APT tra Oriente e Occidente, novità tra i malware, tre 0-day sfruttate in campagne malevole
APT: campagne state-sponsored rilevate in tutto il globo
Questa settimana sono state tracciate molteplici campagne ad opera di avversari state-sponsored di varia matrice su scala mondiale. In Russia, il sottogruppo di Sandworm, noto come Seashell Blizzard, ha preso di mira infrastrutture critiche in Ucraina e in Europa, nel settore agricolo, della Difesa, dei trasporti e manifatturiero. Mediante e-mail di phishing, l’attaccante ha distribuito allegati XLL con incorporato ExcelDNA e contenenti un malware custom chiamato CheapShot, il quale scaricava e avviava un payload secondario nominato ShroudDoor. Il gruppo Lunar Spider, invece, ha sfruttato falsi CAPTCHA per colpire il settore finanziario europeo, veicolando il loader Latrodectus per raccogliere informazioni sulla rete facilitando operazioni di furto dati, movimento laterale e potenziale rilascio di ransomware in collaborazione con gruppi come ALPHV Team e FIN6. Sempre nel contesto russo, Cavalry Werewolf ha sferrato una campagna mirata contro enti governativi e imprese nei settori energetico, minerario e manifatturiero del Paese. L’avversario, spacciandosi per funzionari governativi del Kirghizistan, ha veicolato malware custom come FoalShell e StallionRAT. Spostandoci verso est, una presunta campagna di cyberspionaggio legata alla Cina ha preso di mira un dipartimento del Governo serbo che si occupa di aviazione, nonché altre istituzioni europee in Italia, Ungheria, Belgio e Paesi Bassi. L’analisi ha rilevato una connessione a infrastrutture associate a PlugX e con file o artefatti riconducibili a UNC6384, presumibilmente associato a Mustang Panda. Infine, l’APT indiano Dropping Elephant ha evoluto le proprie TTP e condotto tre campagne di spear phishing contro il Pakistan, sfruttando documenti Office armati, file LNK malevoli e famiglie di malware, come WooperStealer e la variante Python di una backdoor chiamata AnonDoor.
Malware: dai tool inediti alla ricomparsa di alcuni già noti
In una campagna attiva denominata Water Saci è stato veicolato – principalmente contro istituzioni finanziarie ed exchange di criptovalute nel mercato brasiliano – un malware soprannominato SORVEPOTEL, caratterizzato dalla capacità di propagazione automatica su WhatsApp mediante l’invio di file ZIP malevoli a tutti i contatti associati all’account compromesso. In secondo luogo, un gruppo vietnamita denominato BatShadow ha preso di mira persone in cerca di lavoro e professionisti del marketing digitale al fine di diffondere un eseguibile malevolo precedentemente sconosciuto, chiamato Vampire Bot. Quest’ultimo è stato progettato per rubare informazioni sensibili, monitorare le attività e mantenere l’accesso a lungo termine sui sistemi infetti. Il noto WarmCookie, ancora attivamente sfruttato, presenta alcune novità. Nelle sue versioni recenti sono stati aggiunti handler per eseguire file PE, DLL e script PowerShell; così come altre tecniche di evasione e meccanismi di sincronizzazione più robusti. Un’altra innovazione riguarda l’aggiunta di un campo chiamato “campaign ID”, che permette agli attaccanti di tracciare e differenziare varie campagne e metodi di distribuzione. Infine, la backdoor XWorm è riemersa, in campagne di phishing, nelle sue varianti 6.0, 6.4 e 6.5, con oltre 35 plugin supportati che estendono le sue capacità dal furto di informazioni sensibili ad attività ransomware.
0-day: sfruttate vulnerabilità Oracle, Fortra e Zimbra
Tre falle 0-day sono state sfruttate in diverse operazioni malevole. Oracle ha rilasciato un advisory per correggere CVE-2025-61882, falla che impatta Oracle Concurrent Processing di Oracle E-Business Suite (EBS) – in particolare nel componente BI Publisher Integration – abusata nella campagna di estorsione attribuita a TA505. L’operazione in questione ha fatto seguito a mesi di intrusioni mirate, con attività di exploitation iniziate il 9 agosto 2025 e ulteriori attività sospette risalenti al 10 luglio. La notizia di questa vulnerabilità è stata diffusa per la prima volta da Scattered Lapsus$ Hunters (SLH) che, venerdì 3 ottobre, ha divulgato su Telegram due file, tra cui un exploit della CVE. Stando a quanto esaminato, alcuni degli artefatti osservati a luglio coincidono con l’exploit divulgato da SLH; nonostante ciò, non vi sono prove sufficienti per confermare un coinvolgimento del gruppo cybercrime nella campagna. Zimbra, invece, ha corretto una 0-day in Zimbra Collaboration Suite (ZCS) tracciata con codice CVE-2025-27915. Quest’ultima è stata adoperata in offensive a inizio gennaio, prima che venisse rilasciata la patch. In particolare, un attaccante ha effettuato lo spoofing del Libyan Navy’s Office of Protocol in un’e-mail che ha trasmesso un exploit 0-day contro un’organizzazione militare brasiliana diffondendo file ICS contenenti codice JavaScript, ovvero un datastealer completo mirato a Zimbra Webmail. Al momento non è chiaro chi ci sia dietro l’attacco, ma sono state individuate delle similitudini con le TTP di Sofacy e quelle di Ghostwriter. Infine, la vulnerabilità critica CVE-2025-10035 di Fortra GoAnywhere MFT è stata impiegata come 0-day a partire dal 10 settembre in attività attribuite al gruppo finanziariamente motivato Storm-1175, noto per aver distribuito il ransomware Medusa.
Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.
Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sulla nostra soluzione di Cyber Threat Intelligence