L’Albania nel mirino degli iraniani, nuovi attacchi in Italia, le ultime dal panorama state-sponsored

Albania: Druidfly e Homeland Justice prendono di mira il Paese

Ricercatori di sicurezza hanno segnalato un attacco basato su un wiper contro organizzazioni in Albania da parte di un gruppo iraniano denominato Druidfly. Il malware, firmato con un certificato legittimo probabilmente rubato, rilascia il driver di sistema per l’accesso raw al disco nel percorso TEMP con il nome rawio.sys e lo avvia come un servizio soprannominato RAW_IO. La minaccia prende di mira le seguenti estensioni: .zip, .rar, .tar, .iso, .pst, .ost, .bak, .sql, .dbf, .mdb, .msg, .mdf, .doc, .xls, .ppt, .pdf, .dll, .ps1, .sys, .7z, .backup. L’avversario starebbe sferrando attacchi contro l’Albania dal 2022. Le precedenti offensive hanno lasciato messaggi diretti contro il Mojahedin-e Khalq (MEK), un’organizzazione di opposizione iraniana con sede in Albania. L’ospitalità offerta dal Paese a tale realtà è stata citata come movente anche nella rivendicazione di un attacco sferrato dal collettivo hacktivista iraniano Homeland Justice – presumibilmente riconducibile a Void Manticore e già noto per prendere di mira l’Albania – che ha interrotto diversi servizi pubblici a Tirana, mettendo fuori uso il sito web ufficiale della città e influenzando le attività del governo locale.

Italia: nuove offensive colpiscono la penisola 

Il collettivo hacktivista pro-Teheran DieNet – emerso nel marzo 2025 – ha rivendicato sul proprio canale Telegram la compromissione di CNA, Confederazione Nazionale dell’Artigianato e della Piccola e Media Impresa, un’associazione italiana di rappresentanza e tutela degli interessi delle micro, piccole e medie imprese, con particolare riferimento all’artigianato e al lavoro autonomo. Il gruppo sarebbe in possesso di oltre 34.000 file, tra cui figurerebbero carte d’identità, contratti aziendali, documenti e file importanti. L’Azienda Sanitaria Provinciale (ASP) di Palermo ha subito un attacco informatico che ha interessato circa 45 postazioni di lavoro aziendali. Tra i dati potenzialmente coinvolti figurano: informazioni anagrafiche e identificative, dati di contatto, informazioni relative a pratiche amministrative, oltre ad altri dati in fase di individuazione. Il presidente della Provincia di Bolzano e assessore alla Protezione civile, Arno Kompatscher, ha riferito di un’offensiva informatica che ha causato un guasto al sistema dell’Agenzia per la protezione civile, provocando problemi tecnici ai sistemi telefonici o parti di essi della Centrale provinciale di segnalazione del traffico, della Centrale provinciale di emergenza, della Centrale del Corpo permanente dei Vigili del fuoco e del Servizio radio provinciale. Stando a quanto riferito, le prime problematiche sono state riscontrate nella notte tra il 23 e il 24 giugno 2025 e alle strutture interessate dall’offensiva è stata fatta una richiesta di riscatto. La società leader nel noleggio a lungo termine di veicoli e specializzata in soluzioni di mobilità Arval avrebbe informato privatamente i propri clienti in merito a un presunto data breach dovuto a un attacco informatico subito da un fornitore. L’avversario avrebbe sfruttato una vulnerabilità di sistema per accedere alla rete target e, successivamente, avrebbe fatto trapelare nell’underground fatture indirizzate a clienti Arval contenenti dati identificativi, di contatto e bancari degli intestatari e, in alcuni casi, informazioni riguardanti il veicolo noleggiato e al contratto stipulato, oltre alla descrizione di alcuni servizi sottoscritti dai clienti. Infine, i gruppi ransomware Qilin Team e Akira Team hanno reclamato sui propri siti dei leak la loro responsabilità dietro le violazioni rispettivamente di Fratellanza Popolare Valle del Mugnone – Caldine e Studio Verna società professionale.

APT: segnalate operazioni legate a Russia, Pakistan, Cina e Corea del Nord 

Il CERT-UA ha rivelato nuove informazioni in merito a un attacco del russo Sofacy contro un’agenzia governativa ucraina risalente al marzo-aprile 2024, che ha previsto la distribuzione di due malware inediti sviluppati in C++ chiamati BEARDSHELL e SLIMAGENT, oltre all’utilizzo del framework Covenant. Passando in Pakistan, Barmanou ha diffuso e-mail di phishing contenenti allegati PDF malevoli, progettati per assomigliare a documenti governativi ufficiali e colpire il personale della Difesa indiana. Quanto alla Cina, il Canadian Centre for Cyber Security (Cyber Centre) e l’FBI hanno emesso un advisory riguardante offensive sferrate dall’APT di Pechino GhostEmperor per violare i principali fornitori di telecomunicazioni canadesi nell’ambito di una campagna di spionaggio informatico globale. Nel dettaglio, il gruppo ha sfruttato CVE-2023-20198 (CVSS 10.0) di Cisco IOS XE per recuperare i file di configurazione in esecuzione sui dispostivi infetti e ha modificato almeno uno di questi per configurare un tunnel GRE, consentendo la raccolta del traffico dalla rete. Spostandoci in Corea del Nord, sono stati identificati nuovi attacchi supply chain basati su gruppo di pacchetti npm malevoli, parte della campagna Contagious Interview, che hanno mirato al furto di criptovalute e dati. Da ultimo, il nordcoreano ScarCruft ha distribuito XenoRAT contro individui in Corea del Sud tramite Dropbox e PAT (Personal Access Token) GitHub, utilizzando attivamente repository GitHub privati come infrastruttura di attacco.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence