Nella settimana appena conclusa, sono state tracciate in Italia diverse campagne malevole. Nel dettaglio, due operazioni di phishing hanno abusato sia dei loghi del Sistema Tessera Sanitaria (Sistema TS), del Ministero dell’Interno e di CieID, per ingannare l’utente attraverso la simulazione di comunicazioni istituzionali; sia della piattaforma per la creazione di siti web Weebly per colpire utenti e personale di alcune università italiane, in particolare il Politecnico di Bari e l’Università degli Studi di Bari Aldo Moro.

In aggiunta, sono state rilevate campagne di distribuzione dell’infostealer PureLogs a tema ordine d’acquisto e del malware Rhadamanthys a tema fattura Booking[.]com. Oltre a ciò, è stato scoperto un inedito RAT per Android denominato Klopatra, utilizzato in operazioni contro istituti finanziari e i loro clienti – principalmente in Spagna e Italia – da un gruppo di origine turcofona.

Il malware consente all’attaccante di ottenere il controllo completo sui dispositivi infetti, rubare dati sensibili ed eseguire transazioni fraudolente. Inoltre, combina un uso estensivo di librerie native con l’integrazione di Virbox, uno strumento di protezione del codice di livello commerciale, rendendolo difficile da rilevare e garantendone furtività e resilienza.

Data Breach: Miljödata, Harrods, WestJet, Allianz Life e Red Hat tra le vittime

Il gruppo cybercrime DATACARRY ha rivendicato l’attacco a Miljödata avvenuto il 20 agosto 2025, che ha colpito almeno 25 aziende e 200 entità amministrative e regioni svedesi. I dati compromessi riguarderebbero nomi, numeri di previdenza sociale, e-mail, indirizzi fisici, numeri di telefono, date di nascita e documenti di identificazione personale rilasciati dal governo, appartenenti a circa 870.000 account.

Al contempo, il magazzino di lusso britannico Harrods ha comunicato di aver subito un data breach legato a un fornitore terzo in cui sono state esposte informazioni personali di 430.000 clienti dell’e-commerce. La società non ha rivelato il nome del provider impattato; tuttavia, ha dichiarato di essere stata contattata direttamente dall’avversario, ma di non voler avviare alcuna negoziazione con quest’ultimo.

In aggiunta, la compagnia aerea canadese WestJet sta informando i clienti che l’attacco reso noto a giugno 2025 ha compromesso informazioni sensibili, tra cui passaporti e documenti d’identità, ma ha riferito di star ancora cercando di determinare l’intera portata dell’incidente. Allianz Life, invece, ha completato l’indagine sull’offensiva subita nel mese di luglio 2025, accertando che quasi 1,5 milioni di persone sono state coinvolte.

L’incidente risale al 16 luglio, quando un utente malintenzionato è riuscito ad accedere a un sistema cloud utilizzato da Allianz Life, esfiltrando informazioni personali relative a clienti, professionisti finanziari e ad alcuni dipendenti della compagnia. Secondo quanto emerso, l’attacco sarebbe riconducibile alla campagna del gruppo ShinyHunters contro la piattaforma Salesforce.

Infine, un gruppo di estorsione che si fa chiamare Crimson Collective sostiene di aver violato i repository privati GitHub di Red Hat, sottraendo quasi 570 GB di dati compressi relativi a oltre 28.000 progetti interni. Le informazioni includerebbero circa 800 Customer Engagement Reports (CERs), documenti di consulenza che possono contenere informazioni sensibili sulle reti e sulle piattaforme dei clienti.

Red Hat ha confermato di aver subito un incidente di sicurezza, ma non ha fornito riscontri sulle affermazioni del gruppo riguardo ai repository GitHub sottratti e ai CER rubati. Lo stesso gruppo ha anche rivendicato la responsabilità per il temporaneo defacement della pagina tematica di Nintendo avvenuto la scorsa settimana, in cui erano stati inseriti recapiti di contatto e link al loro canale Telegram.

Vulnerabilità: notificate molteplici 0-day sfruttate ITW

Ricercatori di sicurezza hanno comunicato di avere prove credibili dello sfruttamento attivo di CVE-2025-10035, rivelato nel software Fortra GoAnywhere Managed File Transfer (MFT). Tale falla, di tipo Deserialization of Untrusted Data, permette a un attaccante con una firma di risposta della licenza validamente contraffatta di deserializzare un oggetto arbitrario da lui controllato. Questa è stata inserita dalla CISA nel suo catalogo KEV, unitamente a CVE-2021-21311, una Server-Side Request Forgery che impatta il software di gestione di database open-source Adminer, già segnalata come sfruttata nel 2022 nell’ambito di una campagna attribuita a UNC2903.

Inoltre, CISA  ha aggiunto alla lista CVE-2025-20352, una Stack-based Buffer Overflow nel sottosistema Simple Network Management Protocol (SNMP) dei software Cisco IOS e IOS XE, che potrebbe consentire una condizione di Denial of Service o l’esecuzione di codice remoto; CVE-2025-59689, una Command Injection in Libraesva ESG che può essere attivata da un’e-mail malevola contenente un allegato compresso appositamente creato; e CVE-2025-32463, una vulnerabilità di tipo Inclusion of Functionality from Untrusted Control Sphere nell’utility per sistemi operativi Unix-like Sudo, che potrebbe permettere a un utente malintenzionato locale di sfruttare l’opzione -R (–chroot) per eseguire comandi arbitrari come root, anche se non sono elencati nel file sudoers. Oltre a ciò, è stato tracciato lo sfruttamento ITW di CVE-2025-41244, rivelato nei prodotti Aria Operations e Tools di VMware.

Dall’analisi è emerso che la falla sia stata sfruttata dal cluster legato alla Cina UNC5174, il quale avrebbe eseguito un’escalation dei privilegi a livello locale. Infine, è stata individuata un’intrusione informatica durata mesi nella rete della Federal Emergency Management Agency (FEMA) degli Stati Uniti, basata sullo sfruttamento della vulnerabilità CVE-2025-5777 di Citrix, che ha portato al furto di dati del personale dell’agenzia stessa e di quello della U.S. Customs and Border Protection (CBP).

La falla è una Out-of-bounds Read nota anche come CitrixBleed 2.0, che consente di aggirare l’autenticazione a più fattori e raccogliere gradualmente le credenziali di accesso tramite la divulgazione della memoria di sistema. In risposta all’accaduto, il DHS ha annunciato il licenziamento di circa 24 dipendenti dello staff tecnico della FEMA, tra cui alti funzionari del reparto cybersecurity e IT, con accuse di negligenza quali la mancata implementazione dell’autenticazione a più fattori, l’affidamento a protocolli obsoleti/legacy, la mancanza di visibilità operativa e l’omissione nella segnalazione di vulnerabilità critiche.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence