Polonia: le ultime sull’attacco al sistema elettrico di fine dicembre

Il 29 dicembre 2025 un attacco informatico coordinato ha colpito numerosi siti del sistema elettrico polacco connessi alla generazione distribuita, in particolare impianti di cogenerazione e sistemi di dispacciamento per eolico e solare.

Pur non avendo causato interruzioni di corrente, l’operazione ha consentito agli attaccanti di ottenere accesso a sistemi di operational technology (OT) critici per il funzionamento della rete e di disabilitare in modo irreversibile alcune apparecchiature sul campo, dimostrando una capacità offensiva con potenziali impatti fisici.

Il 13 gennaio 2026, il Ministro dell’Energia polacco Milosz Motyka ha riferito che, sebbene l’offensiva non abbia avuto successo e non abbia causato interruzioni nella fornitura di elettricità, è stata classificata dal comando delle forze cibernetiche polacche come il più forte attacco alle infrastrutture energetiche degli ultimi anni. Il 23 gennaio, ricercatori di sicurezza hanno attribuito con un livello di confidenza medio la responsabilità al gruppo state-sponsored russo Sandworm.

Nello stesso contesto, hanno riportato l’impiego di un wiper precedentemente sconosciuto, denominato DynoWiper, osservato nel corso dell’incidente, avvenuto in coincidenza con il decimo anniversario dell’attacco del 2015 contro la rete elettrica ucraina basato sul malware BlackEnergy, anch’esso attribuito a Sandworm. Pochi giorni dopo, il 28 gennaio, altri ricercatori hanno attribuito con confidenza moderata l’offensiva a un altro gruppo state-sponsored russo noto come ELECTRUM.

Quest’ultimo è spesso considerato sovrapponibile a Sandworm, ma gli analisti hanno esplicitamente precisato che le due entità non coincidono in modo perfetto e che non tutta l’attività di Sandworm è necessariamente attribuibile a ELECTRUM e viceversa.

Dal punto di vista delle capacità, ELECTRUM dimostra una conoscenza profonda delle architetture elettriche, dei flussi operativi di rete e dei protocolli industriali utilizzati nei sistemi di controllo. Nel 2016 ha sviluppato e impiegato malware OT purpose-built come CRASHOVERRIDE, in grado di interagire direttamente con protocolli ICS quali IEC-104, IEC-101, IEC-61850 e OPC DA, includendo anche moduli distruttivi per ostacolare il ripristino dei sistemi SCADA. A ELECTRUM è stata inoltre ricondotta l’operazione distruttiva contro la rete satellitare KA-SAT di Viasat nel febbraio 2022, nel contesto dell’invasione russa dell’Ucraina.

Italia: nuove rivendicazioni ransomware e operazioni di phishing

Sul fronte ransomware, TA505 ha rivendicato sul proprio sito dei leak la compromissione di Restart S.r.l., PMI di Genova attiva nel settore ICT, mentre SAFEPAY di LC Publishing Group S.p.A., gruppo editoriale leader in Italia, Svizzera, Penisola Iberica, America Latina e M.E.N.A., nel settore dell’informazione completamente digitale relativa al mondo legale, fiscale, finanziario e alimentare.

Per quanto riguarda le operazioni di phishing rilevate in Italia, si segnalano: una campagna a tema Intesa Sanpaolo, finalizzata all’acquisizione delle credenziali di accesso ai servizi bancari e dei dati delle carte di pagamento delle potenziali vittime; e-mail che richiedo la verifica del profilo SPID indirizzando il destinatario a una pagina malevola che replica la grafica del portale ufficiale del Sistema Pubblico di Identità Digitale (SPID) e riporta i loghi di AgID e del Dipartimento per la Trasformazione Digitale per esfiltrare informazioni personali; un’attività che sfrutta caselle e-mail compromesse appartenenti a enti della Pubblica Amministrazione (PA) per sottrarre credenziali Microsoft 365 tramite Figma; e una campagna diffusa via WhatsApp che abusa di account precedentemente compromessi per indurre la potenziale vittima a effettuare una transazione bancaria.

A queste si aggiunge un’operazione di phishing a tema Deutsche Bank, che distribuisce un trojan per Android soprannominato NFCShare, progettato per rubare dati delle carte di pagamento tramite tecnologia NFC. Sebbene il targeting specifico non sia chiaro, l’attacco inizia con un sito web contraffatto che imita il portale di Deutsche Bank Italia, dove la vittima viene invitata a inserire il proprio numero di telefono e, successivamente, a scaricare un presunto aggiornamento dell’app bancaria sotto forma di un file APK chiamato deutsche.apk.

Vulnerabilità: segnalato lo sfruttamento di falle che interessano prodotti Broadcom, Microsoft, SmarterTools, GNU, Fortinet e Ivanti

La CISA ha aggiunto al suo catalogo KEV CVE-2024-37079 di Broadcom VMware vCenter Server. Corretta nel giugno 2024, la falla è una Out-of-bounds Write nell’implementazione del protocollo DCERPC, che potrebbe consentire a un avversario con accesso di rete a vCenter Server di inviare pacchetti di rete appositamente creati, con il rischio di eseguire codice in remoto. Una nuova vulnerabilità nel software di posta elettronica SmarterMail di SmarterTools è stata oggetto di attività di exploitation ITW due giorni dopo il rilascio di una patch il 15 gennaio 2026, a seguito della responsible disclosure dell’8 dello stesso mese. Identificata come CVE-2026-23760 (CVSS 9.3), si tratta di una Authentication Bypass Using an Alternate Path or Channel che risiede nell’API di reimpostazione della password e, se sfruttata, consentirebbe a un attaccante remoto di eludere i meccanismi di autenticazione, ottenere accesso come amministratore ed eseguire successivamente comandi arbitrari sul sistema operativo.

Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza per correggere una 0-day sfruttata in attacchi ITW che impatta Office. Tracciata con codice CVE-2026-21509 (CVSS 7.8), la falla è una Reliance on Untrusted Inputs in a Security Decision che consente a un utente malintenzionato non autorizzato di aggirare una funzionalità di sicurezza a livello locale. Ricercatori di sicurezza hanno tracciato quasi 800.000 indirizzi IP con fingerprint Telnet, nel contesto di offensive in corso che sfruttano CVE-2026-24061 (CVSS 9.8), una vulnerabilità critica nel server telnetd di GNU InetUtils. Nel dettaglio, si tratta di una Argument Injection che permette di aggirare l’autenticazione remota tramite il valore “-f root” della variabile di ambiente USER. Sia CVE-2026-21509 che CVE-2026-24061 sono state anch’esse aggiunte al catalogo KEV della CISA.

Fortinet ha iniziato a rilasciare aggiornamenti di sicurezza per risolvere CVE-2026-24858 (CVSS 9.4) che ha interessato FortiOS ed è stata oggetto di attività di exploitation ITW tramite due account FortiCloud malevoli, che sono stati disabilitati il 22 gennaio 2026. In particolare, si tratta di una Authentication Bypass Using an Alternate Path or Channel in FortiOS, FortiManager, FortiAnalyzer che potrebbe consentire a un avversario con un account FortiCloud e un dispositivo registrato di accedere ad altri device registrati su altri account, se l’autenticazione SSO FortiCloud è abilitata su tali dispositivi.

Infine, Ivanti ha corretto due 0-day critiche in Endpoint Manager Mobile (EPMM) – CVE-2026-1281 e CVE-2026-1340 – entrambe con codice CVSS pari a 9.8 e di tipo Code Injection, che permettono agli attaccanti di eseguire codice remoto non autenticato.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.