Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

Attacchi in Italia, novità nel panorama APT, breach colpiscono Kering, Great Firewall of China, Google LERS ed eCheck

Italia: nuove offensive colpiscono la penisola 

Nella settimana appena conclusa diversi attaccanti hanno rivendicato attacchi contro target italiani. In particolare, Qilin Team ha reclamato la violazione di Pieffe Auto Group, concessionaria ufficiale Peugeot, Citroen, DS Automobiles, Opel, FIAT, Abarth, Lancia, Alfa Romeo, Jeep, Suzuki, Hyundai, MG, Leapmotor, Omoda | Jaecoo, XEV, Dodge e Ram Trucks; mentre INC RANSOM Team di C.B.L. S.r.l., azienda con sede a Marostica (VI) operante nel settore metallurgico, specializzata nella produzione di telai per sedie, tavoli e altri componenti metallici. Inoltre, Everest Team ha dichiarato la sua responsabilità dietro la compromissione di quattro realtà : MFO Italia, società fondata ad iniziativa di professionisti di varia competenza (avvocati e commercialisti), Key 4 Energy S.r.l., azienda che offre soluzioni all’avanguardia nel campo dell’efficientamento energetico, fotovoltaico, power supply e power quality; Studio Legale Tisot Iuris, studio specializzato in diritto civile, diritto societario e diritto dell’arte; e Professional Trust Company S.p.A., società del settore dei servizi legali che si pone come scopo istituzionale quello della pianificazione patrimoniale e di assolvere in piena indipendenza le funzioni di trustee e/o di guardiano. Oltre a ciò, sono state rilevate varie campagne di phishing. Nel dettaglio, avversari hanno sfruttato nome e logo dell’Agenzia delle Entrate per rubare wallet di criptovalute e una nuova operazione, presumibilmente rivolta contro operatori del settore edilizio, ha impiegato false comunicazioni del Politecnico di Milano al fine di distribuire il malware FormBook. In aggiunta, sono state registrate offensive che abusano di strumenti di RMM (Remote Monitoring Management) legittimi attraverso falsa condivisione di documenti, al fine di installare PDQConnect sui sistemi target, uno strumento legittimo di gestione remota normalmente usato dagli amministratori IT. Proseguono inoltre gli attacchi DDoS da parte del collettivo filorusso NoName057(16), che questa settimana ha colpito ripetutamente l’Italia, come ritorsione alla decisione di sostenere il nuovo pacchetto di sanzioni UE contro la Russia, annunciata dal ministro degli Esteri Antonio Tajani.

APT: novità da avversari localizzati in Russia, Cina e Corea del Nord 

È stata tracciata un’operazione di spear phishing denominata Operation Phantom Net Voxel da parte del russo Sofacy, che ha preso di mira l’amministrazione militare ucraina. Nel dettaglio, l’attacco prevede la consegna di un documento Office tramite una chat privata su Signal, in cui l’avversario si finge un collega o un superiore del target e lo esorta ad aprire il file malevolo. Tale documento incorpora più macro malevole, tra cui una routine primaria e metodi ausiliari che, insieme, implementano un dirottamento COM a livello di utente per caricare una DLL malevola. Nel corso di quest’operazione, Sofacy ha sfruttato Covenant e la sua funzionalità C2Bridge per interagire con l’API dell’infrastruttura cloud Koofr, caricando file per la ricognizione e scaricando payload aggiuntivi per estendere la catena di infezione. Sul fronte cinese, è stato osservato l’impiego in campagne di spear phishing di un malware denominato Toneshell9 e di un nuovo worm USB chiamato SnakeDisk, entrambi tool di Mustang Panda. Una particolarità della configurazione del worm in questione riguarda il fatto che può essere eseguito unicamente su dispositivi con indirizzi IP situati in Thailandia, il che sembra avere a che fare con i recenti eventi geopolitici che hanno coinvolto Thailandia e Cambogia. L’utilizzo di SnakeDisk, infatti, sembra suggerire che l’attaccante stia cercando di penetrare nei sistemi air-gap, spesso utilizzati nelle reti governative. Passando in Corea del Nord, il gruppo ScarCruft ha condotto un’operazione di spear phishing sfruttando deepfake, tramite la produzione di false tessere di identificazione militari e l’impersonificazione di un’istituzione sudcoreana legata al settore della Difesa. In questo attacco è stata impiegata la tattica ClickFix, con esecuzione di comandi PowerShell e batch malevoli. Inoltre, è stato utilizzato uno script AutoIt e anche e-mail di phishing per il furto delle credenziali, alcune delle quali camuffate da annunci per una nuova funzionalità AI nella gestione della posta elettronica.

Breach: incidenti ai danni di Kering, Great Firewall of China, Google LERS ed eCheck

Kering ha annunciato di essere stata colpita da un data breach ad opera del gruppo noto come ShinyHunters, che ha rubato informazioni di clienti da brand come Gucci, Balenciaga e Alexander McQueen. Stando a quanto dichiarato, i dati sottratti sarebbero collegati a 7,4 milioni di indirizzi e-mail univoci e includono nomi, numeri di telefono, indirizzi e l’importo totale speso nei negozi di lusso di tutto il mondo, ma non sarebbero state sottratte informazioni finanziarie. Quanto al Great Firewall of China (GFW), l’11 settembre 2025 ha subito la più grande fuga di documenti della sua storia. Il data leak ha origine da due organizzazioni chiave nella ricerca e sviluppo del GFW: Geedge Networks, un’azienda legata al fondatore dell’infrastruttura, lo scienziato Fang Binxing; e MESA Lab, affiliato all’Institute of Information Engineering (IIE) della Chinese Academy of Sciences (CAS). In particolare, il sito web Enlace Hacktivista ha divulgato informazioni su codice sorgente, registri di lavoro e comunicazioni interne, che rivelano dettagli su ricerca, sviluppo e funzionamento del GFW. Altri file contengono migliaia di rapporti interni, descrizioni di progetti e proposte tecniche, documenti di pianificazione dettagliata delle operazioni di censura o, ancora, documenti che suggeriscono collegamenti con i progetti e collaborazioni internazionali. Da ultimo, Scattered Lapsus$ Hunters, ha affermato di aver violato sia il portale Law Enforcement Request System (LERS) di Google che il sistema di controllo dei precedenti eCheck dell’FBI, pubblicando gli screenshot del loro presunto accesso. L’evento ha destato molta preoccupazione, poiché sia il LERS che il sistema eCheck sono utilizzati dalla Polizia e dalle agenzie di intelligence di tutto il mondo per inviare citazioni in giudizio, ordini del tribunale e richieste di divulgazione di emergenza, e tale violazione potrebbe consentire agli avversari di impersonare le Forze dell’Ordine. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence