Iran: offensive cyber legate al conflitto

Il conflitto tra Stati Uniti, Israele e Iran si è sviluppato parallelamente a vaste operazioni informatiche, con segnalazioni di interruzioni diffuse di internet, hacking di siti e app iraniani, data breach e leak e interferenze alle infrastrutture. Le principali attività cyber associabili ad avversari noti ed emergenti riguardano rivendicazioni di attacchi DDoS da parte di hacktivisti filoiraniani, filorussi e filopalestinesi, complessivamente, contro realtà di molteplici settori in Israele, Bahrain, Iran, Giordania, Kuwait, Malesia, Qatar, USA, Emirati Arabi, Arabia Saudita, Grecia.

Fra gli hacktivisti noti sono risultati attivi Dark Storm Team, NoName057(16), DieNet e BD Anonymous. Si segnalano anche offensive ransomware, tra cui una di INC RANSOM Team in Israele e una di DragonForce Team negli Emirati Arabi Uniti.

Il gruppo hacktivista filoiraniano Handala è risultato attivo su più fronti, rivendicando violazioni ai danni della compagnia petrolifera nazionale saudita Saudi Aramco, e di Sharjah National Oil Corporation (SNOC), compagnia petrolifera ed energetica statale dell’Emirato di Sharjah, negli Emirati Arabi Uniti. Inoltre, ha preso di mira un influencer iraniano-americano e uno iraniano-canadese con minacce di morte dirette via e-mail.

E ancora, sostiene di aver infiltrato per mesi l’Institute for National Security Studies (INSS), un think tank israeliano che si occupa di sicurezza nazionale.

Il National Cyber Security Centre (NCSC) raccomanda alle organizzazioni di prepararsi a possibili impatti collaterali nel Regno Unito, in particolare da parte di hacktivisti filoiraniani, richiamando l’attenzione su precedenti advisory relativi ad attacchi DDoS, campagne di phishing e targeting di sistemi ICS. Amazon ha confermato che due facility Amazon Web Services (AWS) negli Emirati Arabi Uniti (EAU) e una in Bahrein sono state danneggiate da attacchi con droni, causando un’interruzione di servizio.

Infine, ricercatori di sicurezza hanno documentato una campagna di targeting sistematico di telecamere IP attribuita ad avversari iraniani, evidenziando una correlazione temporale e geografica tra attività di sfruttamento di tali dispositivi e contesti di attività missilistica associata all’Iran nel Medio Oriente.

Italia: DDoS, ransomware e phishing

In data 4 marzo 2026, il collettivo hacktivista filorusso OverFlame ha rivendicato attacchi DDoS contro i seguenti target italiani: Antonino Cannavacciuolo, Comune di Ravenna e SanArti. Passando al panorama ransomware, un gruppo chiamato VECT ha rivendicato sul proprio sito dei leak la compromissione di Keliweb S.r.l.; un operatore denominato Payload di Easy Servizi S.r.l.; LockBit Team di Formula50 S.r.l., Paoli Dental Center e Barbero Pietro S.p.A.; e Tengu di Eos Technology S.r.l.

Inoltre, Il 27 febbraio 2026, è stata tracciata in Italia una campagna di phishing multi-stadio che sfrutta il nome di una presunta Agenzia Nazionale Finanziaria, volta al rilascio di malware sulle macchine target. Nel dettaglio, è stata identificata un’e-mail con oggetto “Informare serviciii online ANBSC“, in cui l’acronimo rappresenterebbe l’Agenzia Nazionale per l’Amministrazione e la Destinazione dei Beni Sequestrati e Confiscati alla Criminalità Organizzata, con sede in Via Ezio a Roma.

Tuttavia, nel footer del messaggio è riportato l’indirizzo della sede dell’Agenzia delle Entrate. Il messaggio in questione utilizza il pretesto di una presunta irregolarità dichiarativa relativa al 2025 per indurre il destinatario a cliccare sul link esterno. L’analisi ha permesso di ricostruire le comunicazioni verso il server C2 e rilevato che IP e porta non sono hardcoded, ma recuperati dinamicamente da Pastebin, in modo che gli attaccanti possano aggiornare l’infrastruttura senza ridistribuire il malware.

Cybercrime: operazioni internazionali smantellano LeakBase e Tycoon 2FA

Un’operazione congiunta di diverse Forze dell’Ordine a livello internazionale ha smantellato LeakBase, uno dei più grandi forum online al mondo dove i criminali informatici acquistavano e vendevano dati rubati e strumenti per commettere reati informatici.

Secondo il Dipartimento di Giustizia degli Stati Uniti (DOJ), il forum LeakBase contava oltre 142.000 membri e più di 215.000 messaggi scambiati tra i membri a dicembre 2025. Chi tenta di accedere al sito viene ora accolto da un banner che informa che il portale è stato confiscato dall’FBI statunitense nell’ambito di un’operazione internazionale.

Si legge nel banner che tutti i contenuti del forum, inclusi gli account degli utenti, i post, i dettagli di credito, i messaggi privati e i registri IP, sono stati messi al sicuro e conservati a fini probatori. Una seconda operazione internazionale coordinata da Europol, con il coinvolgimento dell’European Cybercrime Centre (EC3) e il supporto di partner del settore privato, ha portato alla disruption della piattaforma di Phishing-as-a-Service (PhaaS) Tycoon 2FA, utilizzata per aggirare l’autenticazione multi-fattore (MFA) e compromettere account online.

Il servizio offriva ai cybercriminali un toolkit in abbonamento progettato per intercettare sessioni di autenticazione in tempo reale e ottenere accessi non autorizzati ad account protetti da ulteriori livelli di sicurezza, inclusi servizi e-mail e cloud. Nel corso dell’operazione sono stati disattivati 330 domini che costituivano l’infrastruttura centrale della piattaforma, tra cui pagine di phishing e pannelli di controllo.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro scopri di più sui servizi di Cyber Threat Intelligence di Telsy.