L’Italia nel mirino di diversi avversari, vulnerabilità sfruttate ITW, tracciate operazioni APT russe, cinesi e iraniane

Italia: tracciate nuove operazioni DDoS, di phishing e ransomware

La scorsa settimana è iniziata con la notizia della rivendicazione di attacchi DDoS da parte del collettivo hacktivista Mr Hamza, contrassegnati dall’hashtag #Op_Italy, rivolti contro diversi siti governativi e militari italiani, in particolare quello dell’Esercito Italiano, dell’Aeronautica Militare, del Portale Multimediale di Forza Armata (PMFA) e dell’Istituto di Ricerca e Analisi della Difesa (IRAD). Inoltre, l’Italia è finita nel mirino anche di diverse campagne di phishing. Tra queste, una ha previsto la distribuzione del malware Stealc via MintsLoader, utilizzando caselle PEC compromesse. Un’altra, rivolta contro utenti SPID, ha sfruttato il nome e il logo dell’Agenzia per l’Italia Digitale (AgID), oltre a un falso dominio creato ad hoc per imitare quello dell’Ente al fine di esfiltrare le credenziali delle vittime, unitamente a copie di documenti di identità e a video registrati per la procedura di riconoscimento. Infine, è stata individuata anche un’operazione che ha preso di mira gli utenti italiani di Binance, nota piattaforma internazionale per lo scambio di criptovalute, adoperando SMS, e-mail, telefonate e Telegram. In aggiunta, Breton S.p.A., azienda veneta leader mondiale nella progettazione e produzione di macchine e impianti per la lavorazione della pietra naturale, dei metalli e della pietra composita, ha dichiarato di aver recentemente subito un attacco informatico. L’offensiva è iniziata il 1° maggio e ha interessato l’infrastruttura IT della sede centrale della società, compromettendo alcuni sistemi operativi. Tuttavia, Breton ha riferito che attualmente non ci sono evidenze di violazioni di dati personali o industriali. Passando al panorama ransomware, Sarcoma Group ha rivendicato sul proprio sito dei leak la compromissione di LUBIAM Moda per L’Uomo S.p.A., azienda italiana che opera nel settore tessile e in particolare nel menswear sartoriale d’alta gamma; mentre, il gruppo Nova – precedentemente noto come RALord Blog – quella di T.consulT S.r.l., società con sede a Curtatone (MN), leader nello sviluppo di software per il controllo di configurazione e la gestione logistica integrata durante l’intero ciclo di vita post-vendita di sistemi complessi.

Vulnerabilità: falle Android, SonicWall, Samsung e Microsoft sfruttate ITW

Google ha rilasciato l’Android Security Bulletin relativo al mese di maggio 2025, segnalando attività di exploitation limitate e mirate riguardanti CVE-2025-27363, presente nel componente System. Nel dettaglio, si tratta di una Out-of-bounds Write che interessa la libreria di rendering dei font FreeType e può comportare l’esecuzione di codice arbitrario, già segnalata come sfruttata nel marzo 2025. Quanto a SonicWall, ha aggiornato due advisory notificando lo sfruttamento ITW di CVE-2023-44221 e CVE-2024-38475 (di Apache HTTP Server), rispettivamente una OS Command Injection e una Improper Encoding or Escaping of Output, le quali sono state aggiunte anche dalla CISA al suo catalogo. In aggiunta, la società americana ha notificato tre nuove vulnerabilità ad alto impatto nei prodotti Secure Mobile Access (SMA) 100, tracciate con codice CVE-2025-32819, CVE-2025-32820 e CVE-2025-32821, che possono essere concatenate per ottenere l’esecuzione di codice remoto come root e compromettere le istanze vulnerabili. Tra queste si ritiene che CVE-2025-32819 sia stata sfruttata ITW e che sia probabilmente un bypass per una patch del 2021 che risolve una falla di tipo Arbitrary File Delete. Per quanto riguarda Samsung, ricercatori di sicurezza hanno tracciato attività di exploitation ITW della Path Traversal CVE-2024-7399 in MagicINFO 9 Server, un sistema di gestione dei contenuti (CMS) utilizzato per gestire e controllare in remoto display di digital signage. Quest’ultima consente a utenti non autenticati di scrivere file arbitrari e, in ultima analisi, può portare all’esecuzione remota di codice quando viene sfruttata per scrivere file JavaServer Pages (JSP) appositamente realizzati. Si segnala inoltre che CVE-2024-7399 è stata adoperata in offensive basate su una variante della botnet Mirai. Da ultimo, il gruppo ransomware PLAY Team ha sfruttato un exploit 0-day per CVE-2025-29824 di Windows durante un tentativo di attacco contro un’organizzazione negli Stati Uniti. Sebbene nell’intrusione non sia stato distribuito alcun payload ransomware, l’avversario ha veicolato un infostealer custom denominato Grixba.

APT: fermento in Russia, Cina e Medio Oriente

L’Azerbaigian ha accusato ufficialmente la Russia di essere responsabile di attacchi informatici sferrati il 20 febbraio 2025 contro diversi media del Paese, attribuiti al gruppo state-sponsored APT 29. Sempre inerente alla Russia, Cuba Team ha colpito infrastrutture critiche, agenzie governative, leader politici e organizzazioni di difesa legate alla NATO, utilizzando il malware RomCom. In aggiunta, l’APT di Mosca Callisto ha condotto campagne rivolte contro attuali ed ex consulenti di governi e militari occidentali, nonché giornalisti, think tank e ONG, che hanno portato alla distribuzione di un malware inedito chiamato LOSTKEYS. Spostandoci in Cina, Stone Panda ha avviato una nuova operazione mirata a istituzioni pubbliche e agenzie governative di Taiwan e Giappone, presumibilmente a scopo di spionaggio. L’attività sfrutta tecniche di spear phishing per distribuire una versione aggiornata della backdoor ANEL, arricchita da un nuovo comando per supportare l’esecuzione di Beacon Object File (BOF) in memoria. Inoltre, è stato rilevato l’utilizzo di un tool nominato SharpHide, sfruttato per avviare la backdoor di secondo livello NOOPDOOR. Oltre a Stone Panda, ricercatori di sicurezza hanno tracciato una nuova campagna di un APT cinese denominato TheWizards – collegato al fornitore del malware DarkNimbus (DarkNights) Dianke Network Security Technology (UPSEC) – che sfrutta Spellbinder, un tool per il movimento laterale scoperto nel 2022 utilizzato per eseguire attacchi Adversary-in-the-Middle (AitM) al fine di installare malware dirottando aggiornamenti di software cinesi legittimi. Riguardo al Medio Oriente, invece, è stata rilevata un’infrastruttura presumibilmente gestita da operatori iraniani, verosimilmente Charming Kitten, ideata per fingersi l’agenzia tedesca con sede ad Amburgo Mega Model Agency, nell’ambito di una sospetta operazione di spionaggio.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence