Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

Nuovi attacchi in Italia, notificati data breach, offensive dalla Cina

 Vedi tutte
Threat Intelligence, News

Phishing e ransomware in Italia, novità nel panorama APT, violate Qantas e Bitcoin Depot

Italia: operazioni ransomware e di phishing colpiscono il Paese

Nella settimana appena conclusa diversi avversari ransomware hanno rivendicato attacchi contro target italiani. In particolare, SatanLock ha reclamato la compromissione di Viggiani Bullone Girardi – Studio Notarile; Qilin Team di Ridewill S.r.l.; Lynx Team di Confartigianato Imprese e Nactarome S.p.A.; Akira Team di WispOne S.r.l.; e CRYPTO24 di una vittima non specificata. Oltre a ciò, sono state rilevate varie campagne di phishing sul territorio italiano. Nel dettaglio, alcune hanno colpito utenti SPID, sfruttando il nome e il logo dell’Agenzia per l’Italia Digitale (AgID) al fine di esfiltrare le credenziali dei malcapitati, unitamente a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento. Tra le altre, invece, figurano un’operazione a tema ING volta a carpire le informazioni personali delle potenziali vittime (compresi i codici di accesso alla piattaforma dell’istituto bancario), una a tema Aruba progettata per sottrarre le credenziali di accesso e una a tema sondaggio Decathlon avente come scopo il furto di dati personali e bancari. A queste si aggiunge una campagna di spear phishing in cui viene sfruttato il nome del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Bruno Frattasi, al fine di estorcere informazioni riservate.


APT: novità da avversari localizzati in Medio Oriente, Asia meridionale, Nord America e Cina  

In un clima di forte tensione in Medio Oriente, torna operativo con il nome Pay2Key.I2P il ransomware Pay2Key dell’omonimo team, associato all’APT iraniano Pioneer Kitten e strettamente legato al ransomware Mimic. Dalla fine di giugno 2025, l’attaccante ha dichiarato di aver aggiunto nelle opzioni del builder una versione del ransomware per i sistemi basati su Linux e di essere disposto a offrire quote di profitto più elevate – l’80% dei proventi dei riscatti – agli affiliati che sostengono l’Iran o partecipano ad attacchi contro i nemici del Paese. Passando in Asia meridionale, il gruppo indiano Dropping Elephant ha colpito un Ministero degli Affari Esteri dell’Europa meridionale, mentre il pakistano Barmanou si è concentrato sul personale del settore della Difesa in India, con specifica attenzione ai sistemi che eseguono BOSS Linux (ampiamente utilizzato dalle agenzie governative indiane). Spostandoci in Occidente, si è fatta luce su un APT precedentemente sconosciuto – presumibilmente di matrice nordamericana – denominato APT-Q-95 (alias NightEagle). Attivo dal 2023, l’avversario prende di mira i settori governativo, militare e high-tech cinesi al fine di rubare informazioni riservate. Infine, Xu Zewei, un cittadino cinese legato al gruppo state-sponsored di Pechino Hafnium è stato arrestato all’aeroporto di Milano Malpensa per spionaggio informatico, in esecuzione di un mandato di cattura internazionale emesso il 2 novembre 2023 dal Distretto meridionale del Texas, su richiesta delle Autorità statunitensi.

Breach: incidenti ai danni di Qantas e Bitcoin Depot 

Il 9 luglio 2025, la compagnia aerea australiana Qantas ha confermato che 5,7 milioni di clienti sono stati colpiti da un recente data breach. Stando a quanto riferito, è stato rilevato un accesso non autorizzato a una piattaforma di assistenza clienti di terze parti. L’analisi dei dati personali impattati ha rilevato approssimativamente che 4 milioni di record si limitano a nome, indirizzo e-mail e dati Qantas Frequent Flyer, mentre i restanti 1,7 milioni includono anche una combinazione di alcuni dei campi sopra citati e indirizzi di residenza e di lavoro, data di nascita, numero di telefono, genere e preferenze alimentari. La compagnia ha tuttavia riferito che non sono stati compromessi password, PIN e credenziali di accesso degli account Frequent Flyer di Qantas, oltre a informazioni finanziarie personali e dati di carte di credito o del passaporto. Quanto a Bitcoin Depot, a seguito della chiusura formale delle indagini nel giugno 2025, l’operatore bancomat ha informato i propri clienti di un incidente di sicurezza – rilevato nel giugno 2024 – che ha coinvolto i suoi sistemi ed esposto i dati di quasi 27.000 persone. Le informazioni impattate comprendono nome, numero di telefono e patente di guida, con la possibile inclusione di indirizzo, data di nascita ed e-mail; ciononostante, l’azienda precisa di non avere evidenze di un uso illecito di tali dati. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence