Nuovi attacchi in Italia, notificati data breach, AI e cybersecurity

Il ruolo delle certificazioni ISO nella qualifica cloud ACN: sicurezza e qualità per la PA

 Vedi tutte
Threat Intelligence, News

Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Weekly Threats hor Telsy

APT: tracciate operazioni nordcoreane, iraniane e mirate all’Ucraina

Ricercatori di sicurezza, tra agosto e novembre 2025, hanno identificato una nuova campagna del nordcoreano ScarCruft, denominata Artemis, volta alla distribuzione di malware attraverso documenti HWP malevoli. L’operazione mostra un’evoluzione delle esche di spear phishing e il riutilizzo di tattiche già documentate in attività precedenti del gruppo, inclusa l’impersonificazione di figure pubbliche e l’impiego di steganografia per occultare moduli malevoli in immagini. L’infrastruttura C2 osservata sfrutta servizi cloud legittimi, in particolare Yandex Cloud. L’analisi dei token e degli account cloud, alcuni attivi dal 2023, indica una gestione di lungo periodo dell’infrastruttura e un collegamento diretto con campagne precedenti. Passando in Medio Oriente, è stata identificata una campagna di spear phishing attribuita all’iraniano MuddyWater che prende di mira diversi settori, inclusi enti diplomatici, marittimi, finanziari e di telecomunicazioni. L’attaccante istruisce la vittima ad abilitare i contenuti per attivare l’esecuzione di una macro VBA malevola responsabile del dispiegamento di RustyWater, un implant basato su Rust che raccoglie sistematicamente informazioni sulla macchina target, inclusi nome utente, nome computer, dominio e software di sicurezza installato. Infine, tra ottobre e dicembre 2025, il CERT-UA ha documentato una campagna di attacchi mirati contro le Forze di Difesa ucraine orchestrata dal gruppo UAC-0190, identificato con media confidenza come Void Blizzard. L’attaccante si finge organizzazioni di beneficenza per distribuire una backdoor denominata PLUGGYAPE, sfruttando applicazioni di messaggistica (come Signal e WhatsApp) per indurre le vittime a visitare siti web contraffatti che imitano pagine di fondazioni caritatevoli.

 

Malware: aggiornamenti su minacce e nuove campagne identificate

Ricercatori di sicurezza hanno osservato una campagna che distribuisce AsyncRAT sfruttando l’infrastruttura gratuita di Cloudflare e ambienti Python autentici scaricati da fonti ufficiali. In particolare, l’operazione utilizza strategicamente i servizi free-tier di Cloudflare insieme ai domini di tunneling TryCloudflare per ospitare server WebDAV, nascondendo le attività malevole dietro infrastrutture considerate affidabili. Un’ulteriore novità riguarda una campagna multi-stadio chiamata SHADOW#REACTOR, che distribuisce il RAT Remcos, il quale fornisce all’attaccante il controllo remoto completo del sistema, incluso: l’accesso interattivo al desktop; la gestione del file system con capacità di browse, upload, download ed eliminazione; l’esecuzione di comandi arbitrari e shell interattiva; keylogging e monitoraggio di clipboard; la configurazione della persistenza; oltre a funzionalità di proxy e tunneling per il movimento laterale nella rete compromessa. Nel dicembre 2025, inoltre, è emerso VoidLink, un framework malware per Linux composto da loader custom, implant, rootkit e plugin modulari, e progettato specificamente per funzionare in ambienti cloud e container per periodi prolungati. Ad oggi non sono state osservate infezioni reali documentate. Oltre a ciò, analisti hanno identificato una campagna malware attiva che sfrutta una vulnerabilità di DLL Side-Loading nell’utility legittima ahost.exe, componente della libreria open-source c-ares utilizzata per lookup DNS asincroni, al fine di rilasciare commodity malware, tra cui infostealer e RAT mascherati da documenti aziendali. Infine, è stata tracciata un’operazione volta alla distribuzione di un trojan bancario per Android denominato deVixor, che prende di mira utenti, banche, istituti finanziari,  servizi di pagamento ed exchange di criptovalute localizzati in Iran. L’architettura Telegram-based consente all’avversario di gestire l’infezione su larga scala, assegnando a ciascun APK distribuito un identificativo univoco, permettendo dunque il tracciamento individuale dei device e un controllo centralizzato attraverso bot Telegram che inviano comandi e ricevono aggiornamenti in tempo reale.

 

Breach: rilevati diversi incidenti di sicurezza informatica

BreachForums, l’attuale iterazione del noto forum di hacking utilizzato per commerciare dati rubati e servizi illegali di cybercrime, ha subito una violazione dei dati con la conseguente divulgazione della propria tabella database degli utenti. L’amministratore attuale, identificato come “N/A”, ha riconosciuto la violazione spiegando che un backup della tabella utenti MyBB era stato temporaneamente esposto in una cartella non protetta durante le operazioni di ripristino dal dominio .hn nell’agosto 2025, e scaricato durante quel breve periodo. Endesa, il principale fornitore di energia elettrica in Spagna, e la sua società controllata Energía XXI hanno notificato ai clienti un grave incidente di sicurezza informatica che ha compromesso informazioni relative ai contratti, inclusi dati personali dei clienti. L’azienda ha precisato che al momento non ci sono prove di un utilizzo fraudolento dei dati compromessi, ma alcuni avversari hanno pubblicato quelli che sostengono essere sample di dati sottratti, affermando di possedere circa 20 milioni di record che sarebbero offerti in vendita a un unico acquirente esclusivo. Anche JPMorgan Chase, multinazionale statunitense di servizi finanziari, ha notificato ad alcuni investitori una violazione dei dati riconducibile a un incidente di sicurezza informatica verificatosi a fine ottobre 2025 presso lo studio legale esterno Fried Frank, che avrebbe interessato 659 individui. Inoltre, Eurail B.V., società che si occupa della gestione e della commercializzazione dei Pass Interrail ed Eurail, ha notificato un incidente di sicurezza informatica che ha comportato l’accesso non autorizzato a dati personali di alcuni clienti, inclusi viaggiatori partecipanti al programma DiscoverEU dell’Unione Europea. Allo stato attuale, l’identità e il numero esatto delle persone coinvolte non sono ancora stati determinati. Oltre a ciò, Kyowon Group (Kyowon), un conglomerato sudcoreano specializzato in istruzione ed editoria, ha rivelato che un attacco informatico ha interrotto le sue operazioni e potenzialmente compromesso le informazioni dei clienti. Secondo i media coreani, ci sono oltre 9,6 milioni di account registrati presso la società, corrispondenti a circa 5,5 milioni di persone, le cui informazioni potrebbero essere state esposte. Instagram ha invece smentito l’esistenza di una violazione dei propri sistemi dopo la diffusione online di dati relativi a oltre 17 milioni di account. Infine, il 13 gennaio 2026, il Ministro dell’Energia polacco Milosz Motyka ha dichiarato che, alla fine di dicembre 2025, il sistema elettrico della Polonia è stato oggetto di un attacco informatico su larga scala che mirava a colpire i sistemi di comunicazione del settore energetico, ma non ha avuto successo e non ha causato interruzioni nella fornitura di elettricità.

 

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.