Italia: osservate diverse attività malevole

Nell’ultima settimana, diverse offensive hanno puntato a target italiani. Nel dettaglio, Microsoft ha segnalato una campagna di phishing avanzata che sfrutta il meccanismo legittimo di autenticazione “device code flow” per compromettere account aziendali, con evidenze di targeting anche verso la Pubblica Amministrazione italiana. L’attacco non introduce una tecnica nuova, ma ne potenzia l’efficacia tramite una combinazione di abuso di funzionalità legittime, utilizzo di infrastrutture affidabili e automazione su larga scala tramite AI.

È stata inoltre recentemente rilevata un’operazione di phishing volta all’ottenimento di token OAuth delle potenziali vittime. Il messaggio informa l’utente della necessità di effettuare una procedura di verifica sul proprio account per poter accedere al documento; l’attaccante fornisce quindi una serie di istruzioni da eseguire che, se eseguite, gli permettono l’accesso completo alla posta elettronica, ai dati e a tutte le risorse collegate all’account. Inoltre, è stata rilevata la pubblicazione gratuita su un canale Telegram che si firmava come Anonymous Algeria, di un archivio RAR contenente oltre 500 MB di documenti d’identità appartenenti a cittadini italiani.

Tuttavia, ad oggi non ci sono evidenze che questi dati provengano da una violazione recente o inedita. Passando al panorama ransomware, LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di CON.TR.AR – Consorzio Trasportatori Artigiani, Consorzio Selenia soc. coop., Defcon 5 S.r.l.,Pegasus S.r.l., WiBeats S.r.l. e Milano Cavi S.r.l.; ANUBIS di Tesla Systems; e infine un gruppo chiamato Cry0 di Dini S.r.l.

APT: rilevate offensive riconducibili a Cina, Russia, Iran, India e Corea del Nord

Ricercatori di sicurezza hanno osservato campagne malevole volte al rilascio di PlugX e orchestrate dal cinese Mustang Panda, mirate a enti governativi e diplomatici in Medio Oriente e in Europa. L’avversario ha condotto due tipi principali di campagne: il primo basato su web bug, mentre il secondo sulla consegna diretta di malware tramite link a file malevoli ospitati su servizi noti.

Una volta installato, PlugX permette di raccogliere informazioni dettagliate sul sistema, aprire una shell remota per eseguire comandi e scaricare nuovi payload. Il russo Sofacy, ha condotto una campagna che ha colpito circa 18.000 vittime in almeno 120 Paesi denominata FrostArmada, attiva dal maggio 2025, che sfrutta il DNS hijacking su larga scala per supportare attacchi di tipo Attacker-in-the-Middle (AitM) contro connessioni TLS cifrate. L’infrastruttura della campagna è stata smantellata nell’ambito di un’operazione congiunta denominata Operation Masquerade, condotta dall’FBI e dal Dipartimento di Giustizia americano in collaborazione con partner pubblici e privati internazionali.

Negli Stati Uniti, le Agenzie governative FBI, CISA, NSA, EPA, DOE e CNMF hanno avvertito in merito ad attività di sfruttamento in corso condotte da un APT affiliato all’Iran, mirate a dispositivi di tecnologia operativa (OT) connessi a internet, inclusi i controllori logici programmabili (PLC) prodotti da Rockwell Automation o Allen-Bradley, impiegati in diversi settori delle infrastrutture critiche statunitensi. L’attività ha incluso l’esfiltrazione dei file di progetto dei dispositivi e la manipolazione dei dati visualizzati su interfacce HMI e sistemi SCADA, causando in alcuni casi impatti operativi e perdite finanziarie. Nella regione MENA (Middle East and North Africa), indagini della Digital Security Helpline di Access Now, dell’azienda californiana di cybersecurity Lookout e del Digital Forensic Lab della ONG con sede a Beirut SMEX hanno portato alla luce una campagna di cyberspionaggio, attiva almeno dal 2022 e ancora in corso, che prende di mira membri della società civile.

L’operazione si basa su un’infrastruttura di phishing estesa e persistente, composta da centinaia di domini che impersonano servizi digitali, piattaforme di comunicazione, provider tecnologici e, in alcuni casi, portali governativi, ed è riconducibile con confidenza moderata a un’operazione hack-for-hire, con probabili legami con il gruppo state-sponsored indiano Bitter. Infine, sul fronte nordcoreano, tra il 6 febbraio e il 7 aprile 2026, sono state rilevate campagne di social engineering orchestrate da Lazarus Group, che sfruttano false riunioni su Zoom o Microsoft Teams per rilasciare payload malevoli.

Le capacità documentate delle minacce distribuite includono il furto di password salvate nel browser; seed phrase di wallet crypto e chiavi API; il keylogging; il furto di token di sessione per prendere il controllo degli account Telegram; l’estrazione di password manager come 1Password, Bitwarden e Keychain; la sostituzione di estensioni del browser con versioni malevole; e l’esfiltrazione di chiavi SSH e credenziali cloud.

Cybercrime: Storm-1175 rilascia il ransomware Medusa e Anthropic espone il codice sorgente di Claude Code

Ricercatori di sicurezza hanno osservato il gruppo finanziariamente motivato Storm-1175, distribuire il ransomware Medusa contro organizzazioni nel settore sanitario, dell’istruzione, dei servizi professionali e della finanza in Australia, Regno Unito e Stati Uniti.

La minaccia viene distribuita su tutta la rete tramite PDQ Deployer, oppure attraverso un aggiornamento delle Group Policy di Windows, sfruttando l’infrastruttura stessa dell’organizzazione per cifrare simultaneamente tutti i dispositivi raggiunti. I dati vengono sia cifrati che sottratti e le vittime vengono minacciate di vederli pubblicati qualora non paghino. Il 31 marzo 2026, Anthropic ha accidentalmente esposto codice sorgente lato client di Claude Code attraverso una source map JavaScript da 59,8 MB inclusa per errore nel pacchetto npm @anthropic-ai/claude-code versione 2.1.88.

Il leak ha interessato 513.000 righe di TypeScript non offuscato su 1.906 file, rivelando logica di orchestrazione, permessi, sistemi di esecuzione, funzionalità nascoste, dettagli di build e componenti legati alla sicurezza.

Gli utenti attratti scaricano un archivio 7-Zip denominato Claude Code – Leaked Source Code (.7z), contenente un eseguibile Rust ClaudeCode_x64.exe che funge da dropper e distribuisce due payload: Nocturnal Stealer (Vidar v18.7), infostealer che raccoglie credenziali, dati di carte di credito, cronologia browser e crypto wallet, e GhostSocks, strumento di proxying che trasforma i dispositivi infetti in infrastruttura proxy per mascherare la posizione reale degli attaccanti.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence