Sommario
La settimana compresa tra il 10 e il 16 maggio si distingue per un’intensa attività cyber criminale ai danni dell’Italia. Il CERT-AGID rileva 63 campagne malevole indirizzate verso utenti e aziende italiane, con una netta predominanza di phishing e distribuzione di malware bancari e RAT. A questi si aggiunge l’allarme internazionale relativo a Skitnet, un nuovo strumento post-exploitation adottato da gruppi ransomware per mantenere il controllo dei sistemi compromessi in modo invisibile e persistente.
C’è anche il caso internazionale che coinvolge Procolored, azienda produttrice di stampanti, che ha distribuito software ufficiale contenente trojan e stealer di criptovalute per oltre sei mesi. Il quadro è chiaro: le infezioni non sono più episodiche, ma costruite per durare e per adattarsi a diversi contesti infrastrutturali, anche attraverso tecniche fileless e payload modulari.
Phishing e RAT dominano la scena: Italia bersaglio privilegiato per malware come Formbook, Remcos e AgentTesla
Il rapporto settimanale del CERT-AGID registra 63 campagne attive, di cui 42 generiche e 21 specificamente rivolte all’Italia. I malware più diffusi risultano essere:
- Formbook: noto per il furto di credenziali e dati da browser;
- AgentTesla: keylogger con capacità di esfiltrazione dati e schermate;
- Remcos RAT: impiegato per controllo remoto e persistenza nei sistemi target;
- AsyncRAT e Lokibot, anch’essi rilevati in numerosi allegati .ZIP e .XLL.
La posta elettronica rimane il principale vettore di infezione, con email camuffate da comunicazioni bancarie, fatture o ordini fittizi. Gli allegati malevoli si presentano come file compressi, archivi RAR, script .VBS, eseguibili mascherati e documenti Office contenenti macro dannose.
Particolarmente attiva la distribuzione via PEC (posta elettronica certificata), segno che gli attori malevoli puntano non solo sulla quantità ma anche sulla credibilità del canale. Alcuni attacchi hanno impiegato l’inganno di documenti firmati digitalmente, rendendo difficile per l’utente distinguere il contenuto legittimo da quello nocivo.
Distribuzione mirata di Adwind in Italia: attacco diretto a piccole e medie imprese
Un ulteriore focus del CERT-AGID è sulla campagna che distribuisce il malware Adwind, individuata in forma mirata e localizzata in Italia. Adwind, noto anche come Jrat, è un malware multipiattaforma scritto in Java, attivo da anni ma ancora usato per la sua capacità di eludere le sandbox e operare su Windows, Linux e macOS.
Il payload è stato recapitato tramite allegati .jar con estensione .pdf.jar, mimetizzati come documenti amministrativi o contabili. L’esecuzione apre un terminale Java che avvia sessioni remote cifrate con il server C2, consentendo all’attaccante di:
- registrare input da tastiera e mouse;
- catturare schermate e clipboard;
- accedere a webcam e microfono;
- scaricare o caricare file;
- lanciare comandi a distanza su shell interattiva.
L’attacco risulta particolarmente insidioso perché non mostra alcuna GUI e sfrutta versioni non aggiornate di Java Runtime Environment installate su workstation aziendali. L’uso localizzato e la lingua italiana nell’interfaccia dell’eseguibile indicano che la campagna sia stata sviluppata con target nazionale ben definito.
Skitnet: il malware post-exploitation che sta diventando lo standard nei gruppi ransomware
Sul fronte internazionale, la società di threat intelligence Prodaft ha segnalato l’impiego crescente di Skitnet (detto anche Bossnet), un malware progettato per la fase post-exploitation e già integrato in operazioni condotte da BlackBasta e Cactus.
Skitnet viene installato tramite un loader scritto in Rust, che decifra in memoria un payload Nim cifrato con ChaCha20. La comunicazione avviene attraverso canali DNS dinamici, che eludono facilmente i sistemi IDS e i firewall basati su pattern noti. Una volta stabilita la connessione, l’operatore può:
- accedere alla macchina tramite shell remota;
- scattare screenshot caricati automaticamente su Imgur;
- elencare e disabilitare software di sicurezza;
- installare tool di accesso remoto legittimi (AnyDesk e RUTServ);
- mantenere la persistenza tramite DLL hijacking e script PowerShell mascherati.
Una peculiarità è l’uso di .NET loader aggiuntivi, che consentono l’esecuzione di ulteriori script PowerShell completamente in memoria, evitando qualsiasi scrittura su disco. Questo rende Skitnet quasi invisibile agli antivirus tradizionali, e particolarmente adatto a mantenere l’accesso su sistemi già compromessi da ransomware.
Procolored, produttore di stampanti, distribuisce driver infetti per oltre sei mesi
Alla strategia basata sullo spear-phishing e sulla post-exploitation si affianca un ulteriore livello di rischio: quello legato alla supply chain digitale compromessa. Un’indagine condotta da ricercatori di sicurezza ha rivelato che Procolored, azienda nota per la produzione di stampanti a getto d’inchiostro UV e DTF, ha offerto per mesi sul proprio sito ufficiale driver e software infetti contenenti malware altamente pericolosi.
Il software distribuito, denominato ProcoloredPrinterAssistant.zip, conteneva al suo interno almeno due varianti di malware: il Redline Stealer, utilizzato per esfiltrare portafogli di criptovalute, credenziali salvate e sessioni browser, e Amadey, uno strumento secondario capace di scaricare moduli addizionali in background.
Il file infetto era firmato digitalmente, aumentando la probabilità che venisse eseguito senza alert da parte di Windows Defender o altri antivirus. La firma digitale è risultata essere valida, ma associata a un’entità poco conosciuta, suggerendo un caso di abuso di certificati Code Signing legittimi ottenuti da autorità compiacenti o compromesse.
Le analisi forensi hanno dimostrato che il malware si installava come servizio in background, creava chiavi nel registro di sistema per la persistenza, e utilizzava meccanismi fileless per eseguire ulteriori script PowerShell, riducendo la superficie visibile dell’attacco. Il codice era progettato per evitare l’esecuzione su macchine virtuali e ambienti sandbox, segno che gli sviluppatori intendevano colpire solo ambienti di produzione reali.
La compromissione ha riguardato download effettuati tra ottobre 2023 e aprile 2025, coinvolgendo potenzialmente decine di migliaia di utenti globali. Gli attaccanti hanno avuto accesso diretto a macchine aziendali e personali, con la possibilità di monitorare attività di stampa, trafugare documenti in fase di invio e installare ulteriori payload da server remoti.
Dai RAT agli stealer, fino alla compromissione dei fornitori
Gli eventi analizzati descrivono un ecosistema cyber sempre più interconnesso e modulare, dove l’attacco non si conclude con il primo click sulla mail malevola, ma evolve attraverso fasi successive orchestrate con precisione. L’uso di malware come Adwind in Italia testimonia un interesse mirato verso imprese non necessariamente di grandi dimensioni ma strategiche per la logistica, il commercio e l’artigianato digitale.
La diffusione di Skitnet dimostra che i gruppi ransomware stanno abbandonando le tattiche rumorose a favore di presenze silenziose e di lunga durata, capaci di offrire visibilità sui sistemi interni ben prima della cifratura dei file. Questo spostamento impone un cambio di paradigma: la rilevazione deve avvenire durante la fase di mantenimento dell’accesso, non al momento dell’attacco finale.
Infine, il caso Procolored ricorda quanto le aziende fornitrici di hardware o software rappresentino un vettore di compromissione straordinariamente efficace, spesso trascurato nei processi di audit. Driver e utility ufficiali sono raramente sottoposti a scrutinio, eppure offrono agli attaccanti un canale privilegiato per iniettare codice malevolo con privilegi elevati, in ambienti di produzione reali.
Nel complesso, il rischio non è più rappresentato dal singolo file infetto, ma da un modello operativo a più stadi, dove ogni fase dell’attacco è funzionale alla successiva e pensata per adattarsi al contesto tecnico, linguistico e organizzativo della vittima.
