Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

Nuovi attacchi in Italia, notificati data breach, offensive dalla Cina

Weekly Threats hor Telsy

Italia: nuove offensive di phishing e ransomware

Nelle ultime due settimane, diverse campagne di phishing hanno mirato a target italiani. Un’operazione ha sfruttato nome e logo di Fineco Bank. In particolare, un’e-mail fraudolenta, con l’oggetto “Conferma delle misure di protezione del conto” mirava a notificare alla potenziale vittima una presunta non conformità delle credenziali, sollecitandolo a cliccare sul link allegato in modo da scongiurare limitazioni sul suo conto corrente bancario. Inoltre, diverse attività hanno utilizzato in modo illecito il nome del sistema PagoPA per ingannare i cittadini con false richieste di pagamento. I messaggi fraudolenti citano spesso multe, sanzioni o pagamenti non effettuati, richiedendo il saldo immediato di somme di denaro per evitare presunte conseguenze legali. Queste comunicazioni ingannevoli arrivano via e-mail, SMS o app di messaggistica e cercano di convincere l’utente a pagare subito un importo, cliccare su link sospetti o scansionare codici QR, oppure fornire dati personali, bancari o della carta di credito. Infine, è stata tracciata un’ulteriore offensiva basata sul logo di Conad, volta a ingannare gli utenti inducendoli a sottoscrivere inconsapevolmente un abbonamento a pagamento. Passando al panorama ransomwareINC RANSOM Team ha rivendicato sul proprio sito dei leak la compromissione di Talarico S.r.l.; Qilin Team di Callipo Group S.r.l., GIV S.r.l. e SEACSUB S.p.A; Warlock di Silanos S.r.l.; CHAOS di Veplastic S.p.A; LockBit Team di SAV Antivibranti S.r.l.; SAFEPAY di Elad S.r.l.

 

Data breach: incidenti di sicurezza impattano ESA, Korean Air e WIRED

L’Agenzia Spaziale Europea (ESA) ha comunicato di essere a conoscenza di un recente incidente di cybersicurezza che ha coinvolto server situati al di fuori della rete corporate dell’Agenzia. È stata avviata un’analisi forense e sono state implementate misure per mettere in sicurezza eventuali dispositivi potenzialmente interessati. Le analisi condotte finora indicano che potrebbe essere stato coinvolto solo un numero limitato di server esterni. Tali sistemi supportano attività di ingegneria collaborativa non classificate all’interno della comunità scientifica. La dichiarazione è stata diffusa a seguito della comparsa, su un forum underground, di un annuncio di messa in vendita di dati attribuiti all’ESA. L’avversario sostiene di aver sottratto oltre 200 GB che includerebbero codice sorgente, pipeline CI/CD, token API, token di accesso, documenti riservati, file di configurazione, file Terraform, file SQL, credenziali hardcoded e altro ancora. Korean Air, la compagnia di bandiera sudcoreana, ha subito una violazione dei dati che ha impattato informazioni di migliaia dei suoi dipendenti. La compromissione non ha avuto origine direttamente dai sistemi di Korean Air, bensì da quelli di Korean Air Catering & Duty-Free (KC&D), il fornitore di servizi di catering in volo e l’ex sussidiaria della compagnia aerea che si è separata come entità indipendente nel 2020. Nel dettaglio, KC&D ha notificato a Korean Air di essere stata recentemente oggetto di un attacco informatico che ha coinvolto i server ospitanti il sistema ERP aziendale. Infine, il 20 dicembre 2025, un avversario chiamato Lovely ha pubblicato su un forum underground un database contenente 2.366.576 record di abbonati alla rivista WIRED. L’attaccante accusa la casa editrice statunitense Condé Nast di non considerare seriamente la sicurezza dei dati utente. Il dataset esposto copre un arco temporale dal 26 aprile 1996 al 9 settembre 2025 e include 2.366.574 indirizzi e-mail unici.

 

Cina: tracciati attacchi ad opera di diversi gruppi sinofoni

È stata tracciata una campagna orchestrata dal cinese Evasive Panda tra novembre 2022 e novembre 2024, mirata ad obiettivi selezionati in Turchia, Cina e India tramite attacchi Adversary-in-the-Middle. Inoltre, una sofisticata campagna condotta dal gruppo APT cinese Void Arachne ha preso di mira entità indiane, utilizzando esche di phishing a tema fiscale. L’analisi ha rilevato errori di attribuzione precedenti che collegavano erroneamente questa attività all’indiano SideWinder. Oltre a ciò, ricercatori di sicurezza hanno scoperto un gruppo APT denominato LongNosedGoblin, allineato con Pechino, che prende di mira enti governativi nel Sudest asiatico e in Giappone, con l’obiettivo di condurre attività di spionaggio informatico. Attivo almeno dal settembre 2023, l’avversario utilizza Group Policy per distribuire malware e muoversi lateralmente nella rete compromessa e servizi cloud (come Microsoft OneDrive e Google Drive) come server C2. I suoi attacchi sono caratterizzati dall’uso di un toolset custom. Infine, sono state documentate le attività di un gruppo presumibilmente cinese nominato DarkSpectre, responsabile di tre campagne parallele che hanno infettato 8,8 milioni di utenti attraverso oltre 300 estensioni browser distribuite su Chrome, Edge, Firefox e Opera nell’arco di 7 anni.

 

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.