Italia: osservate diverse attività malevole

È stata rilevata in Italia una campagna di phishing che sfrutta l’identità del Commissariato di P.S. Online della Polizia Postale per indurre gli utenti a fornire spontaneamente dati personali e di pagamento, per poi esfiltrarli in tempo reale tramite WebSocket Secure (WSS).

Inoltre, è stata tracciata una nuova operazione di phishing veicolata tramite PEC con allegati compressi in formato ZIP, al cui interno è presente una pagina HTML denominata in modo compatibile con una presunta documentazione fiscale o amministrativa. In aggiunta, è stata osservata una campagna di smishing che sfrutta riferimenti grafici e testuali riconducibili a SEND – Servizio Notifiche Digitali e pagoPA, finalizzata a indurre le potenziali vittime ad avviare una procedura di verifica e a effettuare un pagamento online fraudolento. Oltre a ciò, ricercatori di sicurezza hanno identificato un’operazione di spear phishing, attiva almeno dal febbraio 2026, volta alla distribuzione di UpCrypter e NeptuneRAT contro utenti e organizzazioni italiane, le cui e-mail utilizzano temi credibili relativi a presunte fatture.

Passando al panorama ransomware, The Gentlemen ha rivendicato sul proprio sito dei leak la compromissione di Buratti S.n.c.; DragonForce Team di Tecfi S.p.A.; INC RANSOM Team di Framesi S.p.A.; e SAFEPAY di B.R.S. Cappuccio S.r.l. e SEI NORDOVEST S.r.l. L’impresa ferroviaria che gestisce il servizio di trasporto pubblico ferroviario regionale in Emilia-Romagna, Trenitalia Tper S.c.a.r.l., ha pubblicato una comunicazione ufficiale con la quale informa che è stato accertato il verificarsi, ad opera di soggetti esterni non identificati, di un incidente di sicurezza informatica che ha comportato un accesso non autorizzato ad alcuni dati personali connessi all’acquisto dei titoli di viaggio.

La società ha precisato che non risultano coinvolti dati di pagamento né informazioni di accesso ad account personali o credenziali. Infine, una campagna di raccolta e compromissione di credenziali attiva su larga scala, denominata FortiBleed e attualmente in corso, ha interessato dispositivi firewall e gateway VPN Fortinet FortiGate esposti su internet in tutto il mondo. Il dataset comprende 73.932 URL unici di firewall distribuiti in 194 Paesi e collegati a 21.632 domini unici.

Secondo le analisi, corrisponde a circa 75.000 dispositivi Fortinet, pari a circa la metà di tutti i firewall Fortinet attualmente raggiungibili da internet. I record esposti includono username, indirizzi e-mail, password in chiaro o crackate, URL dei firewall e dettagli organizzativi quali settore, fatturato e numero di dipendenti. Sono state riscontrate evidenze di coinvolgimento di enti della Pubblica Amministrazione italiana e le amministrazioni interessate sono state prontamente notificate attraverso i canali istituzionali.

APT: tracciate operazioni vietnamite, nordcoreane, cinesi e bielorusse

Ricercatori di sicurezza hanno osservato due campagne di spionaggio orchestrate dal vietnamita APT32 volte al rilascio della backdoor SPECTRALVIPER. Nella prima campagna è stata compromessa in modo prolungato la rete di una società vietnamita operante nel settore delle infrastrutture e dei trasporti; mentre la seconda campagna ha assunto la forma di un attacco supply-chain mirato a investitori azionari vietnamiti attraverso la piattaforma FireAnt Metakit.

È stata inoltre identificata un’operazione di spionaggio orchestrata dal nordcoreano ScarCruft contro utenti sudcoreani, volta alla distribuzione di un RAT inedito denominato NarwhalRAT. Le funzionalità di quest’ultimo comprendono il keylogging; la cattura continua o su richiesta dello schermo; la raccolta di dati da dispositivi USB; l’esecuzione di comandi remoti e ulteriori routine di raccolta informazioni.

Sempre nel continente asiatico, è stata tracciata una campagna orchestrata da un avversario legato alla Repubblica Popolare Cinese (RPC) nominato UNC6508, che ha compromesso per oltre un anno server REDCap esposti in numerose istituzioni di ricerca medica, accademica e militare del Nord America. L’operazione è proseguita per più di un anno e l’obiettivo era la raccolta di dati sensibili su sicurezza nazionale, operazioni del Comando Indo-Pacifico e ricerca avanzata nei settori citati.

Restando sul fronte cinese, è stato osservato l’APT AQUATIC PANDA distribuire varianti di SprySOCKS per sistemi Windows contro organizzazioni governative in Honduras, Taiwan, Thailandia e Pakistan. Le nuove implementazioni, denominate WIN_DRV e WIN_PLUS, conservano le chiavi di crittografia e il nucleo dei comandi della versione precedente per sistemi Linux, adattandoli però a meccanismi nativi di Windows.

Infine, il CERT Polska ha osservato che il gruppo state-sponsored bielorusso Ghostwriter, a partire da marzo 2026, ha intensificato le campagne di phishing contro gli account Gmail di cittadini polacchi. Le attività hanno mirato alle credenziali di autenticazione a due fattori (2FA) e hanno coinvolto soprattutto persone attive nella vita politica e pubblica, soggetti in posizioni di rilievo, ricercatori, giornalisti, dipendenti della pubblica amministrazione e personale delle Forze dell’Ordine, nonché individui collegati a questi gruppi per legami familiari o sociali.

Vulnerabilità: sfruttate ITW falle di diversi vendor e assegnato codice CVE a RoguePlanet

In data 16 giugno 2026, Microsoft ha rilasciato un advisory con il quale ha assegnato un codice CVE alla vulnerabilità 0-day di Microsoft Defender denominata RoguePlanet, recentemente divulgata dal ricercatore noto come Nightmare Eclipse. Tracciata con codice CVE-2026-50656 (CVSS 7.8), la falla è una Link Following nel componente Microsoft Malware Protection Engine di Microsoft Defender, classificata come Elevation of Privilege. Tale problema è segnalato dal vendor come pubblico, ma non sfruttato.

Dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW le seguenti: CVE-2026-20253 di Splunk Enterprise, CVE-2026-48907 di Widget Factory Joomla Content Editor (JCE), CVE-2026-35273 di Oracle PeopleSoft Enterprise PeopleTools, CVE-2026-20262 di Cisco Catalyst SD-WAN Manager e CVE-2026-54420 di LiteSpeed cPanel Plugin. Quanto a CVE-2026-35273, ricercatori di sicurezza hanno fornito maggiori dettagli in merito alla campagna basata sul suo sfruttamento rivendicata dal gruppo ShinyHunters, tramite la quale sono stati compromessi server PeopleSoft appartenenti a oltre 100 organizzazioni negli Stati Unitie nel Regno Unito, per un totale di più di 300 istanze.

La falla è stata utilizzata come 0-day in attacchi attivi prima del rilascio dell’advisory da parte di Oracle e l’attività è stata osservata a partire dal 27 maggio 2026, data in cui è stata installata l’infrastruttura di staging sui server dell’attaccante. Le operazioni di scanning e sfruttamento si sono protratte fino al 9 giugno 2026, giorno in cui i dati rubati sono stati resi pubblici.

Da ultimo, lunedì 15 giugno 2026, ricercatori di sicurezza hanno riferito di aver osservato avversari sfruttare tre vulnerabilità critiche in FortiSandbox di Fortinet, identificate come CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089. Tutte e tre le falle possono essere sfruttate da attaccanti non autenticati in remoto con bassa compl essità di attacco e senza necessità di interazione da parte dell’utente. In particolare, consentono ad avversari non autenticati di elevare i privilegi ed eseguire codice non autorizzato da remoto tramite attacchi di iniezione di comandi.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.