Advisory tecnici prodotti dal nostro presidio di Cyber Threat Intelligence: vulnerabilità appena divulgate, campagne di attacco osservate sull'Italia, breach con impatto sulla supply chain. Ogni Report contiene executive summary, indicatori di compromissione (IoC) e runbook operativi per IT & Security — non aggregati di fonti pubbliche, intelligence costruita sull'osservazione diretta.
Compromissione che coinvolge estensioni VS Code malevole. GitHub non ha ancora rilasciato IoC né identificato pubblicamente le estensioni colpite. Raccomandato un inventario completo delle estensioni VS Code sui dispositivi aziendali e l'adozione del controllo enterprise nativo extensions.allowed (VS Code 1.96+), per autorizzare solo publisher ed estensioni approvati. Telemetria Fortgale sotto analisi.
Attacco soprannominato Mini Shai-Hulud contro l'ecosistema di pacchetti npm @antv e librerie correlate (es. echarts-for-react). Compromesso l'account di un maintainer, pubblicate versioni malevole con payload per il furto di credenziali: token GitHub, credenziali AWS, chiavi SSH, file kubeconfig e token SaaS, esfiltrati verso t.m-kosche[.]com. Coinvolte 639 versioni di 323 pacchetti. IoC inseriti nel Fortgale Intelligence Feed.
Campagna di SEO Poisoning che sfrutta siti realizzati con intelligenza artificiale dove vengono pubblicizzati presunti tool di utilità basati su AI. Gli eseguibili scaricati compromettono il dispositivo con malware. Esempio di dominio malevolo: kitchen-canvas[.]com. Raccomandata cautela sui download da fonti non verificate e blocco dei domini segnalati.
Zero-day (CVE-2026-0300) sfruttato attivamente nel servizio User-ID Authentication Portal (Captive Portal) di PAN-OS. Permette a un attaccante non autenticato l'esecuzione di codice (RCE) con privilegi root inviando pacchetti di rete malformati. Colpiti solo firewall PA-Series e VM-Series con Captive Portal configurato ed esposto a Internet/reti non fidate; Prisma Access, Cloud NGFW e Panorama non impattati. Update immediato alle versioni patchate e restrizione ACL sulle interfacce di management. IoC nei feed Fortgale.
Campagna attiva in Italia ed Europa che sfrutta autenticazione forzata via protocolli legacy. Le mail trasmettono il Net-NTLMv2 hash a infrastruttura del threat actor anche senza interazione utente — basta la preview automatica del client email.
PackageKit (versioni 1.0.2-1.3.4) contiene una vulnerabilità che permette a un utente locale non privilegiato di installare/rimuovere pacchetti senza autorizzazione, ottenendo accesso root completo. Update a 1.3.5 o patch distro.
Tool open-source per vulnerability scanning in cloud/container/CI-CD compromesso via GitHub Actions. Indicazioni su pinning SHA, rotazione credenziali, monitoring connessioni outbound. IoC inclusi.
Identificati tentativi falliti di accesso a interfacce di management Fortinet esposte direttamente su Internet. Nessun accesso non autorizzato rilevato, ma la superficie d'attacco è alta. Raccomandato isolamento via VPN/rete privata.
Threat actor cinesi hanno sfruttato l'infrastruttura Notepad++ per attacchi mirati tra mag-dic 2025. Update a 8.9.1+, monitoraggio %AppData%\Bluetooth, review log WinGUp.exe. Telemetria Fortgale: nessun cliente compromesso.
CVSS 7.8, già in active exploitation. Validation insufficiente di input in security decision permette a un attaccante non autenticato di bypassare funzioni locali. Office 2016/2019/LTSC 2021/2024 e 365 Apps for Enterprise.
Package malevolo via typosquatting (~85M download/mese del legitimate). 4 versioni pubblicate gen 2026 contengono codice dentro routine polinomiali che scarica payload XMRig in-memory via memfd_create. >1000 download in 1 giorno.
Pubblicate tabelle che facilitano enormemente l'attacco al protocollo. Recupero credenziali da hash con hardware consumer da 600 USD. Disabilitare ovunque, settare 'NTLMv2 only' via Group Policy, monitor Event ID 4624.
Resource Owner Password Credential flow permette di scambiare username+password direttamente per access token, bypassando MFA e Conditional Access. Pericoloso per Microsoft Graph/EWS/SharePoint API. Disabilitare via CA policy.
Sfruttamento di tecniche di authentication coercion in ambienti enterprise con protocolli legacy ancora attivi. Raccomandazioni di hardening Active Directory e telemetria autenticazioni.
Guida operativa di Cyber Security e IT per disabilitare Net-NTLMv1 in Active Directory. Riduzione della barriera tecnica dopo pubblicazione delle rainbow tables Mandiant. Misure di enforcement + monitoring Event ID 4624.
Diverse campagne sfruttano estensioni Chrome/Edge/Firefox/Opera per accedere a sistemi e dati delle vittime. Audit estensioni installate, allow-list centralizzate via GPO/MDM, separazione browser business/personale.
Campagne di reconnaissance attive contro tenant M365 italiani con tecniche di password spraying. Hardening tenant, blocco autenticazioni legacy, monitoring conditional access bypass.
CVE-2025-55182, CVSS 10.0, denominata 'React2Shell'. Permette esecuzione di codice arbitrario remoto su server. Colpisce app React con RSC/Next.js Server Functions ('use server' directive). Patch immediata richiesta.
Threat actor sfruttano dati condivisi inavvertitamente su jsonformatter.org, codebeautify.org, ecc. — credenziali, AWS keys, source code. Compromissioni osservate poche ore dopo la pubblicazione. Block proxy aziendale.
F5 Networks ha annunciato (15 ott 2025) accesso non autorizzato di nation-state actor con esfiltrazione di porzioni source code BIG-IP, documentazione su vulnerabilità in remediation, dati di configurazione di clienti.
CVE-2025-55241 permetteva accesso a qualsiasi tenant M365 enterprise impersonificando qualunque utente, incluso Global Admin. Migrazione da Azure AD Graph (deprecato) a Microsoft Graph, review service principals/OAuth, PIM/JIT.
Campagne attive contro tenant Salesforce con obiettivo dati strategici. Misure: training vishing/social engineering, MFA phishing-resistant, principio least privilege, monitoring API e connected apps di terze parti.
18 pacchetti NPM popolari compromessi (chalk, debug, ansi-styles, color-convert, supports-color, ecc.). Verifica dipendenze interne, build/deployment log, blocco release sospette. Update a versioni sicure.
Tentativo di frode contro filiale Banca Sella nel weekend 23-24 ago 2025: componente fisica (porte sigillate per ritardare ingresso personale) + installazione di KVM-over-IP per controllo remoto di un PC aziendale. Bonifici fraudolenti tutti bloccati.
Campagna malevola che distribuisce backdoor tramite siti di download di finti PDF editor. C2 domain (5b7crp[.]com, 9mdp5f[.]com) inseriti nel Fortgale Intelligence Feed. Verifiche su sistemi monitorati in corso.
Campagne ClickFix in attivo che inducono utenti a eseguire comandi PowerShell malevoli mascherati da verifica anti-bot. IoC: 45.221.64[.]224, pub-dce4815fde8f4b84a55fe31ab7cf28c3[.]r2[.]dev. Già nel Fortgale Intelligence Feed.
Dopo lo smantellamento parziale del gruppo, altri threat actor adottano TTP simili. Hardening: separazione admin hypervisor (vCenter/ESXi) da AD, MFA multi-canale per password reset, monitoring AnyDesk/Teleport, log centralizzato vSphere su SIEM.
Email che simulano comunicazioni Microsoft con tema 'salary amendment' o 'pending payments' contro top-level executive. Redirect a finte pagine login Microsoft create con kit RaccoonO365 — ruba credenziali e session cookie, bypassa MFA.
Phishing mirato a CFO e dirigenti finanziari di aziende europee (banking/insurance/energy). Threat actor usano social engineering avanzato, impersonando società di consulenza prestigiose con offerte di lavoro executive esclusive.
Campagna che distribuisce Lumma Stealer attraverso domini fraudolenti che mimano pagine di download di software legittimo. Variazioni nei nomi (es. prefissi 'v2-'). Block dei domini SEO Poisoning + C2 nel report Fortgale.
Aumento di attività di scanning massivo contro PAN-OS GlobalProtect. Limitare accesso via VPN esterna/IP whitelisting, considerare ZTNA per non esporre portali critici a Internet, audit periodico della superficie esposta.
Campagna sofisticata attribuita al gruppo cinese 'Weaver Ant' che usa la web shell China Chopper. Limitare privilegi service account, ACL traffic web→interno, EDR/XDR per detection web shell, hardening WAF con regole per HTTP request anomali.
Vulnerabilità in Apache Tomcat sfruttata attivamente nel mese di marzo 2025. Patch immediata richiesta su tutte le installazioni Tomcat esposte, monitoraggio request anomale via WAF.
RaaS attivo dal 2021, oltre 300 organizzazioni colpite (sanità, istruzione, legale, manifatturiero). Doppia estorsione, phishing + sfruttamento vulnerabilità, lateral movement con strumenti legittimi. Casi Italia: marittimo, manifatturiero, consulenza.
Campagna di brute force tipo password spraying contro tenant Office 365 italiani. Hardening conditional access, blocco autenticazioni legacy, monitoring account lockout patterns.
Attacchi sofisticati di gruppi russi (Storm-2372, CozyLarch/APT29) contro governi, ONG e aziende. Tecnica 'Device Code Authentication phishing' che inganna le vittime sfruttando flussi di autenticazione legittimi — difficile rilevamento.
Sistema SAP di un'importante azienda retail italiana compromesso. Threat actor mette in vendita su Black Market accesso al sistema con oltre 1M record clienti (nomi, email, telefoni, indirizzi, payment details).
Panorama geopolitico e tensioni multiple hanno influenzato significativamente lo spazio cyber. Threat actor sfruttano cyberspace per obiettivi strategici grazie a neutralità territoriale, anonimato spaziale e capacità di occultamento.
Pubblicati su darkweb dati di oltre 15.000 dispositivi FortiGate (configurazioni, IP, credenziali VPN, chiavi private, regole firewall) di ottobre 2022 — sfruttando CVE-2022-40684. Dati di numerose infrastrutture italiane. Attribuzione: gruppo 'Belsen'.
Phishing contro developer Chrome Web Store ha compromesso almeno 35 estensioni (~2.6M utenti). Catena malevola OAuth tramite finta 'Privacy Policy Extension', bypass MFA. Codice malevolo (worker.js, content.js) per furto Facebook Business accounts.
Nuova campagna Vidar (gen 2025): caselle PEC italiane compromesse, Domain Generation Algorithm + path randomizzati, offuscamento JavaScript con XOR, rotazione IP/domini ogni 2-3 minuti. Difficile detection automatico.
Piattaforma PhaaS sofisticata progettata per bypass 2FA. Template Outlook customizzabili, automazione, infrastruttura modulare con redirect/obfuscation. Subdomain dinamici, AES + Base64 per nascondere payload. Fortgale ha pubblicato firma di threat hunting.
Variante LummApp che abusa OBS Studio per attività di infostealing. Tecniche di mascheramento per evitare detection. IoC nei feed Fortgale.
Campagna massiva di malvertising via fake CAPTCHA pages: 1M ad impressions/giorno da 3000+ siti publisher. Abusa Monetag (PropellerAds) e BeMob per cloaking. Inganna utenti a eseguire PowerShell sotto pretesto di verifica anti-bot.
Vidar colpisce ancora il 17 dic 2024 via PEC italiane compromesse. Email come solleciti di pagamento, link che scarica Fattura.js. 133 domini di secondo livello con percorsi randomizzati. Cambio tempistica: martedì mattina invece del weekend.
Cyberespionage cinese contro aziende europee (giu-lug 2024) sfruttando SQL injection per access iniziale, webshell PHPsert per persistence, abuso di Visual Studio Code Remote Tunnel + eseguibili Microsoft-signed + Azure per C2.
Vulnerabilità logica Windows: applicazioni native eseguite prima dell'inizializzazione completa del SO permettono di rimuovere qualsiasi software EDR/Antivirus bypassando anti-tampering (T1562.001). Fortgale ha pubblicato regole di Threat Hunting specifiche.
Backdoor WARMCOOKIE in espansione, IoC monitorati via Shodan (header hash, html hash specifici). Fortgale tracking attivo, indicatori inseriti nei feed.
Campagna di compromissione FortiGate segnalata da ACN. Malware COATHANGER instaura persistence via reverse shell BusyBox, sopravvive a reboot e firmware update. Sfrutta CVE-2022-42475. Attribuzione: threat actor cinesi.
Resurgence di AgentTesla con loader funzionale, AES encryption avanzata e memory-only execution. Email titolo: 'Vietnam Da Nang Buy Order &C248SH12'. IoC nei Fortgale Intelligence Feed.
Lumma Stealer espande l'infrastruttura con domini nuovi (TLD .shop) per esfiltrazione. Pattern dominio: prefisso 'lum' + random string. Tutti con stesso titolo russo (poesia di Esenin). Fortgale traccia decine di questi domini.
Il 28 nov 2024 il gruppo ransomware 'Argonauts' annuncia compromissione di ZACROS (ex Fujimori Kogyo, JP). Esfiltrati 140GB+ di dati sensibili (utenti, password, business records, dati produzione, financial). Vendita attiva dei dati.
Campagna identificata fine ott 2024 contro telco e finanza. Google Docs per delivery del phishing link → fake login pages su Weebly. Sentry.io e Datadog per metriche. Lure AT&T tematizzate, banking US/CA. Fake MFA prompt.
Mysterious Elephant (APT-K-47) usa CHM file per eseguire payload di Asyncshell (v4). Base64 variant per string hiding, C2 disguised, log ridotti. Targeting: Pakistan, Bangladesh, Turchia con decoy gov/religious.
JinxLoader (Go-based, distribuito via phishing) evoluto in Astolfo Loader (C++, performance migliorata, file più piccolo). MaaS, anti-analisi e geolocation check prima del C2. Diffusione su Hack Forums.
Threat actor russo TAG-110 estende la sua attività cyber contro target europei. Tracking Fortgale attivo.
Il 20 nov 2024 IncRansomware annuncia compromissione di PBS Aerospace (Atlanta, USA — turbine per UAV/drone, EASA-certified). Esfiltrazione dichiarata 2TB con CAD files, documenti interni. Gruppo INC Ransom attivo da ago 2023, ~200 vittime.
Campagna identificata da CERT-AGID che sfrutta GitHub Pages per ospitare false pagine login (WeTransfer, cPanel). Credenziali rubate inviate via API Telegram a bot controllato dagli attaccanti. Spoofing visivo + abuse domain legittimo.
Campagna smishing che impersona INPS in Italia: SMS con link fraudolenti che richiedono aggiornamento dati personali pena sospensione benefici. Furto: documento d'identità (fronte/retro), selfie con documento. Tracking IoC nei feed Fortgale.
Vidar usa 100+ domini distinti per ~1000 sottodomini per distribuire VBS files. PowerShell loader, attivazione URL ritardata (lunedì mattina). 11 IP C2 identificati con pivoting Fortgale.
Threat actor cinese BrazenBamboo sfrutta zero-day in FortiClient Windows VPN tramite DEEPDATA per estrarre credenziali VPN dalla memoria del processo. Multi-platform: WeChat/Skype/Telegram/Signal, browser data, Outlook contacts.
Infostealer .NET che bypassa App-Bound Encryption di Chrome via IElevator. Target: browser, crypto wallet, 2FA authenticator, password manager, email client. Distribuzione: phishing con HTML 'ClickFix'. C2: master.hdsjfkgsadoghdsiougds[.]space, master.volt-texs[.]online.
Threat actor usano fake Google Meet pages nella campagna ClickFix. Win → StealC + Rhadamanthys. Mac → Atomic stealer. Espansione a impersonate Facebook, Chrome, reCAPTCHA. Gruppi: Slavic Nation Empire, Scamquerteo. Migliaia di domini tracciati Fortgale.
PAN-SA-2024-0015: vulnerabilità RCE non autenticata in interfacce di management Palo Alto NGFW esposte a Internet (CVSS 4.0: 9.3). Già exploitata in attacchi reali. Non colpisce Prisma Access/Cloud NGFW. Isolare interface da Internet.
Phishing cinese SilkSpecter contro e-commerce shopper Black Friday 2024 (US/EU). Abuso di Stripe API per transazioni reali con esfiltrazione CHD/SAD. Localizzazione dinamica via Google Translate. 4000+ domini, 89 IP. SaaS oemapps cinese.
Threat actor russo UAC-0194 sfrutta zero-day NTLM (CVSS 6.5) per furto NTLMv2 hash con interazione minima (right-click, drag). Phishing email da gov ucraino compromesso → ZIP con .url malevolo → Spark RAT (open-source, persistence). Patch Microsoft disponibile.
TA455/Charming Kitten (APT35) lancia 'Dream Job' contro settori aerospace/defence con malware SnailResin via LinkedIn message + spear-phishing email. Lure: finte offerte di lavoro per ottenere accesso, esfiltrare dati e remote control.
Phishing contro utenti italiani di DocuSign: email con allegato HTML che apre finta pagina login. JavaScript intercetta credenziali e le invia via API Telegram bot. Pattern semplice ma efficace, bypassa molti filtri email.
Email italiane con titoli 'Ultimo sollecito per il pagamento di fattura scaduta' e archivio 7Z con VBS che decodifica payload Base64 → loader .NET con TripleDES (mascherato come AES) → Formbook. Funzioni: keylog, clipboard, screenshot, credential.
Vidar continua a sfruttare PEC italiane compromesse, passa da JavaScript a VBS payload per evadere detection. URL aggiornati per estendere durata campagna. Adattamento continuo agli sistemi difensivi.
Operazione (origine russa, ago 2024+) che usa Teams, SharePoint, Quick Assist e OneDrive come C2. Java .jar non offuscato bypassa EDR e VirusTotal. Microsoft Graph API per gestire ODC2 via file su OneDrive nominati per UUID device. US critical infrastructure.
Nuovo Android banking trojan (ott 2024) targeting Italia (>50%), Portogallo, Spagna + LATAM. RAT che sfrutta Android Accessibility per ODF, intercetta OTP, bypassa 2FA PSD2. C2: dksu.top, mixcom.one, freebasic.cn. Threat actor cinesi.
5 nov 2024 nuovo data breach annunciato su Telegram contro SIAED.it (BPR italiano). Già vittima di RansomHub (mag 2024) con 1.6TB esfiltrati. Possibili impatti su clienti SIAED nei settori finance/PA. Threat actor non affiliato a RansomHub.
Analisi Fortgale su 12.000 configurazioni Cobalt Strike trackate, 52.000+ indicatori. 126 IP unici associati a BlackBasta. Resurgence fine settembre/inizio ottobre. Italia colpita (manifatturiero, finanza). Dominio Eastern Europe.
Alexander 'Connor' Moucka arrestato in Canada (30 ott 2024) per breach Snowflake. UNC5537 ha colpito 165+ org via credential reuse da infostealer (credenziali dal 2020). Vittime: AT&T, Santander, Ticketmaster. Estorsione + vendita su forum.
31 ott 2024 RAWorld colpisce Bullonerie Galvit (retail distribution, Italia). Multi-stage attack: server vulnerabili → loader PowerShell → privilege escalation via GPO → encryption + double extortion. Anti-detection via Safe Mode, lateral movement Impacket.
Vulnerabilità critica nel prodotto Fortinet FortiManager attivamente sfruttata. Patch immediata richiesta su tutte le installazioni FortiManager.
23 ott 2024 BlackSuit annuncia compromissione di Aerotecnic (Siviglia, ES — aerospace, fornitore Airbus/Boeing/Aciturri/Aernnova/Embraer). Esfiltrazione dichiarata 800GB+ (utenti, business records, employee, dati produzione, financial).
Vulnerabilità critica RCE non autenticata in Veeam VBR (build ≤12.1.2.172). Sfruttata via /trigger su porta 8000 per creare admin rogue, deploy Fog/Akira ransomware. Permette accesso completo a backup environment. Patched set 2024.
Indagini sul caso Ministero della Giustizia rivelano due account Noovle (TIM Group) tra quelli compromessi dal threat actor. Possibile sfruttamento per lateral movement nelle infrastrutture aziendali collegate.
CISA aggiunge a KEV. Vulnerabilità Fortinet (FortiOS, FortiPAM, FortiProxy, FortiWeb) permette RCE non autenticato via richieste appositamente costruite. Patch immediata richiesta.
Il 10 ott 2024 threat actor mette in vendita su forum darkweb database con 450.000 record di clienti di banca italiana non identificata: nomi, email, telefoni, indirizzi, importi investimento. Rischio phishing mirato, frodi, furto identità.
Settembre 2024: campagna mirata contro shipping/logistica marittima. Threat actor usano account email compromessi di società shipping legittime per iniettare contenuto malevolo in conversazioni email in corso. Difficile riconoscimento.
Campagna cyberespionage iraniana (Charming Kitten) contro settore aerospace europeo via WhatsApp + email mirate con offerte di lavoro fasulle (Dream Job pattern).
Nuova infrastruttura phishing che prende di mira aziende italiane finance/insurance via Supercar Phishing Kit per Microsoft 365. Report originale Fortgale: blog.fortgale.com.
Advisory di Intelligence per aziende europee del settore aerospace/satelliti sulla mitigazione di nuove minacce informatiche mirate.
Dopo l'incidente BSOD CrowdStrike, aumento significativo di domini nuovi registrati contenenti il termine 'CrowdStrike'. Rischi di phishing/impersonation. Block raccomandato per prevenire abuse del marchio.
Nuova vulnerabilità zero-click RCE in Microsoft Outlook. Sfruttabile senza interazione utente. Rischio severo: data breach, accesso non autorizzato — particolarmente critico per email da mittenti trusted.
Nessun Report in questa categoria.
I Report contengono IoC operativi, dettagli di exploitation e — quando applicabile — riferimenti a clienti coinvolti o a threat hunting in corso. Li condividiamo con professionisti IT & Security sotto NDA reciproco, con riscontro entro 1 giorno lavorativo. Niente funnel, niente paywall.
Per ricevere ogni Report in tempo reale (entro 30-60 minuti dalla pubblicazione interna) direttamente sul tuo SIEM/SOAR, parla con noi del Feed di Intelligence.
Report, IoC, threat hunting query consegnati al tuo SOC nel momento in cui un nuovo attaccante è osservato. Setup in 14 giorni · NDA reciproco.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.
