Truffe e rivendicazioni cybercrime in Italia, le ultime dal conflitto russo-ucraino, nuove operazioni APT dalla Cina

Italia: rivendicazioni ransomware e truffe inedite  

Continuano le rivendicazioni ransomware ai danni di target italiani. Nel dettaglio, Akira Team ha annunciato la compromissione di Bindi S.p.A., azienda leader nella realizzazione di lavori nel campo stradale e produzione di conglomerati bituminosi; LockBit Team di Tutto per l’Ufficio S.r.l., società che si occupa di vendita e assistenza di prodotti per ufficio; INC RANSOM Team di Lemi Group (Brusaferri & C. S.r.l.), realtà che progetta e produce attrezzature e lettini per i settori beauty & spa, medicale e podologico; mentre Lynx Team di Farmo Res S.r.l., organizzazione che opera nel mercato mondiale della termoformatura, producendo macchine automatiche per il confezionamento di prodotti farmaceutici, fiale, flaconi, siringhe, ma anche confezioni per cosmetici ed alimentari. Sempre in ambito cybercrime, sono state tracciate in Italia nuove truffe volte a carpire dati delle carte di pagamento. La prima, un’operazione di phishing a tema pagoPA, notifica al destinatario false sanzioni stradali, sollecitandolo a effettuare il pagamento, cliccando sull’apposito link presente nel testo, entro la fine della giornata per non incorrere in un aumento. Se dato seguito al collegamento, la vittima viene reindirizzata su pagine pagoPA fasulle nella quali inserire informazioni come cognome, nome, indirizzo e-mail, numero di telefono, data di nascita, CAP e dati della carta di credito. La seconda, invece, osservata dalla seconda metà di febbraio 2025 e presumibilmente tuttora attiva, è una campagna malware per Android soprannominata SuperCard X (dall’omonima piattaforma MaaS in lingua cinese), che sfrutta applicazioni apparentemente legittime per sottrarre dati delle carte bancarie tramite tecnologia NFC. In particolare, quest’attività utilizza una nuova tecnica di relay NFC che consente agli avversari di autorizzare in modo fraudolento pagamenti POS (Point-of-Sale) e prelievi ATM (Automated Teller Machine) intercettando e inoltrando le comunicazioni NFC dai dispositivi compromessi. Il malware viene distribuito attraverso tattiche di social engineering, inducendo le vittime a installare un’applicazione malevola e a compiere successivamente azioni che portano alla compromissione dei dati delle loro carte di pagamento. 

Ucraina: militari russi presi di mira con uno spyware Android

Ricercatori di sicurezza hanno rilevato una campagna volta alla distribuzione di uno spyware Android, nascosto all’interno di versioni trojanizzate dell’applicazione GPS con mappe topografiche legittima AlpineQuest, ampiamente utilizzata dai militari russi nelle zone di guerra. La minaccia, tracciata come Android.Spy.1292.origin, è stata incorporata in una copia di AlpineQuest veicolata sotto le spoglie di una variante gratuita di AlpineQuest Pro, versione a pagamento dell’app. Nello specifico, gli avversari hanno creato un canale Telegram falso che forniva un link per scaricare l’APK malevolo. Successivamente, la medesima versione dello spyware è stata distribuita tramite questo stesso canale direttamente sotto forma di APK, camuffato da aggiornamento dell’applicazione. Una volta avviato, il malware raccoglie e invia i seguenti dati al server C2: il numero di telefono dell’utente e i suoi account; i contatti dalla rubrica; la data e la geolocalizzazione corrente; informazioni sui file memorizzati sul dispositivo; la versione dell’app. Contemporaneamente, duplica alcuni di questi dati nel bot Telegram degli attaccanti. Inoltre, lo spyware è in grado di monitorare i cambiamenti di posizione in tempo reale, inviare aggiornamenti al bot Telegram e scaricare moduli aggiuntivi – ampliandone quindi le funzionalità – utilizzati per rubare file di interesse. Tra questi figurano in particolare documenti riservati inviati tramite Telegram e WhatsApp e il file di registro relativo alla posizione “locLog”, creato direttamente da AlpineQuest. Sebbene lo spyware non sia stato attribuito a nessun avversario noto, la sua scoperta dimostra che la raccolta di informazioni rimane fondamentale per ottenere un vantaggio sul campo di battaglia. 

APT: nuove attività dei cinesi Mustang Panda, Lotus Blossom e UNC5174

Ricercatori di sicurezza hanno tracciato una nuova attività associata al cinese Mustang Panda, proveniente da due macchine di un’organizzazione presa di mira in Myanmar. Questa scoperta ha portato all’individuazione di tre nuove varianti di TONESHELL e di diversi strumenti precedentemente non documentati. Tra questi figurano: StarProxy, un tool per il movimento laterale; PAKLOG, un keylogger utilizzato per monitorare i tasti digitati e i dati della clipboard, che impiega uno schema di codifica dei caratteri personalizzato per offuscare i dati di registro; CorKLOG, un altro keylogger che utilizza una chiave RC4 lunga 48 caratteri per crittografare il contenuto del file di acquisizione del keylogger; SplatCloak, uno strumento che disabilita i callback di notifica a livello kernel per quattro driver relativi a Windows Defender e per driver Kaspersky. Quanto a Lotus Blossom, tra agosto 2024 e febbraio 2025 l’APT di Pechino ha condotto una campagna contro diverse organizzazioni in un Paese del Sudest asiatico non specificato, utilizzando una nuova variante della backdoor Sagerunex e diversi strumenti custom inediti, tra cui loader, credential stealer (ChromeKatz e CredentialKatz) e un tool reverse SSH. Tra i target presi di mira figurano un ministero governativo, un’organizzazione di controllo del traffico aereo, un operatore Telco e una società di costruzioni. Ad essi si aggiungono anche un’agenzia di stampa con sede in un altro Stato del Sudest asiatico e un’azienda di trasporto aereo con sede in un altro Paese confinante. Da ultimo, il gruppo state-sponsored cinese UNC5174 ha preso di mira i sistemi Linux, utilizzando una combinazione di strumenti malevoli come Sliver, una variante modificata del malware SNOWLIGHT e un nuovo RAT open-source popolare tra i criminali informatici di lingua cinese denominato VShell.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence