È un PDF, cosa vuoi che succeda? Eppure proprio un PDF pericoloso ha messo a rischio aziende di tutto il mondo per quasi cinque mesi.
La fattura che nessuno ha messo in dubbio
Pensate a quello che succede ogni mattina in qualsiasi ufficio amministrativo d’Italia. Arriva una PEC, c’è un allegato PDF — una fattura, un ordine, una comunicazione di un ente. Lo si apre senza pensarci. È un PDF, cosa vuoi che succeda? Eppure proprio un PDF pericoloso ha messo a rischio aziende di tutto il mondo per quasi cinque mesi.
Ecco: da novembre 2025 fino a pochi giorni fa, per quasi cinque mesi, quello che poteva succedere era questo. Aprivi il file e non vedevi nulla di strano: la fattura si visualizzava normalmente. Ma in quel preciso istante un codice nascosto dentro il documento aveva silenziosamente raccolto informazioni sul tuo computer — sistema operativo, software installati, percorsi di rete — e le aveva spedite a un server controllato dall’attaccante. Senza un click, senza una macro, senza un messaggio di avviso.
Il primo campione malevolo individuato dai ricercatori si chiamava “Invoice540.pdf“. Una fattura.
Lo zero-day che ha attraversato l’inverno indisturbato
L’11 aprile Adobe ha rilasciato una patch d’emergenza per una vulnerabilità critica in Acrobat Reader, classificata come CVE-2026-34621 con un punteggio di gravità di 8.6 su 10. Ma il primo file malevolo che sfruttava questa falla era stato caricato su VirusTotal il 28 novembre 2025 — quasi cinque mesi prima. In tutto quel tempo, chiunque aprisse un PDF costruito ad hoc con Adobe Reader era esposto, senza che esistesse alcuna difesa specifica.
La falla è nel motore JavaScript integrato in Acrobat Reader. L’attacco funziona in due fasi: prima il PDF “studia” il computer della vittima, raccoglie informazioni e le invia agli attaccanti. Poi, se il bersaglio risulta interessante, scarica un secondo componente capace di prendere il controllo completo della macchina — eseguire comandi, rubare credenziali, muoversi nella rete aziendale.
I documenti malevoli individuati finora contenevano testi in russo legati al settore petrolifero, il che fa pensare a una campagna mirata di spionaggio industriale. Ma questo non deve rassicurare nessuno: la vulnerabilità è universale, funziona su Windows e macOS, su tutte le versioni di Acrobat Reader precedenti alla patch. E nulla impedisce ad altri gruppi criminali di usare la stessa tecnica con esche diverse — magari una fattura dell’Enel, una comunicazione dell’Agenzia delle Entrate, un contratto da firmare.
La CISA americana — l’agenzia federale per la cybersicurezza — ha inserito questa vulnerabilità nel catalogo delle falle attivamente sfruttate, ordinando a tutte le agenzie governative di aggiornare entro il 27 aprile.
Perché un PDF pericoloso colpisce prima le aziende italiane
In Italia il PDF non è un formato tra tanti. È il formato. Fatture elettroniche, documenti della pubblica amministrazione, allegati PEC, ordini, contratti: tutto viaggia in PDF. E tutto viene aperto per riflesso condizionato, perché il PDF ha uno status di fiducia implicita che nessun altro tipo di file possiede. Nessuno sospetta di una fattura in PDF ricevuta via PEC.
Questo rende le PMI italiane particolarmente esposte, ma c’è un aggravante che conosco bene perché lo vedo ogni giorno nel mio lavoro: nella maggior parte delle piccole e medie imprese, Adobe Reader non viene aggiornato in modo centralizzato. Si aggiorna “quando capita”, quando compare quel popup che tutti chiudono perché “adesso sto lavorando”. Oppure non si aggiorna mai.
E il motivo è comprensibile: un ufficio IT interno con uno o due tecnici non ha materialmente il tempo di fare il giro di tutti i computer ogni settimana per controllare manualmente lo stato degli aggiornamenti delle applicazioni di terze parti. Windows si aggiorna da solo, più o meno. Ma Reader? Java? Il browser? Quelli restano indietro. È esattamente così che un PDF pericoloso attraversa le difese di un’azienda: dalla porta che nessuno si è ricordato di chiudere.
Conseguenza concreta: se un dipendente avesse aperto un PDF malevolo in questi mesi, l’attaccante avrebbe avuto un punto d’accesso alla rete aziendale. Da lì poteva muoversi lateralmente, raggiungere il server, cifrare i dati con un ransomware, esfiltrare documenti riservati. Tutto partendo da una fattura aperta di fretta tra una telefonata e un caffè.
Cosa fare adesso — e come evitare la prossima volta
La prima azione è urgente e non rinviabile: aggiornare Adobe Acrobat Reader all’ultima versione su tutti i computer aziendali. La versione corretta è la 26.001.21411 per Acrobat DC e Reader DC. Non domani, non al prossimo giro di manutenzione. Adesso.
Se per qualsiasi motivo non potete aggiornare subito, ci sono due misure tampone. La prima: disabilitare JavaScript dentro Acrobat Reader (Modifica → Preferenze → JavaScript → togliere la spunta a “Abilita JavaScript di Acrobat”). Questo rompe la catena d’attacco di questa specifica vulnerabilità. La seconda: attivare la Protected Mode nelle impostazioni di sicurezza avanzata, che limita i danni di exploit futuri.
Ma il vero punto è un altro: come evitiamo di trovarci di nuovo con la porta aperta per mesi senza saperlo?
Servono tre cose che dovrebbero far parte dell’infrastruttura di qualsiasi azienda, anche piccola.
La prima è un sistema di gestione centralizzata degli aggiornamenti che copra non solo Windows, ma tutte le applicazioni di terze parti — Reader, browser, Java, tutto. Noi in Kaos Informatica usiamo NinjaOne proprio per questo: automatizziamo l’aggiornamento settimanale di Windows e di tutti i software di terze parti su ogni endpoint gestito (diverse centinaia). Adobe Reader compreso. Se questa patch fosse uscita di martedì, mercoledì mattina tutti i computer dei nostri clienti gestiti l’avrebbero già avuta installata, senza che nessun tecnico dovesse alzarsi dalla sedia.
La seconda è una protezione perimetrale che analizzi gli allegati prima che arrivino sulla scrivania. Un firewall SonicWall, con la funzione attiva di sandbox Capture ATP, fa esattamente questo: apre il file in un ambiente isolato, lo osserva, e solo se è pulito lo lascia passare. Anche quando il malware è nuovo e sconosciuto.
La terza è una protezione sull’endpoint — un antivirus di nuova generazione, un EDR — che rilevi comportamenti anomali anche quando l’attacco è uno zero-day che nessuna firma conosce ancora. Sonicwall Capture Client, è l’EDR che consigliamo, infatti unisce il pluripremiato motore SentinelOne e la sandbox Capture ATP.
Nessuna di queste tre difese da sola è sufficiente. Ma tutte e tre insieme avrebbero intercettato questo attacco in almeno uno dei passaggi — anche durante quei cinque mesi in cui la patch non esisteva.
Il PDF pericoloso di cui nessuna azienda si preoccupa
Questa storia ci ricorda una cosa scomoda: il PDF è diventato il file di cui tutti ci fidiamo. Lo apriamo per riflesso, senza chiederci da dove arriva veramente, senza controllare se il nostro Reader è aggiornato, senza pensare che un documento dall’aspetto innocuo possa essere un’arma silenziosa.
Non serve diventare paranoici. Serve smettere di dare per scontato che “è solo un PDF”.
Se non sapete con certezza quale versione di Adobe Reader gira sui computer della vostra azienda, è il momento giusto per scoprirlo. E se la risposta vi preoccupa, parliamone.
🧩 Kaos Informatica ti può aiutare
Se vuoi, in Kaos Informatica possiamo aiutarti a:
✅Capire come tenere monitorati e aggiornati tutti i tuoi device,
✅rafforzare filtri e protezioni endpoint con EDR di ultima generazione e monitoraggio proattivo,
✅verificare se ci sono state compromissioni e bonificare in modo corretto.
Contattaci e parliamone insieme
