NoName057(16) mira all’Italia, nuove offensive nel panorama cybercrime, le ultime da Mosca e Pyongyang

L’Italia nel mirino di diversi avversari, operazioni APT inedite, minacce emergenti e compromissioni supply chain

 Vedi tutte
Threat Intelligence, News

Nuovi attacchi in Italia, rilevati malware inediti e offensive supply chain, notificati data breach

Weekly Threats hor Telsy

Italia: osservate diverse attività malevole

È stata rilevata in Italia una campagna di phishing che sfrutta un clone malevolo del sito di Caritas Italiana per realizzare un furto d’identità ai danni dei cittadini, con particolare attenzione alle fasce più vulnerabili della popolazione. Attualmente non è noto il vettore di attacco, ma è ipotizzabile che gli utenti raggiungano il portale fraudolento tramite un link contenuto in un’e-mail o via SMS. Il sito si presenta offrendo una falsa “Assistenza Finanziaria di €”, sfruttando la fiducia riposta nell’ente caritatevole. Passando al panorama ransomware, nell’ultima settimana, diverse offensive hanno puntato a target italiani. Nel dettaglio, SAFEPAY ha rivendicato sul proprio sito dei leak la compromissione di Zona Ovest di Torino S.r.l, Soavegel S.r.l. e Studio Ubertazzi; The Gentlemen di Media Consulting S.r.l., Digiplex S.r.l., Datamatic S.p.A. e IPE Technologies S.r.l.; Everest Team di Studio Marchi – Studio Professionale Associato; Qilin Team di Complastex S.p.A. e Inox Market Service S.p.A. In aggiunta, un gruppo ransomware noto come Bavaqai, presunta estensione di MedusaLocker, ha dichiarato sul proprio sito dei leak di aver violato SIT S.p.A. Sposandoci in ambito state-sponsored, Sistemi Informativi S.p.A., società di Roma interamente controllata da IBM Italia e fornitore strategico di infrastrutture tecnologiche per la Pubblica Amministrazione italiana nonché per numerose grandi aziende private, è stata oggetto di un’intrusione informatica attribuibile al gruppo cinese GhostEmperor.

 

Threat: attacchi supply chain e malware inediti

All’inizio di maggio 2026, ricercatori di sicurezza hanno scoperto un attacco supply chain che ha compromesso gli installer ufficiali di DAEMON Tools Lite, uno dei software più utilizzati per l’emulazione di unità disco su Windows. Gli attaccanti sono riusciti a inserire una backdoor direttamente nei pacchetti di installazione distribuiti dal sito legittimo del produttore AVB Disc Soft e l’operazione ha generato migliaia di tentativi di infezione in oltre 100 Paesi. Un altro attacco supply chain ha interessato Bitwarden CLI. Nello specifico, ricercatori hanno rilevato la distribuzione di una versione compromessa del pacchetto @bitwarden/cli@2026.4.0 tramite il registro pubblico npm. Il payload rilevato suggerisce una forte sovrapposizione con la campagna Shai-Hulud , orchestrata dal gruppo TeamPCP. L’azienda ha precisato che non risulta compromesso alcun dato presente nei vault degli utenti, né sono stati impattati i sistemi di produzione o l’integrità del codice sorgente legittimo del prodotto. Tra le nuove minacce emerse è stata osservata una backdoor inedita chiamata Deep#Door, progettata per colpire sistemi Windows. Tra le capacità più rilevanti spicca il furto di credenziali, che include l’estrazione di dati da browser come Chrome, Edge e Firefox, chiavi SSH, account cloud di AWS, Azure e GCP, reti Wi-Fi e Windows Credential Manager. Il malware effettua inoltre keylogging, monitoraggio degli appunti, acquisizione di screenshot, accesso alla webcam e registrazione audio dell’ambiente circostante. Infine, è stata rilevata un’operazione mirata al settore energetico in Venezuela, volta al rilascio di un wiper inedito chiamato Lotus Wiper, il cui unico obiettivo è la cancellazione irreversibile di informazioni e il danneggiamento permanente dei sistemi Windows, e il cui intero processo di infezione viene ripetuto in più cicli per garantire l’irrecuperabilità totale dei dati.

 

Data breach: violazioni ai danni di Trellix, DigiCert, Instructure e Vimeo

Trellix, azienda americana di cybersecurity nata nel 2022 dalla fusione tra McAfee Enterprise e FireEye, ha confermato ufficialmente di aver subito un data breach che ha coinvolto l’accesso non autorizzato a una porzione del proprio repository di codice sorgente. La compromissione è stata successivamente rivendicata dal gruppo ransomware RansomHouse che ha messo a disposizione sul proprio sito dei leak un link per il download di alcune immagini a riprova dell’avvenuta violazione. DigiCert, una delle principali autorità di certificazione globali, ha subito un incidente di sicurezza che ha portato all’emissione impropria di 60 certificati di firma codice EV (Extended Validation), di cui almeno 27 sono stati successivamente associati a malware. Il 1° maggio 2026, l’azienda statunitense Instructure, fornitrice della piattaforma di apprendimento online Canvas, ha reso noto di aver subito un attacco informatico. Pochi giorni dopo, l’incidente è stato rivendicato dal gruppo ShinyHunters, che avrebbe sottratto 3,65 TB di dati non compressi riguardanti 275 milioni di individui. Infine, lo stesso avversario, ha rivendicato la compromissione ai danni di Vimeo, celebre piattaforma di hosting e streaming video, che ha reso noto di essere stata coinvolta in un incidente di sicurezza originato da una violazione subita dal proprio fornitore terzo Anodot, portale di analytics e anomaly detection.

 

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence