Il gruppo cinese di criminalità informatica TA4922 espande le campagne di criminalità informatica in Europa

Un gruppo di criminali informatici di lingua cinese ha esteso le sue operazioni in Europa, utilizzando malware precedentemente non documentato e la backdoor Atlas in attacchi a scopo finanziario.

Rintracciato come TA4922, il gruppo ha storicamente preso di mira le organizzazioni dell'Asia orientale, ma le recenti campagne si sono concentrate su Germania, Italia, Regno Unito e Sudafrica. Secondo Proofpoint, l'attore delle minacce utilizza esche di phishing altamente localizzate, tra cui avvisi di pagamento di stipendi, verifiche fiscali, depositi IVA, fatture, messaggi di conformità e comunicazioni HR, avvicinando le vittime anche attraverso WhatsApp, LINE e Microsoft Teams.

I ricercatori affermano che TA4922 ha aumentato notevolmente la sua attività da marzo, mostrando un ritmo elevato e una serie variegata di obiettivi. Il suo kit di strumenti comprende ora Atlas RAT, RomulusLoader, SilentRunLoader e ValleyRAT, e alcuni indicatori suggeriscono che i modelli linguistici di grandi dimensioni potrebbero contribuire ad accelerare lo sviluppo del malware.

Sebbene TA4922 appaia motivato finanziariamente, il suo malware possiede anche capacità di sorveglianza che potrebbero essere utilizzate o vendute a gruppi di spionaggio.

Il Regno Unito lancia una nuova strategia di cybersicurezza energetica

Il governo britannico ha pubblicato una nuova strategia di cybersicurezza per il settore energetico, avvertendo che il passaggio a un sistema energetico più digitale, connesso e pulito sta creando nuovi rischi per le infrastrutture critiche nazionali.

Pubblicata dal Dipartimento per la sicurezza energetica e Net Zero, la strategia stabilisce misure per rafforzare la resilienza delle reti elettriche e del gas della Gran Bretagna, delle catene di approvvigionamento e delle tecnologie energetiche emergenti. Uno dei punti principali è il rischio di terzi: il governo intende sviluppare principi di sicurezza della catena di approvvigionamento entro la fine del 2026 e migliorare la capacità di valutare le catene di approvvigionamento del settore energetico entro il 2027.

La strategia segnala anche aspettative più severe per gli operatori, tra cui una revisione delle soglie normative NIS e potenziali requisiti di base di cybersecurity per i fornitori di energia autorizzati. Il DESNZ prevede inoltre di eseguire un'esercitazione informatica intersettoriale entro la fine del 2026 per testare le risposte a un attacco sofisticato al sistema energetico britannico.

Un toolkit per ransomware assistito dall'intelligenza artificiale accelera lo sviluppo di bypass EDR

I ricercatori hanno scoperto un toolkit di ransomware per criminali informatici che utilizza lo sviluppo assistito dall'intelligenza artificiale per automatizzare la scoperta di Active Directory e testare rapidamente le tecniche per aggirare gli strumenti di rilevamento e risposta degli endpoint.

Sophos ha trovato il framework in un ambiente di un cliente dopo che gli avvisi erano stati attivati da payload sospetti. Il toolkit comprendeva profili Cobalt Strike progettati per mascherare il traffico come richieste web legittime, un meccanismo di comando e controllo basato su Telegram, script Python per l'iniezione di shellcode e un Cloudflare Worker utilizzato per oscurare l'infrastruttura backend.

Gli investigatori hanno scoperto che per supportare la codifica, l'analisi, la revisione, la documentazione e i test sono stati utilizzati strumenti come Cursor e gli agenti Claude Opus. Il framework ha anche esaminato la ricerca sulla sicurezza offensiva, ha mappato le tecniche in MITRE ATT&CK, le ha riprodotte in ambienti di laboratorio e ha testato i payload contro Sophos, CrowdStrike e gli strumenti EDR di Microsoft.

Sophos ha sottolineato che il flusso di lavoro è rimasto guidato dall'uomo, senza alcuna prova che l'IA abbia operato in modo indipendente negli ambienti delle vittime. Tuttavia, il caso mostra come l'intelligenza artificiale stia riducendo il divario tra la ricerca pubblicata e lo sfruttamento criminale.

Norsk Tipping colpito da attacchi DDoS consecutivi

L'operatore di gioco statale norvegese Norsk Tipping è stato colpito da un secondo attacco informatico in due giorni, che ha causato rallentamenti nei suoi servizi online.

La società ha confermato che l'incidente di mercoledì sera è stato un attacco Distributed Denial-of-Service, lo stesso tipo di attacco che ha interrotto i servizi la sera precedente. Norsk Tipping ha dichiarato che il traffico maligno ha invaso i suoi sistemi, colpendo siti web e piattaforme digitali, con i giochi di KongKasino tra i servizi colpiti durante l'incidente di martedì.

Il fornitore di telecomunicazioni Telenor ha aiutato l'azienda a filtrare il traffico indesiderato e a ridurre le interruzioni. Norsk Tipping ha dichiarato che l'attacco di mercoledì sembrava essere più grande del primo, anche se la situazione è stata riportata sotto controllo nel corso della notte.

Al momento non ci sono informazioni confermate su chi sia dietro gli attacchi o se i due incidenti siano collegati. Sebbene gli attacchi DDoS non comportino in genere il furto di dati, possono causare gravi disagi sovraccaricando di traffico i servizi digitali.

Il Sudafrica affronta una crescente minaccia DDoS

Secondo i ricercatori, i recenti attacchi DDoS che hanno preso di mira i fornitori di infrastrutture Internet sudafricani, le società di hosting e i servizi di connettività indicano una più ampia escalation di minacce contro l'economia digitale del Paese.

I ricercatori hanno avvertito che gli aggressori utilizzano sempre più spesso campagne DDoS multivettore, combinando diverse tecniche in un singolo incidente per sopraffare le difese e massimizzare le interruzioni. I recenti attacchi contro i fornitori di hosting e connettività dimostrano come gli attori delle minacce stiano prendendo di mira le organizzazioni a monte, dove le interruzioni di servizio possono estendersi a cascata su migliaia di aziende e utenti a valle.

Nella seconda metà del 2025, il Sudafrica si è classificato al quinto posto tra i Paesi EMEA più bersagliati dagli attacchi DDoS, con 171.812 attacchi registrati tra luglio e dicembre 2025. Il Paese si è anche classificato al primo posto a livello globale per gli attacchi contro diversi settori, tra cui banche commerciali, agenzie assicurative e servizi di progettazione di sistemi informatici.

La visibilità in tempo reale, la mitigazione basata sull'intelligence e la preparazione proattiva sono ora essenziali per la resilienza.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.