Attacchi in Italia, nuove operazioni state-sponsored russe, data breach impatta Coinbase

Italia: nuove offensive colpiscono la penisola

È stata recentemente tracciata in Italia una campagna di smishing che prende di mira clienti di una azienda di telefonia mobile con l’obiettivo di sottrarre dati sensibili e informazioni bancarie. Sfruttando il pretesto della scadenza prossima dei punti fedeltà (Point Service), l’SMS induce la potenziale vittima a cliccare su un link presente nel testo. Una volta aperto quest’ultimo, viene visualizzata una pagina di benvenuto in cui si richiede di inserire un numero telefonico al fine della verifica dei punti. In seguito, viene proposto di riscattare dei premi in cambio di una piccola commissione. Questa ulteriore procedura prevede che l’utente di fornisca i dati personali e i dettagli della carta di credito, necessari per addebitare 1,99 € come costo di spedizione del presunto premio. Infine, viene visualizzata una pagina di caricamento che simula l’elaborazione del pagamento e invita il malcapitato ad autorizzare l’addebito tramite autenticazione a due fattori (2FA) attraverso l’app della propria banca. Parallelamente, è stata rilevata una nuova attività di phishing via e-mail volta alla distribuzione del RAT Adwind in Spagna, Portogallo e Italia. I messaggi riportano in allegato un PDF, denominato Documento.pdf o Fattura.pdf, contenente un link malevolo a presunti servizi di cloud storage (come OneDrive o Dropbox) che, in realtà, porta al download di un file VBS o HTML con codice offuscato, i quali attivano la catena di infezione. Passando al panorama ransomware, un operatore denominato IMN CREW ha rivendicato sul proprio sito dei leak la compromissione di STIGA S.p.A., produttore e distributore di macchine per il giardinaggio.

Sofacy: nuovi dettagli sulle operazioni dell’APT russo

La CISA, insieme a diverse importanti agenzie di Paesi NATO, ha rilasciato un advisory congiunto riguardo una campagna state-sponsored associata al russo Sofacy che, dal 2022, prende di mira entità logistiche e aziende tecnologiche occidentali, incluse quelle coinvolte nel coordinamento, nel trasporto e nella consegna di aiuti all’Ucraina. In particolare, sono state bersagliate decine di aziende di trasporto aereo, marittimo e ferroviario, oltre a organizzazioni dei settori della Difesa, del traffico aereo e dei servizi IT. Durante le operazioni, il gruppo ha sfruttato relazioni di fiducia tra le società per espandere la propria attività e, in alcuni casi, ha svolto ricognizione su imprese coinvolte nella produzione di componenti ICS per la gestione ferroviaria. Nel dettaglio, i Paesi con entità prese di mira includono Italia, Bulgaria, Repubblica Ceca, Francia, Germania, Grecia, Moldavia, Paesi Bassi, Polonia, Romania, Slovacchia, Ucraina e Stati Uniti. È emerso inoltre un collegamento tra queste attività e una vasta operazione di targeting di telecamere IP, soprattutto presso i valichi di frontiera, e contro infrastrutture strategiche in Ucraina e nei Paesi confinanti, finalizzata al tracciamento dei movimenti degli aiuti militari. Gli attacchi alle telecamere sfruttano richieste RTSP con credenziali di default oppure tentativi di brute forcing. L’avversario ha anche utilizzato servizi municipali legittimi, come le telecamere del traffico. Oltre a ciò, sempre a Sofacy è stata attribuita con un livello di confidenza moderato una campagna denominata Operation RoundPress, in corso almeno dal 2023, che sfrutta vulnerabilità di Cross-Site Scripting (XSS) nei server webmail più diffusi, per sottrarre informazioni sensibili da target di alto valore. Il principale vettore di compromissione è costituito da e-mail di spear phishing contenenti payload JavaScript custom denominati SpyPress, con varianti per ogni piattaforma webmail target. Gli obiettivi della campagna sono, anche in questo caso, in gran parte legati alla guerra in Ucraina e comprendono istituzioni governative di Kiev e aziende della Difesa situate in Bulgaria e Romania. Oltre ad essi, sono stati presi di mira anche governi in Africa, Sud America e Unione Europea.

Coinbase: data breach rivela informazioni dei clienti

Alcuni dipendenti della società californiana Coinbase, che lavoravano nell’ambito dell’assistenza clienti al di fuori degli Stati Uniti, sono stati corrotti e reclutati da un gruppo di criminali informatici sconosciuto con lo scopo di raccogliere informazioni interne alla piattaforma di exchange di criptovalute. Nella giornata dell’11 maggio 2025, l’azienda ha ricevuto una comunicazione via e-mail da parte degli avversari nella quale veniva proclamato l’avvenuto furto di informazioni e si richiedevano 20 milioni di dollari per scongiurarne la divulgazione. Gli insider hanno sfruttato il loro accesso ai sistemi interni per appropriarsi dei dati di un gruppo limitato di conti (1% degli utenti che effettuavano transazioni mensili) e per facilitare tentativi di operazioni di social engineering. Utilizzando le informazioni ottenute, gli attaccanti si sono spacciati per rappresentanti di Coinbase e hanno contattato direttamente i clienti convincendoli a trasferire volontariamente le loro criptovalute. Ciononostante, non sarebbero state compromesse credenziali di accesso, codici 2FA, chiavi private o fondi, né sarebbero stati coinvolti accessi a conti Coinbase Prime e a hot o cold wallet di Coinbase o dei clienti. La società ha dato comunicazione dell’emissione del rimborso per i clienti truffati e ha introdotto nuove misure di sicurezza. Inoltre, ha riferito di non aver accettato la richiesta di riscatto degli avversari, ma di aver istituito un fondo di ricompensa, pari alla somma richiesta, per chiunque fornisca informazioni che portino al loro arresto. Infine, è stata intrapresa una collaborazione attiva con le Forze dell’Ordine per l’applicazione di sanzioni più severe. Gli insider sono stati licenziati.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence