Il panorama della cybersecurity continua a mostrare una crescente diversificazione delle minacce, con incidenti che coinvolgono contemporaneamente gruppi ransomware, piattaforme governative, aziende energetiche e colossi dell’e-commerce. Nelle ultime settimane il gruppo The Gentlemen si è imposto come uno degli attori più aggressivi del panorama ransomware mondiale, mentre una serie di violazioni e incidenti operativi ha colpito organizzazioni pubbliche e private in Europa e Asia. In Francia la piattaforma governativa Tchap ha subito una compromissione che ha interessato oltre 73.000 account pubblici. In Giappone la perdita di un supporto di backup ha esposto dati di oltre 10 milioni di clienti di una compagnia energetica. Negli Stati Uniti il portale ufficiale del Maine dedicato alle notifiche di violazione è stato utilizzato per diffondere falsi data breach. Parallelamente, la Corea del Sud ha inflitto una multa record a Coupang dopo una violazione che ha coinvolto oltre 37 milioni di utenti. L’insieme di questi eventi evidenzia come le minacce moderne non siano limitate agli attacchi informatici tradizionali ma comprendano anche errori operativi, vulnerabilità procedurali e problematiche di governance della sicurezza.
Cosa leggere
The Gentlemen emerge come una delle principali minacce ransomware del 2026
Il gruppo The Gentlemen si è rapidamente affermato tra gli operatori ransomware più attivi dell’anno. Secondo le analisi disponibili, l’organizzazione ha rivendicato 478 vittime e ha rappresentato circa il 10% dell’attività ransomware globale registrata nel mese di aprile 2026. Il gruppo opera come programma indipendente dopo aver avuto collegamenti con ecosistemi RaaS come LockBit, Qilin e Medusa, dimostrando una notevole capacità di evoluzione e adattamento. Le attività vengono attribuite a Alexander Andreevich Yapaev, residente a Izhevsk in Russia, che secondo i ricercatori utilizza strumenti di intelligenza artificiale sia nello sviluppo del malware sia nelle attività di post-exploitation. Questo approccio evidenzia una crescente integrazione dell’AI nelle operazioni cybercriminali avanzate, con effetti diretti sull’efficienza e sulla scalabilità degli attacchi.
Il ransomware può trasformarsi in worm e propagarsi automaticamente
Uno degli aspetti più interessanti di The Gentlemen riguarda la sua capacità di assumere comportamenti tipici di un worm. Il malware implementa infatti una modalità attivabile tramite il parametro –spread, che consente la propagazione automatica verso tutti i sistemi raggiungibili all’interno della rete compromessa. Questa caratteristica differenzia il gruppo da molte altre operazioni ransomware che si affidano principalmente al movimento laterale manuale. Il ransomware supporta ambienti Windows, Linux ed ESXi, ampliando significativamente il numero di infrastrutture attaccabili. Prima della cifratura, gli operatori eseguono attività di esfiltrazione dati seguendo il classico modello di doppia estorsione, combinando il blocco operativo dei sistemi con la minaccia di pubblicazione delle informazioni rubate.
VPN e infrastrutture VMware restano bersagli privilegiati
Per ottenere l’accesso iniziale alle reti aziendali, The Gentlemen sfrutta prevalentemente credenziali compromesse e servizi esposti su Internet. Particolare attenzione viene rivolta alle infrastrutture VMware, ai dispositivi edge e alle piattaforme di accesso remoto come VPN e firewall prodotti da Cisco e Fortinet. Gli attaccanti mantengono generalmente una permanenza all’interno delle reti compresa tra due e sei settimane, tempo sufficiente per eseguire ricognizione, raccolta dati e preparazione della fase finale di cifratura. Il programma di affiliazione richiede agli affiliati di dimostrare la capacità di esfiltrare almeno 1 GB di dati, mentre il modello economico assegna il 90% dei profitti agli operatori che conducono gli attacchi e il restante 10% agli amministratori della piattaforma.
La piattaforma governativa Tchap subisce una compromissione significativa
In Francia, la piattaforma di comunicazione governativa Tchap è stata al centro di una violazione che ha interessato 73.467 account appartenenti ad agenti pubblici. Sebbene il numero rappresenti meno del 9% degli oltre 825.000 utenti registrati, l’incidente ha avuto particolare rilevanza per la natura istituzionale del servizio. L’attacco sarebbe stato reso possibile dalla compromissione di un account attraverso tecniche di social engineering. Il threat actor ha dichiarato di aver sottratto quasi 650.000 messaggi e una grande quantità di dati associati agli utenti. Tra le informazioni esposte figurano nomi, indirizzi email, immagini avatar, dettagli sulle organizzazioni di appartenenza, link a riunioni, metadati relativi agli account e ai dispositivi, oltre 13,5 GB di documenti e credenziali LDAP hardcoded.
La crittografia protegge le conversazioni private di Tchap
Nonostante la quantità di informazioni compromesse, le autorità francesi hanno precisato che le conversazioni private protette da crittografia end-to-end non risultano esposte. I dati sottratti provengono prevalentemente da chat room pubbliche e da contenuti non cifrati. L’agenzia governativa DINUM ha reagito rapidamente bloccando l’account utilizzato dagli attaccanti e notificando l’incidente all’autorità nazionale per la protezione dei dati CNIL. L’episodio assume particolare rilevanza poiché Tchap è diventata nell’agosto 2025 la piattaforma ufficiale di comunicazione per tutti i dipendenti pubblici francesi, assumendo quindi un ruolo strategico nella gestione delle attività governative.
Kyushu Electric Power perde un disco con dati di 10,9 milioni di clienti
In Giappone l’incidente che ha coinvolto Kyushu Electric Power evidenzia come i rischi per la sicurezza non siano limitati agli attacchi digitali. L’azienda ha infatti denunciato la scomparsa fisica di un disco esterno contenente dati personali riferiti a fino a 10,9 milioni di clienti. La perdita è stata scoperta il 26 maggio quando il personale IT ha trovato aperto l’armadio che ospitava il supporto di backup. Sebbene la stanza fosse protetta da controlli fisici, ben 57 persone disponevano dell’autorizzazione per accedervi. L’incidente coinvolge informazioni quali nomi, indirizzi, dati di consumo energetico, numeri telefonici e dettagli relativi ai fornitori di energia elettrica.
Nessun dato bancario coinvolto ma impatto potenzialmente enorme
L’azienda ha precisato che sul supporto mancante non erano presenti dati bancari né informazioni sulle carte di pagamento. Tuttavia la quantità di dati personali coinvolti rende l’episodio uno dei più significativi incidenti di sicurezza registrati recentemente nel settore energetico giapponese. Kyushu Electric Power ha presentato denuncia alle autorità il 4 giugno e ha avviato le procedure di notifica verso gli utenti interessati. Parallelamente, il caso è stato comunicato alla Personal Information Protection Commission del Giappone e al Ministero dell’Economia, del Commercio e dell’Industria, che ha richiesto un rapporto completo sulle misure correttive entro l’8 luglio.
Il portale del Maine viene usato per diffondere falsi data breach
Un caso particolarmente insolito ha coinvolto il portale ufficiale dello Stato del Maine utilizzato per pubblicare notifiche di violazioni dei dati. Il sistema consente l’invio diretto di segnalazioni che vengono rese pubbliche senza un processo preventivo di verifica. Questa caratteristica è stata sfruttata per pubblicare falsi data breach attribuiti a organizzazioni note. Tra gli episodi più rilevanti figurano una presunta violazione di VRChat che avrebbe coinvolto 2,4 milioni di utenti e una falsa notifica relativa a Discord che indicava 10 milioni di persone interessate. Entrambe le aziende hanno smentito categoricamente gli incidenti e confermato che le informazioni pubblicate non corrispondevano ad alcun evento reale.
Le notifiche fraudolente evidenziano problemi procedurali
Il caso del Maine dimostra come le vulnerabilità possano emergere anche da processi amministrativi insufficientemente verificati. Le false notifiche contenevano riferimenti a dipendenti inesistenti e indirizzi email non validi, elementi che hanno facilitato l’identificazione della frode. Dopo le segnalazioni ricevute, il portale ha rimosso le notifiche e annunciato una revisione delle procedure di controllo. L’episodio evidenzia l’importanza della verifica delle informazioni pubblicate nei sistemi destinati alla comunicazione ufficiale degli incidenti di sicurezza.
Coupang riceve una multa record da 409 milioni di dollari
La sanzione più pesante arriva dalla Corea del Sud, dove la Personal Information Protection Commission ha imposto a Coupang una multa di 624,6 miliardi di won, equivalenti a circa 409 milioni di dollari. La decisione segue una violazione che ha coinvolto oltre 37 milioni di clienti e che le autorità hanno attribuito a gravi carenze nei controlli di sicurezza interni. Tra le problematiche evidenziate figurano una gestione inadeguata delle chiavi di autenticazione e controlli di accesso insufficienti. La violazione è stata scoperta a novembre, diversi mesi dopo il verificarsi dell’incidente avvenuto a fine giugno.
Un ex dipendente è il principale sospettato
Le indagini indicano come principale sospettato un ex dipendente cinese di 43 anni, impiegato nel reparto IT dell’azienda tra il 2022 e il 2024. Secondo gli investigatori, l’uomo avrebbe conservato dati relativi a circa 3.000 account e tentato di eliminare le prove distruggendo un MacBook Air e smaltendolo in un fiume. Durante le perquisizioni sono stati recuperati diversi hard disk contenenti informazioni sensibili. In risposta all’incidente, Coupang ha annunciato un piano di compensazione destinato a oltre 33 milioni di clienti, che riceveranno voucher e forme di risarcimento economico.
Gli incidenti mostrano l’evoluzione delle minacce moderne
L’insieme degli eventi registrati nelle ultime settimane evidenzia la complessità crescente del panorama cyber. Le minacce non provengono soltanto da gruppi ransomware altamente organizzati come The Gentlemen, ma anche da errori procedurali, carenze nei controlli interni, problemi nella gestione dei dati e persino dalla perdita fisica di dispositivi contenenti informazioni sensibili. Governi, aziende energetiche, piattaforme digitali e operatori dell’e-commerce si trovano ad affrontare rischi differenti ma accomunati dalla necessità di rafforzare la governance della sicurezza, migliorare il monitoraggio delle infrastrutture e implementare controlli più rigorosi sull’accesso ai dati. Gli episodi che hanno coinvolto Francia, Giappone, Stati Uniti e Corea del Sud dimostrano come la cybersecurity sia ormai una questione trasversale che interessa ogni settore dell’economia digitale globale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
