Nuovi attacchi in Italia, attività state-sponsored, operazioni in Ucraina
Italia: offensive cybercrime mirano al Paese
Durante l’ultima settimana sono state tracciate diverse campagne di phishing con target Italia. In un caso, un finto portale di accesso ai servizi per studenti e personale dell’Università di Parma (UniPr) ha cercato di sottrarre le credenziali istituzionali di studenti e dipendenti tramite una pagina che imita l’area privata dell’ateneo. Parallelamente, e-mail a tema violazione del copyright hanno indirizzato a un falso reCAPTCHA di Meta, seguito da un finto popup di accesso a Facebook che esfiltra le credenziali dell’account del social media. Non sono mancate, infine, comunicazioni fraudolente sul presunto esaurimento di spazio di archiviazione assegnato alla propria mailbox hanno mirato ad esfiltrare le credenziali dell’account. In aggiunta, è stata individuata un’attività di distribuzione su larga scala del RAT Remcos via DBatLoader, tuttora in corso, che utilizza il marchio GLS come esca per indurre gli utenti a compilare un presunto modulo di riconsegna; oltre a una campagna di distribuzione del malware XWorm a tema fattura Booking[.]com. Infine, è stato scoperto un sofisticato framework di Phishing-as-a-Service (PhaaS), progettato per impersonare le pagine di accesso e pagamento del provider di servizi IT e web hosting italiano Aruba S.p.A. Il kit include un filtro CAPTCHA per eludere gli scanner di sicurezza, precompila i dati dell’utente per apparire più legittimo e utilizza i bot di Telegram per esfiltrare istantaneamente le informazioni rubate. Passando al panorama ransomware, l’operatore DragonForce Team ha rivendicato sul proprio sito dei leak la compromissione di Ponzini S.p.A.; RansomHouse di Fulgar S.p.A.; Qilin Team di Viabizzuno S.p.A.; Everest Team di SIAD S.p.A.; e INC RANSOM Team di Galileo S.r.l.
APT: offensive dall’Asia e 0-day
Ricercatori di sicurezza hanno analizzato un’intrusione in un’organizzazione non profit statunitense, nel tentativo di influenzare la politica del governo di Washington su questioni internazionali. Dalle evidenze raccolte emerge che gli avversari miravano a stabilire una presenza persistente e a mantenere l’accesso a lungo termine alla rete della vittima, dove sono rimasti attivi per diverse settimane nell’aprile 2025. Gli indicatori tecnici, tra cui l’uso del componente legittimo vetysafe.exe per il sideloading di una DLL malevola (sbamres.dll), suggeriscono un’origine cinese. Una copia della stessa DLL era già stata impiegata in precedenza in operazioni attribuite al gruppo Space Pirates, mentre una sua variante, con diverso filename, è stata osservata anche in campagne di GhostEmperor (alias Kelp, Salt Typhoon). Inoltre, la medesima tecnica è stata utilizzata da Earth Longzhi, sottogruppo di Axiom (APT41). Passando alla Corea del Nord, ScarCruft è stato visto abusare dello strumento Find Hub di Google per tracciare la posizione GPS dei loro target e ripristinare da remoto le impostazioni di fabbrica dei dispositivi Android. Il gruppo ha distribuito malware tramite spear phishing e social engineering ad alto grado di personalizzazione, utilizzando temi legati a enti governativi sudcoreani e mascherando i payload come “programmi per alleviare lo stress”, inviati tramite KakaoTalk – applicazione di messaggistica istantanea sudcoreana – da account compromessi di psicologi e attivisti impegnati con giovani disertori nordcoreani. Inoltre, Lazarus Group ha utilizzato una nuova variante della backdoor Comebacker, mediante temi riconducibili a organizzazioni dei settori aerospaziale e della Difesa, in una campagna attiva almeno da marzo 2025. Infine, è stato rilevato che un avversario avanzato ha sfruttato come vulnerabilità 0-day CVE-2025-5777 in sistemi Citrix e CVE-2025-20337 in Cisco Identity Service Engine (ISE) per distribuire malware custom, prima che fossero rese pubbliche e disponibili le patch.
Ucraina: InedibleOchotense impersona una nota società di sicurezza informatica
Nel maggio 2025, ricercatori di sicurezza hanno osservato un gruppo allineato alla Russia precedentemente sconosciuto, chiamato InedibleOchotense, condurre una campagna di spear phishing contro diverse entità ucraine, impersonando una nota società slovacca di sicurezza informatica. L’operazione prevedeva l’invio di e-mail e messaggi Signal contenenti un link a un installer trojanizzato che portava al download di un prodotto legittimo insieme alla backdoor Kalambur. Dall’analisi di uno dei messaggi emerge che, sebbene fosse scritto in ucraino, la prima riga conteneva la parola russa заказник, indicativa di un probabile errore di battitura o di traduzione. L’URL contenuto nell’e-mail rimandava a un dominio malevolo che distribuiva un archivio ZIP contenente un file legittimo e una variante di Kalambur. Considerato l’ampio impiego dei prodotti di tale azienda di sicurezza informatica in Ucraina, è verosimile che l’avversario abbia tentato di sfruttarne la reputazione per aumentare la credibilità del messaggio e indurre le vittime a installare il payload. Le TTP di InedibleOchotense mostrano forti sovrapposizioni con una campagna di Sandworm documentata nel febbraio 2025 — caratterizzata dall’uso del downloader BACKORDER— e con un’operazione del sottogruppo UAC-0212.
Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.
La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.
Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence
Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.