Conflitto iraniano e cyberwar, attacchi in Italia, colpiti LeakBase e Tycoon 2FA

Le ultime dall’Italia, novità nel panorama APT, sfruttate ITW diverse vulnerabilità

 Vedi tutte
Threat Intelligence, News

Nuovi dettagli sulle 0-day di Microsoft SharePoint, aziende italiane nel mirino ransomware, novità su APT cinesi e russi 

ToolShell: le ultime sulle 0-day di Microsoft SharePoint   

Secondo quanto riportato da una nota agenzia di stampa statunitense, Microsoft starebbe indagando su un possibile data leak ai danni del suo programma di allerta anticipata per le aziende di sicurezza informatica, noto come Microsoft Active Protections Program (MAPP), che potrebbe aver permesso ad avversari cinesi di sfruttare le vulnerabilità di SharePoint parte dell’exploit chain ToolShell (CVE-2025-49704/CVE-2025-53770 – CVE-2025-49706/CVE-2025-53771) prima che fossero corrette. Nel dettaglio, l’azienda di Redmond starebbe verificando se il programma, attivo da 17 anni e progettato per dare agli esperti di sicurezza informatica la possibilità di correggere i sistemi prima della rivelazione di nuove falle, abbia portato allo sfruttamento diffuso delle vulnerabilità di SharePoint a livello globale. Come già riportato, la scorsa settimana Microsoft ha attribuito la responsabilità delle offensive a gruppi state-sponsored cinesi, tra cui Emissary Panda (Linen Typhoon), APT31 (Violet Typhoon) e Storm-2603; accuse a cui la Cina si è poi opposta negando ogni responsabilità e ribadendo la propria opposizione alle attività di hacking. In base a quanto scritto sul sito web di Microsoft, almeno una dozzina di aziende cinesi partecipano al MAPP. Oltre a ciò, il gruppo con sede in Cina Storm-2603 è stato osservato distribuire il ransomware Warlock utilizzando l’exploit chain ToolShell. La catena d’attacco identificata iniziata con lo sfruttamento di un server SharePoint on-premises connesso a internet, che ha concesso all’avversario l’accesso iniziale all’ambiente impiegando il payload spinstall0.aspx, già documentato in precedenza. Oltre a ciò, ha adoperato Mimikatz per raccogliere credenziali e si è spostato lateralmente impiegando PsExec e il toolkit Impacket. Infine, ha modificato i Group Policy Object (GPO) per veicolare Warlock negli ambienti compromessi.

Italia: rivendicati nuovi attacchi ransomware  

Molteplici realtà italiane sono state target di differenti gruppi di tipo cybercrime. L’operatore ransomware Global ha infatti rivendicato la compromissione di due società: La Favorita S.r.l., impresa di pulizia con sede a Torre del Greco (NA) specializzata nella cura dell’igiene e della disinfezione di differenti tipologie di strutture; e Rete Toscana Classica (RTC), emittente radiofonica toscana che trasmette musica classica. World Leaks (rebranding di Hunters International Team) ha invece affermato di aver violato Acea S.p.A., uno dei principali gruppi industriali italiani che si occupa di servizio idrico integrato, distribuzione di energia elettrica, illuminazione pubblica e artistica, vendita di energia e gas, produzione di energia principalmente da fonti rinnovabili, trattamento e valorizzazione dei rifiuti, pubblicando successivamente i dati esfiltrati. In aggiunta, Qilin Team ha dichiarato la sua responsabilità dietro la compromissione del Consorzio di Bonifica Adige Po, ente pubblico economico che opera nella regione Veneto, in particolare nelle province di Rovigo e Padova, al fine di garantire la sicurezza idraulica tramite la rete idrografica minore; mentre J Group quella di Restiani S.p.A., azienda di commercializzazione di prodotti petroliferi con sede ad Alessandria, specializzata nella vendita di combustibili liquidi e gassosi, lubrificanti, carburanti, oli minerali e altri prodotti energetici. Infine, DragonForce Team ha reclamato la violazione dell’azienda italiana Framon S.p.A., che si colloca sul mercato come produttrice di componenti in fusione per illuminazione ed arredamento in materiali non ferrosi.

Cina e Russia: forniti nuovi dettagli circa due gruppi state-sponsored 

Per quanto riguarda il panorama state-sponsored cinese, sono stati forniti nuovi dettagli circa UNC3886, gruppo APT presumibilmente associato alla Cina, attivo almeno dal 2021 e responsabile di attacchi sofisticati contro Stati Uniti, Europa e, più di recente, Singapore. L’avversario sfrutta vulnerabilità 0-day in dispositivi di rete e virtualizzazione come VMware vCenter/ESXi e Juniper Junos OS; mantiene la persistenza impiegando account validi e boot‑hijacking; e  distribuisce tool open-source custom come la backdoor Python TinyShell; i rootkit Linux Reptile e MEDUSA, capaci di nascondere file, processi, connessioni e di fornire backdoor kernel‑level; le backdoor modulari e cross‑platform MOPSLED e RIFLESPINE; e il tool CASTLETAP, che prende di mira i firewall e si attiva tramite pacchetti ICMP. La sua catena d’attacco comprende interpreti di shell Unix o interfacce CLI di apparati di rete per l’esecuzione di comandi, tecniche di privilege escalation e una solida difesa dagli strumenti di sicurezza tramite mascheramento di file, processi e traffico cifrato. Nello scenario russo, una campagna di spionaggio condotta dal gruppo state-sponsored Turla Group ha preso di mira entità diplomatiche e ambasciate straniere situate a Mosca tramite un posizionamento Adversary-in-The-Middle (AiTM) a livello di Internet Service Provider (ISP)/Telco all’interno della Russia. L’obiettivo era quello di distribuire un malware custom inedito chiamato ApolloShadow per mantenere la persistenza e raccogliere informazioni. Si presume che l’avversario sfrutti probabilmente sistemi di intercettazione interni della Russia come il Sistema per le attività investigative operative (SORM), che si valuta possa essere fondamentale per facilitare l’attività AiTM del gruppo.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence