Italia: attività cybercrime nella penisola

È stata tracciata in Italia una nuova campagna di phishing a tema Polizia di Stato. Come già successo in passato, l’e-mail sfrutta il nome e il logo della Polizia per esfiltrare credenziali di posta elettronica. La pagina malevola impiegata, realizzata tramite Webflow, sfrutta un’API dello stesso servizio per l’invio dei dati rubati. In aggiunta, è stata rilevata un’operazione volta a sottrarre le credenziali di accesso agli account PayPal delle potenziali vittime.

L’e-mail informa il destinatario di una presunta transazione anomala da verificare e lo invita a cliccare su un link al fine di annullarla. Quest’ultimo reindirizza il target verso un portale opportunamente predisposto che visualizza un form di autenticazione, simile a quello della pagina ufficiale di PayPal, nel quale viene richiesto l’inserimento di e-mail e password per l’accesso al proprio account. Q

ualora l’utente proceda inserendo le credenziali, viene richiesto il codice OTP: al primo tentativo verrà presentato un messaggio d’errore con contestuale richiesta di una nuova immissione del codice. In caso vengano inseriti i dati richiesti, una nuova pagina segnalerà il buon esito dell’operazione, presentando anche un link per visionare la “sintesi del conto”.

Il link, se cliccato, reindirizza l’utente al portale ufficiale di PayPal. Infine, una nuova campagna di smishing a tema INPS in corso ha preso di mira diversi individui. Come nelle precedenti operazioni, le potenziali vittime ricevono un SMS contenente un link che porta a una pagina malevola, simile nell’aspetto a quella del portale ufficiale dell’Istituto Nazionale Previdenza Sociale e accessibile solo da dispositivi mobile.

Una volta aperta la pagina fittizia, oltre alle generalità e all’IBAN, viene richiesto ai target il caricamento dei documenti. Passando al panorama ransomware, Medusa Team ha rivendicato sul proprio sito dei leak la compromissione di Callipo Group S.r.l.; Sinobi di AIRCOND S.r.l. e Fhiaba S.r.l.; e un gruppo chiamato MS13-089 di Studio DGP Dottori Commercialisti.

Occidente: attacco in Francia e nuove operazioni APT

Venerdì 12 dicembre 2025, il Ministro dell’Interno francese Laurent Nuñez ha confermato che i server di posta elettronica del Ministero dell’Interno del Paese sono stati oggetto di un attacco informatico rilevato nella notte tra giovedì 11 e venerdì 12 dicembre 2025, sul quale è in corso un’indagine per determinare l’estensione completa della violazione e identificare i responsabili.

Stando a quanto riferito da Nuñez, un attaccante è riuscito ad accedere a una serie di file, sebbene al momento non vi siano evidenze di gravi compromissioni. In risposta all’incidente, il Dicastero ha implementato le consuete misure di protezione, rafforzato i protocolli di sicurezza e i controlli di accesso ai sistemi informativi utilizzati dal personale ministeriale.

A seguito dell’attacco le autorità francesi hanno arrestato un sospettato nato nel 2003. Parallelamente alla violazione, è stato rilanciato il forum underground BreachForums, con uno dei suoi amministratori che ha pubblicamente rivendicato la responsabilità dell’attacco in un post. Nonostante la rivendicazione non sia stata verificata, il post afferma che il Dicastero è stato attaccato per vendicare l’arresto di alcuni amici, probabilmente riferendosi agli arresti del 2025 di cinque moderatori e amministratori di BreachForums.

Inoltre, ricercatori di sicurezza hanno identificato e interrotto una campagna pluriennale sponsorizzata dallo Stato russo che, tra il 2021 e il 2025, ha preso di mira infrastrutture critiche occidentali, con particolare attenzione al settore energetico. L’attività è stata attribuita con elevata certezza al Main Intelligence Directorate (GRU), evidenziando sovrapposizioni infrastrutturali con Sandworm e Curly COMrades.

Tali sovrapposizioni suggeriscono operazioni complementari all’interno di una campagna GRU più ampia, con una potenziale divisione operativa in cui un cluster si concentra sull’accesso alla rete e sulla compromissione iniziale mentre un altro gestisce la persistenza e l’evasione basate su host. Infine, negli ultimi mesi, è stata identificata una nuova ondata di attacchi attribuiti al cinese Earth Alux, il quale ha ampliato il proprio raggio d’azione a nuove regioni, mostrando maggiore attenzione verso target governativi in Europa, oltre al proseguimento delle attività nel Sudest asiatico e in Sud America.

 0-day: sfruttate falle ITW di Cisco, SonicWall, Apple e Google

Il 10 dicembre 2025 Cisco è venuto a conoscenza di una nuova campagna, basata sullo sfruttamento di una 0-day, mirata a un sottoinsieme limitato di dispositivi con determinate porte esposte che eseguono il software Cisco AsyncOS per Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. Tracciata con codice CVE-2025-20393 (CVSS 10.0), la falla è una Improper Input Validation che consente di eseguire comandi arbitrari con privilegi root sul sistema operativo sottostante di un device interessato.

Le indagini in corso hanno rivelato l’esistenza di un meccanismo di persistenza implementato dall’attaccante per mantenere un certo grado di controllo sui dispositivi compromessi. Si ritiene con un livello di confidenza moderato che l’attaccante, identificato come UAT-9686, sia un APT cinese.

L’attività, che risale almeno alla fine di novembre 2025, consente all’avversario di eseguire comandi a livello di sistema e distribuire una minaccia basata su Python denominata AquaShell. SonicWall ha rilasciato l’advisory SNWLID-2025-0019 per notificare una vulnerabilità 0-day sfruttata ITW, che interessa SMA1000 e in particolare la sua Appliance Management Console (AMC). Identificata con codice CVE-2025-40602 (CVSS 6.6), la falla è classificata come Missing Authorization ed Execution with Unnecessary Privileges. Nel dettaglio, si tratta di una Local Privilege Escalation dovuta a un’autorizzazione insufficiente nell’Appliance Management Console (AMC).

Il vendor ha riferito che la vulnerabilità è stata sfruttata in combinazione con CVE-2025-23006 (CVSS 9.8) per ottenere l’esecuzione di codice remoto non autenticato con privilegi root. Infine, Apple ha rilasciato aggiornamenti dei propri sistemi operativi per correggere diverse vulnerabilità, tra cui le seguenti due 0-day sfruttate ITW: CVE-2025-43529, una Use After Free; e CVE-2025-14174, un problema di Memory Corruption. In particolare, la casa di Cupertino è a conoscenza di una segnalazione secondo cui questi due problemi potrebbero essere stati sfruttati in un attacco estremamente sofisticato contro specifici individui su versioni di iOS precedenti a iOS 26.

La scorsa settimana Google ha corretto una 0-day tracciata con l’ID 466192044; tuttavia, ha poi aggiornato l’advisory per identificare la falla con il codice CVE-2025-14174  – lo stesso assegnato da Apple, il che indica una divulgazione coordinata tra le due società – e descriverla come una Out-of-bounds Memory Access in ANGLE. Tutte le vulnerabilità sopra descritte sono state aggiunte al catalogo KEV della CISA.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.