Italia: NoName057(16) e campagne di phishing minacciano la penisola

Il gruppo hacktivista NoName057(16) ha rivendicato nuove offensive DDoS ai danni di portali italiani, per protestare contro la preparazione del dodicesimo pacchetto di aiuti militari per l’Ucraina, che include munizioni e missili SAMP/T, dimostrando il continuo sostegno italiano a Kiev nonostante le restrizioni finanziarie e i tagli agli aiuti americani.

Tra i target risultano: Consiglio Regionale della Valle d’Aosta; Regione Lazio; Comune di Giugliano in Campania; Comune di Potenza; Tiscali; Tessellis; HERABIT; Comune di Parma; Comune di Reggio Emilia; Ministero delle Infrastrutture e dei Trasporti; Aeronautica Militare; Servizio Contratti Pubblici; Pro-Q S.r.l.; CoopVoce; Fastweb S.p.A.; Unione Italiana Lavoratori Pubblica Amministrazione (UILPA); NTC Italia; Regione Piemonte; Italy Tenders; Banchedati[.]biz; Autorità Portuale di Olbia e Golfo Aranci; Comune di Palermo; Assemblea Regionale Siciliana (ARS); Associazione dei Porti del Nord Adriatico (NAPA); Sinfomar; Ministero del Lavoro e delle Politiche Sociali; Autorità di Sistema Portuale del Mare Adriatico Orientale – Porto di Trieste; Autorità di Sistema Portuale del Mar Tirreno Centro Settentrionale – Porti di Roma e del Lazio; Gruppo A2A, Vulcanair S.p.A.; Agenzia delle Dogane e dei Monopoli; Acqua Novara.VCO S.p.A. e AMAT Palermo S.p.A. Sul canale Telegram dell’attaccante, tra gli obiettivi colpiti figura anche Regione Emilia-Romagna; tuttavia, non è stato possibile verificarne l’esito.

In ambito cybercrime, invece, sono state rilevate nuove campagne di phishing, tra queste: una rivolta contro gli studenti e il personale dell’Università degli Studi di Firenze (UniFi), che ha sfruttato la piattaforma per la creazione di siti web Weebly per realizzare un portale fraudolento; una ha previsto l’invio di e-mail su un presunto rimborso che fingono comunicazioni da Fascicolo Sanitario Elettronico (FSE), Ministero dell’Economia e delle Finanze, Ministero della Salute e Dipartimento per la trasformazione digitale un’altra a tema rinnovo patente, con e-mail che sembrano provenire dal Ministero delle Infrastrutture e dei Trasporti (MIT); ed, infine, una apparentemente proveniente da un ministero italiano e rivolta contro entità governative nazionali, con l’obiettivo di esfiltrare credenziali.

Oltre a queste, è stata rilevata anche una campagna di smishing basata su un SMS fraudolento che informa in merito a un pedaggio non pagato e indirizza le vittime su un finto portale di Autostrade per l’Italia (Aspi) che richiede l’inserimento di dati personali, quali targa e numero di cellulare, oltre ai dettagli della carta di pagamento.

APT: tracciate nuove offensive rivolte a Ucraina, Russia, Giappone e Brasile

Ricercatori di sicurezza hanno osservato, in Ucraina, un’intrusione durata due mesi contro una grande organizzazione di servizi aziendali e un attacco durato una settimana contro un’organizzazione governativa locale, che hanno sfruttato una quantità limitata di malware e fatto ampio ricorso a tattiche Living-off-the-Land e strumenti a duplice uso, oltre a eseguibili malevoli e downloader PowerShell. In particolare, è stato rilevato l’uso della web shell LocalOlive, precedentemente associata al gruppo state-sponsored russo Sandworm.

Sebbene non sia possibile confermare un collegamento diretto con l’APT di Mosca, entrambe le offensive sembrano avere origine russa. Sempre in Ucraina, è stata individuata una campagna di phishing del gruppo state-sponsored russo Gamaredon Group, rivolta contro entità governative e basata sullo sfruttamento della vulnerabilità CVE-2025-8088 di WinRAR.

Spostandoci in Russia, il Paese è stato colpito dalla campagna di cyberspionaggio Operation ForumTroll, che ha veicolato un malware nominato LeetAgent e uno spyware commerciale noto come Dante, sviluppato da Memento Labs, società italiana che si ritiene un rebranding di Hacking Team. Passando poi in Giappone, una campagna di spear phishing a tema job application, condotta dal gruppo sudcoreano DarkHotel,  ha colpito il personale HR di organizzazioni nazionali con versioni aggiornate del malware SpyGlace. Quest’ultimo è stato identificato in tre versioni distinte, ognuna dotata di miglioramenti incrementali nelle funzionalità, nei meccanismi di persistenza e nelle tecniche di offuscamento. Infine, in Brasile è stata tracciata una nuova ondata della campagna Water Saci, che sfrutta WhatsApp per distribuire SORVEPOTEL. L’analisi dell’operazione ha rivelato una nuova catena di infezione, che invece di impiegare file binari .NET, usa una combinazione di downloader di script VBS e PowerShell.

Malware: osservate campagne con tool inediti

Ricercatori di sicurezza hanno tracciato un malware denominato Baohuo, che si diffonde tramite versioni modificate dell’app Telegram X per Android e ha già infettato oltre 58.000 dispositivi nel mondo, tra cui smartphone, tablet, set-top box TV e perfino sistemi Android di auto. Nel dettaglio, Baohuo si integra nel file eseguibile principale o in DEX separati del repository dell’app Telegram X, e utilizza il framework Xposed per modificare dinamicamente funzionalità dell’app, celare dispositivi autorizzati, nascondere chat e notifiche, intercettare il contenuto della clipboard e visualizzare finestre di phishing identiche a quelle originali dell’app per sottrarre dati sensibili.

Restando nel mondo Android, è stato scoperto un nuovo trojan bancario chiamato Herodotus, progettato per eseguire il Device Takeover, che si distingue per la capacità di imitare il comportamento umano al fine di eludere i sistemi di rilevamento comportamentale e biometrico.

Sono state osservate campagne attive in Italia e Brasile, dove il malware viene diffuso tramite sideloading, potenzialmente coinvolgendo campagne di smishing che conducono a un link malevolo contenente il dropper da scaricare.

La minaccia è in grado di simulare l’input umano durante le sessioni di controllo remoto: il testo inserito dall’attaccante viene suddiviso in singoli caratteri digitati con ritardi casuali tra 300 e 3000 millisecondi, riproducendo il ritmo di digitazione reale e riducendo la probabilità di rilevamento. Inoltre, include componenti per intercettare gli SMS, registrare le attività visive tramite Accessibility logging e visualizzare overlay bloccanti per nascondere le operazioni fraudolente o impedire alla vittima di accedere all’app bancaria.

Infine, è stato rilevato un nuovo Malware-as-a-Service denominato Atroposia, progettato per combinare capacità di spionaggio, furto di credenziali e manipolazione di rete in un’unica soluzione modulare, pensata per rendere il cybercrime accessibile anche ad avversari a bassa competenza tecnica.

Con un costo di abbonamento compreso tra 200 e 900 dollari, un pannello di controllo intuitivo e un sistema di plugin personalizzabile, Atroposia rappresenta un caso emblematico di come la sofisticazione tecnica e la facilità d’uso dei toolkit criminali moderni abbiano ridotto drasticamente la barriera d’ingresso per condurre campagne complesse di intrusione e furto dati.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

La nostra squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta a livello internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro . Scopri di più sui servizi di Cyber Threat Intelligence di Telsy.