Data breach e nuovi attacchi in Italia, la Francia accusa il russo Sofacy, attività APT asiatiche

Italia: offensive colpiscono diverse realtà italiane

Una società di telecomunicazioni ha comunicato di aver rilevato il 25 febbraio 2025 un accesso non autorizzato al sistema in uso ai rivenditori. L’incidente, circoscritto a un singolo punto vendita, ha esposto dati personali definiti “comuni” dall’operatore mobile, come nome, cognome, indirizzo e recapiti. L’azienda ha prontamente messo in sicurezza il sistema e notificato l’evento alle Autorità competenti. Tuttavia, consiglia di prestare particolare attenzione a eventuali comunicazioni ricevute via telefono, sms, e-mail o WhatsApp e di controllare l’eventuale apertura di profili fake sui social network. Sempre in Italia, è stata tracciata una campagna di malvertising volta a distribuire un malware chiamato NodeStealer e il RAT XWorm contro utenti Windows, sfruttando loghi e riferimenti della piattaforma AI per la generazione di video Luma Dream Machine. L’obiettivo dell’operazione è il furto di credenziali, il dirottamento di sessioni web e l’acquisizione del controllo remoto dei dispositivi compromessi. Passando al panorama ransomware, un gruppo chiamato Gunra ha rivendicato la compromissione di KLINGER Italy S.r.l., Rhysida Team di MDB S.r.l., INC RANSOM Team di Studio Vaiani e Qilin Team di DFL – Distribuzione Ferramenta Lamura.

Francia: collegato il russo Sofacy a decine di attacchi informatici  

Il Ministero degli Esteri francese ha accusato il gruppo state-sponsored russo Sofacy di aver preso di mira o violato una dozzina di entità francesi negli ultimi quattro anni. In un rapporto separato, l’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) afferma che l’elenco delle organizzazioni francesi prese di mira dall’APT russo dal 2021 comprende enti ministeriali e amministrazioni locali, organizzazioni della base tecnologica e industriale della Difesa francese, enti aerospaziali, organizzazioni di ricerca e think-tank e realtà del settore economico e finanziario. L’ANSSI ha inoltre evidenziato diverse campagne degne di nota dal 2021, tra cui alcune che hanno ripetutamente preso di mira i server di posta elettronica Roundcube e altre che hanno utilizzato servizi web gratuiti per attacchi di phishing. È stato anche menzionato l’uso massiccio da parte dell’avversario di infrastrutture esterne a basso costo e pronte all’uso, tra cui servizi di hosting gratuiti, VPN, server in affitto e di creazione di indirizzi e-mail temporanei. Dall’inizio del 2024, gli attacchi di Sofacy si sarebbero concentrati principalmente sul furto di intelligence strategica da organizzazioni governative, diplomatiche e di ricerca e think tank di Francia, Europa, Ucraina e Nord America.

APT: nuove attività nel continente asiatico 

È stata tracciata una campagna di spionaggio che ha preso di mira alcuni membri del World Uyghur Congress (WUC), attualmente in esilio, mediante la diffusione di una versione trojanizzata di UyghurEdit++ (UyghurEditPP), un software open-source per la scrittura e il controllo ortografico sviluppato per facilitare l’uso della lingua uigura. Nel dettaglio, nel marzo 2025 alcuni membri del WUC in esilio hanno ricevuto notifiche da Google che li avvisavano che i loro account erano stati oggetto di attacchi state-sponsored. Gli elementi tecnici rilevati dimostrano che le attività relative all’operazione sono iniziate almeno nel maggio 2024. Sebbene la campagna non sia stata attribuita a un avversario noto, le TTP e il targeting suggeriscono che quest’ultimo sia probabilmente allineato al governo cinese. Inoltre, è stata scoperta un’operazione attiva da giugno 2024, riconducibile a un gruppo APT rinominato Earth Kurma, che prende di mira il settore governativo e delle telecomunicazioni nel Sudest asiatico, in particolare nelle Filippine, in Vietnam, Thailandia e Malesia. Il gruppo utilizza malware custom avanzati, rootkit e servizi di archiviazione cloud per l’esfiltrazione dei dati.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.