Italia: offensive cybercrime colpiscono il Paese

È stata rilevata una nuova campagna di phishing in corso con target italiani, che sfrutta il nome e i loghi del Governo italiano e della Presidenza del Consiglio dei ministri per esfiltrare credenziali bancarie. L’e-mail, con oggetto “Verifica dei Dati Bancari – Governo Italiano”, invita il destinatario a cliccare su un link presente nel testo come parte di una presunta procedura amministrativa di aggiornamento dati.

Se dato seguito al collegamento, l’utente viene reindirizzato a un portale che riproduce fedelmente la grafica istituzionale della Presidenza del Consiglio dei ministri dove selezionare tramite un apposito menu a tendina il proprio istituto bancario da una lista che comprende alcuni fra i principali gruppi, nazionali e non. Tra questi figurano: Intesa Sanpaolo, UniCredit, Monte dei Paschi di Siena, BNL, ING, BPER, BCC, Fineco, Crédit Agricole e PostePay.

Una volta completata la selezione, il target viene reindirizzato verso una pagina appositamente predisposta che simula quella di login della banca scelta, con lo scopo di sottrarre le credenziali di accesso (codice cliente e PIN/password). In aggiunta, è stata rilevata un’ulteriore operazione che sfrutta il nome e il logo dell’Agenzia delle Entrate (AdE) per esfiltrare dati personali e bancari.

L’e-mail, con oggetto “Notifica di rimborso fiscale – ITA286771593”, presenta nel testo un link che reindirizza il destinatario a una pagina fraudolenta tramite la quale ottenere un presunto rimborso di 115,50 euro.

Tale pagina imita il portale ufficiale dell’AdE, invitando l’utente a compilare un modulo dove inserire informazioni anagrafiche e della carta di credito per ottenere l’accredito. Infine, passando al panorama ransomware, l’avversario Qilin Team ha rivendicato sul proprio sito dei leak la compromissione di Saca Industrie S.p.A., Ilca Targhe S.r.l. e Battaglioli S.r.l; mentre un operatore soprannominato Devman ha reclamato la violazione di una realtà italiana il cui dominio risulta parzialmente offuscato (mttcar*[.]**[.]it).

Breach: violazioni in Corea del Sud, Stati Uniti, Canada e Francia

Coupang, il più grande rivenditore online della Corea del Sud, ha confermato di aver subito una massiccia violazione dei dati che ha compromesso le informazioni personali di 33,7 milioni di account clienti. Si tratta di una delle più gravi violazioni di dati nella storia recente del Paese, che colpisce potenzialmente il 65% della popolazione sudcoreana di 51,7 milioni di abitanti. Parallelamente,

Il fornitore di software finanziario Marquis Software Solutions, che serve oltre 700 istituti bancari negli Stati Uniti attraverso servizi di data analytics, CRM, compliance reporting e digital marketing, ha avvertito di aver subito una grave compromissione della sicurezza il 14 agosto 2025. L’attacco, di natura ransomware, è stato perpetrato sfruttando vulnerabilità nel firewall SonicWall dell’azienda, consentendo all’avversario di esfiltrare file contenenti informazioni sensibili provenienti dai sistemi clienti.

L’impatto dell’incidente risulta estremamente significativo, coinvolgendo oltre 400.000 individui distribuiti tra 74 banche e credit union statunitensi. D’altra parte, il 3 dicembre 2025 Freedom Mobile Inc., operatore di telecomunicazioni wireless canadese, ha segnalato di aver rilevato il 23 ottobre attività non autorizzate sulla propria piattaforma di gestione degli account dei clienti.

L’indagine interna ha rivelato che una terza parte ha utilizzato l’account di un subappaltatore per accedere alle informazioni personali di un numero limitato di clienti. A completamento del quadro, la settimana ha visto coinvolte anche alcune realtà francesi. Leroy Merlin, rivenditore di bricolage e giardinaggio, sta informando i clienti che le loro informazioni personali sono state compromesse.

L’incidente riguarderebbe solo i clienti in Francia. Infine, la Federazione calcistica francese (FFF) ha rivelato un data breach dopo che attaccanti hanno sfruttato un account compromesso per accedere al software di gestione amministrativa utilizzato dalle squadre di calcio.

APT: rilasciati dettagli su operazioni asiatiche e mediorientali

È stato osservato un presunto caso di collaborazione operativa tra il russo Gamaredon Group e il nordcoreano Lazarus Group. Dalle analisi effettuate risulta che i due APT abbiano utilizzato la stessa infrastruttura di comando e controllo per distribuire malware.

Nel dettaglio, il 24 luglio 2025 è stato identificato un IP parte dell’infrastruttura C2 nota di Gamaredon e, solo quattro giorni dopo, lo stesso indirizzo ha iniziato a distribuire una variante offuscata di InvisibleFerret, famiglia di malware attribuita a Lazarus Group. Il payload era consegnato tramite una struttura server identica a quella precedentemente osservata in Contagious Interview. Sebbene l’IP possa rappresentare un endpoint proxy o VPN, la vicinanza temporale dell’attività di entrambi i gruppi e il modello di hosting condiviso indicano un probabile riutilizzo dell’infrastruttura. Non è tuttavia chiaro se Lazarus Group abbia sfruttato un server controllato da Gamaredon o se entrambi gli attaccanti condividessero la stessa istanza client.

Passando in Pakistan, una nuova campagna di spionaggio tuttora attiva condotta dal gruppo di Islamabad Barmanou, è stata vista prendere di mira enti governativi indiani con un malware progettato specificamente per ambienti Linux BOSS. D’altro canto, un APT di matrice non chiara denominato Bloody Wolf, attivo dalla fine del 2023, ha intensificato le proprie campagne di spear phishing nell’Asia centrale impersonando agenzie governative – in particolare Ministri della Giustizia – per conferire legittimità alle proprie esche.

Gli attacchi sembrano aver preso di mira i settori finanziario, governativo e IT. Sposandoci in Medioriente, è stata documentata un’operazione condotta dall’iraniano MuddyWater tra settembre 2024 e marzo 2025, che ha colpito prevalentemente organizzazioni israeliane nei settori delle infrastrutture critiche, ingegneria, trasporti, utilities e governo locale, oltre a un obiettivo tecnologico in Egitto.

Infine, a poche ore dalla divulgazione pubblica di CVE-2025-55182 (React2Shell) il 3 dicembre 2025, ricercatori di sicurezza hanno osservato tentativi di sfruttamento attivo da parte di diversi gruppi legati allo Stato cinese, tra cui Earth Lamia e un avversario denominato Jackpot Panda.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.