Italia: osservate diverse attività malevole

Nell’ultima settimana, diverse offensive hanno puntato a target italiani. Nel dettaglio, è stata tracciata una nuova campagna di distribuzione di un malware chiamato UpCrypter, che induce il target a scaricare un file apparentemente legittimo camuffato da documento relativo ad un presunto ordine.

Oltre a ciò, è stata osservata un’operazione di phishing che sfrutta il protocollo di autorizzazione OAuth 2.0 e mira all’ottenimento di Access Token permanenti tramite l’invio di e-mail indirizzate a caselle di posta elettronica aziendali di organizzazioni situate sul territorio nazionale. Sono poi state individuate due campagne che sfruttano, rispettivamente, il nome di INPS e di Enel S.p.A., entrambe volte all’ottenimento di credenziali bancarie. Inoltre, sono state rilevate attività malevole rivolte contro organizzazioni italiane, basate sullo sfruttamento di vulnerabilità note presenti in istanze Roundcube Webmail non adeguatamente aggiornate, con lo scopo di ottenere persistenza, privilegi elevati e la possibilità di effettuare azioni di ricognizione sui sistemi interessati.

Le operazioni hanno verosimilmente previsto lo sfruttamento di una o più delle seguenti vulnerabilità note: CVE-2025-49113, CVE-2025-68460 e CVE-2025-68461. Passando al panorama ransomware, Qilin Team ha rivendicato sul proprio sito dei leak la compromissione di Forcellini Ristorazione e CMA Robotics S.p.A.; Tengu di Martec S.p.A., Payouts King di un target italiano non specificato; e infine NightSpire di Officine Fratelli Amadori S.n.c. e di Saturno Trasporti S.r.l.

APT: rilevate offensive riconducibili a Russia, Cina e Corea del Nord

Ricercatori di sicurezza hanno recentemente identificato e risposto a un attacco di social engineering mirato contro un istituto finanziario europeo che sostiene l’Ucraina coinvolto in iniziative di sviluppo e ricostruzione regionale, condotto dal cluster UAC-0050, presumibilmente volto alla raccolta di informazioni o a furti finanziari.

L’offensiva ha previsto la falsificazione di un dominio giudiziario ucraino per inviare un’e-mail contenente un link a un payload di accesso remoto che, una volta eseguito, ha distribuito un installer MSI per Remote Manipulator System (RMS), uno strumento di amministrazione remota legittimo sviluppato dalla società russa TektonIT. Sul fronte nordcoreano, l’APT Lazarus Group ha utilizzato il Ransomware-as-a-Service (RaaS) Medusa contro il settore sanitario statunitense e un target in Medio Oriente. La scelta di adottare Medusa, unitamente a un toolset sempre più sofisticato, conferma che la Corea del Nord considera il cybercrime estorsivo una leva strategica, economicamente redditizia e difficilmente arginabile sul piano diplomatico o legale.

Infine, ricercatori hanno scoperto e smantellato una campagna di spionaggio informatico condotta da un gruppo ritenuto collegato ai servizi di intelligence della Repubblica Popolare Cinese noto come UNC2814, che ha preso di mira operatori di telecomunicazioni e istituzioni governative in 42 Paesi localizzati in Asia, Africa e America con una backdoor inedita chiamata GRIDTIDE. Una volta ottenuto l’accesso, l’avversario si muove nella rete via SSH, scala i privilegi fino ad ottenere permessi root e installa il malware come servizio di sistema persistente.

Vulnerabilità: segnalato lo sfruttamento di falle che interessano prodotti RoundCube Webmail, FileZen, BeyondTrust e Cisco

La CISA ha aggiunto al suo catalogo KEV CVE-2025-49113 e CVE-2025-68461 di RoundCube Webmail. Corretta a giugno 2025, CVE-2025-49113 è una Deserialization of Untrusted Data in RoundCube Webmail che consente l’esecuzione di codice remoto da parte di utenti autenticati perché il parametro _from in un URL non viene convalidato in program/actions/settings/upload.php. Si segnala che una Proof-of-Concept (PoC) per la falla era stata rilasciata il 6 giugno 2025 a scopo didattico e di ricerca.

Quanto a CVE-2025-68461, si tratta di una Cross-site Scripting tramite il tag animate in un documento SVG risolta nel dicembre 2025. La CISA ha inoltre aggiunto al suo catalogo CVE-2026-25108 di FileZen. Sanata nel mese di febbraio 2026, la falla è una OS Command Injection che potrebbe consentire a un utente autenticato di eseguire comandi arbitrari tramite richieste HTTP appositamente create.

Ricercatori di sicurezza hanno documentato lo sfruttamento su scala globale di CVE-2026-1731 di BeyondTrust, che è stata impiegata per rilasciare SparkRAT e VShell al fine di compromettere organizzazioni operanti nei settori finanziario, legale, tecnologico, sanitario e accademico negli Stati Uniti, in Francia, Germania, Australia e Canada. Dopo averla aggiunta al suo catalogo KEV il 13 febbraio, la CISA ha ora dichiarato che la falla viene utilizzata in attacchi ransomware. Infine, Cisco ha rilasciato bollettini di sicurezza per alcune vulnerabilità, tra cui una 0-day sfruttata ITW. Nel dettaglio, si tratta di CVE-2026-20127 (CVSS 10.0) in Cisco Catalyst SD-WAN Controller. T

ale falla, di tipo Authentication Bypass, potrebbe consentire a un avversario remoto non autenticato di aggirare l’autenticazione e ottenere privilegi amministrativi su un sistema interessato. Questa vulnerabilità esiste perché il meccanismo di autenticazione peering in un sistema impattato non funziona correttamente. Un attaccante potrebbe sfruttarla inviando richieste appositamente create.

Un exploit riuscito potrebbe permettere all’utente malintenzionato di accedere a un Cisco Catalyst SD-WAN Controller interessato come account utente interno, con privilegi elevati e non-root. Utilizzando questo account, potrebbe accedere a NETCONF, che gli consentirebbe quindi di manipolare la configurazione di rete per il fabric SD-WAN. Il PSIRT di Cisco è a conoscenza di uno sfruttamento limitato di questa falla e Cisco Talos, organizzazione di Cyber Threat Intelligence (CTI) di Cisco, sta monitorando l’attività di sfruttamento e di post-exploitation sotto il cluster UAT-8616, che valuta con elevata certezza essere un avversario altamente sofisticato.

Dopo la scoperta dello sfruttamento attivo della 0-day, Talos ha trovato prove che l’attività malevola risale ad almeno tre anni fa (2023). Le indagini condotte hanno identificato che l’attaccante ha probabilmente ottenuto l’accesso come utente root tramite un downgrade della versione del software. Nel dettaglio, UAT-8616 avrebbe quindi sfruttato CVE-2022-20775, una Path Traversal nell’interfaccia CLI di Cisco SD-WAN, prima di ripristinare la versione originale del software, ottenendo così l’accesso come root.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence