UE: sanzioni a entità cinesi e iraniane per cyberattacchi e repressione interna

Il Consiglio dell’Unione europea ha imposto misure restrittive contro tre entità e due individui ritenuti responsabili di attacchi informatici contro Stati membri dell’UE e partner internazionali.

Le sanzioni colpiscono due società cinesi — Integrity Technology Group, che ha compromesso oltre 65.000 dispositivi UE tra il 2022 e il 2023, e Anxun Information Technology, attiva contro infrastrutture critiche, con i suoi due cofondatori — e la società iraniana Emennet Pasargad, responsabile di violazioni di dati, operazioni di disinformazione alle Olimpiadi di Parigi 2024 e attacchi a servizi SMS svedesi.

In un secondo momento, il Consiglio ha approvato un ulteriore pacchetto di misure restrittive, questa volta rivolto a 16 persone fisiche e 3 entità iraniane, in risposta alla violenta repressione delle proteste popolari del gennaio 2026, che ha causato migliaia di vittime civili.

Tra i designati figurano il Viceministro dell’Interno per la Sicurezza e gli Affari delle Forze dell’Ordine, comandanti di branch locali dei Pasdaran (IRGC) e la Naji Research and Development Company (NRDC), sviluppatrice dell’app di sorveglianza di massa Nazer, unitamente al capo della Polizia Cyber di Teheran, responsabile di censura e persecuzione digitale.

Sempre inerente all’Iran, il National Centre For Nuclear Research (NCBJ) polacco ha affermato che degli attaccanti hanno preso di mira la sua infrastruttura IT, ma l’offensiva è stata individuata e bloccata prima che potesse causare qualsiasi danno. Sebbene l’Agenzia non abbia attribuito l’attacco a specifici gruppi o Stati, sono stati trovati indicatori che potrebbero collegare l’offensiva all’Iran.

APT: operazioni cyber cinesi dal Sudest asiatico al Golfo Persico

È stata tracciata un’operazione di spionaggio informatico risalente almeno al 2020 e sospettata di essere condotta da avversari cinesi, che ha preso di mira organizzazioni militari nel Sudest asiatico tramite AppleChris, MemFun e Getpass.

Durante la campagna, identificata sotto il cluster CL-STA-1087, gli attaccanti hanno cercato e raccolto file specifici riguardanti capacità militari, strutture organizzative e collaborazioni con le Forze Armate occidentali, mostrando particolare interesse per i documenti relativi ai sistemi C4I, ovvero le infrastrutture di comando, controllo, comunicazioni, informatica e intelligence.

Il vettore di accesso iniziale rimane sconosciuto. Una volta ottenuto l’accesso, gli avversari hanno mantenuto la propria presenza in modo silenzioso per diversi mesi. Alla ripresa dell’attività, hanno cominciato distribuendo la backdoor AppleChris, rilasciata in varianti diverse su più endpoint dopo il movimento laterale, ottenuto tramite strumenti Windows nativi come WMI e comandi .NET.

Inoltre, il 1° marzo 2026, è stata rilevata una campagna mirata ai Paesi del Golfo Persico volta al rilascio di PlugX, attribuita con un alto livello di confidenza a un avversario legato alla Cina, e con media confidenza al gruppo Mustang Panda. La catena di infezione inizia tramite un archivio ZIP contenente un file LNK mascherato da fotografia. Quando la vittima lo apre, il file esegue in background una serie di operazioni nascoste. Prima scarica da internet un file CHM da un server controllato dall’attaccante, poi usa hh.exe – un programma legittimo di Windows – per estrarne il contenuto: un secondo collegamento LNK, il PDF esca che verrà mostrato alla vittima, e un archivio compresso con tutti i file malevoli necessari alle fasi successive.

DarkSword: il nuovo exploit kit per iOS usato da più avversari

Ricercatori di sicurezza hanno scoperto DarkSword, un exploit kit per iOS attivo almeno dal novembre 2025 e usato da più avversari contro obiettivi in Arabia Saudita, Turchia, Malesia e Ucraina, al fine di distribuire tremalware: GHOSTBLADE, GHOSTKNIFE e GHOSTSABER.

Reso noto il 18 marzo 2026, è il secondo exploit kit per iOS scoperto in un mese, dopo Coruna.

Il primo avversario osservato sfruttare DarkSword è chiamato UNC6748, attivo dall’inizio di novembre 2025 tramite un sito a tema Snapchat rivolto a utenti sauditi, che mirava a rilasciare la backdoor denominata GHOSTKNIFE. Il secondo attaccante tracciato è PARS Defense, un vendor di sorveglianza turco, attivo in Turchia a fine novembre 2025 e in Malesia a gennaio 2026, con maggiore OPSEC: loader offuscato, exploit cifrati in transito, e selezione corretta del modulo RCE per ogni versione iOS con lo scopo di distribuire la backdoor GHOSTSABER.

Il terzo avversario individuato è UNC6353, un gruppo di spionaggio con presunti legami russi già noto per campagne di watering hole su siti ucraini con Coruna. Tra dicembre 2025 e marzo 2026, l’attaccante ha adottato DarkSword per distribuire il dataminer GHOSTBLADE su siti ucraini compromessi.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence