrare strettamente pubblico e privato, chiedendo alle grandi aziende tecnologiche di cooperare nella gestione delle minacce cyber e nella protezione di supply chain ritenute vitali. L’Europa viene descritta come una regione afflitta da stagnazione economica, eccesso di regolazione transnazionale, declino demografico e crisi delle libertà politiche. Si sottolinea il crollo del peso europeo sul PIL globale, dal 25 percento del 1990 al 14 percento attuale, letto come prova del deterioramento competitivo. La strategia propone non uno scontro, ma una sorta di “riprogettazione” dell’alleanza, in cui gli Stati Uniti puntano a un continente che “rimanga europeo”, recuperi fiducia culturale e si riassuma parte della responsabilità per la propria sicurezza. Sulla guerra in Ucraina, il documento rompe con la narrazione dell’impegno illimitato: non nega il sostegno, ma spinge verso una cessazione negoziata delle ostilità, argomentando che il prolungamento del conflitto alimenta instabilità economica, dipendenza energetica e rischi di escalation. L’obiettivo è una Europa capace di difendersi da sola, con gli Stati Uniti più come arbitro strategico che come garante automatico, e una NATO da considerare strumento, non religione. L’idea di frenare l’espansione perpetua dell’Alleanza non è un abbandono, ma un invito a riconsiderare quando e dove ha senso dilatare i confini della sicurezza collettiva. Nel Medio Oriente, la discontinuità è ancora più evidente. Non essendo più vincolati dalla dipendenza energetica, gli Stati Uniti rivendicano il ruolo di esportatore netto di energia e ridisegnano la regione come teatro da stabilizzare con il minimo impegno diretto, attraverso partnership funzionali. L’operazione Midnight Hammer contro le capacità destabilizzanti iraniane e il cessate il fuoco tra Israele e Palestina vengono presentati come esempi di un approccio che punta a ridurre i fronti aperti, evitando il nation-building e privilegiando sicurezza delle rotte, prevenzione di santuari terroristici e protezione di Israele come interesse vitale. Gli Accordi di Abramo restano centrali, ma ora in chiave di architettura regionale che consenta a Washington di concentrare risorse sull’emisfero occidentale e sull’Indo-Pacifico.
L’Africa viene spostata dal perimetro della “filantropia” a quello degli investimenti. La strategia giudica fallimentare la logica degli aiuti allo sviluppo e propone un modello basato su selezione di partner affidabili, focus su energia, minerali critici, gas naturale, infrastrutture nucleari. Si parla di mitigare conflitti come Rwanda-DRC o Sudan, ma soprattutto di creare condizioni per integrare l’Africa nei mercati americani tramite commercio e investimenti, non tramite dipendenza assistenziale. È la declinazione di America First su scala globale: ogni area del mondo viene valutata in base a quanto contribuisce alla crescita economica e alla sicurezza degli Stati Uniti. In controluce, il documento contiene anche un messaggio politico interno: la priorità resta la sopravvivenza della repubblica sovrana, la protezione dei confini, la salute culturale e la ricostruzione di un’economia innovativa ma radicata negli interessi dei cittadini americani. La politica estera non è più il terreno su cui “esportare valori”, ma lo strumento per ricondurre risorse, know-how e vantaggi a casa. Gli alleati sono partner finché contribuiscono a questo obiettivo; oltre, diventano zavorra da gestire con realismo.
Se vuoi vedere come questa dottrina impatta su Europa, Cina, Medio Oriente e Africa, quali numeri e scenari vengono usati per giustificare le scelte e come cambia la posizione dell’Italia in questo mosaico, trovi l’analisi completa sulla nuova strategia di sicurezza nazionale 2025 di Trump su Matrice Digitale.
Intellexa, Brickstorm e MuddyWater: la filiera globale della guerra invisibile
Sul fronte cyber, la settimana mette in fila tre tasselli che sembrano lontani tra loro, ma raccontano la stessa storia: quella di una guerra invisibile che passa da spyware commerciale, backdoor statali e campagne di cyber spionaggio coordinate. Da un lato c’è Intellexa, il vendor che domina il mercato degli exploit zero-day per dispositivi mobili, alimentando lo spyware Predator con catene sempre più sofisticate per iOS e Android. Quindici vulnerabilità uniche attribuite dal 2021, una ripetizione ossessiva di bug di memoria, use-after-free, type confusion nel motore V8 di Chrome, in Android Runtime, nel kernel iOS, nel driver ARM Mali. Il quadro tracciato da Google Threat Intelligence Group parla di una vera e propria industria della vulnerabilità, in cui Intellexa acquista o integra exploit da terze parti, costruisce framework modulari come JSKit e componenti avanzati come PREYHUNTER, e li assembla in catene a tre stadi in grado di bypassare sandbox, ottenere privilegi kernel e installare spyware in modo quasi invisibile. Le tecniche di delivery seguono la stessa logica industriale: link one-time inviati via app cifrate, campagne che sfruttano inserzioni pubblicitarie manipolate, aziende di facciata che comprano spazi nell’ecosistema advertising per eseguire fingerprinting avanzato e reindirizzare i target verso server controllati. È un modello che abusa del trust delle piattaforme pubblicitarie e trasforma il normale flusso di browsing in un campo minato in cui basta un clic per finire sotto sorveglianza. Le patch di Apple, Google e ARM arrivano, ma Intellexa aggiorna le chain quasi in tempo reale, sostituendo l’anello neutralizzato con un nuovo exploit. Le sanzioni americane rallentano, ma non fermano il business.
Al centro, un tema: se un vendor commerciale è in grado di mantenere una produttività di exploit superiore a quella di molti Stati, che cosa significa per la sicurezza dei telefoni su cui facciamo banking, gestiamo identità, comunicazioni, lavoro?
Sul versante opposto dell’infrastruttura, tra datacenter e virtualizzazione, si muove Brickstorm, la backdoor attribuita ad attori della Repubblica Popolare Cinese che prende di mira VMware vSphere, vCenter, ESXi e sistemi Windows. Una campagna osservata tra la primavera 2024 e settembre 2025, con accesso persistente ai server, movimento laterale silenzioso, esfiltrazione continua di dati. La backdoor è scritta in Go, pensata per mimetizzarsi nelle configurazioni init, auto-ripristinarsi in caso di rimozione e sfruttare un C2 multilivello basato su DNS-over-HTTPS, handshake TLS annidati, WebSockets, multiplexing via Smux e Yamux. Brickstorm si comporta come un sistema operativo ombra, con un proxy SOCKS per il movimento laterale, un web server camuffato che restituisce HTML pulito ma nasconde API di gestione file, e moduli dedicati come Vsock per la comunicazione inter-VM senza uscire dal perimetro fisico. È il sogno di qualsiasi attore statale che voglia entrare, restare e vedere tutto dentro un’infrastruttura virtualizzata: clonare snapshot, creare VM “fantasma”, esfiltrare dati, manipolare autenticazioni. Le raccomandazioni di Cisa, NSA e Canadian Cyber Centre parlano chiaro: serve hardening totale di VMware, segmentazione, blocco di RDP nelle DMZ, controllo del traffico DoH. Ma nella pratica, quante organizzazioni hanno la maturità per farlo davvero?
Infine, nella stessa settimana si muove MuddyWater, gruppo iraniano di cyberespionaggio legato al Ministero dell’Intelligence, che colpisce organizzazioni in Israele (con un caso confermato in Egitto) usando un toolset rinnovato: loader Fooder che esegue in memoria la backdoor MuddyViper, rubacredenziali come CE-Notes, LP-Notes, Blub, tool di tunneling basati su go-socks5. La campagna, attiva tra settembre 2024 e marzo 2025, mostra un salto di qualità: funzioni di ritardo ispirate al gioco Snake per evadere analisi automatiche, uso di API crittografiche CNG moderne, persistenza discreta con task schedulati e uso mirato di servizi cloud legittimi. Ancora più interessante è la sovrapposizione con Lyceum, altro gruppo iraniano che sfrutta le credenziali ottenute da MuddyWater per consolidare l’accesso. Uno attore come broker di accesso iniziale, l’altro come gestore di compromissioni profonde: è il segnale che stiamo entrando in una fase in cui i gruppi di minaccia si specializzano per funzione e cooperano, esattamente come fanno le aziende lungo la supply chain.
Intellexa, Brickstorm, MuddyWater non sono tre storie separate: sono la prova che la guerra informatica è ormai un mercato integrato, dove vendor commerciali, apparati statali occidentali, cinesi e iraniani giocano sullo stesso terreno: zero-day, catene di exploit modulari, backdoor stealth, tunneling avanzato, uso creativo del legittimo. A fare da cuscinetto tra questi mondi ci sono gli advisories, le YARA, le Sigma, i report di threat intelligence. Ma finché la domanda di sorveglianza, accesso clandestino e controllo remoto resterà alta, ci sarà sempre una nuova Intellexa, un nuovo Brickstorm, un nuovo MuddyWater pronti a riempire il vuoto.
Se vuoi entrare nel dettaglio delle catene di exploit usate da Intellexa, dell’architettura di Brickstorm su VMware e della campagna di MuddyWater contro Israele, trovi le analisi complete negli articoli “Intellexa domina gli exploit zero-day con catene iOS e Android sempre più sofisticate”, “Brickstorm: backdoor cinese per il controllo persistente di VMware vSphere” e “MuddyWater attacca Israele con nuovi malware personalizzati e tecniche di persistenza avanzate” su Matrice Digitale.
React2Shell, Cisa, Apache Tika e l’outage Cloudflare: quando una patch fa tremare il web
Sul fronte della vulnerabilità software, la combinazione tra CVE-2025-55182, le falle in Apache Tika e l’outage globale di Cloudflare racconta un’altra verità scomoda: l’ecosistema digitale è diventato talmente interdipendente che una singola scelta di mitigazione può spegnere il 28 percento del traffico HTTP globale nel giro di pochi minuti.
Tutto parte da React2Shell, nome assegnato a CVE-2025-55182, una vulnerabilità di remote code execution nei React Server Components. La falla colpisce versioni specifiche di React 19 e framework collegati come Next.js, React Router e i pacchetti basati sul protocollo React Server Flight. In pratica, un attaccante può inviare richieste HTTP appositamente costruite verso endpoint server-side vulnerabili e ottenere esecuzione di codice non autenticata. La superficie è enorme: qualunque applicazione moderna che usa il modello server-side rendering con React si trova potenzialmente esposta. Cisa reagisce inserendo la CVE nel catalogo delle Known Exploited Vulnerabilities, il che significa due cose: sfruttamento attivo già osservato e obbligo di remediation per le agenzie federali americane secondo la BOD 22-01 entro una data precisa. Ai privati, Cisa non può imporre nulla, ma il messaggio è chiaro: se non patchi, stai offrendo una backdoor già in uso a gruppi di minaccia reali. Vendor e cloud provider si muovono velocemente, distribuendo patch e aggiornando le regole WAF per bloccare pattern noti di exploit. In parallelo, vengono segnalate campagne attribuite a gruppi collegati alla Cina, che sfruttano React2Shell poche ore dopo la disclosure pubblica. Nel frattempo, sul fronte della supply chain documentale, Apache amplia lo scope di CVE-2025-54988 includendo Tika core, Tika parsers, modulo PDF, e introduce una nuova CVE, CVE-2025-66516, legata a problemi simili nella pipeline di parsing. Qui il rischio è duplice: da un lato il denial-of-service tramite file costruiti per mandare in crisi il parser; dall’altro, scenari in cui la manipolazione del parsing porta a comportamenti imprevisti che possono diventare, in certe configurazioni, percorsi verso l’esecuzione di codice. Ogni applicazione che elabora documenti caricati dagli utenti tramite Tika diventa potenziale vettore: sistemi di gestione documentale, motori di ricerca enterprise, piattaforme di e-discovery, servizi cloud. Le raccomandazioni sono quelle che qualsiasi esperto di sicurezza ripete da anni: aggiornare subito alle versioni patchate, fare audit delle dipendenze, validare l’input, disabilitare i parser non necessari, isolare i processi di parsing in sandbox. Ma il problema è strutturale: le librerie open source sono diventate l’ossatura di migliaia di applicazioni, spesso integrate senza una vera governance delle dipendenze. Quando una vulnerabilità emerge, la catena decisionale per applicare la patch è lenta, spezzata tra dev, security, operations, business, e nel frattempo gli attaccanti hanno una finestra perfetta per colpire.
In questo contesto già teso, arriva la scelta di Cloudflare di applicare mitigazioni urgenti in edge contro React2Shell. Per bloccare i pattern di exploit, l’azienda modifica la logica di parsing del body HTTP nel proprio network globale. Il risultato è un incidente storico: una percentuale enorme del traffico servito da Cloudflare – circa il 28 percento del traffico HTTP mondiale – inizia a restituire errori 500, interrompendo e-commerce, media, servizi online, API, perfino dashboard interne. Lo stesso status page di Cloudflare viene colpito. Il CTO Dane Knecht è costretto a intervenire pubblicamente per chiarire che non si tratta di un attacco, ma di un effetto collaterale della patch emergenziale. In poche ore, Cloudflare sviluppa e distribuisce un fix correttivo che ripristina un parsing stabile, mantenendo al contempo le mitigazioni contro React2Shell. La finestra di impatto si chiude, ma il segnale resta: una singola modifica difensiva in un punto nevralgico della rete può creare un blackout globale. È il prezzo di un modello in cui un ristretto numero di provider infrastrutturali concentra su di sé traffico, performance e sicurezza di buona parte del web. Non è solo un tema di “single point of failure”, ma di come bilanciare la risposta rapida a una zero-day sfruttata attivamente con la necessità di non spegnere internet nel processo.
La lezione combinata di React2Shell, Tika e Cloudflare è brutale:
– la velocità dell’exploit ha ormai la stessa scala della velocità della distribuzione software;
– i provider di sicurezza e performance sono diventati attori sistemici, le cui scelte hanno impatti geopolitici oltre che tecnici;
– non esiste più una linea netta tra vulnerabilità di framework applicativi, librerie di parsing e infrastruttura edge: sono tutti strati della stessa superficie d’attacco.
Se vuoi capire quali versioni sono affette, come funziona React2Shell, perché Tika è un esempio perfetto dei rischi della supply chain open source e cosa è successo nell’outage globale di Cloudflare, trovi l’approfondimento completo negli articoli “Cisa aggiunge CVE-2025-55182 mentre Apache amplia lo scope delle vulnerabilità Tika” e “Cloudflare va in outage globale dopo la patch di emergenza per React2Shell” su Matrice Digitale.
Saluti dal Dark Web dell’informazione: quello che Google non mostra, YouTube censura e Meta epura.
Cosa hai perso questa settimana?
Vulnerabilità informatiche: qui per restare aggiornato
Guerra Cibernetica: gli unici ad aggiornarvi H24
Malware: tutte le minacce emergenti e quelle persistenti
Intelligenza Artificiale: le news in tempo reale
Robotica: scopri come saranno gli umani del futuro
Glossario cibernetico: studia e impara la cybersecurity
Smartphone: tutti i confronti realizzati dalla Redazione
Iscriviti al canale Google News di Matrice Digitale