Attacchi DDoS e spyware in Italia, le ultime dall’Ucraina, 0-day Microsoft sfruttata da Stealth Falcon

Italia: target italiani presi di mira da NoName057(16) e dallo spyware Graphite

Continuano in Italia le offensive da parte del collettivo hacktivista filorusso NoName057(16). In particolare, sono stati rivendicati DDoS ai danni dei seguenti target: Tiscali; Tessellis; Herabit; Comune di Parma; Comune di Reggio Emilia; Comune di Rimini; Ministero delle Infrastrutture e dei Trasporti; Ministero delle Imprese e del Made in Italy; Comune di Pescara; Adriafer; Unipol; CoopVoce; NTC Italia; Noitel; Comune di Aosta; Regione Piemonte; Regione Toscana; Comune di Portoferraio; Ministero degli Affari Esteri e della Cooperazione Internazionale; A2A; SPID (Sistema Pubblico di identità Digitale); Siena Mobilità; Sinfomar; GTT (Gruppo Torinese Trasporti); Comune di Taranto; Regione Lazio; Comune di Piacenza; Comune di Bionaz; Comune di Novara; Comune di Reggio Emilia; Comune di Ayas; Intesa Sanpaolo; Acqua Novara.VCO; Vulcanair. Spostandoci in ambito spyware, i dispositivi Apple iOS di almeno due giornalisti in Europa, tra cui Ciro Pellegrino, giornalista della testata italiana Fanpage[.]it, sono stati presi di mira con lo spyware Graphite dell’israeliana Paragon Solutions. Dall’analisi dei loro iPhone si evince che si è trattato di un attacco zero-click su iMessage basato su una vulnerabilità 0-day, tracciata con codice CVE-2025-43200, risolta nella versione 18.3.1 di iOS. Nel dettaglio, la falla è descritta come un problema logico durante l’elaborazione di foto o video creati in modo malevolo e condivisi tramite un link iCloud. In entrambi i casi, l’avversario ha utilizzato un account iMessage, soprannominato genericamente dagli analisti ATTACKER1, che si ritiene sia usato esclusivamente da un singolo cliente/operatore di Graphite. Le infezioni sono avvenute all’inizio del 2025 e Apple ha inviato una notifica alle due vittime il 29 aprile informandole dell’accaduto. Lo stesso spyware è stato adoperato all’inizio di quest’anno in un altro attacco zero-click che sfruttava una vulnerabilità 0-day in WhatsApp e prendeva di mira altre vittime italiane, oltre che contro l’iPhone dell’attivista sudanese per i diritti umani residente in Italia, David Yambio.

Ucraina: identificato PathWiper

Ricercatori di sicurezza hanno tracciato un nuovo wiper denominato PathWiper, utilizzato in un recente attacco contro un’infrastruttura critica in Ucraina e attribuito a un avversario state-sponsored legato alla Russia non specificato. La minaccia è stata distribuita attraverso un framework per la gestione di endpoint legittimo, indicando che l’attaccante aveva accesso alla console amministrativa, poi utilizzata per impartire comandi malevoli e veicolare il malware su tutti gli endpoint collegati. La catena di esecuzione identificata inizia con un comando eseguito dal client come file batch che lancia un VBScript malevolo denominato uacinstall.vbs, anch’esso inviato all’endpoint dalla console amministrativa. Una volta lanciato, il VBScript scrive l’eseguibile di PathWiper, denominato sha256sum.exe, sul disco e lo avvia. Durante l’attacco, i nomi dei file e le azioni utilizzate imitano quelli impiegati dalla console dell’utility amministrativa, provando che l’avversario conosceva già la console e le sue funzionalità all’interno dell’ambiente aziendale del target. All’esecuzione, PathWiper raccoglie un elenco dei supporti di archiviazione collegati all’endpoint, tra cui: nomi delle unità fisiche, nomi e percorsi dei volumi, percorsi delle unità di rete condivise e rimosse. Una volta raccolte tutte le informazioni sui dispositivi di archiviazione, PathWiper crea un thread per ogni disco e volume e per ciascun percorso registrato, e sovrascrive gli artefatti con byte generati casualmente. Si segnala che I meccanismi di PathWiper sono simili a quelli di un’altra famiglia di wiper, HermeticWiper, già vista in azione contro entità ucraine nel 2022 e attribuita all’APT di Mosca Sandworm.

Stealth Falcon: sfruttata la 0-day CVE-2025-33053 di Microsoft

Nel marzo 2025, ricercatori di sicurezza hanno scoperto una nuova campagna condotta dal gruppo state-sponsored emiratino Stealth Falcon, rivolta contro un’azienda del settore della Difesa in Turchia, che ha previsto lo sfruttamento di una vulnerabilità 0-day di Microsoft per eseguire malware da un server WebDAV da lui controllato. Identificata come CVE-2025-33053 (CVSS 8.8) e corretta nel Patch Tuesday di giugno 2025, la falla è una External Control of File Name or Path che consente l’esecuzione di codice da remoto attraverso la manipolazione della directory di lavoro. Nello specifico, l’APT ha utilizzato un file URL che sfruttava CVE-2025-33053 per avviare la catena d’infezione che porta alla distribuzione di Horus Agent, un implant custom creato per il framework C2 open-source di red teaming Mythic. Oltre a quest’ultimo, l’avversario ha adoperato un loader multistadio soprannominato Horus Loader e diversi payload e moduli personalizzati precedentemente sconosciuti, tra cui un keylogger, una backdoor passiva e un DC credential dumper.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence