L’Internet of Medical Things (IoMT)

L’Italia nel mirino di diversi avversari, nuove operazioni APT, le ultime in campo cybercrime

 Vedi tutte
Threat Intelligence, News

Recenti attacchi in Italia, novità tra i malware, Ucraina colpita da campagne malevole 

Weekly Threats hor Telsy

Italia: nuove offensive colpiscono la Penisola

Lo spyware Graphite dell’israeliana Paragon Solutions ha colpito l’imprenditore e finanziario Francesco Gaetano Caltagirone e l’amministratore delegato di UniCredit, Andrea Orcel. I due uomini rivestono ruoli da protagonista nelle operazioni che stanno trasformando gli assetti del sistema bancario italiano. Stando a quanto appreso, lo spyware è stato installato nei loro dispositivi nell’ambito di un attacco zero-click basato sullo sfruttamento di una vulnerabilità di WhatsApp per Caltagirone e di iMessage per Orcel. L’imprenditore sarebbe stato inserito a sua insaputa in una chat popolata da contatti a lui noti, nella quale è stato condiviso un documento PDF contenente il malware. Al momento non è possibile stabilire chi ci sia dietro gli attacchi. Sul versante phishing, sono state rilevate nuove campagne, una delle quali ha colpito i cittadini della regione Lombardia tramite un’e-mail, che finge di provenire da una società di recupero crediti, relativa a un presunto mancato pagamento di prestazioni sanitarie. Questa operazione sembrerebbe collegata a un attacco informatico mirato alla piattaforma privata Paziente Consapevole, utilizzata da medici di base lombardi e gestita da Murex Software, che avrebbe portato alla compromissione di dati personali e sanitari dei pazienti registrati. Non sarebbero coinvolti i sistemi della Regione Lombardia. Oltre a ciò, è stata rilevata una campagna che sfrutta l’avvio del nuovo Sistema di Ingressi/Uscite (EES), il quale ha lo scopo di registrare le informazioni personali di cittadini di Paesi extra UE e non Schengen che intraprendono viaggi brevi in Italia. Nello specifico, un dominio fraudolento riproduce graficamente la pagina legittima del Sistema, inducendo le potenziali vittime a inserire il proprio cognome e numero di documento. Sono state rilevate finte pagine di login Zimbra, realizzate con Weebly, che mirano alle credenziali del personale di Regione Toscana e delle relative Aziende Sanitarie Locali (ASL). Per quanto riguarda i gruppi ransomware, Qilin Team ha reclamato la violazione di Valtorta – Raising S.r.l., azienda che produce impianti di sollevamento e trasporto meccanico; mentre DragonForce Team di Autorotor S.r.l., società specializzata nella costruzione di macchine per l’automazione industriale. Inoltre, un gruppo chiamato The Gentlemen ha rivendicato la compromissione di ICET Studios S.r.l., azienda di Cologno Monzese (MI) attiva nelle produzioni cinetelevisive, delle pubblicità e dei grandi eventi. Da ultimo, le utility Sorgenia e Dolomiti Energia hanno notificato un data breach ai propri clienti a seguito di un attacco informatico che potrebbe aver coinvolto un provider comune alle due aziende. 

 

Malware: tracciate molteplici campagne

È stata rilevata un’operazione che impiega il trojan bancario Astaroth per colpire vari Paesi dell’America Latina – espandendosi potenzialmente anche a Italia e Portogallo -, sfruttando repository GitHub al fine di mantenere la resilienza della propria infrastruttura di controllo. A fine settembre 2025, è stata osservata una nuova backdoor chiamata ChaosBot, che consente di condurre ricognizioni ed eseguire comandi arbitrari, utilizzando servizi legittimi di Discord per il C2. La distribuzione è avvenuta, sia sfruttando credenziali compromesse associate a CiscoVPN e a un account Active Directory con privilegi, sia tramite e-mail di phishing. Il documento esca è un PDF a tema State Bank of Vietnam. In aggiunta, il Malware-as-a-Service (MaaS) Stealit ha iniziato a sfruttare la funzionalità Single Executable Application (SEA) di Node.js per distribuire i propri payload. La minaccia viene pubblicizzata come un RAT che esfiltra dati, esegue comandi, controlla la webcam, monitora lo schermo in tempo reale e dispone dell’implementazione di ransomware per Android e Windows. Un malware denominato PhantomVAI Loader è stato osservato distribuire infostealer commerciali quali AsyncRAT, XWorm, FormBook e Dark Crystal RAT, attraverso una catena di infezioni evasiva e a più fasi, avviata tramite e-mail contenenti allegati JavaScript/VBS offuscati. Infine, un gruppo chiamato TA585, ha distribuito un Malware-as-a-Service (MaaS) avanzato denominato MonsterV2, che funge da RAT, stealer e loader. La sua architettura è dotata di un ampio set di comandi C2, come quelli per terminare o sospendere processi, acquisire screenshot, avviare keylogger, manipolare ed esfiltrare file, spegnere o forzare crash, e stabilire connessioni HVNC. Oltre a ciò, dispone di meccanismi per evitare infezioni nelle Nazioni parte della Comunità degli Stati Indipendenti (CSI). 

 

Ucraina: le ultime dal conflitto russo-ucraino

Il russo Sofacy ha condotto una campagna di social engineering per distribuire il malware custom ZooFlip su dispositivi ucraini legati al settore governativo. L’avversario ha contattato le vittime con messaggi contenenti un allegato che, quando cliccato, avviava una catena di infezione a più fasi con macro VBA per rilasciare il dropper ZooFlip. In aggiunta, a partire dalla seconda metà di settembre 2025, il CERT-UA ha osservato un cluster tracciato come UAC-0239 sferrare attacchi mirati alle Forze di Difesa ucraine e alle autorità governative locali, veicolando il framework OrcaC2 e uno stealer con capacità di esfiltrazione su Telegram denominato FILEMESS. Nel dettaglio, l’interazione iniziale avviene tramite e-mail di phishing inviate attraverso servizi popolari come Ukr[.]net e Gmail, dove l’avversario sfrutta il tema della “lotta contro i gruppi russi di sabotaggio e ricognizione”, fingendo di agire per conto del Servizio di sicurezza dell’Ucraina. Il panorama del conflitto russo-ucraino si estende fino alla Polonia, dove il Ministro per gli Affari Digitali polacco, Krzysztof Gawkowski, ha dichiarato che l’intelligence militare russa, nel corso del 2025, ha sferrato molteplici cyberattacchi a causa del forte sostegno della Polonia a Kiev, mirando ad infrastrutture essenziali per la vita quotidiana ed estendendo il loro obiettivo oltre ai sistemi idrici e fognari, anche al settore energetico. 

 

 

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence