L’Italia nel mirino di diversi avversari, nuove operazioni APT, le ultime in campo cybercrime
Italia: rilevati attacchi DDoS, di phishing e ransomware, oltre alla distribuzione di BadCandy
Durante il primo weekend del mese, NoName057(16) ha continuato a rivendicare DDoS contro i seguenti target italiani: il Consiglio Regionale della Valle d’Aosta; i Comuni di Giugliano in Campania, Reggio Emilia e Palermo; Tiscali; HERABIT; l’Aeronautica Militare; l’Autorità Portuale di Olbia e Golfo Aranci; l’Assemblea Regionale Siciliana; Sinfomar; l’Autorità di Sistema Portuale del Mare Adriatico Orientale (Porto di Trieste); Vulcanair; l’Agenzia delle Dogane e dei Monopoli; Acqua Novara.VCO; AMAT Palermo; il Ministero del Lavoro e delle Politiche Sociali. Nel frattempo, i collettivi hacktivisti filorussi Server Killers e Dark Storm Team, si sono uniti alla causa e hanno bersagliato il settore aeroportuale italiano, colpendo la Società di Gestione Aeroporto di Cagliari (SOGAER) e gli aeroporti di Milano Bergamo, Bologna Guglielmo Marconi, Napoli Capodichino, Palermo Falcone e Borsellino, Puglia, Trieste e Torino Caselle. Sempre in Italia, è stata tracciata una campagna di smishing che prende di mira clienti di un operatore di telefonia mobile con l’obiettivo di sottrarre dati sensibili e informazioni bancarie. Ad essa si aggiungono diverse operazioni di phishing, tra cui: una che tramite un portale fasullo della Banca d’Italia mira a carpire dati personali e bancari; una nuova ondata della campagna a tema Facebook via Messenger che esfiltra informazioni sensibili, inclusi i codici di accesso alla piattaforma del social network; e due che sfruttano il nome e il logo dell’Agenzia delle Entrate rispettivamente per indurre le vittime a compilare una “Dichiarazione Fiscale Criptovalute” al fine di rubare wallet crypto e raccogliere dati personali, e l’altra per impossessarsi di dati finanziari con il pretesto di un presunto rimborso pari a 1495,39 €. In ambito ransomware, Qilin Team ha reclamato la compromissione di Studio Corvo con sede a Parma, che offre servizi di consulenza fiscale, contabile e aziendale per imprese e privati. Infine, l’Agenzia per la cybersicurezza nazionale (ACN) e l’Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) hanno pubblicato analisi convergenti sulla campagna di distribuzione della web shell in Lua BadCandy, che sfrutta la vulnerabilità CVE-2023-20198 nei dispositivi Cisco IOS XE. Entrambe le Agenzie delineano un quadro coerente, indicando che BadCandy rappresenta una minaccia tuttora attiva e raccomandando la tempestiva applicazione delle patch.
APT: rilevate attività riconducibili a Russia, Cina, Corea del Nord e Iran
Ricercatori di sicurezza hanno rilevato una campagna denominata Operation SkyCloak che prende di mira il personale militare di Russia e Bielorussia – in particolare delle Forze Aviotrasportate Russe (VDV) e delle Forze Speciali Bielorusse – adoperando una catena d’attacco multifase che porta all’esposizione di più servizi locali tramite Tor. Le evidenze raccolte non hanno permesso di attribuire l’operazione a un attaccante noto; sebbene siano state rilevate somiglianze tattiche con operazioni precedenti associabili a gruppi di Mosca e APT filo-ucraini. Restando in Russia, tra aprile e settembre 2025 Sandworm ha intensificato le sue campagne rivolte all’Ucraina, sfruttando wiper – denominati ZEROLOT e Sting – contro settori strategici come quello dell’istruzione, governativo, energetico, logistico e cerealicolo. Passando in Cina, il cluster UNC6384 – presumibilmente associato a Mustang Panda – è indicato come il responsabile di un’operazione di spionaggio che ha preso di mira entità diplomatiche europee in Ungheria, Belgio e altre Nazioni europee durante i mesi di settembre e ottobre 2025. L’offensiva combina lo sfruttamento della 0-day CVE-2025-9491 – una falla di Windows Shortcut, divulgata nel marzo 2025 – con tecniche di social engineering basate su temi relativi a conferenze diplomatiche reali. In Corea del Nord, ScarCruft ha distribuito una backdoor chiamata HttpTroy e il loader inedito MemLoad contro una singola vittima in Corea del Sud. Parallelamente, Lazarus Group ha utilizzato varianti dei malware Comebacker e BlindingCan per colpire due target in Canada. Spostandoci in Medio Oriente, tra giugno e agosto 2025 è stato osservato un nuovo cluster presumibilmente iraniano, denominato UNK_SmudgedSerpent, che prende di mira accademici ed esperti di politica estera con esche sulle politiche interne dell’Iran, tra cui i cambiamenti sociali e le indagini sulla militarizzazione dell’IRGC. Infine, la società americana SonicWall ha rilevato attaccanti di tipo state-sponsored come responsabili della compromissione subita nel settembre 2025, che ha portato all’esposizione dei file di backup della configurazione dei firewall. L’azienda ha dichiarato che attività malevola è stata del tutto isolata, aggiungendo che l’incidente non è correlato agli attacchi ransomware globali in corso su firewall e altri dispositivi edge ad opera di Akira Team.
Cybercrime: arresti, backdoor e campagne inedite
Oleksii Oleksiyovych Lytvynenko, cittadino ucraino di 43 anni sospettato di essere membro dell’operazione ransomware Conti, è stato estradato dall’Irlanda negli Stati Uniti, dove rischia fino a 25 anni di carcere. Le Autorità russe hanno arrestato a Mosca tre individui ritenuti gli sviluppatori e i gestori di Meduza Stealer, sofisticato Malware-as-a-Service (MaaS) progettato per il furto di informazioni. Si ritiene che lo stesso gruppo criminale sia dietro anche la gestione di un altro MaaS noto come Aurora Stealer. L’indagine ha anche rivelato che i tre arrestati avevano sviluppato e distribuito una botnet con capacità di disabilitare le protezioni di sicurezza dei sistemi target. Ricercatori di sicurezza hanno tracciato una backdoor inedita chiamata SesameOp, sfruttata in un incidente analizzato a luglio 2025, che utilizza l’API OpenAI Assistants come canale C2. La minaccia abusa di capacità legittime del servizio per inviare e ricevere istruzioni, senza sfruttare alcuna vulnerabilità. Microsoft e OpenAI hanno disabilitato l’API key coinvolta e hanno confermato che non vi sono state altre interazioni oltre a tali chiamate. In Nord America, sono state osservate serie di intrusioni che prendono di mira aziende dei settori del trasporto su strada e della logistica, condotte tramite e-mail e link malevoli volti a distribuire strumenti di monitoraggio e gestione remota (RMM) – tra cui ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve – che consentono di dirottare i carichi e rubare merci fisiche. Nel dettaglio, il cluster ha impiegato tre tattiche per distribuire i tool RMM: la compromissione delle bacheche di carico (load boards), l’hijacking di thread di posta elettronica e il targeting diretto tramite campagne e-mail. Sulla base delle campagne osservate, il gruppo in questione non sembra colpire aziende specifiche, ma prende di mira in modo opportunistico sia piccole imprese a conduzione familiare che grandi organizzazioni di trasporto. Si presume che il cluster stia collaborando con gruppi criminali organizzati e che i beni fisici rubati vengano successivamente rivenduti online o spediti all’estero.
Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.
La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.
Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence
Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.