Palazzo Chigi respinge le accuse di spionaggio, offensive APT in Kazakistan e dalla Corea, presi di mira account X

Italia: colpiti 7 target con lo spyware dell’israeliana Paragon

In una nota diffusa mercoledì 5 febbraio 2025, Palazzo Chigi ha smentito le notizie riportate da alcuni organi di stampa riguardo a presunte attività di spionaggio ai danni di operatori dell’informazione. La comunicazione arriva dopo che l’app di messaggistica coinvolta ha comunicato che circa 90 giornalisti e altri membri della società civile, compresi target italiani, sono stati presi di mira da un malware di proprietà di Paragon Solutions, un produttore israeliano di software di hacking, utilizzato da clienti governativi. In risposta, la Presidenza del Consiglio ha escluso che i soggetti tutelati dalla legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), inclusi i giornalisti, siano stati sottoposti a controllo da parte dell’intelligence e, di conseguenza, dal governo. È stata attivata l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha interloquito con lo studio legale Advant, incaricato dalla società sviluppatrice dell’app. Dal confronto è emerso che, finora, le utenze italiane coinvolte risultano essere sette. D’altro canto, una persona che ha familiarità con la questione, ha rivelato a una nota testata giornalistica a condizione di anonimato, che Paragon avrebbe inizialmente sospeso il contratto con l’Italia “per abbondanza di cautela” quando sono emerse le prime accuse di potenziale abuso del software spia venerdì scorso. Successivamente, la decisione di rescindere completamente il contratto sarebbe stata presa mercoledì, dopo che Paragon avrebbe stabilito che l’Italia aveva violato i termini di servizio e il quadro etico concordato nell’ambito del contratto con la società. Francesco Cancellato, caporedattore della testata giornalistica Fanpage, è stato il primo a dichiarare pubblicamente di essere una delle 90 persone a cui la società proprietaria dell’app di messaggistica aveva comunicato che il cellulare era stato colpito dal software di hacking, e probabilmente compromesso. Gli altri due individui presi di mira sono Husam El Gomati, un attivista libico che vive in Svezia, e Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans.

APT: sotto la lente il Ministero degli Affari Esteri kazako e analizzati falsi processi di recruiting nordcoreani

Media locali riportano che il Ministero dello Sviluppo Digitale, dell’Innovazione e dell’Industria Aerospaziale (ICRIAP) del governo della Repubblica del Kazakistan sottoporrà a un’ispezione non programmata il Ministero degli Affari Esteri del Paese, a seguito di un attacco informatico su larga scala presumibilmente condotto da un avversario legato al Cremlino. Stando a quanto riferito, l’ICRIAP ha dichiarato che gli specialisti erano a conoscenza dell’offensiva al Ministero degli Esteri già da tempo. Tuttavia, hanno deciso di condurre un’indagine solo ora, dopo la pubblicazione di un report di una società di sicurezza informatica francese, che descriveva una campagna di spionaggio del russo Sofacy volta a raccogliere informazioni strategiche in Asia centrale, Kazakistan compreso. L’ICRIAP ha dichiarato che verranno adottate ulteriori misure e provvedimenti sulla base dei risultati dell’audit. Inoltre, ha aggiunto che al momento è presto per confermare l’origine russa dell’attaccante dietro l’incidente; pertanto, ritiene premature le conclusioni del report sopracitato. Sposandoci nell’Asia Pacifica, sono state individuate diverse varianti della famiglia malware per macOS chiamata Ferret, attribuita alla Repubblica Popolare Democratica di Corea (RPDC) e documentata per la prima volta nell’ambito della campagna Contagious Interview. Iniziata almeno nel novembre 2023 e presumibilmente sovrapponibile a DEV#POPPER, Contagious Interview si è evoluta nel tempo in un’operazione persistente e sofisticata da parte di avversari nordcoreani, tuttora attiva, volta a installare malware attraverso falsi processi di recruiting. Solitamente, viene chiesto ai target di comunicare con un recruiter attraverso un link che lancia un messaggio di errore e richiede di installare o aggiornare un software necessario, come VCam o CameraAccess, per le videoconferenze. Infine, sono stati analizzati ulteriori casi di attacchi del nordcoreano ScarCruft, che hanno visto l’impiego della backdoor PEBBLEDASH e di RDP Wrapper.

Cybercrime: tracciata campagna contro account X di alto profilo

Ricercatori di sicurezza hanno scoperto una campagna di phishing attiva che sta prendendo di mira account X (Twitter) di alto profilo nel tentativo di dirottarli e sfruttarli per attività fraudolente. Tra gli account mirati figurano quelli di persone ed entità come personaggi politici statunitensi, importanti giornalisti internazionali, un dipendente di X, grandi società tecnologiche, organizzazioni di criptovalute e proprietari di nomi utente brevi e di valore. Si ritiene che tale operazione sia collegata a un’attività simile dello scorso anno, che ha compromesso con successo più account per diffondere contenuti ingannevoli a scopo di lucro. Stando a quanto osservato nelle ultime settimane, le esche di phishing legate a questa campagna vanno dal classico falso avviso di accesso all’account a tematiche inerenti presunte violazione del copyright. Tuttavia, sembrerebbe che il phishing potrebbe non essere l’unico metodo utilizzato dall’avversario dietro l’operazione. In casi recenti, l’attaccante è stato visto abusare del dominio “AMP Cache” di Google cdn[.]ampproject[.]org per eludere il rilevamento delle e-mail. Il targeting sembra limitato, ma opportunistico. In precedenza, l’attività è stata attribuita ad attaccanti di lingua turca; tuttavia, al momento non è possibile associare questa campagna a un Paese specifico o a un avversario noto. In aggiunta, sebbene l’operazione descritta sia incentrata sugli account X, questo attaccante sembrerebbe non limitarsi all’uso di un’unica piattaforma social.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence