L’Italia nel mirino di hacktivisti e ransomware, 0-day in Chrome, operazioni APT in Asia

Italia: attacchi DDoS e ransomware colpiscono il Paese 

Sabato 22 marzo 2025, sulla scia degli attacchi del giorno precedente, il collettivo filorusso NoName057(16) ha continuato a sferrare DDoS contro siti italiani. Nel complesso, tra venerdì e sabato sono stati presi di mira i seguenti target: Siena Mobilità S.c.a.r.l.; Gruppo Torinese Trasporti S.p.A.; Ministero degli Affari Esteri e della Cooperazione Internazionale; Ministero delle infrastrutture e dei trasporti; Autorità di Sistema Portuale del Mare Adriatico Orientale (Porti di Trieste e Monfalcone); Sinfomar; Aeroporto di Milano Malpensa; e Aeroporto di Milano Linate. Oltre a questi, nel corso della settimana l’avversario ha colpito numerosi altri portali di Paesi quali Taiwan, Ucraina, Belgio e Israele. Spostandoci sul versante ransomware, RansomHub Team ha rivendicato sul proprio sito dei leak la compromissione di Solid World Group S.p.A. ed Exemplar S.r.l.; mentre un gruppo di recente scoperta chiamato VanHelsing Team di Studio Vallone; e LockBit Team di Bio-Clima Service S.r.l., società che era già stata violata in passato da Everest Team. Sempre in Italia, è stata inoltre rilevata una nuova campagna di distribuzione del malware AsyncRAT via MintsLoader, che sfrutta caselle PEC compromesse. Come già osservato in operazioni precedenti via PEC che hanno veicolato malware differenti, i template e le TTP sono le medesime e, anche in questo caso, è previsto l’uso di Domain Generation Algorithm (DGA) e dell’estensione .top, al fine di rendere più difficile il blocco preventivo delle infrastrutture malevole.

Google: vulnerabilità in Chrome sfruttata nell’Operation ForumTroll

Google ha annunciato il rilascio della versione 134.0.6998.177/.178 di Chrome Desktop per Windows, che corregge una vulnerabilità 0-day sfruttata ITW. Tracciata con codice CVE-2025-2783, la falla è classificata come Incorrect Handle Provided in Unspecified Circumstances in Mojo su Windows. Il vendor ha dichiarato di essere a conoscenza dell’esistenza di un exploit ITW per la vulnerabilità; tuttavia, non ha rilasciato ulteriori dettagli tecnici. Ciononostante, ricercatori di sicurezza hanno riferito che il problema è stato sfruttato in attacchi altamente sofisticati – tracciati a metà marzo 2025 e molto probabilmente condotti da un gruppo state-sponsored – che hanno previsto la distribuzione di malware sconosciuti, inducendo la vittima a cliccare su un link custom inviato via e-mail di phishing. L’infezione si è verificata quando il target ha cliccato sul link e aperto il sito web dell’avversario utilizzando il browser Chrome. Tale exploit 0-day ha permesso all’attaccante di aggirare la protezione sandbox di Google Chrome a causa di un errore logico all’intersezione tra la sandbox di Chrome e il sistema operativo Windows. Stando a quanto analizzato, si presume che l’obiettivo delle offensive rilevate sia lo spionaggio. Le e-mail identificate contenevano inviti presumibilmente provenienti dagli organizzatori di un forum scientifico chiamato Primakov Readings, rivolto a media e istituzioni del settore dell’istruzione in Russia. In base al contenuto dei messaggi, la campagna è stata soprannominata Operation ForumTroll. In aggiunta, gli analisti hanno scoperto che l’exploit in questione è stato progettato per essere eseguito insieme a un altro exploit che consente l’esecuzione di codice in modalità remota. Malgrado ciò, non è stato possibile ottenere questo secondo exploit. In seguito alla scoperta di CVE-2025-2783, sviluppatori di Firefox hanno identificato uno schema simile nel loro codice IPC (Inter-Process Communication). Per questo motivo, la Mozilla Foundation ha rilasciato gli aggiornamenti Firefox 136.0.4 e Firefox ESR 128.8.1 e 115.21.1 al fine di sanare una vulnerabilità critica simile a quella di Google, identificata come CVE-2025-2857. Tale falla è descritta come una gestione non corretta che potrebbe portare a una sandbox escape e interessa solo Firefox su Windows.

APT: fermento in Asia

Ricercatori di sicurezza hanno tracciato un avversario soprannominato UAT-5918 che prende di mira infrastrutture critiche taiwanesi almeno dal 2023 e i cui strumenti e TTP si sovrappongono sostanzialmente a quelli di diversi gruppi state-sponsored cinesi, tra cui Volt Typhoon, Flax Typhoon e Dalbit. Solitamente, l’avversario ottiene l’accesso iniziale sfruttando vulnerabilità nei server web e applicativi non corretti esposti a internet. Successivamente, utilizza molteplici tool open-source per condurre operazioni di ricognizione della rete e muoversi all’interno dell’azienda compromessa. L’attività successiva di post-exploitation viene svolta manualmente e ha come obiettivo principale il furto di informazioni. Il tooling osservato consiste in web shell, alcune delle quali sono pubblicamente disponibili (come China Chopper), molteplici tool di scansione della rete e di red-teaming, oltre ad harvester di credenziali. Stando a quanto analizzato, UAT-5918 punta a quest’ultime per ottenere quelle di utenti a livello locale e di dominio, nonché per creare nuovi account amministrativi, facilitando ulteriori punti di accesso, come RDP su endpoint per lui strategici. Sempre in Asia, è stata rilevata una campagna di spionaggio informatico prolungata condotta da un attaccante legato alla Cina, denominato Weaver Ant, che ha colpito un importante provider di telecomunicazioni nel continente in questione. L’avversario si sarebbe garantito la persistenza nell’infrastruttura target per oltre quattro anni, usando principalmente web shell, tra cui una variante di China Chopper che supporta la crittografia AES del payload e una per l’esecuzione in memoria denominata INMemory. Si ritiene che Weaver Ant presenti caratteristiche tipicamente associate ad attività di spionaggio collegate alla Cina. Questo legame è ulteriormente confermato dall’utilizzo della web shell China Chopper; dall’impiego di una rete di Operational Relay Box (ORB), costituita da router Zyxel, per reindirizzare il traffico e nascondere la propria infrastruttura; dagli orari di attività e dall’uso di una backdoor già precedentemente attribuita ad avversari legati a Pechino.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence