Iran: offensive cyber legate al conflitto

Nel contesto dell’escalation tra Stati Uniti, Israele e Iran, il dominio cyber continua a rappresentare uno spazio operativo rilevante, con attività malevole e operazioni hacktiviste osservate in parallelo agli sviluppi sul piano geopolitico e militare. Le principali attività cyber associabili ad avversari noti ed emergenti riguardano rivendicazioni di attacchi DDoS da parte di hacktivisti filoiraniani, filorussi e filopalestinesi, complessivamente, contro realtà di molteplici settori in Israele, Australia, USA, Kuwait, Emirati Arabi Uniti, Egitto, Romania, Grecia, Cina, Italia, Cipro, Marocco, Arabia Saudita, Bahrain, Regno Unito, Finlandia, Danimarca, Qatar e Francia. Fra gli hacktivisti noti sono risultati attivi NoName057(16), RuskiNet, Islamic Cyber Resistance – 313 Team, Conquerors Electronic Army, Keymous Plus, BD Anonymous, Hider_Nex, DieNet, Mysterious Team Bangladesh, Dark Storm Team, UniT 313, BABAYO EROR SYSTEM e KONCO ERROR SYSTEM.

L’FBI ha attribuito con alta confidenza al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS) una campagna malware attiva dall’autunno 2023, volta a colpire dissidenti iraniani, giornalisti critici verso Teheran e organizzazioni d’opposizione a livello globale, con conseguenti raccolta di intelligence, data leak e danni reputazionali. L’Agenzia ha ricondotto questi attacchi al gruppo Handala e al gruppo Homeland Justice, finanziato dallo Stato iraniano e collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC).

Restando sul fronte del collettivo hacktivista filoiraniano Handala, in data 23 marzo 2026, la multinazionale statunitense Stryker Corporation ha fornito un aggiornamento sull’attacco informatico rivendicato dal gruppo, indicando che è stato identificato un file malevolo utilizzato per eseguire comandi e occultare le attività dell’avversario all’interno dei sistemi. L’attaccante ha inoltre condotto un’operazione contro Lockheed Martin, società statunitense del settore aerospaziale e della Difesa, prendendo di mira ingegneri statunitensi dell’azienda attivi in Israele su programmi militari avanzati (F-35, F-22, THAAD).

Nei giorni precedenti, gruppi filoiraniani avevano già focalizzato l’attenzione su Lockheed Martin: il canale Telegram APT IRAN aveva rivendicato una presunta esfiltrazione massiva di dati (non verificata), successivamente amplificata dal collettivo Cyber Fattah Team, suggerendo un possibile allineamento narrativo e un interesse convergente verso lo stesso target nel contesto del conflitto. Ricercatori di sicurezza stanno inoltre monitorando un gruppo di recente formazione denominato Nasir Security, presumibilmente associato all’Iran, specializzato in attacchi contro organizzazioni del settore energetico mediorientale.

Italia: operazioni cybercrime nella penisola

Durante l’ultima settimana sono stati tracciati diversi attacchi ransomware verso target italiani. Nel dettaglio, LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di ISOLEDIL; Qilin Team di Agencavi S.r.l. e  Netalia S.r.l.; e ALP-001 di Esprinet S.p.A. Il collettivo hacktivista DieNet ha invece rivendicato un attacco DDoS contro un portale di Automobili Lamborghini.

Oltre a questo, l’azienda Ospedaliera Papardo di Messina è stata colpita da un attacco informatico che ha paralizzato terminali, accessi e database della struttura. Il sistema di prenotazioni SovraCup — deputato alla gestione di visite e prestazioni tra ospedali e centri privati convenzionati — è rimasto fuori uso, con ricadute dirette sulla continuità operativa.

La direzione ha dichiarato che nessun dato sensibile è stato sottratto, pur ammettendo l’assenza di tempistiche certe per la completa risoluzione. Infine, il 23 marzo 2026, è stata tracciata in Italia una campagna di phishing che sfrutta il brand ChatGPTper sottrarre dati di carte di pagamento e codici di sicurezza. Lo schema impiegato rappresenta una forma di frode in tempo reale, particolarmente pericolosa perché riduce la possibilità per la vittima di accorgersi dell’attacco e bloccare la carta.

Nuove minacce: DarkSword, Coruna e phishing mirato a Signal e WhatsApp

La scorsa settimana, ricercatori di sicurezza informatica avevano individuato una campagna di attacchi basata su un tool avanzato chiamato DarkSword. Nel giro di pochi giorni, uno sviluppatore ignoto ne ha pubblicato una nuova versione su GitHub, rendendola liberamente accessibile a chiunque. Secondo i dati di Apple, circa un quarto di tutti gli utenti di iPhone e iPad utilizza ancora iOS 18 o precedente sul proprio dispositivo. Con più di 2,5 miliardi di device attivi, ciò probabilmente equivale a centinaia di milioni di persone i cui dispositivi sono vulnerabili agli attacchi DarkSword.

Restando sul panorama iOS, il 4 marzo 2026, ricercatori di sicurezza hanno identificato Coruna, un exploit kit che prende di mira modelli iPhone, di cui ne è ora stata osservata una versione aggiornata. Le modifiche più rilevanti includono un controllo più accurato delle versioni di XNU; il supporto per iOS 17.2 (che era la versione più recente al momento dello sviluppo, rilasciata nel dicembre 2023); la compatibilità con i processori Apple più recenti — A17, M3, M3 Pro e M3 Max — e un controllo specifico per iOS 16.5 beta 4, la versione in cui le vulnerabilità erano state corrette. Oltre a questo exploit aggiornato, Coruna include quattro ulteriori exploit del kernel mai visti in Operation Triangulation, due dei quali sviluppati dopo la scoperta di quella campagna.

Il 20 marzo 2026, l’FBI e la CISA hanno pubblicato congiuntamente un comunicato ufficiale per avvertire che avversari legati ai Servizi di Intelligence russi stanno conducendo campagne di phishing mirate agli utenti di app di messaggistica, in particolare Signal e WhatsApp, concentrandosi su individui di alto profilo, come funzionari governativi statunitensi in servizio o in pensione, personale militare, figure politiche e giornalisti. Gli attaccanti hanno compromesso i singoli account, ma non la crittografia né le applicazioni stesse e nessuna vulnerabilità tecnica sembra essere stata sfruttata.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence