Italia: osservate diverse attività malevole

È stata rilevata in Italia una campagna di phishing che sfrutta il nome dell’Agenzia delle Entrate–Riscossione con l’obiettivo di sottrarre credenziali di accesso appartenenti sia a utenti privati sia ad account istituzionali. Rispetto a precedenti operazioni analoghe, questa attività si distingue per un targeting più marcato verso le Pubbliche Amministrazioni (PA), pur coinvolgendo anche realtà del settore privato.

Dall’inizio del 2026 il CSIRT italiano ha rilevato un incremento significativo di attacchi ransomware a livello nazionale riconducibili al gruppo Akira Team, con 13 incidenti confermati, prevalentemente a danno di piccole e medie imprese (PMI). Le evidenze indicano uno sfruttamento sistematico di vulnerabilità n-day non corrette su dispositivi perimetrali, in particolare firewall SonicWall, e la compromissione di servizi SSL VPN esposti, modalità pienamente coerenti con le TTP dell’avversario, storicamente focalizzato sull’abuso di soluzioni di sicurezza per ottenere accesso iniziale e mantenere la persistenza. Lo stesso avversario, nell’ultima settimana, ha rivendicato sul proprio sito dei leak la compromissione di Pharmathek S.r.l. e di CSA S.p.A. (Central Shipping Agency S.p.A.).

Parlando sempre di attacchi ransomware mirati a target italiani, The Gentlemen ha rivendicato la violazione di IC&Partners e di Marchesi di Barolo; Qilin Team di ICM S.p.A.; LockBit Team di Radio Studio Più S.r.l.; DragonForce Team di SGI Sistemi Gestione Integrata S.r.l.; e un gruppo chiamato Lamashtu di Servetto S.r.l.,Logitech S.r.l., EFO Service S.r.l., Safety MED S.r.l e Client Solution S.p.A. Da ultimo, Sae Scientifica S.r.l., è stata interessata da un incidente di sicurezza informatica che ha coinvolto un account di posta elettronica aziendale.

Secondo quanto riportato, l’offensiva è stata contenuta senza evidenze di ulteriori compromissioni; tuttavia, in assenza di dettagli tecnici, non si esclude con certezza una potenziale esposizione delle comunicazioni e-mail e dei dati in esso contenuti.

APT: tracciate operazioni iraniane, nordcoreane e mirate a Taiwan

Ricercatori di sicurezza hanno osservato una campagna attribuita con elevata probabilità all’iraniano MuddyWater e mirata al settore energetico, governativo e dell’aviazione in Medio Oriente, volta ad esfiltrare dati sensibili tramite lo sfruttamento di almeno cinque vulnerabilità di recente divulgazione pubblica.

Inoltre, l’avversario è stato osservato possedere un collegamento operativo diretto con la piattaforma russa Malware-as-a-Service (MaaS) nominata CastleRAT, attraverso la quale viene distribuito un malware inedito chiamato Chainshell contro obiettivi israeliani. Tramite CastleRAT, MuddyWater ottiene immediatamente accesso a Hidden VNC, bypass della cifratura dei cookie Chrome e C2 resiliente sulla blockchain — capacità che richiederebbero tempo significativo per essere sviluppate internamente.

Sul fronte nordcoreano, tra il 6 e il 9 aprile 2026, è stato tracciato un gruppo di pacchetti npm malevoli offuscati pubblicati da più account usa e getta, la cui catena di infezione sfrutta una strategia di distribuzione a due livelli. Le evidenze hanno rivelato che i pacchetti in questione sono varianti di OtterCookie, un infostealer attribuito con elevata confidenza a Lazarus Group.

Restando in Corea del Nord, ScarCruft è stato osservato orchestrare una sofisticata campagna di spionaggio informatico servendosi di due profili Facebook falsi per distrbuire la backdoor RokRAT. Le funzioni della minaccia comprendono l’acquisizione di screenshot; l’esecuzione di comandi remoti; la raccolta di informazioni sul sistema e il furto di file con estensioni specifiche, tra cui documenti Office; PDF; file nel formato coreano HWP; e registrazioni audio. Infine, ricercatori di sicurezza hanno identificato un cluster tracciato come UAT-10362 che conduce campagne di spear phishing contro ONG taiwanesi e probabili università, con l’obiettivo di distribuire una nuova famiglia di malware denominata LucidRook.

L’insieme di tecniche avanzate che includono l’architettura modulare; l’uso di infrastrutture legittime; e i controlli anti-analisi, indica un avversario sofisticato con capacità operative mature, impegnato in operazioni mirate piuttosto che in campagne opportunistiche.

Data breach: incidenti di sicurezza impattano Rockstar Games, McGraw-Hill e Booking.com

In data 11 aprile 2026, la società di videogiochi americana Rockstar Games ha confermato che una quantità limitata di informazioni aziendali non materiali è stata accessibile in connessione con una violazione avvenuta presso un soggetto terzo, precisando che l’incidente non ha avuto impatti sull’organizzazione né sui giocatori. Il vettore tecnico ipotizzato — riconducibile alla sottrazione di token di autenticazione tramite Anodot, integrazione di terze parti connessa all’ambiente Snowflake — non ha ricevuto conferma ufficiale da parte di Rockstar.

Inoltre, la casa editrice statunitense McGraw-Hill è stata coinvolta in un episodio di accesso non autorizzato ai dati, originato da una misconfiguration della piattaforma Salesforce. L’azienda, assistita da esperti di sicurezza, ha dichiarato di aver prontamente messo in sicurezza le risorse compromesse e di collaborare con Salesforce per sanare definitivamente la criticità. Il gruppo estorsivo ShinyHunters ha rivendicato la responsabilità di entrambi gli attacchi.

Infine, Booking.com ha confermato, in una dichiarazione rilasciata a una nota testata giornalistica di settore, che soggetti non autorizzati sono riusciti ad accedere ai dati di alcuni utenti, in particolare alle informazioni relative alle rispettive prenotazioni. La società non ha reso noto il numero esatto di persone coinvolte, ma ha garantito comunicazioni individuali e la disponibilità continua del servizio di assistenza clienti.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.