Top News, threat, breach, vulnerability - Newsletter giugno

TOP NEWS

Quella che è stata ribattezzata la «Guerra dei 12 giorni” fra Israele ed Iran ha segnato un punto di non ritorno nel tragico processo di trasformazione degli equilibri che è in corso in Medio Oriente. “Operazione Diluvio”, l’attacco che Hamas ha sferrato contro Israele il 7 ottobre 2023, ha indotto Tel Aviv a progettare una reazione ad ampio raggio e di lunga durata la cui realizzazione sta attraversando più fasi e sta approfittando di una serie di trasformazioni geopolitiche: dalla caduta del regime siriano, che ha lasciato incustodita una fascia territoriale di rilevanza tattica, all’indebolimento del Governo iraniano, dovuto all’arretramento momentaneo della Russia – impegnata sul fronte ucraino – e alla pressione degli oppositori interni e di quelli della diaspora, fra i quali il gruppo dei Mojahedin-e Khalq, di stanza in Albania.

“Operation Rising Lion”, lanciata da Israele il 13 giugno 2025, ha rappresentato l’intervento militare più significativo sul territorio iraniano dalla guerra Iran-Iraq degli anni Ottanta. Israele, passando dal consueto approccio di deterrenza ad un’azione proattiva su larga scala, ha sferrato un’offensiva multidominio articolata in attività di intelligence, operazioni di sabotaggio e raid aerei. Obiettivo dichiarato è stato ritardare significativamente o impedire definitivamente l’acquisizione di capacità nucleari militari da parte dell’Iran. Ma fra gli effetti complessivi vi sono stati anche la compromissione dell’apparato militare nemico e l'eliminazione di alcune fra le sue figure chiave. L’escalation del conflitto è culminata il 22 giugno con l’operazione americana “Midnight Hammer” che ha mirato a danneggiare gli impianti nucleari di Teheran.

Se in «Operation Rising Lion» il comparto cyber è stato sollecitato su entrambi i fronti perlopiù da operazioni hacktiviste, come attacchi DDoS e hack-and-leak, e da tentativi di PsyOps e InfoOps sulla popolazione civile, «Midnight Hammer» avrebbe basato la propria efficacia proprio sulle risorse cibernetiche ed elettroniche delle Forze militari USA. Secondo descrizioni che sarebbero state fornite da alti graduati coinvolti nell’operazione, la riuscita dell’offensiva cinetica è stata determinata dall’intervento integrato di tutte le Forze statunitensi e si è fondata su una stretta sincronizzazione fra Aeronautica Militare, Marina Militare, Corpo dei Marines, Space Force e le unità cyber e digitali, operata da un centro di comando e controllo che includeva Casa Bianca e United States Central Command (CENTCOM).

La tempistica degli attacchi informatici è stata gestita in modo che coincidesse con quelli cinetici. Le unità di cyber warfare e i team di guerra elettronica, in particolare, avrebbero svolto un ruolo fondamentale nel paralizzare la capacità di risposta dell’Iran grazie a massicci attacchi su tutto lo spettro elettronico, che avrebbero causato pesanti interferenze a radio, GPS e reti cellulari. Il Cyber Command degli Stati Uniti e gli operatori della NSA avrebbero bloccato il ciclo decisionale iraniano durante la fase critica dell’attacco militare interrompendo le comunicazioni e i sistemi di comando e controllo grazie alla distribuzione di malware o al lancio di attacchi contro le reti di difesa aerea e i sistemi di allerta precoce iraniani.

A distanza di pochi giorni, Predatory Sparrow, gruppo cyber vicino a Israele, ha inferto un duro colpo al sistema finanziario di Teheran, interrompendo l’operatività di Bank Sepah, legata ai pasdaran iraniani, e distruggendo circa $90 milioni in criptovalute dell'exchange Nobitex, che sarebbe stato utilizzato per aggirare le sanzioni e finanziare il progetto nucleare. Fra le reazioni delle forze cyber iraniane si segnalano attacchi wiper contro l’Albania. Le agenzie di intelligence americane e altri esperti di cyber threat intelligence non escludono, a breve/medio termine, ritorsioni di Teheran sulle infrastrutture energetiche e logistiche israeliane e americane.

THREAT

Il collettivo hacktivista filorusso NoName057(16) ha rivendicato numerose offensive DDoS contro realtà in Italia. L’operazione – condotta anche in associazione con altri avversari, fra i quali il filopalestinese Dark Storm Team – ha sfruttato l'hashtag #Op_Italy e ha impattato ministeri, municipalità, consigli regionali, i Carabinieri, operatori dei trasporti, telco, provider tecnologici e aziende di altri settori.

L'APT russo Sofacy è stato accusato dalle intelligence dei Paesi NATO di aver colpito operatori della logistica e aziende IT in Europa (Italia compresa), impegnati nel supporto all’Ucraina.

XWorm e il Malware-as-a-Service Katz Stealer sono stati distribuiti da una campagna di malspam che sfrutta uno spazio di archiviazione dedicato di una casella legata a un noto provider di posta elettronica italiano.

Ricercatori di sicurezza hanno tracciato una sofisticata evoluzione del trojan bancario per Android GodFather che sfrutta un’avanzata tecnica di virtualizzazione on-device per dirottare le operazioni di diverse applicazioni legittime. La minaccia colpisce le app dei principali istituti finanziari in Nord America, Francia, Germania, Italia, Spagna e Turchia.

Un gruppo motivato finanziariamente, individuato dagli analisti con la sigla UNC6040, è il responsabile di una campagna che ha compromesso – tramite vishing o credential harvesting – istanze aziendali dell’app Salesforce per sottrarre dati ed effettuare operazioni a fini estorsivi. L’avversario ha dichiarato di appartenere al collettivo ShinyHunters. Inoltre, gli analisti lo hanno associato all’ecosistema criminale The Com, al quale sarebbero riconducibili anche i gruppi PoisonSeed e Scattered Spider.

BREACH

La società di noleggio auto Arval - inserita nella linea di business Commercial, Personal Banking & Services di BNP Paribas - avrebbe informato privatamente i propri clienti in merito a un presunto data breach dovuto a un incidente occorso a un fornitore terzo. L’avversario avrebbe sfruttato una vulnerabilità di sistema per accedere alla rete target e, successivamente, avrebbe fatto trapelare nell’underground fatture indirizzate a clienti Arval contenenti dati identificativi, di contatto e bancari.

VULNERABILITY

Google ha corretto in Chrome Desktop la 0-day CVE-2025-5419 che impatta la componente V8. La scoperta della falla è di Clément Lecigne e Benoît Sevens del Threat Analysis Group (TAG) di Google, team che in passato ha scoperto numerosi exploit 0-day sfruttati da avversari state-sponsored. La 0-day CVE-2025-27832 di Chrome, sanata a marzo, è stata usata più volte dal gruppo TaxOff/Team46 per spiare anche agenzie governative russe.

Una vecchia falla di RoundCube Webmail (CVE-2024-42009) è stata sfruttata dall’APT bielorusso Ghostwriter contro entità polacche per rubare credenziali di posta elettronica.

Microsoft ha sanato la vulnerabilità 0-day CVE-2025-33053 (RCE) di Windows, sfruttata dall’APT emiratino Stealth Falcon in una campagna di spionaggio contro un’azienda della Difesa in Turchia.

Per maggiori informazioni: https://caioc.eu/