Italia: nuovi attacchi cybercrime

Sono state individuate in Italia nuove operazioni riconducibili a una campagna di phishing a tema rinnovo tessera sanitaria, inizialmente segnalata l’8 gennaio 2026. L’argomento risulta particolarmente efficace nel colpire un’ampia platea di utenti. Nel dettaglio, la campagna si basa sull’invio di e-mail che informano le potenziali vittime di una presunta imminente scadenza del documento, sollecitandole a procedere con il rinnovo.

Lo scopo è spingere il target a fornire dati personali e, in alcuni casi, a effettuare pagamenti non dovuti tramite link fraudolenti. La catena di attacco si sviluppa in due fasi: nella prima viene richiesto l’inserimento di informazioni personali quali nome, cognome, indirizzo e-mail e numero di telefono; nella seconda, non sempre presente, viene sollecitata la compilazione dei campi relativi alla carta di credito, giustificata dal presunto pagamento delle spese di spedizione. In aggiunta, un’operazione a tema Agenzia delle Entrate (AdE), finalizzata ad acquisire le credenziali di accesso delle identità digitali SPID degli utenti, ha sfruttato comunicazioni fraudolente che inducono la potenziale vittima ad accedere alla propria area riservata dell’AdE. Sempre a tema SPID è stata segnalata una seconda attività di phishing, nell’ambito della quale e-mail, con oggetti come “Importante:

Conferma i tuoi dati SPID” oppure “Verifica richiesta per la tua identità digitale”, invitano il destinatario ad accedere alla propria area privata per controllare ed eventualmente aggiornare i dati forniti per l’utilizzo dello SPID tramite un link presente nel testo. Quest’ultimo reindirizza l’utente a una finta pagina SPID ospitata su Google Sites. Infine, ulteriori offensive hanno preso di mira il personale di diverse università italiane, tra cui l’Università degli Studi di Salerno (UNISA) e l’Università degli studi di Bergamo (UniBg). Passando al panorama ransomware, Sarcoma ha rivendicato sul proprio sito dei leak la compromissione di MecMatica S.r.l.; The Gentlemen di San Carlo Gruppo Alimentare S.p.A. e Sud Trasporti S.r.l.; LockBit Team di Frandent Group S.r.l.; e Qilin Team di Colacem S.p.A., Fluorsid S.p.A. e Calzaturificio Casadei S.p.A.

APT: tracciate operazioni dall’Asia Pacifica

È stata identificata una campagna di spionaggio attribuita con confidenza moderata al cinese Mustang Panda e mirata contro entità governative statunitensi, caratterizzata dall’impiego di una backdoor denominata LOTUSLITE. L’attacco sfrutta tematiche geopolitiche legate alle relazioni USA-Venezuela come esca per operazioni di spear phishing. Il vettore di infezione consiste in un archivio ZIP denominato “US now deciding what’s next for Venezuela.zip” contenente un eseguibile legittimo rinominato “Maduro to be taken to New York.exe” e una DLL malevola nascosta chiamata kugou.dll. L’eseguibile, originariamente un launcher di un servizio di streaming musicale di Tencent, carica la DLL attraverso la tecnica del DLL Side-Loading utilizzando

LoadLibraryW e GetProcAddress. Nella seconda metà del 2025, è stata osservata una campagna del sudcoreano DarkHotel (APT-C-06) che utilizza un installer distribuito tramite un dispositivo USB per veicolare payload malevoli. Da un punto di vista tecnico e tattico, l’attività si configura come una prosecuzione diretta delle operazioni documentate nel primo semestre dello stesso anno. Tuttavia, a differenza dell’attacco di giugno 2025, in questa campagna il payload noto come DarkSeal non viene impiegato; al suo posto viene riadoperato un payload già osservato nelle operazioni di inizio 2025. Una campagna di spear phishing denominata Operation Poseidon, attribuita al nordcoreano ScarCruft, ha abusato dei meccanismi di redirection delle piattaforme pubblicitarie legittime per indirizzare le vittime verso infrastrutture di distribuzione malware esterne, camuffando link malevoli come traffico pubblicitario autentico ed eludendo così filtri e-mail e controlli reputazionali.

Cisco e Fortinet: sfruttate vulnerabilità ITW 

Cisco ha rilasciato bollettini di sicurezza per alcune vulnerabilità, tra cui una 0-day sfruttata ITW. Tracciata con codice CVE-2026-20045 (CVSS 8.2), la falla potrebbe consentire a un avversario remoto non autenticato di eseguire comandi arbitrari sul sistema operativo sottostante di un dispositivo interessato. Nel dettaglio, il problema è dovuto a una convalida impropria degli input forniti dall’utente nelle richieste HTTP.

Un attaccante potrebbe sfruttare questa vulnerabilità inviando una sequenza di richieste HTTP appositamente create all’interfaccia di gestione basata sul web di un device impattato. Un exploit riuscito potrebbe consentire all’utente malintenzionato di ottenere l’accesso a livello utente al sistema operativo sottostante e quindi elevare i privilegi a root.

In data 21 gennaio 2026, la CISA ha aggiunto la falla al suo catalogo KEV e incaricato le Agenzie dello US Federal Civilian Executive Branch (FCEB) di correggerla entro l’11 febbraio 2026.  Clienti Fortinet stanno assistendo a tentativi di attacco che sfruttano un bypass della patch per la vulnerabilità critica di autenticazione FortiGate CVE-2025-59718, precedentemente risolta, al fine di compromettere i firewall aggiornati. Uno degli amministratori interessati ha affermato che Fortinet avrebbe confermato che l’ultima versione di FortiOS (7.4.10) non ha risolto completamente la falla, che avrebbe dovuto essere corretta all’inizio di dicembre con il rilascio di FortiOS 7.4.9.

Inoltre, a partire dal 15 gennaio 2026, ricercatori di sicurezza hanno iniziato a osservare un nuovo cluster di attività malevole automatizzate che coinvolgono modifiche non autorizzate alla configurazione dei firewall FortiGate. Questa attività ha comportato la creazione di account generici finalizzati alla persistenza, modifiche di configurazione per concedere accesso VPN a tali account, nonché l’esfiltrazione delle configurazioni del firewall.

Sebbene i parametri relativi all’accesso iniziale non siano stati ancora pienamente confermati, l’attuale campagna presenta somiglianze con un’attività descritta nel dicembre 2025 relativa a CVE-2025-59718 e CVE-2025-59719.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence