Cybercrime: attacchi ad Almaviva, Eurofiber France, Pajemploi e Poltronesofà

Qualche giorno dopo la pubblicazione su un forum underground di un leak da circa 2,3 TB contenente dati riconducibili ad Almaviva S.p.A. e a diverse società del Gruppo Ferrovie dello Stato (FS), l’azienda — leader italiano nell’Information & Communication Technology e partner tecnologico del Gruppo FS — ha confermato di aver individuato e isolato, nelle scorse settimane, un attacco informatico che ha coinvolto i propri sistemi corporate, comportando la sottrazione di alcune informazioni. Inoltre, ha dichiarato di aver attivato immediatamente le procedure di sicurezza e di contrasto, garantendo la continuità dei servizi critici.

Il 13 novembre 2025, Eurofiber France ha rilevato un incidente limitato alla divisione francese che ha coinvolto la piattaforma di gestione dei ticket utilizzata dall’azienda e dai marchi regionali Eurafibre, FullSave, Netiwan e Avelia, insieme al portale clienti ATE della divisione cloud Eurofiber Cloud Infra France. L’avversario ha sfruttato una vulnerabilità, provocando l’esfiltrazione di dati relativi alle piattaforme.

L’Urssaf, ente pubblico francese incaricato della riscossione dei contributi sociali, ha reso noto che il servizio Pajemploi – dedicato ai genitori datori di lavoro e ai fornitori di servizi di assistenza all’infanzia a domicilio (assistenti materne autorizzate e baby-sitter) – ha subito un furto di dati che potrebbe aver esposto le informazioni personali di circa 1,2 milioni di dipendenti. Infine, l’azienda italiana specializzata nella produzione e distribuzione di divani e poltrone Poltronesofà ha notificato ai propri clienti (con comunicati in lingua italiana e francese) di aver subito un attacco ransomware il 27 ottobre 2025.

La società ha riferito che alcuni soggetti non autorizzati hanno compromesso i server del Gruppo Poltronesofà, causando la crittografia dei file archiviati e l’indisponibilità delle macchine virtuali ospitate. Dai primi accertamenti risulta che potrebbero essere stati coinvolti dati anagrafici e di contatto dei clienti, tra cui nome, cognome, codice fiscale, indirizzo postale, e-mail e numero di cellulare. Tuttavia, non sarebbero note rivendicazioni.

Vulnerabilità: corrette 0-day e falle critiche

Il PSIRT di Fortinet ha sanato due vulnerabilità 0-day del firewall FortiWeb tracciate rispettivamente con codice CVE-2025-64446 e CVE-2025-58034. La prima è una Relative Path Traversal che potrebbe consentire a un utente non autenticato di eseguire comandi amministrativi sul sistema tramite richieste HTTP o HTTPS appositamente create. Le prime segnalazioni circa attacchi basati sulla falla risalgono al 6 ottobre 2025. La seconda, invece, è  una OS Command Injection che potrebbe permettere a un attaccante autenticato di eseguire codice non autorizzato sul sistema sottostante tramite richieste HTTP o comandi CLI appositamente predisposti.

L’agenzia americana CISA ha inserito entrambi i problemi nel suo catalogo KEV. Google ha risolto due vulnerabilità in Chrome, CVE-2025-13223 e CVE-2025-13224, entrambe classificate come Type Confusion in V8. Per CVE-2025-13223, il vendor ha dichiarato di essere a conoscenza dell’esistenza di un exploit ITW. Stando a quanto riportato dal National Institute of Standards and Technology (NIST), la falla può consentire a un avversario remoto di sfruttare potenzialmente una corruzione dell’heap tramite una pagina HTML appositamente realizzata. WhatsApp ha corretto CVE-2025-55179 nelle versioni per iOS, per Mac e Business per iOS che riguarda una validazione incompleta dei messaggi “rich response” che potrebbe aver consentito a un utente di indurre l’applicazione di un altro utente a elaborare contenuti multimediali provenienti da un URL arbitrario.

Infine, Grafana ha rilasciato le versioni 12.3, 12.2.1, 12.1.3 e 12.0.6 per correggere una vulnerabilità critica scoperta nel System for Cross-domain Identity Management (SCIM) di Grafana Enterprise. Identificata con codice CVE-2025-41115 (CVSS 10.0), la falla è una Incorrect Privilege Assignment che potrebbe consentire l’escalation dei privilegi o l’impersonificazione degli utenti in determinate configurazioni.

APT: attività provenienti da Cina, Corea del Nord e Medio Oriente

L’avversario cinese PlushDaemon ha sfruttato un implant inedito chiamato EdgeStepper in attacchi adversary-in-the-middle finalizzati a dirottare il traffico degli aggiornamenti software dei target verso server sotto il proprio controllo. Sempre inerente alla Cina, la startup americana di intelligenza artificiale Anthropic ha denunciato e successivamente interrotto un’operazione di cyberspionaggio su larga scala, in gran parte automatizzata, condotta da un avversario state-sponsored cinese tracciato come GTG-1002.

L’attività ha previsto l’abuso della piattaforma Claude Code di Anthropic per prendere di mira 30 entità di alto profilo tra grandi aziende tecnologiche, istituti finanziari, produttori chimici e agenzie governative, andando a segno solo in un numero limitato di casi. Da ultimo, l’MI5 britannico ha diramato un allarme relativo a tentativi del Ministero della Sicurezza di Stato (MSS) cinese di reclutare individui con accesso a informazioni sensibili sullo Stato britannico tramite due profili LinkedIn apparentemente legittimi utilizzati per stabilire contatti con parlamentari e personale politico. Spostandoci in Corea del Nord, la campagna Contagious Interview di Lazarus Group, sta sfruttando servizi legittimi di archiviazione JSON, come JSON Keeper, JSONsilo e npoint[.]io, per ospitare e successivamente distribuire malware.

In Medio Oriente, l’Israel National Digital Agency (INDA) ha scoperto una sofisticata campagna di spionaggio in corso, denominata SpearSpecter, dell’APT iraniano Charming Kitten. L’operazione ha sistematicamente preso di mira alti funzionari della Difesa e del governo utilizzando tattiche di social engineering personalizzate che includono l’invito dei bersagli a conferenze prestigiose o l’organizzazione di incontri importanti. Inoltre, l’attività ha ampliato il proprio raggio d’azione colpendo anche i familiari, estendendo così la superficie di attacco e aumentando la pressione sugli obiettivi primari.

Le TTP adoperate prevedono la distribuzione di nuovi moduli della backdoor TAMECAT, un’infrastruttura C2 multicanale che usa Telegram e Discord, lo staging dei payload tramite l’infrastruttura WebDAV e lo sfruttamento creativo delle funzionalità native di Windows. Rimanendo in Medio Oriente, sono emersi nuovi elementi relativi alle TTP della campagna di spionaggio dell’iraniano Tortoiseshell (UNC1549), tracciata a metà del 2024, contro i settori aerospaziale, aeronautico e della Difesa in Medio Oriente.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.