Italia: attacchi a vari portali collegati ai Giochi Olimpici Invernali e rivendicazioni ransomware

Dopo aver colpito target tedeschi e ucraini, il collettivo filorusso NoName057(16) ha rivolto i suoi attacchi DDoS contro diversi portali italiani e inerenti ai Giochi Olimpici Invernali di Milano Cortina 2026.

Tra i target presi di mira figurano: Hotel Ambra Cortina, Parc Hotel Victoria Cortina d’Ampezzo, Franceschi Parkhotel Cortina, Hotel Cortina, Hotel de la Poste, Comune di Giugliano in Campania, HERABIT, Comune di Parma, Comune di Reggio Emilia, Consiglio Regionale della Valle d’Aosta, Skiarea Campiglio Dolomiti di Brenta, Bormio Ski, Ski[.]it, Comprensorio sciistico Plan de Corones (Kronplatz), ItalyTenders, Autorità Portuale di Olbia e Golfo Aranci, Comune di Palermo, Sinfomar, Vulcanair S.p.A., l’Agenzia delle Dogane e dei Monopoli, Team Deutschland, Deutscher Olympischer Sportbund (DOSB), Comitato Olimpico Austriaco, Comitato Olimpico Finlandese, Ristorante Tivoli Cortina.

Il gruppo motiva le attività ostili sostenendo che, nel febbraio 2026, l’Italia continua a supportare l’Ucraina, mantenendo una linea filo-ucraina e filoatlantica sotto il governo guidato da Giorgia Meloni, nonostante le divergenze interne alla coalizione.

Il 5 febbraio si è unito alle operazioni anche il collettivo filopalestinese Dark Storm Team, bersagliando i portali dell’Aeroporto delle Marche e dell’Aeroporto di Bolzano.  In aggiunta, nuove offensive cybercrime hanno mirato alla penisola.

Le Gallerie degli Uffizi di Firenze e l’Università Sapienza di Roma sono state colpite da attacchi informatici che hanno determinato l’interruzione, rispettivamente, dei servizi amministrativi e di quelli digitali.

Passando al panorama ransomware, TA505 ha rivendicato sul proprio sito dei leak la compromissione di Augustea Holding S.p.A.; LockBit di Locatelli Autoservizi S.r.l; e Akira Team di Ferretti Construction S.r.l.

Supply chain: offensive sfruttano Notepad++ ed eScan

Tra giugno e dicembre 2025 è stata osservata una campagna di tipo supply chain che ha coinvolto l’infrastruttura di distribuzione degli aggiornamenti di Notepad++, sfruttata per veicolare payload malevoli verso un insieme ristretto di vittime selezionate.

L’operazione è stata attribuita con confidenza moderata al gruppo APT cinese Lotus Blossom, sulla base della convergenza di TTP, toolchain e similarità con attività precedentemente documentate. Le evidenze tecniche indicano che la compromissione non ha interessato il codice sorgente dell’applicazione, bensì l’infrastruttura di hosting utilizzata per la distribuzione degli update.

Gli attaccanti hanno sfruttato tale accesso per servire installer malevoli solo a target specifici, evitando una diffusione indiscriminata. Le vittime identificate sono: individui residenti in Vietnam, El Salvador e Australia; un’organizzazione governativa con sede nelle Filippine; una società finanziaria con sede a El Salvador; un’azienda fornitrice di servizi IT con sede in Vietnam.

Inoltre, si è verificato un secondo attacco supply chain, non riconducibile al precedente, che ha abusato della piattaforma di aggiornamento per l’antivirus eScan, dell’indiana MicroWorld. Gli attaccanti hanno ottenuto accesso non autorizzato a uno dei server di aggiornamento dell’azienda, compromettendo l’infrastruttura di distribuzione degli aggiornamenti.

APT: operazioni inedite da Mosca

È stata identificata una campagna di spionaggio informatico denominata Operation Neusploit, che ha preso di mira Paesi europei sfruttando una vulnerabilità critica in Microsoft Office, attribuita con elevata confidenza al russo Sofacy. Il 26 gennaio 2026, Microsoft ha rilasciato un aggiornamento di sicurezza per correggere CVE-2026-21509 (CVSS 7.8), una falla che consente di aggirare le funzionalità di sicurezza di Office.

Solo tre giorni dopo, il 29 gennaio, è stato osservato lo sfruttamento attivo della falla attraverso file RTF appositamente predisposti.

Gli attacchi hanno colpito utenti in Ucraina, Slovacchia e Romania, utilizzando esche di social engineering elaborate in inglese e nelle lingue locali. L’avversario ha implementato tecniche di evasione lato server, distribuendo la DLL malevola solo quando le richieste provenivano dalle regioni geografiche mirate e includevano specifici User-Agent HTTP.

In aggiunta, ricercatori di sicurezza hanno osservato avversari russi, in particolare un gruppo chiamato UTA0355, sfruttare i flussi di autenticazione OAuth e Device Code di Microsoft 365 e Google per compromettere account aziendali attraverso campagne di phishing sempre più sofisticate.

Le operazioni si sono concentrate sulla creazione di siti web fraudolenti che impersonano eventi di sicurezza internazionale reali in Europa, specificamente la Belgrade Security Conference, il Brussels Indo-Pacific Dialogue e la World Nuclear Exhibition. I target primari sono professionisti della sicurezza internazionale, della politica estera e individui con precedenti posizioni governative senior negli Stati Uniti.

Le tecniche di attacco prevedono un approccio multifase, dove l’attaccante stabilisce inizialmente comunicazioni innocue con i target, per poi inviare link malevoli. L’avversario crea siti web dall’aspetto estremamente credibile e offre supporto tramite WhatsApp o Signal per guidare le vittime attraverso l’intero processo fraudolento, assicurandosi che le stesse forniscano i codici OAuth necessari.

🔺 Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.