Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

0-day SharePoint sfruttate a livello globale, attacchi DDoS e ransomware in Italia, la Russia nel mirino del Regno Unito

ToolShell: 0-day di Microsoft SharePoint sfruttate da avversari cinesi 

Microsoft ha rilasciato aggiornamenti per due vulnerabilità 0-day di SharePoint che sono state  
sfruttate, a partire almeno da venerdì 18 luglio 2025, nell’ambito di una campagna su larga scala, che ha compromesso i server SharePoint on-premises di oltre 54 organizzazioni in tutto il mondo, tra cui agenzie federali e statali degli Stati Uniti (compresa la National Nuclear Security Administration – NNSA), agenzie governative europee, università, società energetiche e un’azienda di telecomunicazioni asiatica. Tracciate con codice CVE-2025-53770 (CVSS 9.8) e CVE-2025-53771 (CVSS 6.3), le due falle sono varianti rispettivamente dei problemi CVE-2025-49704 e CVE-2025-49706, notificati nel Patch Tuesday di luglio 2025. Nel dettaglio, CVE-2025-53770 è una Deserialization of Untrusted Data, che consente a un avversario non autorizzato di eseguire codice. Quanto a CVE-2025-53771, è una Path Traversal che permette a un attaccante autorizzato di eseguire attività di spoofing. Nel dettaglio, gli attacchi identificati sono stati attribuiti ad avversari state-sponsored di matrice cinese – Emissary Panda, APT31 e Storm-2603 – e si basano su un’exploit chain soprannominata ToolShell, composta da CVE-2025-49704 e CVE-2025-49706 (successivamente evolute in CVE-2025-53770 e CVE-2025-53771). Quest’ultima permette agli attaccanti di rilasciare payload ASPX malevoli, che poi, attraverso PowerShell vanno a recuperare MachineKey per mantenere un accesso persistente. Queste chiavi consentono di falsificare payload ViewState validi, permettendo l’esecuzione di comandi remoti completamente affidabili tramite strumenti come ysoserial. Tali payload possono incorporare qualsiasi comando malevolo e vengono accettati dal server come input attendibile, completando la catena RCE senza richiedere credenziali. Le falle in questione interessano solo i server SharePoint on-premises e non influiscono su SharePoint Online in Microsoft 365. 

Italia: target nel mirino di Dark Storm Team, NoName057(16) e INC RANSOM Team

Continuano gli attacchi DDoS rivolti contro target italiani a opera di gruppi hacktivisti. Dark Storm Team ha rivendicato nuove offensive ai danni dei portali di OM Carrelli Elevatori S.p.A. – parte della multinazionale tedesca Kion Group (anche se il sito indicato è quello della divisione indiana) – e del Comune di Rimini. Il collettivo filorusso NoName057(16) ha lanciato la campagna “Time Of Retribution” come ritorsione contro Operation Eastwood. In particolare, ha dichiarato che l’operazione di Polizia internazionale non ha prodotto conseguenze effettive e ha rilasciato su Telegram un Manifesto nel quale ribadisce il proprio sostegno alla Russia, invitando nuovi affiliati a partecipare al progetto hacktivista contro l’Occidente. Tra le organizzazioni italiane prese di mira figurano: Comune di Aymavilles; Comune di Milano; Comune di Perugia; Roma Capitale; Regione Abruzzo; Comune di Antey-Saint-André; Comune di Parma; Regione Molise; Regione Basilicata; Ministero delle Infrastrutture e dei Trasporti; Ministero delle Imprese e del Made in Italy; Azienda Trasporti Bergamo (ATB); Autorità di Sistema Portuale del Mare Adriatico Orientale – Porto di Trieste; Comune di Catania; Autorità di Sistema Portuale del Mar Ligure Occidentale; Aeronautica Militare; Guardia di Finanza; Autorità di Sistema Portuale del Mare Adriatico Centrale; Autorità Portuale di Olbia e Golfo Aranci (Il portale risulta non attivo in quanto l’Autorità in questione è stata accorpata all’Autorità di Sistema Portuale del Mare di Sardegna); Autorità di Sistema Portuale del Mare Adriatico Centro Settentrionale – Porto di Ravenna. Sul versante ransomware, invece, INC RANSOM Team ha dichiarato la sua responsabilità dietro la compromissione della fondazione culturale La Biennale di Venezia, attiva prevalentemente nelle arti figurative, ma anche nella musica, nel cinema, nel teatro, nell’architettura e nella danza.

Regno Unito: sanzioni e attribuzioni nei confronti della Russia  

Il governo del Regno Unito ha sanzionato tre unità (26165, 29155 e 74455) e 18 ufficiali e agenti del Main Intelligence Directorate russo noto come GRU, per il loro ruolo in operazioni di interferenza informatica e informativa in tutto il mondo a sostegno di più ampi obiettivi geopolitici e militari russi. Contestualmente, il National Cyber Security Centre del GCHQ (Government Communications Headquarters) del Regno Unito ha rivelato che il gruppo state-sponsored russo Sofacy, parte dell’85° Centro per i servizi speciali del GRU russo – Unità 26165, ha utilizzato un malware finora sconosciuto, denominato AUTHENTIC ANTICS, per spiare account di posta elettronica Microsoft Outlook. Si tratta di una minaccia altamente mirata che prende di mira Windows, scoperta nel 2023, progettata per consentire l’accesso persistente a lungo termine agli account di posta elettronica delle vittime, mimetizzandosi con attività legittime e utilizzando tecniche avanzate di elusione dei sistemi di difesa sull’host e sulla rete. In particolare, il malware viene eseguito all’interno del processo Outlook e produce richieste di accesso periodiche per intercettare ed esfiltrare credenziali e token OAuth 2.0 dell’account Office target, che consentono l’accesso ai servizi Microsoft. AUTHENTIC ANTICS è composto da una varietà di componenti: un dropper; uno stealer; e alcuni script PowerShell associati. Le comunicazioni di rete effettuate dalla minaccia avvengono esclusivamente con servizi legittimi. Nel malware non è implementato alcun sistema di comando e controllo (C2), ma solo un metodo per scaricare i token delle vittime e sottrarre informazioni. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence