Sorveglianza e controspionaggio in Iran

Attribuzioni divergenti sull’attacco energetico in Polonia, nuove offensive cybercrime in Italia, sfruttate ITW diverse vulnerabilità

 Vedi tutte
Threat Intelligence, News

Attacchi a target italiani, operazioni cinesi di spionaggio globale, notificati nuovi data breach

Italia: colpite Università Pontificia Salesiana e diverse aziende

L‘Università Pontificia Salesiana (UPS), università pontificia gestita dalla Congregazione Salesiana con sede centrale a Roma, ha riferito di aver subito un attacco informatico nella notte del 19 agosto 2025, che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’ateneo. In aggiunta, l’operatore ransomware Sarcoma Group ha rivendicato sul proprio sito dei leak la compromissione di Inox Laghi S.r.l., azienda di Solbiate Arno (VA) che offre articoli tecnici in acciaio inossidabile. Dal canto suo, DragonForce Team ha puntato a PPI & Partners Dottori Commercialisti, studio professionale indipendente con sede a Reggio Emilia (RE), specializzato in servizi di consulenza societaria, fiscale ed amministrativa; mentre Qilin Team ha reclamato la violazione di Eco Demolizioni S.r.l., azienda edile del riminese che si occupa di demolizioni, escavazioni, movimentazione terra, urbanizzazioni, trasporto merci su strada, lavorazione-stoccaggio-vendita di materiali di risulta da escavazioni e demolizioni.

APT: operazioni legate ai gruppi di Pechino GhostEmperor, Hafnium e Mustang Panda

La CISA, l’NSA, il National Cyber Security Centre (NCSC) e partner di oltre una dozzina di Paesi, tra cui l’Italia, hanno collegato le campagne globali di GhostEmperor a tre aziende tecnologiche con sede in Cina. Secondo un advisory congiunto rilasciato, Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. Ltd e Sichuan Zhixin Ruijie Network Technology Co. Ltd. hanno fornito prodotti e servizi informatici al Ministero per la Sicurezza dello Stato cinese e all’Esercito Popolare di Liberazione (PLA), consentendo operazioni di spionaggio informatico comunemente attribuite al gruppo state-sponsored GhostEmperor (alias Salt Typhoon, OPERATOR PANDA, RedMike e UNC5807). Almeno dal 2021, l’avversario ha violato reti governative, di telecomunicazione, di trasporto, alberghiere e militari, esfiltrando dati che possono essere utilizzati per tracciare le comunicazioni e i movimenti dei loro target in tutto il mondo. Oltre a ciò, dalla fine del 2024, ricercatori di sicurezza hanno osservato un’attività condotta dal cinese Hafnium che ha preso di mira gli ambienti cloud di entità dei settori governativo, tecnologico, accademico, legale e dei servizi professionali in Nord America. Infine, è stata rilevata una campagna di spionaggio multifase rivolta contro diplomatici nel Sudest asiatico e altre entità a livello globale, attribuita a un cluster cinese denominato UNC6384, presumibilmente associato a Mustang Panda.

Data Breach: Auchan, Miljödata e TransUnion tra le vittime

Il rivenditore francese Auchan ha comunicato di essere caduto vittima di un attacco che ha consentito un accesso non autorizzato a dati personali associati ad account del programma fedeltà di diverse centinaia di migliaia clienti. Al contempo, un attacco informatico ha colpito Miljödata, azienda che fornisce soluzioni IT a circa l’80% dei comuni svedesi, causando problemi di accessibilità in più di 200 entità amministrative e regioni del paese. Oltre al disservizio, vi è timore che i criminali abbiano anche sottratto dati sensibili, chiedendo un riscatto di 1,5 Bitcoin (circa 145.000 euro) per non divulgarli. Infine, TransUnion, uno dei tre principali credit bureaus negli Stati Uniti, ha subito una violazione dei dati che ha esposto informazioni personali di oltre 4,4 milioni di persone negli USA. Secondo quanto appreso, le informazioni sono state rubate da un account Salesforce della società. L’incidente è parte di una serie di attacchi mirati a Salesforce che hanno colpito diverse aziende quest’anno, tra cui Google, Farmers Insurance, Allianz Life, Workday, Pandora, Cisco, Chanel e Qantas, attribuiti al gruppo Shiny Hunters e a un cluster noto come UNC6395. Quest’ultimo, a partire dall’8 agosto 2025 e almeno fino al 18, avrebbe svolto una campagna di furto di dati su larga scala contro istanze di clienti Salesforce attraverso token OAuth compromessi associati all’applicazione di terze parti Salesloft Drift.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence