Attacchi al Washington Post e Viasat, offensive in Europa orientale e Russia, fermento nel mondo hacktivista

Breach: notificati incidenti al Washington Post e Viasat

Un attacco informatico, potenzialmente state-sponsored, al Washington Post ha compromesso gli account di posta elettronica di diversi giornalisti. Una nota inviata ai dipendenti dal direttore esecutivo Matt Murray dice che la violazione è stata scoperta giovedì 12 giugno 2025 e il giornale ha immediatamente avviato un’indagine. Ai dipendenti è stato detto che le intrusioni hanno compromesso account Microsoft di giornalisti e potrebbero aver consentito all’attaccante di accedere alle e-mail di lavoro inviate e ricevute, secondo quanto riferito da alcune fonti. Tra i giornalisti presi di mira ci sono quelli dei team di sicurezza nazionale e di politica economica, tra cui alcuni che scrivono sulla Cina. In aggiunta, stando a quanto riportato da una nota agenzia di stampa statunitense, la società di comunicazioni satellitari Viasat è stata identificata come vittima della vasta campagna di spionaggio informatico contro le Telco americane condotta dal gruppo state-sponsored cinese GhostEmperor. La violazione è stata scoperta all’inizio di quest’anno e, secondo alcune persone informate dei fatti, l’azienda con sede in California ha collaborato con il governo nelle fasi successive. Secondo quanto dichiarato tramite un comunicato stampa, Viasat e un suo partner di terze parti hanno indagato su una segnalazione di accesso non autorizzato attraverso un dispositivo compromesso; tuttavia, al termine dell’indagine non è stata trovata alcuna prova che suggerisca un impatto sui clienti. La società ha inoltre aggiunto di non aver rilevato alcuna attività recente correlata a questo incidente, che ritiene risolto.

APT: campagne di XDSpy e TaxOff contro target in Europa orientale e Russia

È stata tracciata una campagna in corso, risalente al marzo 2025 e attribuita all’avversario state-sponsored XDSpy, che prende di mira entità governative in Europa orientale e Russia utilizzando il malware XDigo. L’indagine ha avuto origine dall’analisi della vulnerabilità ZDI-CAN-25373, che ha portato all’individuazione di un gruppo ristretto di file LNK utilizzati in una catena d’infezione multistadio. Tra i target confermati rientra almeno una realtà governativa della Bielorussia, coerente con la storica focalizzazione dell’avversario su enti pubblici e settori strategici dell’Europa orientale. La vittima utilizzava una workstation contenente un software sviluppato in Bielorussia, insieme a diversi documenti relativi al governo. Infine, è stato visto un avversario soprannominato TaxOff sfruttare come 0-day una falla di sicurezza di Google Chrome, ora patchata, per distribuire una backdoor denominata Trinper. L’attaccante è stato documentato per la prima volta alla fine di novembre 2024 da una società di cybersecurity russa. Si è distinto per aver preso di mira agenzie governative, utilizzando campagne di phishing mirate con e-mail che simulavano comunicazioni legali o relative a questioni finanziarie. L’attacco, identificato a metà marzo 2025, ha comportato l’utilizzo della vulnerabilità di sandbox escape CVE-2025-2783.

Israle-Iran: fermento nel mondo hacktivista

In parallelo all’operazione israeliana Rising Lion, si è osservato un aumento dell’attività degli avversari pro-Teheran sui loro canali Telegram pubblici e privati. In alcuni messaggi si parlava di offensive contro il sistema di comunicazione pubblico israeliano (Tzofar) che notifica ai civili potenziali attacchi missilistici. Mysterious Team Bangladesh ha lanciato un avvertimento ai Paesi vicini, Giordania e Arabia Saudita, affermando che qualora decidano di sostenere Israele le loro infrastrutture sarebbero state colpite da attacchi informatici. Arabian Ghost, invece, ha annunciato di aver chiuso una stazione radio israeliana. Diversi altri gruppi hanno fatto minacce e rivendicazioni nei confronti di organizzazioni israeliane, tra cui una rivolta contro il sito web del Mossad israeliano. Tra i collettivi maggiormente coinvolti si segnalano CyberJihad Movement, DieNet, GhostSec, Golden Falcon, Handala, LulzSec Black e Mysterious Team Bangladesh. Le principali modalità operative adottate prevedono il ricorso a massicci attacchi DDoS, finalizzati a compromettere la disponibilità dei servizi essenziali, accompagnati da offensive che mirano all’esfiltrazione e alla pubblicazione di informazioni sensibili. Un altro aspetto emergente riguarda la vendita di accessi iniziali a reti compromesse, pratica che facilita ulteriori compromissioni da parte di gruppi criminali o statuali interessati a sfruttare l’instabilità prodotta dagli hacktivisti. I bersagli degli attacchi non si limitano a Israele, ma includono anche realtà istituzionali e private in Egitto, India, Italia, Giordania, Arabia Saudita e Stati Uniti, evidenziando la natura transnazionale e indiscriminata delle offensive. Inoltre, tra il 17 e il 18 giugno 2025, il gruppo hacktivista filoisraeliano Predatory Sparrow (alias Gonjeshke Darande) – ritenuto legato al governo di Tel Aviv – ha rivendicato sui propri profili X e Telegram offensive ai danni di due realtà iraniane: la banca Bank Sepah, legata al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e all’esercito, e l’exchange di criptovalute Nobitex.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence