Teams: l’esca di KongTuke. Il mio allarme nel 2026.
Il 2026 è appena iniziato, ma già ci porta notizie che, a mio avviso, dovrebbero tenere svegli molti CISO e responsabili IT. L’ultima rivelazione di ReliaQuest è un pugno nello stomaco: Microsoft Teams, la piattaforma di collaborazione che milioni di aziende usano quotidianamente, è diventata un nuovo, pericoloso canale operativo per il gruppo KongTuke. Questo non è un semplice attacco, è un’evoluzione strategica nel modus operandi di chi cerca l’accesso iniziale alle reti aziendali.
KongTuke, per chi non lo sapesse, è un nome che risuona sinistramente nel sottobosco degli Initial Access Brokers (IABs). Questi gruppi non sono i criminali che rubano i dati o cifrano i sistemi per un riscatto. No, sono i fornitori di servizi, gli ‘apripista’ del crimine informatico. Il loro business è semplice quanto redditizio: infiltrarsi nelle reti aziendali, ottenere un punto d’appoggio persistente e poi vendere quell’accesso a chiunque sia disposto a pagare. Che si tratti di ransomware, spionaggio industriale o furto di dati su larga scala, gli IABs sono il primo anello di una catena criminale devastante. E ora, hanno messo gli occhi su Teams.
La meccanica dell’attacco è subdola. Gli aggressori, affiliati a KongTuke, contattano i dipendenti direttamente tramite chat esterne su Teams. Pensateci un attimo: un messaggio arriva, magari da un account che sembra legittimo, o che sfrutta una tecnica di social engineering ben congegnata. Potrebbe essere un finto fornitore, un potenziale partner commerciale, o persino un recruiter. Il confine tra comunicazione interna ed esterna è sempre più labile, e Teams, nella sua onnipresenza, diventa il terreno fertile ideale per questo tipo di inganno. Non è un exploit tecnico sofisticato, è un attacco alla fiducia, alla percezione di sicurezza che un dipendente ha quando usa uno strumento aziendale.
Perché Teams? La risposta è ovvia. Nel 2026, la sua diffusione è capillare. È il centro nevralgico della collaborazione per un’infinità di organizzazioni. File sharing, chiamate, riunioni, chat: tutto passa da lì. Permettere chat esterne significa aprire una porta, a volte senza un controllo adeguato sulla reputazione o l’identità del mittente. Per un IAB come KongTuke, è come trovare un pozzo d’acqua nel deserto. L’obiettivo non è bucare Teams in sé, ma sfruttare la sua interfacciabilità e la sua posizione privilegiata all’interno dell’ecosistema aziendale per ottenere le credenziali iniziali, o per indurre un dipendente a scaricare un malware.
Questa strategia non è nuova nel panorama degli attacchi informatici, ma il suo adattamento a piattaforme collaborative come Teams segna un salto di qualità nella sofisticazione del social engineering. Non si tratta più solo di email di phishing. Ora, l’attacco arriva da un canale che molti considerano intrinsecamente più sicuro, o almeno più controllato, rispetto alla posta elettronica. L’errore umano, purtroppo, rimane il vettore più efficace e più difficile da mitigare. Un click sbagliato, una conversazione apparentemente innocua, e il danno è fatto. La mia preoccupazione è che molte aziende non abbiano ancora adeguato le proprie policy di sicurezza e i programmi di formazione alla realtà delle minacce che emergono dalle piattaforme collaborative.
Dobbiamo essere chiari: la colpa non è di Teams o di Microsoft. La responsabilità è delle aziende che devono implementare configurazioni robuste, educare i propri dipendenti e monitorare costantemente le attività. Nel 2026, la sicurezza informatica non è più un optional, è una componente strategica irrinunciabile. Ogni punto di contatto digitale, ogni applicazione, ogni strumento di comunicazione deve essere considerato un potenziale punto debole. Il rischio è enorme: una volta che KongTuke o un gruppo simile ottiene l’accesso, lo vende al miglior offerente. E quel ‘miglior offerente’ potrebbe essere un gruppo ransomware che paralizza la vostra infrastruttura, o un attore statale che ruba i vostri segreti industriali.
Le implicazioni sono profonde. Le aziende devono rivedere le proprie policy sull’uso delle chat esterne. È davvero necessario che tutti i dipendenti possano ricevere messaggi da chiunque fuori dall’organizzazione? Esistono alternative più sicure o configurazioni che limitano questo rischio? La risposta, troppo spesso, è no. La comodità ha la precedenza sulla sicurezza, fino a quando non è troppo tardi. Dobbiamo capire che la minaccia non è solo tecnologica, ma anche umana e procedurale. Le linee guida delle agenzie di sicurezza sono chiare: la consapevolezza è la prima linea di difesa.
In questo contesto, l’intelligenza artificiale gioca un ruolo duplice. Da un lato, gli attaccanti la usano per creare messaggi di social engineering più convincenti, per automatizzare la ricerca di bersagli o per sferrare attacchi più rapidi e mirati. Dall’altro, le soluzioni di sicurezza basate su AI sono fondamentali per rilevare anomalie, identificare schemi di attacco emergenti e bloccare le minacce prima che possano causare danni. Ma l’AI non è una bacchetta magica. Richiede un’implementazione attenta, un addestramento continuo e, soprattutto, l’intervento umano per interpretare e reagire agli alert. Europol e altre agenzie sottolineano l’importanza di un approccio olistico.
Quello che è successo con KongTuke e Teams deve essere un monito severo. Non possiamo permetterci di ignorare la minaccia emergente dalle piattaforme collaborative. La superficie d’attacco si è ampliata, e le strategie dei cybercriminali si sono affinate. Questo non è un problema che si risolve con un software installato e dimenticato. Richiede una cultura della sicurezza che permei ogni livello dell’organizzazione, dalla dirigenza al singolo impiegato. Significa investire nella formazione, nell’aggiornamento tecnologico e in processi di risposta agli incidenti chiari e rapidi.
Nei prossimi 6-12 mesi, mi aspetto che l’attenzione sulla sicurezza delle piattaforme di collaborazione raggiunga un nuovo picco, costringendo molte aziende a ripensare radicalmente le proprie policy di accesso esterno e la formazione dei dipendenti. La posta in gioco è troppo alta per non agire subito. Siamo nel 2026, e l’era in cui si poteva dare per scontata la sicurezza di uno strumento di comunicazione è finita.
