Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

Nuovi attacchi in Italia, notificati data breach, offensive dalla Cina

 Vedi tutte
Threat Intelligence, News

Aziende italiane nel mirino di diversi avversari, novità dal panorama APT, in pericolo i clienti di Google Ads

Italia: continui attacchi ad aziende e hotel del Bel Paese 

Il territorio italiano continua a essere nel mirino di diversi avversari ransomware. Nello specifico, Everest Team ha rivendicato la compromissione di Viking Automation S.r.l., azienda specializzata nella fornitura di componenti industriali per automazione, misura e controllo; Rhysida Team ha invece colpito Alascom, che opera come system integrator e fornitore di servizi di consulenza tecnica nel settore ICT e dell’automazione industriale, minacciando di mettere all’asta i dati esfiltrati qualora non venisse pagato il riscatto richiesto. Infine, Akira Team ha violato SPEEDLOGISTIK S.r.l., azienda con sede a Fossò (VE), specializzata in servizi di logistica e distribuzione, trasporto e spedizione sia nazionale sia internazionale. Sempre in ambito cybercrime, l’avversario mydocs, prosegue la sua attività di vendita e pubblicazione di documenti d’identità e passaporti esfiltrati dai sistemi di gestione degli ospiti di molteplici strutture alberghiere italiane. Tra le nuove vittime figurano: Hotel Sanpi Milano, boutique hotel a Milano (circa 5.6K scansioni di documenti); Hotel Mediolanum, art hotel vicino alla stazione centrale di Milano (circa 22.2K scansioni di documenti); Savoia Resort, family hotel a 4 stelle a Bardonecchia (circa 22.1K scansioni di documenti); Astoria Suite Hotel, hotel 4 stelle a Rimini Marina Centro (circa 20.8K scansioni di documenti); Hotel Ercolini e Savi, hotel a 4 stelle a Montecatini Terme (circa 3.6k scansioni di documenti); Borghese Contemporary Hotel di Roma (circa 7.600 scansioni di documenti) e Hotel Rocca (Best Western Rocca Hotel Cassino) di Cassino (circa 1.700 scansioni di documenti).  

APT: nuove operazioni in Russia, Medio Oriente e Corea  

La Russia resta uno dei protagonisti indiscussi del panorama APT; in particolare, un nuovo gruppo denominato Curly COMrades agisce a sostegno degli interessi di Mosca e prende di mira organizzazioni critiche in Paesi europei che stanno affrontando importanti cambiamenti geopolitici. L’obiettivo è quello di mantenere un accesso persistente alle reti target e ottenere credenziali valide affinché possa poi muoversi liberamente all’interno dei sistemi, raccogliendo dati sensibili ed esfiltrandoli. Nello specifico, l’avversario ha lanciato attacchi mirati contro organismi giudiziari e governativi in Georgia, nonché contro una società di distribuzione di energia in Moldavia implementando una sofisticata backdoor custom battezzata MucorAgent. Altri gruppi di matrice russa hanno invece effettuato campagne di spear phishing che prevedono lo sfruttamento attivo della 0-day CVE-2025-8088 di WinRAR. Nel dettaglio, Cuba Team ha preso di mira aziende dei settori finanziario, manifatturiero, della Difesa e logistico in Europa e Canada utilizzando archivi RAR per distribuire payload malevoli, tra cui il malware Mythic agent, una variante di SnipBot, RustyClaw e il downloader MeltingClaw. Il secondo avversario chiamato Paper Werewolf, invece, ha colpito organizzazioni russe abusando sia della 0-day in questione (CVE-2025-8088) sia di una seconda falla in WinRAR identificata come CVE-2025-6218, già precedentemente risolta. Spostandoci in Israele, diverse organizzazioni del Paese sono cadute vittima di una campagna mirata non ancora attribuibile a uno specifico avversario, ma potenzialmente sovrapponibile con operazioni sferrate dal gruppo state-sponsored iraniano MuddyWater. Stando a quanto osservato in un caso, l’attaccante ha sfruttato l’infrastruttura di posta elettronica interna compromessa per distribuire messaggi di phishing in tutto il panorama aziendale target scatenando una catena d’infezione multifase basata su PowerShell, che culmina nella distribuzione di un RAT. Infine, in Corea del Nord, è il gruppo state-sponsored ScarCruft a essere la vittima di un attacco sferrato da parte di due hacker indipendenti che, sotto gli pseudonimi di Saber e cyb0rg, ne hanno violato l’infrastruttura e divulgato pubblicamente alcuni dati, sottratti dopo aver ottenuto l’accesso alla postazione di lavoro di uno dei possibili membri dell’APT. L’analisi e le informazioni sono state pubblicate su una rivista denominata Phrack, mentre il dump di quanto sottratto è ospitato sul sito web ddosecrets[.]com e ha una dimensione di circa 8.9 GB. 

Google: data breach ai danni di potenziali clienti di Google Ads

L’azienda ha confermato un data breach firmato ShinyHunters (alias UNC6040) che ha interessato una delle sue istanze CRM di Salesforce coinvolgendo informazioni riguardanti potenziali clienti del servizio Google Ads. Almeno dal gennaio 2025, se non prima, il gruppo ha effettuato numerosi attacchi di social engineering e vishing prendendo di mira i dipendenti di numerose aziende. Impersonando addetti al supporto IT, l’avversario convince i dipendenti a fornire le credenziali o ad accettare la connessione (tramite OAuth) di una versione modificata dell’applicazione Data Loader di Salesforce e, una volta ottenuto l’accesso, l’attaccante scarica il database Salesforce e chiede il pagamento di un riscatto per evitare la pubblicazione di quanto esfiltrato. Tra le altre aziende colpite da queste offensive figurano Adidas, Qantas, Allianz Life e le filiali di LVMH Louis Vuitton, Dior e Tiffany & Co. Nel caso di Google, l’avversario afferma che il totale dei dati esposti ammonta a circa 2,55 milioni di record, tra questi figurano dettagli di contatto aziendali disponibili pubblicamente, quali nomi di aziende e numeri di telefono, così come le note correlate. Non sono stati impattati invece dati di pagamento o informazioni Ads presenti nell’account Google Ads, nel Merchant Center, in Google Analytics e in altri prodotti Ads. ShinyHunters avrebbe inoltre riferito di star collaborando con il gruppo Scattered Spider, il quale gli fornirebbe l’accesso iniziale. Tale collaborazione viene indicata con il nome Sp1d3rHunters. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence