Gli attacchi informatici in Italia continuano a crescere e si inseriscono in un quadro globale sempre più complesso.

Le minacce informatiche, infatti, non hanno dato tregua la scorsa settimana: i gruppi criminali stanno affinando tattiche e strumenti. I ricercatori hanno individuato malware nascosti all’interno di macchine virtuali. Hanno scoperto anche tecniche side-channel capaci di estrarre contenuti delle conversazioni con modelli AI nonostante la cifratura, oltre a spyware Android diffusi tramite vulnerabilità zero-day. E questo rappresenta solo una parte dello scenario. Dalle logic bomb progettate per attivarsi dopo anni, alle nuove alleanze tra gruppi ad alta visibilità, emerge un trend chiaro: il cybercrime evolve rapidamente, combinando competenze tecniche avanzate e organizzazione efficiente. Ogni notizia in questo riepilogo riguarda rischi concreti da conoscere subito.

In primo piano

Nel primo semestre 2025 sono stati registrati 2.755 attacchi gravi a livello globale, in aumento del 36% rispetto alla seconda metà del 2024. Di questi, oltre il 10% ha colpito l’Italia, una percentuale sproporzionata rispetto alle dimensioni economiche del Paese e indicativa della nostra vulnerabilità strutturale. Si tratta di uno dei dati più elevati sugli attacchi informatici in Italia degli ultimi anni.

Dopo i 357 incidenti gravi registrati nel 2024, nei primi sei mesi del 2025 il numero è già salito a 280, con una netta prevalenza di campagne di hacktivism (54%) rispetto alle attività riconducibili al cybercrime tradizionale (46%). Il settore manifatturiero rimane tra i più esposti: nel 2025 ha già totalizzato il 90% degli incidenti censiti nell’intero 2024. Le tecniche più diffuse includono ransomware, sfruttamento di vulnerabilità note e attacchi DDoS utilizzati per bloccare impianti o ottenere leva per estorsioni.

Molte PMI operano ancora con reti poco segmentate, sistemi OT non aggiornati e difese perimetrali obsolete, condizioni che facilitano la compromissione e amplificano l’impatto degli attacchi. Le conseguenze non sono solo economiche ma riguardano anche servizi essenziali e patrimonio digitale, come dimostrato dagli incidenti che negli ultimi anni hanno coinvolto regioni, enti pubblici e istituzioni culturali.

L’adozione della direttiva NIS2 rappresenta un’opportunità per rafforzare governance e controlli, ma richiede investimenti, formazione e un cambiamento culturale che in molte realtà è ancora lontano.

Gli attacchi informatici in Italia mostrano ancora una frequenza superiore alla media europea.

Caso della settimana

Il gruppo filorusso Curly COMrades ha adottato una tecnica avanzata che sfrutta Microsoft Hyper-V per nascondere una macchina virtuale Alpine Linux all’interno di sistemi Windows compromessi. L’obiettivo è eseguire il malware all’interno della VM, isolandolo completamente dal sistema operativo principale e sfuggendo così agli strumenti di sicurezza installati sull’host.

La campagna, attiva almeno da luglio 2025, distribuisce i payload CurlyShell e CurlyCat.
Le attività ricostruite dai ricercatori mostrano una procedura articolata e mirata all’evasione dei controlli:

• abilitazione di Hyper-V tramite lo strumento DISM, disattivando contemporaneamente la console grafica Hyper-V Manager per ridurre la visibilità dell’operazione;
• scaricamento di un archivio RAR mascherato da file MP4, contenente una macchina virtuale Alpine Linux già pronta all’uso (file VHDX e VMCX);
• importazione e avvio della VM attraverso i cmdlet PowerShell Import-VM e Start-VM, assegnandole il nome “WSL” per farla sembrare parte del Windows Subsystem for Linux;
• configurazione del traffico di rete della VM tramite il Default Switch, così che tutte le comunicazioni in uscita appaiano come provenienti dall’indirizzo IP legittimo dell’host Windows.

Questa tecnica sfrutta in modo efficace la virtualizzazione come “zona cieca”: gli strumenti EDR/XDR vedono solo il sistema operativo principale e non ciò che accade all’interno della VM nascosta.
Secondo Bitdefender, questo approccio conferma una tendenza più ampia. I gruppi criminali usano sistemi di isolamento e infrastrutture virtualizzate per aggirare il rilevamento, soprattutto negli ambienti in cui gli endpoint tradizionali sono molto protetti.

Altre minacce in evidenza

Le seguenti minacce aiutano a comprendere il contesto in cui si inseriscono molti attacchi informatici in Italia.

• Whisper Leak: un attacco side-channel che analizza il traffico cifrato – Microsoft ha descritto una tecnica che permette di capire gli argomenti delle chat con modelli AI analizzando forma, dimensione e tempi dei pacchetti di rete, anche quando cifrati. L’attacco, chiamato Whisper Leak, ha mostrato un’accuratezza superiore al 98% su modelli come Alibaba, DeepSeek, Mistral, Microsoft, OpenAI e xAI. Le aziende coinvolte hanno già applicato mitigazioni, ma la tecnica dimostra che la crittografia non elimina del tutto il rischio di analisi comportamentale.
• LANDFALL: spyware Android installato tramite una vulnerabilità zero-day Samsung – una falla nei dispositivi Samsung Galaxy è stata sfruttata per distribuire lo spyware LANDFALL in attacchi mirati in Iraq, Iran, Turchia e Marocco. Una volta attivo, LANDFALL può raccogliere audio, posizione, foto, SMS, contatti e file. Samsung ha risolto il problema con una patch.
• Logic bomb nei pacchetti NuGet programmati per attivarsi anni dopo – sono stati individuati nove pacchetti NuGet pubblicati tra 2023 e 2024 con codice malevolo progettato per attivarsi nel 2027 o 2028. L’autore aveva inserito istruzioni in grado di sabotare servizi e sistemi industriali in date future. Il rischio principale riguarda supply chain e ambienti di sviluppo che usano librerie di terze parti senza controlli e open source.
• Vulnerabilità in Microsoft Teams permettevano manipolazioni e impersonificazioni – Check Point ha scoperto quattro falle, ora risolte. Consentivano di modificare i messaggi senza mostrare la dicitura “Modificato”, alterare notifiche per farle sembrare provenienti da colleghi e falsificare l’identità dei partecipanti alle chiamate. Le vulnerabilità avrebbero potuto facilitare social engineering.
• SLH: alleanza tra Scattered Spider, LAPSUS$ e ShinyHunters – è nato Scattered LAPSUS$ Hunters (SLH), un gruppo che riunisce tre collettivi criminali tra i più noti. L’alleanza utilizza molti canali Telegram, offre estorsione “as-a-service” e sta testando un nuovo ransomware chiamato Sh1nySp1d3r.

Come capire se sei esposto

Molte tecniche viste questa settimana sono già state usate in attacchi informatici in Italia.

Capire se un ambiente aziendale presenta condizioni favorevoli a un attacco non è immediato, ma alcuni segnali permettono di valutare rapidamente il livello di esposizione. Di seguito sono raccolti i controlli più utili per verificare se le tecniche osservate questa settimana potrebbero rappresentare un rischio concreto per la tua organizzazione.

• Hyper-V, WSL o altre funzionalità di virtualizzazione attive su sistemi dove non dovrebbero esserlo, con la comparsa di macchine virtuali o componenti non previsti.
• Log di sistema che mostrano esecuzioni inattese di PowerShell, DISM o Import-VM, spesso utilizzati impropriamente per l’installazione di VM nascoste.
• Traffico cifrato verso servizi AI esterni che presenta volumi, tempi o frequenze anomale rispetto alle attività abituali degli utenti.
• Accessi aziendali provenienti da reti Wi-Fi non controllate o ambienti condivisi.
• Smartphone Samsung Galaxy non aggiornati alle patch 2025 o terminali senza gestione MDM (Mobile Device Management).
• Utilizzo di pacchetti NuGet o altre dipendenze software provenienti da autori non verificati.
• Plugin e componenti web obsoleti, non più aggiornati o incompatibili con la versione attuale del CMS.
• Assenza di autenticazione a più fattori su servizi critici come RDP, posta e applicazioni interne.
• Apertura o installazione di file compressi, video o installer provenienti da fonti non verificate.
• Account amministrativi non necessari o privilegi concessi in deroga e mai più rivisti.

Monitorare questi aspetti consente di individuare in anticipo molte situazioni che possono trasformarsi in incidenti reali. Una buona parte delle compromissioni nasce da elementi ordinari: funzioni attive senza necessità, aggiornamenti non gestiti correttamente, software introdotto senza verifica o privilegi non gestiti e documentati. Rafforzare la visibilità su questi punti riduce la superficie di attacco e aumenta la resilienza operativa.
Security Architect affianca aziende e PMI proprio in questo: definire controlli chiari, verificare l’integrità degli ambienti e mantenere livelli di sicurezza coerenti con le minacce attuali e la legislazione.

Rassegna lampo

RDP violati per distribuire il ransomware Cephalus

Cephalus è un nuovo ransomware che entra nei sistemi sfruttando account RDP privi di autenticazione a due fattori: basta una password rubata perché i criminali si connettano da remoto come se fossero l’utente legittimo. Una volta dentro, il malware disattiva Windows Defender, cancella i backup del sistema e blocca servizi come Veeam e MSSQL per impedire qualsiasi recupero dei dati. La cifratura avviene con una chiave AES nascosta sia sul disco sia in memoria e poi protetta da una chiave RSA, così solo i criminali possono decifrarla. Per confondere l’analisi, Cephalus genera anche una chiave finta. Non è ancora chiaro se venga usato da un singolo gruppo o se sia offerto come servizio ad altri criminali (RaaS). Questo vettore è già stato osservato anche in attacchi informatici in Italia.

WhatsApp prepara nuove protezioni per gli utenti più esposti

WhatsApp introdurrà un set aggiuntivo di funzioni di sicurezza pensate per gli utenti con rischio più elevato di attacchi. La modalità, simile alla Lockdown Mode di Apple, blocca media e allegati da mittenti sconosciuti, applica restrizioni a chiamate e messaggi, silenzia automaticamente numeri non riconosciuti, limita gli inviti ai gruppi ai soli contatti conosciuti, disattiva le anteprime dei link, avvisa l’utente quando cambiano i codici di cifratura end-to-end e incentiva l’attivazione della verifica in due passaggi. Include anche limiti più rigidi sulla visibilità delle informazioni personali a chi non è in rubrica.

Aurologic identificata come nodo centrale di infrastrutture malevole

Il provider tedesco Aurologic GmbH è stato individuato come un punto chiave nella rete globale di hosting utilizzata da gruppi ad alto rischio. L’azienda fornisce servizi di data center e transito upstream a numerosi criminali e gruppi criminali, tra cui la rete di disinformazione Doppelgänger, il gruppo Aeza recentemente sanzionato, e società collegate alla diffusione di malware come AsyncRAT, njRAT, Quasar RAT, CastleLoader, Cobalt Strike, Sliver e Remcos. Tra queste figurano Metaspinner net GmbH, Femo IT Solutions Limited, Global-Data System IT Corporation e Railnet. Fondata nel 2023, Aurologic opera anche come provider legittimo, ma Recorded Future l’ha definita un “hub” per alcune delle infrastrutture pericolose.

L’Australia impone sanzioni ai gruppi cyber nordcoreani

Il governo australiano ha applicato sanzioni economiche e divieti di viaggio contro quattro gruppi e un individuo ritenuti parte dell’apparato cyber nordcoreano: Park Jin Hyok, Kimsuky, Lazarus Group, Andariel e Chosun Expo. Secondo il Ministero degli Esteri, queste entità conducono attività criminali (tra cui furti di criptovalute, spionaggio, truffe IT e violazioni mirate) per finanziare i programmi di armamento nucleare e missilistico di Pyongyang.

Il Regno Unito interviene contro la falsificazione dei numeri telefonici

Gli operatori mobili britannici stanno aggiornando le loro reti per impedire ai call center stranieri di spoofare numeri telefonici UK. D’ora in poi le chiamate provenienti dall’estero verranno chiaramente indicate agli utenti, riducendo la possibilità di impersonificare numeri locali affidabili. Le aziende introdurranno inoltre una nuova tecnologia avanzata di tracciamento delle chiamate che consentirà alle forze dell’ordine di identificare e smantellare le operazioni criminali.

Grave vulnerabilità in Advanced Installer: rischio supply-chain internazionale

È stata identificata una vulnerabilità nella versione 22.7 di Advanced Installer, uno strumento usato per creare installer Windows. La falla permette di dirottare il sistema di aggiornamento delle applicazioni ed eseguire codice malevolo se i pacchetti di aggiornamento non sono firmati digitalmente. In molti casi, per prassi, questi pacchetti non vengono firmati. Advanced Installer è utilizzato in oltre 60 Paesi per realizzare installer che vanno da semplici applicazioni interne a sistemi critici. La vulnerabilità apre la strada a scenari di Bring Your Own Updates, nei quali un aggiornamento compromesso potrebbe distribuire malware firmato e di fatto considerato affidabile.

Microsoft Authenticator bloccherà credenziali su dispositivi jailbreakati

A partire da febbraio 2026, Microsoft introdurrà il rilevamento di jailbreak e root nell’app Authenticator per le credenziali Microsoft Entra. Le credenziali non funzioneranno più su dispositivi modificati e quelle già presenti verranno automaticamente cancellate per motivi di sicurezza. La modifica interesserà sia dispositivi Android che iOS.

Vulnerabilità in SimpleHelp RMM sfruttate per distribuire ransomware

Gruppi criminali stanno sfruttando tre vulnerabilità note (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) nella piattaforma SimpleHelp RMM per ottenere controllo completo sui server RMM gestiti dai fornitori IT. Una volta compromesso il server gli aggressori possono disattivare le difese, condurre ricognizione, esfiltrare dati tramite strumenti come RClone e Restic e infine distribuire ransomware come Medusa e DragonForce.

Cambogia: oltre 650 persone arrestate in due compound dedicati alle truffe digitali

Il governo cambogiano ha smantellato due grandi strutture criminali nella città di Bavet, arrestando più di 650 sospetti, per lo più stranieri. Il primo compound era dedicato a truffe basate sull’impersonificazione di enti governativi. Il secondo gestiva schemi di investimento falsi, piattaforme bancarie contraffatte, romance scam, registrazioni fasulle di eventi sportivi e l’uso di video e immagini deepfake per generare identità false e ingannare le vittime.

Cinque anni di carcere al co-fondatore di Samourai Wallet

Keonne Rodriguez, co-fondatore e CEO del servizio di mixing Samourai Wallet, è stato condannato a cinque anni di carcere. Il servizio, chiuso nell’aprile 2024, è stato utilizzato per riciclare oltre 237 milioni di dollari in criptovalute provenienti da hack, frodi online e vendita di dati. Il CTO William Lonergan Hill sarà giudicato entro fine mese. Entrambi hanno ammesso le accuse di riciclaggio di denaro.

Hacker russo si dichiara colpevole per gli attacchi collegati al ransomware Yanluowang

Il cittadino russo Aleksei Olegovich Volkov, noto online come chubaka.kor, ha ammesso di aver violato diverse aziende statunitensi tra il 2021 e il 2023 e di aver venduto l’accesso alle reti compromesse a gruppi ransomware. Durante quel periodo almeno sette aziende sono state attaccate; due di queste hanno pagato complessivamente 1,5 milioni di dollari in riscatti. Volkov è stato arrestato a Roma nel gennaio 2024 ed estradato negli Stati Uniti.

Bot AI malevoli che si fingono agenti legittimi

Gruppi criminali stanno sviluppando bot che imitano gli agenti AI ufficiali di Google, OpenAI, Grok e Anthropic. Spoofando lo user-agent e usando proxy residenziali o IP falsificati, questi bot possono essere classificati come “bot affidabili” dai sistemi di controllo, ottenendo privilegi più ampi e aprendo la strada ad attacchi di larga scala come account takeover e frodi finanziarie.

Falsi installer imitano software legittimi e installano backdoor TamperedChef/BaoLoader

Nuove campagne di theftware distribuiscono installer contraffatti che imitano strumenti di produttività (reali) per indurre gli utenti a installarli. Questi pacchetti, probabilmente generati tramite EvilAI, installano malware come TamperedChef/BaoLoader, dotato di backdoor completa: esecuzione di comandi, upload/download di file, esfiltrazione di dati, furto di segreti DPAPI e installazione di ulteriori componenti. Il malware crea anche persistenza tramite chiavi di registro ASEP e file LNK di avvio automatico.

Questi episodi mostrano come gli attacchi informatici in Italia si inseriscano in un panorama globale in rapido cambiamento.