I Curly COMrades sfruttano la virtualizzazione per eludere il rilevamento EDR

In un nuovo rapporto di Bitdefender, è stato osservato che il gruppo di minaccia noto come Curly COMrades utilizza la virtualizzazione per bypassare gli strumenti di sicurezza e distribuire malware personalizzati. Attivando Hyper-V su sistemi Windows 10 compromessi, il gruppo ha avviato una macchina virtuale leggera con Alpine Linux per ospitare CurlyShell e CurlCat—strumenti progettati per l’accesso tramite reverse shell e il proxying. Attivo dalla fine del 2023 e allineato con interessi russi, Curly COMrades ha preso di mira Georgia e Moldavia, utilizzando tecniche avanzate per mantenere l’accesso persistente.

Il loro toolkit include RuRat, Mimikatz e MucorAgent, con malware isolato in ambienti virtuali per eludere il rilevamento degli endpoint. La comunicazione con i server di comando e controllo è criptata tramite richieste HTTP, e il gruppo ha dimostrato adattabilità introducendo ripetutamente nuovi strumenti. La collaborazione tra Bitdefender e Georgia CERT ha rivelato ulteriori infrastrutture e strategie di accesso a lungo termine, evidenziando la crescente sofisticazione delle minacce informatiche basate sulla virtualizzazione.

Il garante della privacy svedese indaga sulla violazione Miljödata che ha colpito 1,5 milioni di cittadini

L’Autorità svedese per la protezione della privacy (IMY) ha avviato un’indagine su un attacco informatico contro il fornitore di sistemi IT Miljödata, che ha esposto i dati personali di fino a 1,5 milioni di persone. Miljödata fornisce servizi a circa l’80% dei comuni svedesi e ha confermato ad agosto che gli aggressori hanno rubato dati e richiesto un riscatto di 1,5 Bitcoin per evitarne la diffusione.

La violazione ha interrotto le operazioni in diverse regioni, tra cui Halland, Gotland e Karlstad. IMY ha confermato che informazioni personali sensibili sono state successivamente pubblicate sul dark web, avviando un’indagine su potenziali violazioni del GDPR. L’inchiesta si concentrerà sulle pratiche di sicurezza di Miljödata e su come i comuni hanno gestito i dati dei cittadini, in particolare quelli relativi a minori e identità protette.

Il gruppo Datacarry ha successivamente rivendicato la responsabilità, pubblicando online un archivio da 224MB. Il sito Have I Been Pwned ha aggiunto i dati, identificando record per circa 870.000 individui.

Crollano i profitti di M&S dopo l’attacco informatico di aprile: perdite da £100 milioni

I profitti ante imposte di Marks & Spencer (M&S) sono crollati da £391,9 milioni a soli £3,4 milioni nei sei mesi fino al 27 settembre, a seguito del grave attacco informatico che ha paralizzato i sistemi dell’azienda nell’aprile 2025. La chiusura del sito web e le interruzioni nella catena di approvvigionamento hanno colpito le vendite totali, mentre i reparti alimentari hanno subito perdite dovute a ribassi e sprechi di stock causati dalla distribuzione manuale.

M&S ha riportato £101,6 milioni di costi diretti legati all’incidente, inclusi £82,7 milioni per risposta e recupero, e £18,9 milioni in spese di terze parti, parzialmente compensati da £100 milioni di assicurazione informatica. Il CEO Stuart Machin ha elogiato la resilienza dell’azienda e ha riaffermato l’impegno verso la ripresa e il servizio clienti.

L’incidente sottolinea come anche le aziende consolidate restino vulnerabili di fronte alla crescente scala e sofisticazione delle minacce informatiche. Evidenzia inoltre che, sebbene l’assicurazione informatica possa alleviare il peso finanziario, raramente copre il costo totale di un attacco. In definitiva, prevenzione e preparazione rimangono la migliore difesa.

Google scopre un’ondata di malware alimentati da AI che usano LLM per l’evasione dinamica

Il Threat Intelligence Group di Google ha identificato un forte aumento di malware che integrano modelli linguistici di grandi dimensioni (LLM) per adattarsi durante l’esecuzione, segnando un cambiamento significativo nelle tattiche delle minacce informatiche. Questa nuova tecnica di auto-modifica “just-in-time” consente al codice dannoso di alterarsi durante il runtime, rendendo la rilevazione molto più difficile.

Esempi includono PromptFlux, un dropper sperimentale in VBScript che interrogava il modello Gemini di Google per ottenere nuovo codice offuscato, e PromptSteal, un miner di dati utilizzato in Ucraina. Google ha successivamente bloccato l’accesso a Gemini associato a queste operazioni. Altre scoperte includono FruitShell, una reverse shell in PowerShell; QuietVault, un ladro di credenziali in JavaScript mirato ai token GitHub; e PromptLock, un ransomware multipiattaforma basato su Lua.

Oltre al malware, attori statali di Cina, Iran e Corea del Nord hanno abusato di strumenti AI per facilitare phishing, ricerca di exploit e furto di dati. I forum underground stanno anche commercializzando strumenti di cybercrime basati su AI, segnalando una rapida evoluzione verso ecosistemi di minacce automatizzati e adattivi.

L’Italia colpita da oltre il 10% degli attacchi informatici globali nel 2025, spinta dall’ondata di hacktivismo

L’Italia ha rappresentato il 10,2% di tutti gli attacchi informatici a livello mondiale nella prima metà del 2025, in aumento rispetto al 9,9% dello stesso periodo dell’anno precedente, secondo un nuovo rapporto dell’Associazione Italiana per la Sicurezza Informatica (Clusit). Il dato segna un forte incremento rispetto al 2021, quando l’Italia rappresentava solo il 3,4% degli incidenti globali.

L’analisi di Clusit evidenzia un aumento del 600% anno su anno negli attacchi contro i settori governativi e militari, che ora costituiscono il 38% del totale nazionale. La maggior parte di questi incidenti è attribuita a hacktivismo con motivazioni politiche o sociali, probabilmente coordinato da strutture governative russe.

L’hacktivismo ha rappresentato il 54% degli incidenti informatici in Italia, superando per la prima volta il cybercrime a scopo finanziario. Gli attacchi tradizionali mirati al furto di dati o al guadagno economico hanno costituito il restante 46%, riflettendo un cambiamento significativo nel panorama delle minacce del Paese.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.