Attacchi in Italia, nuove offensive APT, novità nel panorama ransomware

Italia: presa di mira UniPd e nuove offensive ransomware

È stata tracciata una campagna di phishing mirata all’Università degli Studi di Padova (UniPd), nella quale attaccanti hanno sottratto e-mail e password in chiaro di studenti e dipendenti dell’ateneo. L’offensiva ha sfruttato due domini malevoli che presentavano pagine di login fraudolente volte a riprodurre l’aspetto del portale ufficiale dell’ateneo, allo scopo di indurre gli utenti a inserire i propri codici di accesso. L’attacco ha impattato ed esposto le credenziali di oltre 190 account. Passando al panorama ransomware, l’operatore DragonForce Team ha rivendicato sul proprio sito dei leak la compromissione di Terre Cortesi Moncaro, azienda specializzata nella produzione di vini marchigiani; mentre, Sarcoma Group ha reclamato la violazione di MESS Sales S.r.l., società con sede a Genova che opera nel settore dello spettacolo e della sicurezza, con particolare esperienza nella nautica da diporto. Sempre con sede a Genova, anche l’italiana Esaote S.p.A., operante nel settore sanitario tra i principali produttori mondiali di sistemi diagnostici medicali, è comparsa sul portale di Babuk Locker Team, tuttavia non è chiaro se si tratti di un attacco passato ripubblicato o di una nuova offensiva. Infine, un gruppo chiamato Orca ha annunciato di aver colpito Casale del Giglio Società Agricola S.r.l., realtà vitivinicola del territorio laziale localizzata nell’Agro Pontino in località Le Ferriere, Comune di Aprilia, in provincia di Latina.

State-sponsored: attacchi dalla Cina e sfruttata una 0-day Windows 

A metà del 2024, l’APT cinese UNC3886 è stato visto implementare backdoor custom su router Juniper MX, di Juniper Networks, a fine vita (EoL). L’avversario è stato in grado di aggirare la protezione Veriexec – un sottosistema di integrità dei file basato sul kernel che protegge il sistema operativo Junos OS da codice non autorizzato – e iniettare codice malevolo nella memoria di un processo legittimo. Questa specifica tecnica sfrutta una vulnerabilità ora classificata come CVE-2025-21590 (CVSS 4.4). La falla di tipo Improper Isolation or Compartmentalization consente a un utente locale con privilegi elevati di compromettere l’integrità del dispositivo. Sempre dalla Cina, l’APT Volt Typhoon ha avuto accesso per quasi un anno alla rete di Littleton Electric Light and Water Departments (LELWD), un’azienda pubblica che fornisce elettricità a Littleton e Boxborough e acqua potabile a Littleton, nel Massachusetts. La società di servizi ha constatato che i suoi sistemi erano stati violati poco prima del giorno del ringraziamento del 2023. In particolare, un’indagine ha rivelato che l’avversario sarebbe stato presente nei sistemi fin da febbraio 2023. Oltre a ciò, una vulnerabilità non patchata che impatta Microsoft Windows è stata sfruttata da molteplici gruppi state-sponsored provenienti da Corea del Nord, Iran, Russia e Cina nell’ambito di campagne di furto di dati, spionaggio e a sfondo finanziario che risalgono al 2017. Sono state colpite organizzazioni dei settori governativo, finanziario, ONG, delle telecomunicazioni, militare ed energetico in Nord America, Europa, Asia, Sud America e Australia. Tracciata dagli analisti come ZDI-CAN-25373, la 0-day è una User Interface (UI) Misrepresentation of Critical Information e consente agli attaccanti di eseguire comandi malevoli nascosti sul computer della vittima sfruttando file Windows Shortcut o Shell Link (.LNK) appositamente creati. Finora sono stati scoperti quasi 1.000 artefatti di file LNK che approfittano di ZDI-CAN-25373, con la maggior parte dei sample collegati a TA505, ScarCruft e Bitter.

Ransomware: nuovi dettagli su Medusa Team e l’inedito SuperBlack 

La CISA, l’FBI e il Multi-State Information Sharing and Analysis Center (MS-ISAC) hanno rilasciato un advisory congiunto sul gruppo ransomware Medusa Team. Operativo dal gennaio 2021, l’avversario è passato da una variante chiusa a un’operazione Ransomware-as-a-Service (RaaS) sofisticata, registrando oltre 300 vittime a febbraio 2025, con un focus su settori chiave come quelli sanitario, dell’istruzione, legale, assicurativo, tecnologico e manifatturiero. Gli operatori reclutano tipicamente Initial Access Broker (IAB) nei forum e nei mercati underground per ottenere l’accesso iniziale alle potenziali vittime. Nel dettaglio, gli IAB di Medusa sono noti per l’utilizzo di tecniche quali: campagne di phishing come metodo principale per rubare le credenziali; e lo sfruttamento di vulnerabilità software non patchate, tra cui CVE-2024-1709 di ScreenConnect e CVE-2023-48788 di Forticlient EMS. Inoltre, tra la fine di gennaio e l’inizio di marzo 2025 sono state identificate una serie di intrusioni basate su due falle di Fortinet, culminate con la distribuzione di un ransomware scoperto di recente soprannominato SuperBlack e attribuite a un attaccante soprannominato Mora_001, avente legami con l’ecosistema LockBit. Tracciate con codice CVE-2024-55591 e CVE-2025-24472, le vulnerabilità in questione sono entrambe di tipo Authentication Bypass Using an Alternate Path or Channel e consentono ad avversari non autenticati di ottenere privilegi di super_admin su dispositivi FortiOS vulnerabili (versioni precedenti alla 7.0.16) con interfacce di gestione esposte. Un exploit Proof-of-Concept (PoC) è stato rilasciato pubblicamente il 27 gennaio 2025 ed entro 96 ore dal rilascio sono stati osservati sfruttamenti attivi ITW. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence