Italia: attività cybercrime e hacktiviste

Sono state rilevate in Italia diverse operazioni di phishing attive che sfruttano in modo fraudolento il nome, il logo e la grafica dell’Agenzia delle Entrate, con l’obiettivo di sottrarre informazioni finanziarie e patrimoniali agli utenti. Tra queste ne è stata osservata una che combina tecniche di phishing e vishing, adattandosi dinamicamente alle risposte fornite dall’utente. In particolare, la vittima visualizza una schermata che simula un errore di sincronizzazione, con la motivazione che i dati forniti risulterebbero incongruenti con l’anagrafe tributaria.

La pagina avverte del rischio di emissione automatica di un avviso di accertamento e di blocco cautelativo degli asset, e invita l’utente a chiamare un numero presentato come Ufficio Verifiche di Milano. È stata inoltre rilevata un’operazione volta alla distribuzione di un malware, che sfrutta e-mail di phishing mirate a utenti e realtà aziendali italiane con esche a tema fatture per aumentare la probabilità di esecuzione del payload.

L’estensione malevola installata stabilisce una connessione con un server C2 e attraverso questo canale vengono esfiltrati dati sensibili presenti nel browser, tra cui i cookie associati ai servizi Google; le schede e gli URL aperti; lo user-agent; le impostazioni di lingua e un identificatore stabile della vittima; tale estensione può anche ricevere comandi remoti che vengono inoltrati all’host Native Messaging per l’esecuzione sul sistema infetto, consentendo operazioni come il listing delle directory sul disco locale. In aggiunta, ricercatori di sicurezza hanno osservato una marcata impennata di campagne di phishing dirette contro i servizi di corrieri, con un focus particolare su GLS Italia.

Le indicazioni ufficiali del corriere GLS chiariscono che l’azienda non richiede mai pagamenti online né l’inserimento di dati della carta di credito tramite link contenuti in SMS o e-mail. Il collettivo hacktivista filorusso NoName057(16) ha diffuso un video di propaganda in lingua inglese in cui rivendica le campagne DDoS condotte contro l’Italia, presentandole come una risposta diretta al sostegno italiano all’Ucraina.

Il filmato ripercorre gli attacchi del 2023 e del 2026, sostenendo che il sovraccarico dei servizi governativi italiani ha preceduto le dimissioni dei direttori dell’Agenzia per la Cybersicurezza Nazionale (ACN), Roberto Baldoni e Bruno Frattasi.

Il video ribadisce inoltre la motivazione politica delle operazioni del gruppo, affermando che gli attacchi proseguiranno finché l’Italia continuerà a sostenere Kiev. Infine, passando al panorama ransomware, LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di Ravagnan S.p.A; Stormous di Maglificio Liliana di Lorenzoni Andrea & C. S.N.C. e dei siti e-commerce dei suoi brand; e The Gentlemen di Meccanica GN S.r.l.

Threat: identificati nuovi attacchi supply chain e una campagna via WhatsApp

Un avversario chiamato SmartApeSG (noto anche come ZPHP o HANEYMANEY) ha compromesso il widget Okendo Reviews, una piattaforma di recensioni clienti integrata nei siti di e-commerce e utilizzata da oltre 18.000 marchi, iniettando codice JavaScript malevolo e realizzando un attacco supply chain. I siti compromessi presentavano volumi di traffico compresi tra centinaia di migliaia e diversi milioni di visite mensili, con un caso documentato di un popolare marchio retail statunitense che raggiungeva circa 7 milioni di visite al mese. Il vendor è stato notificato dell’incidente e, dopo averlo confermato, ha ripristinato lo script del widget a uno stato pulito.

Salesforce ha disabilitato l’integrazione Klue Battlecards a seguito di un incidente di sicurezza che ha coinvolto la piattaforma di market intelligence Klue e che ha consentito la sottrazione di token OAuth di clienti nonchè l’accesso ai loro ambienti CRM Salesforce con conseguente esfiltrazione di dati sensibili. Il gruppo Icarus ha rivendicato pubblicamente l’attacco sul proprio sito dei leak, minacciando la pubblicazione dei dati in caso di mancato pagamento.

Klue ha risposto revocando tutti i credential e i token OAuth, rimuovendo il codice malevolo e disabilitando temporaneamente tutte le integrazioni (Salesforce, HubSpot, Gong, Slack e altre); mentre Salesforce ha disabilitato la connessione dell’app Klue Battlecards per tutti i clienti, sottolineando che il problema è limitato all’integrazione third-party e non deriva da una vulnerabilità della propria piattaforma.

Tra febbraio e maggio 2026, ricercatori di sicurezza hanno identificato cinque skills malevole ancora attive e non bloccate sul marketplace ClawHub di OpenClaw. Tali skills appartengono a tre categorie di minaccia, spaziando dal furto di dati e dalla persistenza fino a schemi di monetizzazione ingannevole e frodi finanziarie, con particolare impatto sugli utenti che utilizzano strumenti di trading e finanza. Infine, nel giugno 2026, è stata individuata una campagna malevola che sfrutta la piattaforma WhatsApp per distribuire script VBScript malevoli tramite messaggi diretti inviati da account precedentemente compromessi.

L’operazione ha interessato principalmente utenti individuali di WhatsApp Desktop e WhatsApp Web, ma non sono emerse indicazioni di target settoriali o organizzativi specifici, configurando l’operazione come opportunistica e rivolta a un ampio bacino di utenti.

APT e hacktivismo: osservate attività mirate all’Ucraina e Israele, oltre a un attacco supply chain nordcoreano

Un avversario tracciato con il nome GhostShell (MB-0009) ha condotto una campagna di spionaggio mirata all’ecosistema dei droni ucraini e alla relativa supply chain del settore della Difesa. In questa operazione, vengono sfruttate le vulnerabilità di WinRAR CVE-2025-8088 e CVE-2025-6218 (note per essere state usate in precedenza da Gamaredon Group) al fine di posizionare automaticamente uno script VBS nella cartella di avvio di Windows, garantendo persistenza sul sistema.

L’impatto principale consiste nel furto di dati sensibili e nell’ottenimento di un accesso persistente alle reti delle vittime, finalizzato all’acquisizione di intelligence operativa e sulla supply chain dei sistemi UAV. Restando in Ucraina, il 25 giugno 2026, Ukrposhta, operatore postale statale, ha comunicato un’interruzione temporanea del funzionamento della propria applicazione mobile a seguito di un attacco informatico ai suoi sistemi IT verificatosi durante la notte tra il 24 e il 25 giugno.

Tra la metà e la fine di marzo 2026, ricercatori di sicurezza hanno osservato una campagna orchestrata da un avversario presumibilmente allineato all’Iran, che prende di mira entità in Israele tramite una backdoor inedita chiamata BLUERABBIT. Il malware, oltre a diverse funzionalità operative, implementa anche un modulo ransomware che cifra i file su tutte le unità logiche aggiungendo l’estensione candy e sostituisce lo sfondo del desktop con un’immagine generata tramite intelligenza artificiale.

Un collettivo hacktivista filorusso noto come IT Army of Russia ha rivendicato la responsabilità dell’attacco sul proprio canale Telegram. Secondo la rivendicazione, il gruppo avrebbe violato l’infrastruttura di Ukrposhta diverse settimane prima, ottenendo accesso a un server e riuscendo a estrarre un database di oltre 172 GB e contenente più di 1,2 milioni di record utente, inclusi indirizzi, contatti e-mail, numeri di telefono, nomi completi e hash delle password.

L’avversario ha inoltre affermato di aver compromesso anche il call center, altri servizi e le API dell’organizzazione, oltre ad aver esfiltrato ulteriori informazioni interne.

Ukrposhta non ha confermato alcuna esfiltrazione di dati né ha fornito dettagli sulla portata dell’incidente. Infine, passando alla Corea del Nord, ricercatori di sicurezza hanno identificato un attacco supply chain su larga scala orchestrato da Lazarus Group, che ha interessato oltre 140 pacchetti degli scope mastra e @mastra sul registro npm. L’attacco ha avuto origine dal takeover dell’account maintainer ehindero, che disponeva di diritti di pubblicazione sull’intero ecosistema Mastra e che non era stato revocato dopo l’interruzione dell’attività del titolare.

La catena temporale si è concentrata in poche ore: il 16 giugno è stata pubblicata la versione pulita di easy-day-js, il 17 giugno quella malevola e, poco dopo, il republishing massivo dei pacchetti Mastra. I pacchetti compromessi sono stati successivamente rimossi dal registro npm e l’accesso di pubblicazione dell’avversario è stato revocato.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence