NoName057(16) mira all’Italia, nuove offensive nel panorama cybercrime, le ultime da Mosca e Pyongyang

L’Italia nel mirino di diversi avversari, operazioni APT inedite, minacce emergenti e compromissioni supply chain

 Vedi tutte
Threat Intelligence, News

Osservato PCPJack e pacchetti npm infetti, nuovi attacchi rivolti alla penisola, segnalate diverse vulnerabilità

Weekly Threats hor Telsy

Threat: tracciato il worm PCPJack e diversi attacchi supply chain

Ricercatori di sicurezza hanno tracciato una campagna attiva volta al furto di credenziali, che impiega un worm chiamato PCPJack e prende di mira infrastrutture cloud Linux esposte, eliminando al contempo qualsiasi artefatto collegato al gruppo TeamPCP dagli ambienti target. A differenza della maggior parte dei worm cloud osservati in precedenza, PCPJack non si dedica al cryptomining ma si concentra sulla monetizzazione delle credenziali rubate attraverso frodi finanziarie, spam, estorsione o rivendita. Nel maggio 2026 il sito ufficiale jdownloader[.]org è stato oggetto di una compromissione che ha permesso ad attaccanti di modificare alcuni link di download degli installer del software. Nel dettaglio, gli avversari hanno ottenuto accesso al CMS del sito e hanno alterato i collegamenti di download pubblicati, reindirizzandoli verso file malevoli ospitati esternamente, senza però modificare i pacchetti installer originali né accedere al filesystem del server o al sistema operativo sottostante. Il sito jdownloader[.]org risulta attualmente sicuro e operativo con link corretti. L’11 maggio 2026 ricercatori di sicurezza hanno tracciato la quinta ondata della campagna Mini Shai-Hulud orchestrata dal gruppo TeamPCP, che ha pubblicato sul registro npm 84 versioni malevole di 42 pacchetti appartenenti al namespace @tanstack. L’attacco ha compromesso librerie molto diffuse, tra cui @tanstack/react-router con oltre 12 milioni di download settimanali, esponendo potenzialmente milioni di sviluppatori e ambienti di produzione. Il team TanStack ha reagito con tempestività: tutte le 84 versioni e i relativi tarball sono stati rimossi dal registro npm entro poche ore dalla scoperta. Infine, nel corso dello stesso mese, il gruppo TeamPCP è stato osservato rilasciare una variante di Mini Shai-Hulud durante un nuovo attacco supply chain ai danni di Checkmarx, compromettendo il plugin ufficiale Checkmarx AST Scanner per la piattaforma Jenkins. L’impatto di questa compromissione è particolarmente rilevante perché il plugin Checkmarx AST Scanner è progettato proprio per eseguire analisi di sicurezza all’interno delle pipeline CI/CD.

 

Italia: osservate diverse attività malevole

Ricercatori di sicurezza hanno individuato una campagna mirata a utenti Android di applicazioni di banking, fintech, wallet e di autenticazione in Francia, Italia e Austria; e volta al dispiegamento di nuova variante di TrickMo, denominata TrickMo C (o Variant C), noto banking trojan attivo dal 2019. Tra le funzionalità principali figurano: il phishing delle credenziali tramite overlay WebView fullscreen; il keylogging con metadati associati; la registrazione e lo streaming dello schermo in stile VNC; l’intercettazione e la soppressione delle notifiche, inclusi SMS e OTP; oltre all’enumerazione delle applicazioni installate e all’esfiltrazione di file. A partire dall’inizio di questa settimana, sono state tracciate in Italia 14 nuove campagne di smishing che sfruttano il nome di INPS per raccogliere dati della carta di credito, presumibilmente allo scopo di effettuare addebiti non autorizzati. Il flusso fraudolento prevede prima la raccolta di informazioni personali, tra cui nome completo, indirizzo, città, CAP e numero di telefono, e successivamente la richiesta dei dati della carta di pagamento, inclusi titolare, numero di carta, scadenza e CVV. L’aspetto distintivo di queste operazioni rispetto a precedenti attività analoghe è l’orientamento verso il furto dei dati delle carte di credito, anziché di documenti di identità, CUD o informazioni lavorative. Inoltre, è stata rilevata una nuova campagna di phishing veicolata tramite messaggi WhatsApp che sfrutta il tema del mancato pagamento del pedaggio autostradale per indurre le potenziali vittime a inserire i dati delle proprie carte di pagamento, con un messaggio contenente un link che porta a una landing page graficamente molto simile a quella ufficiale di Autostrade per l’Italia. Infine, Unoaerre Industries S.p.A., storica azienda orafa aretina tra i principali gruppi europei del settore gioielliero, è stata colpita venerdì 8 maggio 2026 da un attacco informatico che ha paralizzato i sistemi operativi interni. Gli attaccanti hanno in seguito richiesto il pagamento di 3,8 milioni di euro in bitcoin per sbloccare l’intera infrastruttura informatica e per non diffondere eventuali dati riservati sottratti. Unoaerre ha respinto la richiesta senza avviare alcuna trattativa. Fonti mediatiche riferiscono che le prime indagini indicano possibili collegamenti con Paesi del Medio Oriente e dell’Est Europa. Le infrastrutture principali sono state comunque ripristinate nel giro di pochi giorni.

 

Vulnerabilità: segnalate falle che interessano Linux, F5 Networks, Apache, n8n, Ivanti e Microsoft Windows

È stato rilasciato un exploit Proof-of-Concept per una vulnerabilità chiamata Dirty Frag e identificata con codice CVE-2026-43284 presente nel kernel Linux. Trattandosi di un bug logico deterministico, non dipende da una finestra temporale critica: non richiede alcuna Race Condition, non causa il crash del sistema in caso di exploit fallito e il tasso di successo è molto elevato. Il 13 maggio 2026 è stata divulgata una vulnerabilità critica nel web server NGINX di F5 Networks, denominata NGINX Rift. Tracciata con codice CVE-2026-42945 (CVSS 9.2), si tratta di una Heap-based Buffer Overflow presente nel modulo ngx_http_rewrite_module da circa diciotto anni, ovvero dal 2008. Questa falla permette a un attaccante remoto non autenticato di inviare richieste HTTP appositamente create che provocano la corruzione dell’heap dei processi worker di NGINX. Le possibili conseguenze includono il crash dei processi worker, con conseguente Denial of Service per tutti i siti serviti dall’istanza, o, in presenza di condizioni favorevoli come l’assenza di ASLR, l’esecuzione di codice arbitrario remoto (RCE) nel contesto del worker process. Risultano inoltre pubblicamente disponibili Proof-of-Concept per CVE-2026-23918 e CVE-2026-34486 che affliggono, rispettivamente, Apache HTTP Server e Apache Tomcat, e per CVE-2026-42231 (CVSS 9.4) presente in n8n. Ivanti ha rilasciato degli aggiornamenti per Ivanti Endpoint Manager Mobile (EPMM) che risolvono cinque vulnerabilità, tra cui una 0-day sfruttata ITW. Il vendor ha riferito di essere a conoscenza di un numero molto limitato di clienti che sono stati vittime di attacchi basati sullo sfruttamento di CVE-2026-6973. Il successo dello sfruttamento richiede l’autenticazione come amministratore. Infine, il ricercatore noto come Nightmare Eclipse (alias Chaotic Eclipse, Deadeclipse666) ha divulgato sul proprio blog due vulnerabilità 0-day di Microsoft Windows non ancora corrette e senza codice CVE, denominate YellowKey e GreenPlasma, rilasciando i relativi exploit Poof-of-Concept (PoC) su GitHub. In attesa di patch ufficiali, le organizzazioni sono chiamate a rafforzare le policy di cifratura e a monitorare attentamente l’eventuale presenza di file FsTx su supporti rimovibili o partizioni EFI come possibile indicatore di tentativo di exploit.

 

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence