Telsy Weekly Threats: Operazioni cybercrime, novità nel panorama APT, data breach e attività di Polizia

 

 

Cybercrime: nuove campagne e attività ransomware

È stata identificata una nuova campagna attiva denominata StrikeShark, mirata a organizzazioni in più Paesi e settori, che impiega un malware inedito chiamato SharkLoader.

L’operazione sfrutta vulnerabilità note quali CVE-2021-26855 e CVE-2022-41082 di Microsoft Exchange, CVE-2021-27076 di Microsoft SharePoint, CVE-2016-4437 di Apache Shiro, CVE-2021-36260 di Hikvision, CVE-2022-27925 di Zimbra Collaboration Suite, CVE-2023-46747 di F5 BIG-IP, CVE-2024-21762 e CVE-2022-40684 di Fortinet FortiOS, CVE-2023-20198 di Cisco IOS XE, CVE-2023-32315 di Openfire e CVE-2024-36401 di GeoServer. Il 24 giugno 2026, ricercatori di sicurezza hanno osservato una nuova ondata della campagna malevola Mini Shai-Hulud, che ha colpito pacchetti npm di LeoPlatform e l’ecosistema Go con il malware Miasma. Gli impatti principali riguardano il furto di credenziali che espone workstation di sviluppo, pipeline CI/CD e risorse cloud, con il rischio di propagazione ulteriore attraverso l’uso dei token compromessi.

Inoltre, è stato tracciato un caso di compromissione in cui il worm Shai-Hulud, attribuito a TeamPCP, ha permesso il passaggio da un attacco supply chain a un accesso prolungato e a un breach di dati sensibili all’interno di un ambiente Amazon Web Services. L’incidente ha avuto origine dall’esposizione di un ambiente a dipendenze CI/CD avvelenate che hanno compromesso runner basati su Jenkins e ha comportato perdite finanziarie rilevanti oltre alla compromissione di dati sensibili archiviati su Amazon Redshift.

Nel panorama ransomware, la massiccia campagna di furto di credenziali FortiBleed è stata collegata alle operazioni Ransomware-as-a-Service (RaaS) INC Ransom e Lynx. Un operatore con accesso all’infrastruttura di FortiBleed è stato identificato mentre gestiva attivamente i pannelli di negoziazione di entrambi i gruppi, fornendo la prova più evidente finora che le credenziali FortiGate raccolte attraverso questa operazione vengono cedute, o utilizzate direttamente, per la distribuzione di ransomware. In aggiunta, una nuova backdoor denominata Mistic (Backdoor.Mistic, MLTBackdoor) è stata rilevata in multiple intrusioni di natura opportunistica.

Si ritiene che il malware possa essere collegato a KongTuke (alias Woodgnat), un Initial Access Broker (IAB) a scopo di lucro attivo almeno dal 2024, specializzato nel compromettere reti aziendali e nel vendere l’accesso ottenuto a gruppi ransomware o ad altri avversari.

In almeno un’intrusione osservata, la backdoor è stata distribuita in stretta prossimità temporale con ModeloRAT, un RAT basato su Python sviluppato dallo stesso IAB.  Sempre in campo ransomware, il 30 giugno 2026 The Gentlemen ha rivendicato sul proprio sito dei leak la compromissione di Indra Group, multinazionale spagnola leader nel settore della tecnologia, della consulenza e della difesa che opera come contractor per la NATO.

Lo stesso gruppo ha rivendicato la compromissione di Naturghiaccio, azienda con sede principale a Uta (Cagliari). Restando in Italia, un avversario chiamato Deadlock ha rivendicato la compromissione di CNA Toscana Centro; World Leaks (rebranding di Hunters International Team) di Starpool S.r.l.; e Bashe (alias APT73) di Flazio S.r.l.

 

APT: operazioni cinesi, russe e iraniane

Ricercatori di sicurezza hanno osservato un avversario di lingua cinese nominato CL-STA-1062 distribuire un malware inedito chiamato TinyRCT durante un’attività di spionaggio mirata a enti governativi e infrastrutture critiche del settore energetico in paesi del Sudest asiatico. L’attaccante ha ottenuto l’accesso iniziale sfruttando vulnerabilità di applicazioni web e ha successivamente distribuito un toolkit ibrido che combina tool open-source con la backdoor.

Sempre in Cina, nel giugno 2026, sono state identificate due operazioni parallele di spionaggio informatico attribuite con alta confidenza al gruppo state-sponsored Mustang Panda, che prendono di mira enti governativi indiani e organizzazioni del settore idroelettrico, utilizzando un toolkit inedito comprensivo dei malware SHARDLOADER, MINIRECON e ZOHOMURK e sfruttando Zoho WorkDrive. L’obiettivo dell’APT di Pechino è la raccolta di informazioni sui piani energetici nazionali e sui rapporti di cooperazione difensiva tra India e Taiwan.

Passando in Russia, Turla Group è stato osservato orchestrare operazioni contro organizzazioni governative e militari, mirate al rilascio di una backdoor inedita nominata STOCKSTAY, del quale sample precoci sono stati identificati anche in contesti associati a entità con interessi nella politica estera italiana. Un’indagine del Citizen Lab ha rivelato l’uso da parte delle autorità russe del tool forense UFED della società israeliana Cellebrite per estrarre i dati dall’iPhone di Andrey Pivovarov, attivista per i diritti umani e direttore della sezione russa dell’organizzazione di opposizione Open Russia, tre mesi dopo che Cellebrite aveva interrotto ogni rapporto commerciale con la Russia e la Bielorussia.

L’indagine rileva inoltre una possibile correlazione tra l’estrazione dei dati effettuata con Cellebrite — che ha permesso di mappare la rete di contatti di Pivovarov — e successive campagne di spear phishing attribuite al russo Callisto (COLDRIVER) collegato all’FSB, ai danni di persone legate a Pivovarov, tra cui l’avvocato Anastasiya Burakova.

Infine, un cluster denominato TAG-182, quasi certamente parte dell’apparato di sorveglianza statale iraniano, sta diffondendo il malware MarkiRAT per supportare operazioni di intelligence governative contro cittadini iraniani residenti sia all’interno che all’esterno del Paese, volte presumibilmente a monitorare e identificare i dissidenti.

 

Contesto internazionale: arresti, operazioni di contrasto e violazioni informatiche

Due membri del gruppo Scattered Spider si sono dichiarati colpevoli davanti a un tribunale britannico per aver compromesso le reti di Transport for London (TfL) tra il 31 agosto e il 3 settembre 2024. TfL ha dichiarato che l’attacco ha causato circa tre mesi di disservizi, coinvolgendo 10 milioni di clienti. Il 23 giugno 2026 Nathan Austad, cittadino statunitense di 21 anni noto online con l’alias “Snoopy”, è stato condannato a 18 mesi di reclusione da un tribunale federale statunitense per il suo ruolo nell’attacco informatico condotto nel 2022 contro la piattaforma di scommesse e fantasy sports DraftKings.

Il 24 giugno 2026 Europol, insieme alle autorità di diversi Paesi, Eurojust e partner del settore privato, ha annunciato una nuova fase di Operation Endgame che ha portato allo smantellamento delle infrastrutture associate ai malware SocGholish, Amadey e StealC. Le infrastrutture, offerte secondo il modello Cybercrime-as-a-Service, erano utilizzate per la diffusione di malware e il supporto ad attività ransomware, frodi finanziarie e furto di informazioni.

L’Istituto Nazionale di Statistica e Studi Economici della Francia (INSEE) ha comunicato ufficialmente di essere stato vittima di un attacco informatico che ha determinato la violazione dei dati personali dei propri dipendenti.

Secondo quanto dichiarato, è stata compromessa l’identità di circa 12.800 persone che lavorano, hanno lavorato presso l’INSEE o provengono dai corpi dell’INSEE, nonché i loro recapiti professionali. KDDI Corporation, uno dei principali operatori di telecomunicazioni giapponesi, ha comunicato di aver subito un accesso non autorizzato a un sistema di posta elettronica utilizzato per l’erogazione dei servizi e-mail a cinque Internet Service Provider (ISP) del Paese.

La compromissione potrebbe aver esposto fino a 14,22 milioni di indirizzi e-mail e password appartenenti a clienti attuali, ex clienti e account inattivi dei provider. Il 30 giugno 2026 Aflac Life Insurance Japan Ltd., filiale giapponese del colosso assicurativo americano Aflac Incorporated, ha comunicato di aver subito una violazione dei propri sistemi, con conseguente sottrazione di informazioni personali e bancarie di 4,38 milioni di clienti. Inoltre, il Department of Homeland Security (DHS) degli Stati Uniti ha confermato un incidente informatico che ha interessato la Homeland Security Information Network (HSIN), una piattaforma utilizzata per la condivisione di informazioni sensibili ma non classificate tra partner federali, statali, locali, tribali, territoriali, internazionali e del settore privato. L

’intrusione ha coinvolto i server della HSIN e un sistema SharePoint associato per attività di collaborazione. A seguito della campagna di furto di dati attribuita a ShinyHunters, che ha sfruttato la vulnerabilità 0-day CVE-2026-35273 di Oracle PeopleSoft PeopleTools, la National Association of Insurance Commissioners (NAIC) e Nissan Americas hanno pubblicato comunicazioni ufficiali relative a incidenti di sicurezza che coinvolgono Oracle PeopleSoft.

Tra gli impatti operativi si segnala la sospensione temporanea, da parte di alcune agenzie di rating, dei feed di dati verso la NAIC, con conseguente pausa nell’assegnazione delle designazioni agli investimenti degli assicuratori e, per quanto riguarda Nissan Americas,  l’accessibilità di alcuni dati personali.

🌍 Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: