Handala: uno dei volti dell’hacktivismo filogovernativo iraniano

Novità in ambito cybercrime, le ultime dall’Italia, emersi diversi exploit ITW

 Vedi tutte
Threat Intelligence, News

Nuovi attacchi in Italia, operazioni APT inedite, notificati data breach

Weekly Threats hor Telsy

Italia: osservate diverse attività malevole

È stata rilevata in Italia una campagna di phishing che sfrutta il nome dell’Agenzia delle Entrate–Riscossione con l’obiettivo di sottrarre credenziali di accesso appartenenti sia a utenti privati sia ad account istituzionali. Rispetto a precedenti operazioni analoghe, questa attività si distingue per un targeting più marcato verso le Pubbliche Amministrazioni (PA), pur coinvolgendo anche realtà del settore privato. Dall’inizio del 2026 il CSIRT italiano ha rilevato un incremento significativo di attacchi ransomware a livello nazionale riconducibili al gruppo Akira Team, con 13 incidenti confermati, prevalentemente a danno di piccole e medie imprese (PMI). Le evidenze indicano uno sfruttamento sistematico di vulnerabilità n-day non corrette su dispositivi perimetrali, in particolare firewall SonicWall, e la compromissione di servizi SSL VPN esposti, modalità pienamente coerenti con le TTP dell’avversario, storicamente focalizzato sull’abuso di soluzioni di sicurezza per ottenere accesso iniziale e mantenere la persistenza. Lo stesso avversario, nell’ultima settimana ha rivendicato sul proprio sito dei leak la compromissione di Pharmathek S.r.l. e di CSA S.p.A. (Central Shipping Agency S.p.A.). Parlando sempre di attacchi ransomware mirati a target italiani, The Gentlemen ha rivendicato la violazione di IC&Partners e di Marchesi di Barolo; Qilin Team di ICM S.p.A.; LockBit Team di Radio Studio Più S.r.l.; DragonForce Team di SGI Sistemi Gestione Integrata S.r.l.; e un gruppo chiamato Lamashtu di Servetto S.r.l.,Logitech S.r.l., EFO Service S.r.l., Safety MED S.r.l e Client Solution S.p.A. Da ultimo, Sae Scientifica S.r.l., è stata interessata da un incidente di sicurezza informatica che ha coinvolto un account di posta elettronica aziendale. Secondo quanto riportato, l’offensiva è stata contenuta senza evidenze di ulteriori compromissioni; tuttavia, in assenza di dettagli tecnici, non si esclude con certezza una potenziale esposizione delle comunicazioni e-mail e dei dati in esso contenuti.

 

APT: tracciate operazioni iraniane, nordcoreane e mirate a Taiwan

Ricercatori di sicurezza hanno osservato una campagna attribuita con elevata probabilità all’iraniano MuddyWater e mirata al settore energetico, governativo e dell’aviazione in Medio Oriente, volta ad esfiltrare dati sensibili tramite lo sfruttamento di almeno cinque vulnerabilità di recente divulgazione pubblica. Inoltre, l’avversario è stato osservato possedere un collegamento operativo diretto con la piattaforma russa Malware-as-a-Service (MaaS) nominata CastleRAT, attraverso la quale viene distribuito un malware inedito chiamato Chainshell contro obiettivi israeliani. Tramite CastleRAT, MuddyWater ottiene immediatamente accesso a Hidden VNC, bypass della cifratura dei cookie Chrome e C2 resiliente sulla blockchain — capacità che richiederebbero tempo significativo per essere sviluppate internamente. Sul fronte nordcoreano, tra il 6 e il 9 aprile 2026, è stato tracciato un gruppo di pacchetti npm malevoli offuscati pubblicati da più account usa e getta, la cui catena di infezione sfrutta una strategia di distribuzione a due livelli. Le evidenze hanno rivelato che i pacchetti in questione sono varianti di OtterCookie, un infostealer attribuito con elevata confidenza a Lazarus Group. Restando in Corea del Nord, ScarCruft è stato osservato orchestrare una sofisticata campagna di spionaggio informatico servendosi di due profili Facebook falsi per distrbuire la backdoor RokRAT. Le funzioni della minaccia comprendono l’acquisizione di screenshot; l’esecuzione di comandi remoti; la raccolta di informazioni sul sistema e il furto di file con estensioni specifiche, tra cui documenti Office; PDF; file nel formato coreano HWP; e registrazioni audio. Infine, ricercatori di sicurezza hanno identificato un cluster tracciato come UAT-10362 che conduce campagne di spear phishing contro ONG taiwanesi e probabili università, con l’obiettivo di distribuire una nuova famiglia malware denominata LucidRook. L’insieme di tecniche avanzate che includono l’architettura modulare; l’uso di infrastrutture legittime; e i controlli anti-analisi, indica un avversario sofisticato con capacità operative mature, impegnato in operazioni mirate piuttosto che in campagne opportunistiche.

 

Data breach: incidenti di sicurezza impattano Rockstar Games, McGraw-Hill e Booking.com

In data 11 aprile 2026, la società di videogiochi americana Rockstar Games ha confermato che una quantità limitata di informazioni aziendali non materiali è stata accessibile in connessione con una violazione avvenuta presso un soggetto terzo, precisando che l’incidente non ha avuto impatti sull’organizzazione né sui giocatori. Il vettore tecnico ipotizzato — riconducibile alla sottrazione di token di autenticazione tramite Anodot, integrazione di terze parti connessa all’ambiente Snowflake — non ha ricevuto conferma ufficiale da parte di Rockstar. Inoltre, la casa editrice statunitense McGraw-Hill è stata coinvolta in un episodio di accesso non autorizzato ai dati, originato da una misconfiguration della piattaforma Salesforce. L’azienda, assistita da esperti di sicurezza, ha dichiarato di aver prontamente messo in sicurezza le risorse compromesse e di collaborare con Salesforce per sanare definitivamente la criticità. Il gruppo estorsivo ShinyHunters ha rivendicato la responsabilità di entrambi gli attacchi. Infine, Booking.com ha confermato, in una dichiarazione rilasciata a una nota testata giornalistica di settore, che soggetti non autorizzati sono riusciti ad accedere ai dati di alcuni utenti, in particolare alle informazioni relative alle rispettive prenotazioni. La società non ha reso noto il numero esatto di persone coinvolte, ma ha garantito comunicazioni individuali e la disponibilità continua del servizio di assistenza clienti.

 

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence