Cybercrime: segnalate diverse campagne globali

Un gruppo chiamato UNC6692 ha condotto una campagna di intrusione a più fasi – basata su tecniche di social engineering e una suite modulare di malware custom denominata SNOW – mirata contro sistemi aziendali, impersonando dipendenti del reparto IT o helpdesk. Dopo aver inviato alle vittime un volume consistente di e-mail, l’avversario le ha contattate via Microsoft Teams fingendosi un addetto all’assistenza clienti che offriva supporto per gestire il volume di spam ricevuto. Il link fornito, invece di installare un’inesistente protezione antispam, avviava il processo di infezione basato sulla suite sopracitata composta da: SNOWBELT, una backdoor JavaScript; SNOWGLAZE, un tunneler Python WebSocket su Heroku; e SNOWBASIN, un bindshell Python per l’esecuzione di comandi remoti, acquisizione di screenshot ed esfiltrazione di file.

Ricercatori di sicurezza hanno rilevato una nuova ondata della campagna volta alla distribuzione del malware GlassWorm, che sta puntando all’ecosistema Open VSX – un registro open-source per estensioni di Visual Studio Code, gestito dalla Eclipse Foundation, che funge da alternativa al marketplace ufficiale di Microsoft – con 73 nuove estensioni sleeper. Le estensioni osservate risultano essere cloni o impersonificazioni di estensioni legittime molto popolari, replicando esattamente nome, icona, descrizione e README per guadagnare fiducia e accumulare installazioni prima di essere attivate con codice malevolo. Una volta raggiunto un numero sufficiente di download, sei di queste estensioni sono state aggiornate per consegnare il malware.

Una campagna soprannominata Mini Shai-Hulud ha preso di mira la supply chain dei pacchetti npm ufficiali legati all’ecosistema SAP Cloud Application Programming Model (CAP) e al Cloud MTA Build Tool. La compromissione iniziale è presumibilmente scaturita dall’esposizione di un token npm nei log di un ambiente CircleCI associato a un repository SAP. Il RaaS multipiattaforma VECT (ora rinominato VECT 2.0) – adoperato di recente nelle campagne supply-chain del gruppo TeamPCP – presenta una falla critica nell’implementazione della crittografia che porta alla distruzione definitiva di tutti i file superiori a 128 KB. Il problema, che trasforma di fatto la minaccia in un wiper, è presente in tutte le versioni disponibili pubblicamente.

Italia: phishing, ransomware e dati in vendita nell’underground

In Italia sono state tracciate attività di phishing e attacchi ransomware ai danni di diverse realtà. Nel dettaglio, è stata rilevata una campagna di phishing rivolta contro studenti e personale dell’Università degli Studi di Napoli Federico II, che ha sfruttato una pagina web fraudolenta (generata tramite Weebly) per visualizzare un falso form di login tramite il quale i criminali informatici mirano a esfiltrare le credenziali istituzionali. Lo stesso avversario è presumibilmente responsabile anche di un’altra operazione analoga rivolta contro studenti e personale dell’Università degli Studi di Palermo, sempre volta alla raccolta di credenziali istituzionali tramite una pagina fraudolenta creata con Weebly.

Nel panorama ransomware, un gruppo chiamato M3RX ha rivendicato la compromissione di Rotak S.r.l.; Qilin Team di Leone Film Group S.p.A., Antica Sartoria S.r.l e Abazia S.p.A.; INC RANSOM Team di SELEX Gruppo Commerciale S.p.A.; e Nova di Reschio, società del settore hospitality.

Infine, un utente di un popolare forum underground, noto come “zestix”, ha messo in vendita, al prezzo di 0,085 BTC (circa 5.600 euro), oltre 187 GB di file associati al Gruppo CAP (CAP Holding S.p.A.), azienda italiana di gestione idrica e fognaria che serve l’area metropolitana di Milano e i territori circostanti. Il pacchetto offerto comprende 533.313 file riguardanti informazioni progettuali legate alle attività di rilievi allacci e collaudo finanziate dal programma nazionale PNRR.

Vulnerabilità: exploit critici sfruttati ITW emersi a fine aprile 2026

Negli ultimi giorni di aprile 2026 sono emerse diverse vulnerabilità critiche con sfruttamento attivo ITW. Una grave Authentication Bypass, tracciata come CVE-2026-41940 (CVSS 9.8) e causata da una CRLF Injection nei processi di login e caricamento sessione, colpisce tutte le versioni supportate di cPanel & WHM (dalla 11.40 in poi) e WP Squared; gli attacchi sono in corso almeno dal 23 febbraio 2026 e cPanel ha rilasciato patch di emergenza per le versioni 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5 e WP Squared 136.1.7, mentre provider come Namecheap e Hostgator hanno temporaneamente bloccato l’accesso ai pannelli.

La CISA ha aggiunto al catalogo KEV, a seguito di sfruttamento confermato, CVE-2024-7399 (Samsung MagicINFO 9 Server – Path Traversal e Unrestricted File Upload), CVE-2024-57726 e CVE-2024-57728 (SimpleHelp – Missing Authorization e Path Traversal, utilizzate per distribuire Sliver) e CVE-2025-29635 (D-Link DIR-823X – Command Injection), con obbligo di correzione entro l’8 maggio 2026 per le Agenzie dello US Federal Civilian Executive Branch (FCEB).

GitHub ha reso pubblica CVE-2026-3854 (CVSS 8.8), che consente RCE tramite un singolo git push a causa di mancata sanitizzazione delle opzioni push; la vulnerabilità colpisce GitHub[.]com e GitHub Enterprise Server fino alla 3.19.1, con patch on-premise rilasciate il 10 marzo 2026. Microsoft ha confermato lo sfruttamento ITW di CVE-2026-32202 (Protection Mechanism Failure in Windows Shell), derivante da una patch incompleta di CVE-2026-21510 e legato a una campagna di Sofacy (APT28) del dicembre 2025 contro Ucraina e UE, che permette spoofing di rete e divulgazione di informazioni sensibili tramite file malevoli.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.