Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence, News

Tracciate attività APT cinesi e russe, breach colpiscono diverse vittime, osservato ShadowV2 e pacchetti npm infetti

Weekly Threats hor Telsy

 APT: novità da avversari localizzati in Cina e Russia

Ricercatori di sicurezza hanno scoperto l’Operation WrtHug, una campagna che negli ultimi mesi ha colpito globalmente device SOHO sfruttando vulnerabilità n-day nel servizio AiCloud per ottenere privilegi elevati sui router ASUS WRT End-Of-Life. L’operazione colpisce migliaia di dispositivi prevalentemente a Taiwan, negli Stati Uniti, in Russia e in minor misura nel Sudest asiatico ed Europa, con attaccanti presumibilmente cinesi che sfruttano sei diverse falle nei router ASUS WRT delle serie AC e AX per l’accesso iniziale: CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 e CVE-2025-2492. Quest’ultima, l’unica classificata come critica, è innescabile da richieste appositamente progettate su router con AiCloud attivo. Restando sul fronte cinese, è stata osservata una campagna di spionaggio contro il settore IT russo da parte di APT31. L’accesso iniziale risale a compromissioni di fine 2022 e campagne di phishing del 2024 con falsi messaggi contenenti archivi con file LNK che avviano documenti esca e CloudyLoader per distribuire Cobalt Strike. Oltre a ciò, sono state osservate due varianti di ClickFix in cui gli avversari nascondono codice malevolo nei dati dei pixel di immagini PNG. La prima mira a caricare un assembly .NET riflessivo chiamato Stego Loader; la seconda include variabili e URL di hosting che cambiano frequentemente e payload finali come Lumma Stealer e Rhadamanthys. In aggiunta, l’APT ToddyCat è stato osservato adottare una nuova variante PowerShell del malware TomBerBil, progettato per estrarre cookie e credenziali salvate nei browser. La versione aggiornata viene eseguita sui domain controller con privilegi elevati, accedendo ai file dei browser mediante risorse condivise SMB. Oltre a Chrome e Edge, supporta ora anche Firefox.  Passando alla Russia, è stato analizzato un attacco multifase attribuito a EncryptHub (alias Water Gamayun e LARVA-208), nel quale una ricerca web apparentemente innocua ha portato a uno sfruttamento sofisticato della vulnerabilità MSC EvilTwin CVE-2025-26633, consegnando infine payload PowerShell nascosti, un loader e un malware finale non identificato. Infine, sempre inerente a Mosca, è stata identificata un’offensiva mirata non riuscita contro un’azienda statunitense di ingegneria civile perpetrata dal gruppo Cuba Team (RomCom) attraverso l’infrastruttura SocGholish (FakeUpdate) gestita da DEV-0856 che funge da Initial Access Broker. L’attacco ha seguito la classica catena di SocGholish con compromissione di siti web legittimi tramite iniezione di codice JavaScript malevolo che presentava falsi aggiornamenti software per distribuire l’agent Mythic. 

 

Data breach: vittime in tutto il mondo

Everest Team ha rivendicato la compromissione di Iberia, compagnia aerea spagnola. Nei giorni scorsi, la società aveva iniziato a notificare ai propri clienti un incidente informatico che ha comportato l’accesso non autorizzato a uno dei suoi fornitori esterni, esponendo nomi completi, indirizzi e-mail e numeri identificativi della carta fedeltà Iberia Club. L’avversario avrebbe esfiltrato 596 GB di dati, inclusi 430 GB di file .eml con oltre 5 milioni di record, le cui informazioni includerebbero nomi, recapiti, date di nascita, dettagli di viaggio e prenotazioni, dati delle carte di credito parzialmente oscurati e profili di marketing. Al contempo, Salesforce ha riferito di aver rilevato un’attività insolita relativa alle applicazioni pubblicate da Gainsight, installate e gestite direttamente dai clienti, che potrebbe aver consentito l’accesso non autorizzato ai dati Salesforce di alcuni clienti attraverso la connessione dell’app. L’azienda ha dichiarato di aver informato direttamente i clienti interessati e ribadito che non risultano vulnerabilità nella piattaforma. L’attività osservata sembra infatti essere unicamente correlata alla connessione esterna utilizzata dalle app Gainsight. La società di cybersecurity statunitense CrowdStrike ha individuato e licenziato un dipendente che ha condiviso screenshot dei sistemi interni con il collettivo noto come Scattered Lapsus$ Hunters, confermando però che nessun sistema è stato compromesso e che i dati dei clienti sono rimasti protetti. L’Università di Harvard ha scoperto che i sistemi informatici utilizzati dall’Ufficio Affari Alumni e Sviluppo sono stati violati da soggetti non autorizzati a seguito di un attacco di vishing. Oltre a ciò, l’americana SitusAMC ha reso noto che il 12 novembre 2025 ha rilevato un incidente che ha comportato la compromissione di alcuni dati presenti nei propri sistemi, riguardanti la documentazione aziendale legata a rapporti con determinati clienti, tra cui registri contabili e accordi legali, che potrebbero includere anche informazioni relative ai clienti finali dei clienti. INC RANSOM Team ha rivendicato la responsabilità dell’attacco subito dalla piattaforma OnSolve CodeRED, che ha interrotto i sistemi di notifica di emergenza utilizzati da governi statali e locali, dipartimenti di Polizia e agenzie antincendio in tutti gli Stati Uniti. L’avversario sostiene di aver compromesso i sistemi di OnSolve il 1° novembre 2025 e di aver criptato i file il 10 novembre. Questi ultimi sarebbero stati successivamente messi in vendita a seguito del mancato pagamento del riscatto. Dal canto loro, Cox Enterprises, Mazda, Canon e Dartmouth College, dopo la rivendicazione di TA505, hanno confermato di essere state colpite dalla campagna di estorsione su larga scala mirata a utenti Oracle E-Business Suite (EBS) basata sullo sfruttamento della vulnerabilità CVE-2025-61882. Mercoledì 26 novembre, OpenAI ha comunicato che Mixpanel, un fornitore di analisi di terze parti utilizzato per l’analisi web sull’interfaccia frontend del suo prodotto API, ha subito un attacco informatico il 9 novembre 2025. Il provider ha rilevato che un avversario aveva ottenuto l’accesso non autorizzato a parte dei propri sistemi ed esportato un set di dati contenente informazioni identificabili, seppur limitate, dei clienti e dati analitici. L’incidente non ha comportato accessi non autorizzati all’infrastruttura di OpenAI, rimanendo confinato ai sistemi di Mixpanel, e non ha interessato gli utenti di ChatGPT e di altri prodotti. Da ultimo, la società del Comune di Milano, Milano Ristorazione S.p.A., ha dichiarato di aver subito un attacco malware il 24 novembre 2025, che ha interessato anche i canali di comunicazione con l’utenza. 

 

Malware: osservata una variante di Mirai e versioni infette di pacchetti npm

Alla fine di ottobre 2025, durante un’interruzione globale delle connessioni AWS, è stata rilevata la diffusione del malware ShadowV2, una variante evoluta di Mirai progettata per compromettere dispositivi IoT. L’attività malevola si è concentrata durante il blackout AWS, probabilmente come test preparatorio per offensive future. Gli attaccanti hanno sfruttato vulnerabilità in dispositivi di diversi produttori, tra cui DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721) e router TP-Link Archer (CVE-2024-53375), distribuendo il malware tramite script downloader da indirizzi IP specifici. L’impatto è stato globale, coinvolgendo 28 Paesi, Italia compresa. Le capacità offensive della minaccia implementano attacchi DDoS multilivello con tecniche, tra cui UDP flood in diverse varianti, TCP SYN flood, TCP ACK e ACK STOMP, oltre a HTTP flood, tutte controllabili da remoto dal server C2. Sempre questa settimana, sono state osservate centinaia di versioni trojanizzate di pacchetti npm ben noti come Zapier, ENS Domains, PostHog e Postman in una nuova campagna supply chain Shai-Hulud. I pacchetti malevoli sono stati aggiunti a npm durante il fine settimana per rubare segreti degli sviluppatori e dei sistemi di continuous integration e continuous delivery (CI/CD). La campagna introduce una nuova variante che esegue codice malevolo durante la fase di preinstallazione, aumentando significativamente la potenziale esposizione negli ambienti di compilazione e runtime. Come l’attacco Shai-Hulud venuto alla luce nel settembre 2025, anche l’ultima attività pubblica i segreti rubati su GitHub, questa volta con la descrizione del repository: “Sha1-Hulud: The Second Coming”. 

 

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.