Italia: offensive mirano al Paese e ai Giochi Olimpici

Durante l’ultima settimana sono stati tracciati diversi attacchi a target italiani. Il Comune di Chioggia e SST Chioggia hanno comunicato che è in corso la gestione di un attacco informatico che ha interessato i sistemi digitali di SST Chioggia, con possibili impatti su alcune attività e servizi gestiti dalla società.

È stata rilevata un’operazione di phishing a tema Signal col fine di carpire le informazioni personali delle potenziali vittime esortandole a seguire una presunta procedura di verifica del proprio account.

Parallelamente, sono state osservate sia campagne di phishing e smishing a tema INPS volte al furto di dati personali, sia una nuova attività segnalata dalla Polizia di Stato e dal Commissariato di PS Online che sfrutta la fiducia tra contatti WhatsApp per compromettere gli account, usati poi per inviare ulteriori messaggi di phishing ai contatti della vittima. Inoltre, è stata osservata una nuova campagna di distribuzione del RAT Remcos.

Passando al panorama ransomware, l’operatore TA505 ha rivendicato sul proprio sito dei leak la compromissione di Labinf S.p.A.; Qilin Team di Parente Fireworks Group S.r.l.; The Gentlemen di Silvi S.r.l.; e Payouts King di Sofinter S.p.A, anche se dalle ultime analisi il target non risulta più sul DLS dell’avversario.

Oltre a ciò, il collettivo hacktivista di presunta matrice sudasiatica/bengalese BD Anonymous ha rivendicato offensive DDoS ai danni dei seguenti portali italiani: Autorità Portuale di Olbia e Golfo Aranci, Sistema Pubblico di Connettività (SPC) e Consiglio Regionale della Valle d’Aosta. Infine, il collettivo filorusso NoName057(16) ha nuovamente rivolto i suoi attacchi contro target inerenti ai Giochi Olimpici Invernali di Milano Cortina 2026.

Tra quelli presi di mira figurano: il Comitato Olimpico Spagnolo, il Comitato Olimpico Lituano, il Comitato Olimpico Polacco (colpito anche da BD Anonymous), Cortina Parking e SEA Aeroporti di Milano.

Data breach: incidenti di sicurezza impattano la Commissione europea, SmarterTools e BridgePay Network Solutions

La Commissione europea ha confermato di aver subito un attacco informatico che ha colpito il sistema centrale di gestione dei dispositivi mobili del personale. L’incidente, rilevato il 30 gennaio 2026, potrebbe aver consentito l’accesso a dati personali di alcuni dipendenti, tra cui nomi e numeri di telefono.

La Commissione ha assicurato che l’incidente sarà sottoposto a un’analisi approfondita e che continuerà a monitorare la situazione, adottando tutte le misure necessarie per garantire la sicurezza dei propri sistemi, dimostrando come anche le istituzioni più protette rimangano vulnerabili quando dipendono da software di terze parti.

Anche SmarterTools ha confermato che, in data 29 gennaio 2026, la propria rete aziendale è stata oggetto di una compromissione attribuita dall’azienda a un gruppo indicato “Warlock Group” presumibilmente riconducibile all’operatore ransomware Warlock. La società ha dichiarato che – essendo oggi principalmente un’azienda Linux – risultano coinvolti circa 12 server Windows, mentre i server Linux non risultano impattati e di avere spento immediatamente i server nelle due sedi e disabilitato l’accesso internet fino al completamento della valutazione e del ripristino/ricostruzione dei sistemi. Infine, il fornitore statunitense di gateway di pagamento e servizi di elaborazione delle transazioni BridgePay Network Solutions, ha confermato di essere stato colpito da un attacco ransomware che ha causato l’indisponibilità di diversi sistemi, determinando un’interruzione dei servizi.

AI: aumenta l’uso degli LLM negli attacchi

L’intelligenza artificiale sta ridefinendo il panorama della cybersecurity in modo profondamente ambivalente. A riguardo, il Google Threat Intelligence Group ha pubblicato un aggiornamento sull’uso offensivo dell’AI nel Q4 2025, evidenziando un’integrazione crescente dei LLM lungo tutto l’attack lifecycle.

Non sono stati osservati attacchi diretti a frontier model da parte di APT; tuttavia, sono aumentati i tentativi di model extraction o “distillation attacks”, ossia l’uso legittimo delle API per sondare i modelli e trasferirne le capacità a un altro tramite knowledge distillation (KD), configurando un rischio di furto di proprietà intellettuale per i provider. Un caso ha registrato oltre 100.000 prompt volti a forzare l’esposizione dei reasoning trace di Gemini; l’attività è stata rilevata e mitigata in tempo reale.

Oltre a questo, ricercatori di sicurezza hanno tracciato una vasta campagna di estensioni malevole per Chrome nominata AiFrame, che ha sfruttato la crescente popolarità degli strumenti di intelligenza artificiale per compromettere oltre 260.000 utenti. Le analisi condotte hanno rilevato trenta estensioni apparentemente dedicate ad assistenza AI, sintesi di contenuti e supporto Gmail che, pur presentandosi come strumenti legittimi di ChatGPT, Claude, Gemini e Grok, nascondono un’architettura sofisticata controllata remotamente.

Gli attaccanti utilizzano la tecnica dell’extension spraying per eludere sistematicamente le rimozioni: quando un’estensione viene eliminata, viene immediatamente ripubblicata con nuovo identificativo mantenendo codice, permessi e infrastruttura identici.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.