Telsy Weekly Threats: Le ultime dalla penisola, operazioni APT inedite, annunciati breach e attività di Polizia

 

 

Italia: attività malware, smishing e ransomware

Il 9 luglio 2026, ricercatori di sicurezza hanno rilevato in Italia una campagna che impersona il marchio UniCredit promettendo una finta promozione di ricompense bancarie, mirata al rilascio di un RAT bancario per Android chiamato Albiriox.

La distribuzione si basa su un dominio di recente registrazione che reindirizza gli utenti a un bot Telegram dedicato, dove vengono fornite le istruzioni per scaricare e installare l’APK al di fuori degli store ufficiali. Una compromissione riuscita comporta la perdita di controllo sul dispositivo, il furto di credenziali bancarie e la possibilità per avversari remoti di eseguire frodi on-device all’interno di app legittime, eventualmente oscurando la visualizzazione della vittima. Quanto ad attività di smishing, è stata rilevata un’operazione in corso che sfrutta il nome di Trenitalia per esfiltrare dati personali degli utenti.

Con l’obiettivo di acquisire numero di telefono e dettagli della carta di credito della vittima, l’avversario utilizza tecniche di social engineering, tra cui il typosquatting. Passando al panorama ransomware, Payload ha rivendicato la compromissione di Vela Film S.r.l.; AiLock di Studio Sardano Rag. Vincenzo; Space Bears di BiesSse; Payouts King di una vittima italiana non specificata; e The Gentlemen di Vicenzi S.p.A.

 

APT: campagne supply chain e cyber espionage

Ricercatori di sicurezza hanno individuato una campagna supply chain chiamata PolinRider, attribuita a Lazarus Group, mirata contro ambienti di sviluppo, workstation degli sviluppatori e pipeline CI/CD e basata sulla distribuzione dei malware inediti DEV#POPPER e OmniStealer. Restando in Corea del Nord, è stata tracciata un’offensiva attribuita con alta probabilità a ScarCruft, che utilizza un file CHM come vettore iniziale per una catena di esecuzione multistadio basata esclusivamente su tool Windows integrati e dotata di un meccanismo di consegna selettiva del payload finale. I criteri di selezione esatti non sono stati identificati, ma possono includere verifiche su IP, timing della richiesta o altre caratteristiche del client.

Passando in Bielorussia, il gruppo state-sponsored Ghostwriter (UNC1151, FrostyNeighbor) ha condotto una campagna di spear phishing finalizzata al furto di credenziali di account Google, compresi i codici di autenticazione a due fattori, attraverso una tecnica Adversary-in-the-Middle (AiTM). L’operazione faceva ricorso a Bunny CDN per mascherare gli indirizzi IP reali dei server di phishing, mentre i certificati TLS erano spesso associati a infrastrutture ospitate in Polonia. Spostandoci in Russia, è stata recentemente osservata una campagna di spionaggio condotta dall’APT di Mosca Sofacy, caratterizzata da un elevato livello di furtività e un processo di infezione in più fasi che ha inizio con documenti ingannevoli contenenti macro. L’intera catena impiega tecniche di evasione avanzate, tra cui crittografia delle macro, COM hijacking per la persistenza e l’abuso di un servizio cloud legittimo per il C2.

In Medio Oriente, un avversario iraniano denominato Cavern Manticore è stato osservato impiegare un nuovo framework C2 modulare chiamato Cavern in operazioni di compromissione mirate a organizzazioni israeliane, con focus prevalente sui settori governativo e IT. L’attaccante presenta analogie tecniche con altri avversari legati al Ministero dell’Intelligence e della Sicurezza (MOIS) iraniano, tra cui MuddyWater e OilRig. In aggiunta, un gruppo APT precedentemente non documentato, denominato Armored Likho (alias Eagle Werewolf), ha condotto e mantiene attiva una campagna di spear phishing che ha preso di mira agenzie governative e operatori del settore elettrico in Russia, Brasile e Kazakistan, utilizzando un infostealer inedito basato su Python chiamato BusySnake Stealer.

A partire da maggio 2026, un cluster chimato UNK_MassTraction, sospettato di essere un gruppo di spionaggio allineato alla Cina, ha sfruttato vulnerabilità di Roundcube Webmail in un’offensiva rivolta contro i dipartimenti di fisica e ingegneria delle principali università statunitensi e canadesi, con focus su personale amministrativo e accademico legato ad ambiti con implicazioni per la sicurezza nazionale o alla ricerca in astrofisica e fisica delle particelle.

Infine, un’indagine del Citizen Lab dell’Università di Toronto ha rivelato che Stelios Kouloglou, ex membro del Parlamento europeo e giornalista investigativo greco, è stato ripetutamente vittima di attacchi informatici con lo spyware Pegasus della società israeliana NSO Group mentre ricopriva il ruolo di membro sostituto della commissione d’inchiesta per indagare sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA). Le evidenze raccolte non permettono di attribuire le infezioni a un governo specifico e non sono emersi elementi che indichino una responsabilità del governo greco.

È stata invece rilevata una sovrapposizione tra la prima infezione e una precedente campagna Pegasus rivolta contro giornalisti e attivisti indipendenti di lingua russa e bielorussa in esilio in Europa. Questo elemento suggerisce che l’operazione sia stata condotta da un cliente di Pegasus in possesso di autorizzazione a operare in più Paesi europei.

Cybercrime: breach, operazioni di contrasto e furto di credenziali

Per quanto riguarda i data breach, Medtronic, leader globale nello sviluppo di tecnologie, dispositivi e servizi medicali, ha inviato una notifica a circa 3,8 milioni di persone potenzialmente interessate dall’incidente informatico che ha coinvolto alcuni sistemi IT aziendali nell’aprile 2026. L’attacco è stato rivendicato dal gruppo ShinyHunters, che ha dichiarato di aver sottratto circa 9 milioni di record minacciandone la pubblicazione in caso di mancato pagamento del riscatto.

In aggiunta, la multinazionale attiva nei servizi IT e nella consulenza Accenture ha confermato di aver subito una violazione in seguito alla pubblicazione nell’underground di un annuncio di vendita, nel quale un avversario identificato come 888 sostiene di aver sottratto 35 GB di codice sorgente e altri dati aziendali nel mese di luglio 2026.

Secondo la rivendicazione, tra i dati esfiltrati figurano codice sorgente, chiavi RSA, chiavi SSH, Azure Personal Access Tokens (PAT), chiavi di accesso ad Azure Storage e file di configurazione. Sul fronte delle attività di contrasto, le autorità spagnole hanno arrestato un presunto collaboratore dei collettivi hacktivisti filorussi CyberArmy of Russia Reborn (CARR) e Z-Pentest.

L’indagato avrebbe partecipato ad azioni attribuite al collettivo hacktivista filorusso NoName057(16). Nello stesso contesto, il 2 luglio 2026 il Google Threat Intelligence Group (GTIG) ha comunicato di aver condotto un’operazione contro una rete di proxy residenziali nota come NetNut (alias Popa), in coordinamento con l’FBI, Lumen Technologies e altri partner del settore. Il servizio NetNut risulta associato alla società israeliana Alarum Technologies, che ha dichiarato di collaborare con le autorità per verificare eventuali abusi della propria infrastruttura.

Quanto alle attività di furto di credenziali, secondo quanto riportato da un quotidiano nazionale del Regno Unito, avversari hanno rubato le credenziali di accesso di numerosi funzionari governativi britannici e del personale del Foreign Office all’estero. L’incidente rientra nella campagna FortiBleed, che ha compromesso oltre 80.000 firewall Fortinet in tutto il mondo e risulterebbe attiva almeno da febbraio 2026, senza che emergano prove di un coinvolgimento statale diretto.

🌍 Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro scopri di più sui servizi di Cyber Threat Intelligence di Telsy.

 

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: