Nuovi attacchi in Italia, notificati data breach, AI e cybersecurity

Il ruolo delle certificazioni ISO nella qualifica cloud ACN: sicurezza e qualità per la PA

 Vedi tutte
Threat Intelligence, News

Target italiani vittime di attacchi di phishing e violazioni, APT attivi globalmente, novità nel mondo malware

Italia: compromissioni e campagne di phishing colpiscono realtà del Bel Paese 

Questa settimana in Italia sono state tracciate molteplici operazioni malevole. Diversi attaccanti hanno rivendicato compromissioni sui propri siti dei leak tra cui Dire Wolf, che ha dichiarato di aver violato lo Studio Legale Casali Angeleri Gentilini Avvocati Associati; e Sarcoma Group, il quale ha colpito Maselli Misure S.p.A., un’azienda familiare italiana dedicata alla progettazione e alla produzione di tecnologie ottiche innovative per l’analisi di controllo qualità in linea e in laboratorio. Sono invece due i target di Qilin Team: LIA – Liberi Imprenditori Associati (LIA Servizi S.r.l.), associazione imprenditoriale di Bergamo che rappresenta le PMI bergamasche e offre loro servizi agevolati; e IDS Ingegneria Dei Sistemi S.p.A., società di ingegneria e tecnologie di sistema del Gruppo Fincantieri Nextech. Per quanto invece riguarda le campagne di phishing, sono stati sfruttati nomi e/o loghi di: Agenzia delle Entrate (AdE), con lo scopo di esfiltrare le credenziali di accesso all’home banking della vittima; ING, in un’attività volta a sottrarre informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma della banca; Fascicolo Sanitario Elettronico (FSE), al fine di recuperare generalità, IBAN e nome dell’istituto di credito del target; e Zimbra, per carpire le credenziali di potenziali vittime, utenti della webmail. Infine, alcune Pubbliche Amministrazioni hanno segnalato una campagna di phishing che sfrutta il tool legittimo per la gestione delle patch Action1 per ottenere accesso non autorizzato ai dispositivi compromessi e presumibilmente diffondere malware.
 

APT: Taiwan, Corea del Sud e Russia vittime di attacchi di spionaggio informatico 

UAT-7237, un gruppo APT di lingua cinese, ha intrapreso una campagna volta a compromettere un fornitore di web hosting a Taiwan. L’avversario è ritenuto un sottogruppo di UAT-5918 con cui condivide strumenti e infrastrutture, ma si distingue per l’uso combinato di strumenti open-source personalizzati e di un loader chiamato SoundBill capace di eseguire shellcode e veicolare payload come Cobalt Strike. Sono stati osservati anche l’impiego di tool come JuicyPotato per l’escalation dei privilegi, modifiche di configurazione di Windows per indebolire le difese e tecniche di furto delle credenziali da processi di sistema e configurazioni VNC. Spostandoci a Seoul, invece, è ancora in corso una campagna di spionaggio, riconducibile a ScarCruft, contro missioni diplomatiche europee. Almeno 19 e-mail di spear phishing hanno impersonato funzionari reali e distribuito archivi ZIP protetti con collegamenti LNK mascherati da PDF per diffondere una variante di XenoRAT con capacità complete di accesso remoto. Le esche comprendono almeno 54 PDF in più lingue e allineati a eventi e prassi diplomatiche. Infine, il gruppo PhantomCore ha agito ai danni di organizzazioni russe appartenenti a settori chiave dell’economia e della pubblica amministrazione, con una totalità di circa 181 host a cui l’attaccante è riuscito ad accedere, compromettendone le reti aziendali. Nell’operazione malevola, l’avversario non solo ha utilizzato strumenti inediti di propria concezione come: una versione aggiornata della backdoor PhantomRAT; PhantomRShell; PhantomTaskShell; PhantomProxyLite; PhantomStealer; ma anche l’istanza MeshAgent; il software di tunneling RSocx; il client OpenSSH; l’open-source Rclone; XenArmor All-In-One Password Recovery Pro e un sito web compromesso.

Malware: segnalate novità ed evoluzioni di tool malevoli 

Ricercatori di sicurezza hanno individuato campagne che prevedono l’utilizzo di tool conosciuti, in nuove varianti evolute. In un attacco mirato a una specifica organizzazione del settore pubblico e dell’industria aeronautica del Medio Oriente, è stato distribuito un nuovo ransomware denominato Charon. Nel corso di questa operazione, caratterizzata dall’adozione di tecniche avanzate di tipo APT da parte di operatori ransomware, è stato sfruttato un file binario legittimo Edge.exe per eseguire il sideloading di una DLL malevola conosciuta anche come SWORDLDR e progettata per caricare un file contenente uno shellcode crittografato, ovvero il payload di Charon. Hong Kong, Emirati Arabi Uniti, Giordania, Libano e Malesia sono stati territorio di diffusione di GodRAT, un nuovo implant basato su Gh0st RAT usato contro istituti finanziari come società di trading e brokeraggio. Il malware appare come evoluzione di un RAT denominato AwesomePuppet, e talvolta affiancato da AsyncRAT per mantenere un accesso prolungato. Infine, tra giugno e agosto 2025, ricercatori di sicurezza hanno tracciato e bloccato una campagna che mirava a distribuire a oltre 300 target un infostealer denominato SHAMOS, una variante di Atomic Stealer offerta in modalità Malware-as-a-Service da un gruppo cybercrime denominato COOKIE SPIDER e distribuita tramite malvertising.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center, ora parte dell’area Threat Intelligence & Response di Telsy

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence