Italia: operazioni cybercrime nella penisola

È stata recentemente rilevata una ripresa dell’attività riconducibile a una campagna di thread hijacking documentata nel dicembre 2025, rivolta a organizzazioni con sede in Italia e finalizzata alla realizzazione di frodi finanziarie di tipo Business Email Compromise (BEC). Le prime evidenze tecniche hanno confermato la compromissione di caselle di posta aziendali attraverso la diffusione di un’e-mail di phishing. Il messaggio, caratterizzato da un contenuto principalmente testuale, richiama una presunta relazione di natura finanziaria da consultare.

Cliccando il link presente nel testo, il destinatario viene indirizzato verso una landing page di login, che riproduce loghi e riferimenti grafici di Microsoft Outlook Web. In tale fase, viene richiesto al malcapitato dapprima l’inserimento delle credenziali di accesso e, successivamente, l’immissione di un codice OTP ottenibile via SMS o tramite un’app di autenticazione legittima. Al termine della procedura non viene fornito alcun file o documento; compare invece un messaggio di errore, elemento che può indurre l’utente a minimizzare l’accaduto.

Una volta acquisito l’accesso alla casella compromessa, l’avversario non interviene nell’immediato, ma analizza i contenuti delle comunicazioni per identificare eventuali scambi commerciali in corso. Sfruttando questo contesto, l’attaccante fa ricorso a tecniche di Email Thread Hijacking, inserendosi in conversazioni autentiche tra l’organizzazione e i propri clienti o partner. Inoltre, sono state individuate: una nuova attività di smishing a tema INPS, volta a rubare documenti e dati personali; e la distribuzione di un infostealer chiamato VIPKeyLogger.

Passando al panorama ransomware, INC RANSOM Team ha rivendicato sul proprio sito dei leak la compromissione di Bitgo S.r.l.; NightSpire di ATI S.r.l.; DragonForce Team di Wipro Ferretto S.r.l.; Akira Team di Icat Food S.p.A. e iSMA CONTROLLI S.p.A.; Qilin Team di Casartigiani – Confederazione Autonoma Sindacati Artigiani e ABAR S.p.A.; The Gentlemen di SEAC S.p.A.; e Space Bears di Elgon Cosmetics.

Breach: violazioni tra settore pubblico, fintech e trasporti

Il Ministero dell’Economia francese ha reso noto che un attaccante ha ottenuto accesso non autorizzato al Fichier national des comptes bancaires et assimilés (FICOBA), il database nazionale che censisce tutti i conti bancari aperti presso gli istituti francesi, esponendo 1,2 milioni di conti bancari.

A partire dalla fine di gennaio 2026, l’avversario ha utilizzato credenziali rubate appartenenti a un funzionario autorizzato nell’ambito degli scambi informativi tra ministeri per consultare una porzione del database contenente dati personali, tra cui coordinate bancarie (RIB/IBAN), identità del titolare, indirizzo e, in alcuni casi, identificativo fiscale. Figure Technology Solutions, fintech fondata nel 2018 e descritta come operante sulla blockchain Provenance per servizi di lending e home equity — con oltre 22 miliardi di dollari in home equity erogati tramite più di 250 partner — ha confermato una violazione che ha interessato circa 967.200 account.

Secondo quanto riportato, i dati riferiti a gennaio 2026 e successivamente pubblicati online includono indirizzi e-mail, nomi, numeri di telefono, indirizzi fisici e date di nascita. L’accesso ai sistemi aziendali sarebbe stato ottenuto tramite social engineering grazie a un dipendente indotto con l’inganno a fornirlo.

La responsabilità è stata rivendicata dal gruppo estorsivo ShinyHunters, che ha pubblicato 2,5 GB di presunti dati sul proprio leak site. L’attaccante ha inoltre rivendicato offensive analoghe contro diverse organizzazioni come Canada Goose, Panera Bread, Betterment, SoundCloud e Match Group (proprietaria di Tinder, Hinge, Meetic, Match[.]com e OkCupid). Eurail B.V., l’operatore che fornisce accesso a 250.000 chilometri di ferrovie europee, ha confermato che i dati rubati in seguito a una violazione avvenuta all’inizio di quest’anno sono stati messi in vendita in ambienti underground. L’azienda ha dichiarato che un avversario ha anche pubblicato un sample dei dati sulla piattaforma di messaggistica Telegram, ma sta ancora cercando di determinare il tipo di record e il numero di clienti coinvolti.

Spyware: rilevate attività contro target angolani e kenioti

Una nuova indagine del Security Lab di Amnesty International ha stabilito che nel 2024 lo spyware Predator di Intellexa è stato utilizzato per violare il telefono di Teixeira Cândido, giornalista angolano di spicco, attivista per la libertà di stampa, giurista ed ex segretario generale del Sindacato dei giornalisti angolani (SJA). Dal 29 aprile al 16 giugno 2024, durante i suoi ultimi mesi come segretario generale della SJA, Cândido ha ricevuto una serie di messaggi WhatsApp sul suo iPhone da un numero angolano sconosciuto.

Il mittente usava un nome angolano comune e fingeva di far parte di un gruppo di studenti interessati agli affari sociali ed economici del Paese. Dopo un periodo iniziale dedicato a instaurare un rapporto di fiducia, l’avversario ha inviato il primo link malevolo il 3 maggio, progettato per infettare il cellulare del giornalista con Predator. Questo schema è continuato per settimane, con l’attaccante che inviava ulteriori link dannosi, ciascuno dei quali fingeva di rimandare ad articoli di cronaca e siti web apparentemente autentici.

Ulteriori messaggi lo incoraggiavano ad aprire i link. Il 4 maggio 2024, il giornalista sembra aver aperto un link malevolo, che avrebbe portato all’infezione con lo spyware, consentendo l’accesso illimitato al suo dispositivo. In aggiunta, un’indagine del Citizen Lab ha rivelato l’uso da parte delle Autorità keniane di uno strumento di estrazione forense commerciale prodotto dalla società israeliana Cellebrite contro il telefono Samsung Android di Boniface Mwangi, un’importante voce dissenziente, attivista e politico keniota che ha annunciato la sua intenzione di candidarsi alle elezioni presidenziali del 2027 in Kenya.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence.