Le ultime dall’Italia, novità nel panorama state-sponsored, ransomware e leak

Attacchi in Italia, annunciati diversi breach, operazioni state-sponsored inedite

 Vedi tutte
Threat Intelligence, News

Attacchi in Italia, annunciati diversi breach, operazioni state-sponsored inedite

Weekly Threats hor Telsy

Italia: spyware, breach, ransomware e DDoS

WhatsApp ha notificato circa 200 utenti, prevalentemente in Italia, di essere stati presi di mira tramite una versione contraffatta della sua applicazione per iPhone contenente uno spyware. Si ritiene che i responsabili abbiano utilizzato tecniche di social engineering per convincere gli utenti a installare un software malevolo che imitava WhatsApp. La società ha identificato proattivamente gli utenti coinvolti, li ha disconnessi e li ha invitati a rimuovere il client non ufficiale e a reinstallare l’app originale. L’azienda ha attribuito pubblicamente l’operazione all’italiana Asigint, parte del gruppo Sio S.p.A., con sede a Cantù, e ha annunciato l’invio di una diffida formale per la cessazione delle attività malevole. ITA Airways, compagnia aerea di bandiera italiana, ha inviato una comunicazione ufficiale ai propri clienti per informarli di aver subito un attacco informatico. L’incidente ha comportato un accesso non autorizzato ai sistemi deputati alla gestione del programma fedeltà Volare con possibile copia dei dati. Secondo quanto dichiarato dalla compagnia, i dati esposti riguardano esclusivamente informazioni anagrafiche, contatti e dati del profilo Volare, che includono: nome, cognome, indirizzo e-mail, numero di telefono e dettagli dell’account; non sarebbero invece impattati i dati di pagamento, le password e le credenziali di accesso. Passando al panorama ransomware l’operatore The Gentlemen ha rivendicato sul proprio sito dei leak la compromissione di Zanzi S.p.A e GAPOSA S.r.l., Qilin Team di Seram S.p.A., INC RANSOM Team di Fondazione IRPEA – ETS (Istituti Riuniti Padovani di Educazione e Assistenza) e un gruppo chiamato NetRunner di GEG Telecomunicazioni S.r.l. Infine, il collettivo hacktivista di presunta matrice sud-asiatica/bengalese BD Anonymous ha rivendicato offensive DDoS ai danni del portale di SIEM S.r.l., della Regione Molise ed Elefondati S.r.l

 

Breach: nel mirino Commissione europea, Cisco e Paesi Bassi

La Commissione europea ha subito un incidente di sicurezza informatica che ha coinvolto la sua piattaforma web pubblica europa[.]eu, ospitata sull’infrastruttura cloud di Amazon Web Services (AWS). Il 19 marzo, un attaccante ha ottenuto una chiave API segreta di AWS sfruttando la compromissione della supply chain di Trivy, pubblicamente attribuita a TeamPCP. La Commissione europea stava usando, inconsapevolmente, una versione compromessa di Trivy, ricevuta attraverso i normali canali di aggiornamento software. Possedendo la chiave API, lo stesso giorno l’avversario ha lanciato TruffleHog, uno strumento per la scansione di segreti e la validazione di credenziali AWS. Ha poi creato e associato una nuova chiave di accesso a un utente già esistente e successivamente ha condotto attività di ricognizione sull’ambiente cloud compromesso. Il 24 marzo sono stati rilevati i primi segnali d’allarme: un potenziale uso improprio delle API Amazon, un possibile account compromesso e un volume di traffico di rete insolitamente elevato. Il 27 marzo, la Commissione ha reso pubblica la vicenda attraverso un comunicato stampa ufficiale, precisando che i sistemi interni non erano stati compromessi. Nonostante la risposta rapida, l’avversario è riuscito a esfiltrare circa 340 GB relativi ai siti web di un massimo di 71 clienti del servizio di web hosting Europa. Tra questi, 42 sono uffici o strutture interne alla Commissione europea e almeno 29 appartengono ad altre organizzazioni dell’Unione. Il 28 marzo, il gruppo ShinyHunters ha pubblicato il dataset trafugato sul proprio sito dei leak, affermando di aver sottratto dump di server di posta, database, documenti riservati, contratti e altro materiale sensibile. Inoltre, lo stesso ShinyHunters ha rivendicato una violazione ai sistemi di Cisco Systems Inc. Dall’operazione sarebbero stati esfiltrati oltre 3 milioni di record Salesforce contenenti dati personali (PII), repository GitHub con codice sorgente e bucket AWS con ulteriori dati aziendali interni. Infine, il Ministero delle Finanze dei Paesi Bassi in seguito a una violazione informatica ha disposto lo spegnimento cautelativo di diversi sistemi, tra cui il portale digitale per la tesoreria bancaria, con ripercussioni dirette su circa 1.600 istituzioni pubbliche, tra cui ministeri, agenzie governative, organizzazioni educative, fondi sociali ed enti locali.

 

 APT: offensive iraniane, nordcoreane e russe

Ricercatori di sicurezza hanno identificato e monitorato una campagna di password spraying rivolta ad ambienti Microsoft 365, attribuita con moderata confidenza a un avversario riconducibile all’Iran. L’operazione si è articolata in tre ondate distinte avviate rispettivamente il 3, il 13 e il 23 marzo 2026, e ha colpito prevalentemente enti governativi, comuni, organizzazioni del settore energetico e aziende private in Israele e negli Emirati Arabi Uniti. Il 31 marzo 2026 è stato rilevato un attacco attivo supply chain che ha coinvolto il pacchetto npm Axios, la libreria JavaScript più diffusa per la gestione di richieste HTTP, con oltre 100 milioni di download settimanali, 3,6 miliardi di download annuali e più di 174.000 progetti dipendenti. L’attività è attribuita con alta confidenza al nordcoreano Lazarus Group. In aggiunta, è stata rilevata un’operazione di spear phishing riconducibile al russo Callisto, storicamente specializzato in attacchidi credential harvesting, ma che nell’ultimo anno ha esteso le proprie operazioni a compromissioni di account WhatsApp e all’uso di malware custom per l’esfiltrazione di dati sensibili. L’attività più recente sfrutta l’exploit kit DarkSword per iOS, veicolato tramite e-mail fasulle che impersonano l’Atlantic Council con un oggetto inerente a un falso invito a discussioni. Infine, il CERT-UA ha rilevato una campagna di phishing condotta da un cluster denominato UAC-0255, il quale ha distribuito e-mail fraudolente spacciandosi per CERT-UA stessa e distribuendo un malware chiamato AGEWHEEZE. I messaggi invitavano i destinatari a scaricare dal servizio Files.fm un archivio protetto da password e a installare un presunto “software specializzato”. Il targeting era ampio: organizzazioni statali, centri medici, aziende di sicurezza, istituti scolastici, istituzioni finanziarie e software house. In parallelo, gli avversari hanno allestito il dominio cert-ua[.]tech, clone di cert[.]gov[.]ua, contenente le istruzioni per il download del payload. Nel codice HTML della pagina era presente la stringa “С Любовью, КИБЕР СЕРП” con riferimento al canale Telegram CyberSerp_Official, sul quale il 28 marzo 2026 è stata pubblicata una rivendicazione esplicita dell’attacco.

 

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence