Sommario
Il primo semestre del 2025 ha mostrato un’evoluzione significativa nel panorama delle minacce informatiche, sia per livello di sofisticazione che per volume. I principali vettori di rischio identificati coinvolgono attacchi a infrastrutture sanitarie, backdoor distribuite attraverso supply chain software, attacchi DDoS su scala record e vulnerabilità nei sistemi di aggiornamento automatico.
Molti degli eventi analizzati dimostrano come i gruppi di cybercriminali stiano abbandonando tecniche ad alta visibilità per adottare approcci silenziosi, persistenti e modulari, spesso sfruttando componenti di base delle infrastrutture IT come estensioni browser, pacchetti NPM, plugin WordPress, o librerie per criptovalute.
Attacchi mirati a organizzazioni e infrastrutture critiche
Tra gli eventi più eclatanti della prima metà del 2025 figurano gli attacchi a reti sanitarie, operatori telefonici e aziende pubbliche.
Il sistema sanitario Yale New Haven Health ha subito una violazione che ha coinvolto oltre 5,5 milioni di pazienti, con dati medici, codici fiscali, date di nascita e numeri di previdenza sociale esposti. L’attacco ha coinvolto una terza parte non autorizzata, sfruttando l’infrastruttura con accessi legittimi compromessi.
Allo stesso modo, Blue Shield of California ha rivelato che 47 milioni di dati sanitari sono stati erroneamente condivisi con Google, incluse informazioni sugli utenti raccolte tramite il sistema di referral dei medici. Anche se la fuga non è stata causata da un attacco diretto, la vicenda ha sollevato interrogativi sull’uso improprio dei dati sanitari nel contesto di tecnologie di tracciamento e pubblicità comportamentale.
Un’altra compromissione rilevante ha colpito l’operatore coreano SK Telecom, i cui USIM – chip SIM avanzati contenenti dati di autenticazione e contatti – sono stati esposti a malware, con la possibilità di accesso remoto da parte di attaccanti.
Nel Regno Unito, il Co-op Group ha dovuto interrompere parte dei sistemi IT a seguito di un tentativo di intrusione, anche se non confermato se si tratti di un attacco ransomware. Tuttavia, il solo blocco dei sistemi ha avuto impatto sulle attività di vendita al dettaglio e rifornimento di filiali locali.
Negli Stati Uniti, la catena ospedaliera Ascension ha subito un attacco indiretto attraverso un fornitore di terze parti compromesso, rientrando nel paradigma dei cosiddetti vendor breach. La vulnerabilità principale è stata l’assenza di monitoraggio della supply chain interna, con aggiornamenti software distribuiti senza verifica end-to-end.
Vulnerabilità software e minacce emergenti: da WordPress a npm
Nel mondo open source, il 2025 ha confermato la vulnerabilità dell’intera catena di approvvigionamento.
Uno dei casi più critici è stato il backdoor inserito in xrpl.js, libreria JavaScript ufficiale per l’interazione con il ledger XRP, raccomandata da Ripple. Alcune versioni pubblicate sul registry NPM contenevano una funzione checkValidityOfSeed che inviava i dati delle chiavi private degli utenti a un server remoto controllato da attaccanti. Il metodo agiva in modo stealth, utilizzando un header HTTP finto da referral pubblicitario per aggirare il monitoraggio di rete.
In un altro caso, alcuni plugin WordPress travestiti da strumenti di sicurezza si sono rivelati essere backdoor attive, con la capacità di modificare i file core, eseguire comandi arbitrari e mantenere persistenza anche dopo la disinstallazione.
Anche nel mondo Python, il pacchetto PyPi è stato vittima di un attacco supply chain sofisticato. Alcuni moduli malevoli sfruttavano il WebSocket di Gmail come canale C2 per comunicare con i server dei criminali, permettendo il controllo remoto dei sistemi infetti senza destare sospetti nei firewall tradizionali.
Infine, un caso di update failure ha riguardato Kali Linux, la distribuzione per ethical hacking e test di penetrazione, che ha perso temporaneamente la chiave di firma dei repository, causando il blocco degli aggiornamenti automatici in ambienti production.
Data breach e disclosure ritardate: una falla nella fiducia
Un elemento ricorrente in quasi tutti i casi analizzati è il ritardo nella disclosure pubblica, spesso giustificato con la necessità di concludere le indagini forensi.
VeriSource, per esempio, ha ammesso soltanto ad aprile che il data breach avvenuto a febbraio 2025 ha coinvolto oltre 4 milioni di persone, molte delle quali in contesti clinici o ospedalieri.
Il sistema scolastico pubblico di Baltimora ha comunicato una violazione che ha colpito più di 31.000 studenti, con accesso a informazioni personali e documentazione sanitaria scolastica. Anche qui, la notifica pubblica è arrivata settimane dopo l’incidente.
Nel mondo cloud, Commvault ha confermato una violazione della propria infrastruttura, chiarendo però che i backup dei clienti non sono stati compromessi. L’attacco ha riguardato una componente di gestione amministrativa interna, senza accesso ai dati criptati degli utenti finali.
Attacchi DDoS, abuso di protocollo e scansioni automatizzate: la nuova normalità del rischio
Nel 2025, gli attacchi DDoS raggiungono un nuovo massimo storico. Cloudflare, in un report relativo al primo trimestre, ha confermato di aver mitigato un attacco con picchi superiori a 5,8 Tbps, rendendolo il più voluminoso mai osservato.
L’attacco ha coinvolto una combinazione di CLDAP amplification e sfruttamento di ESP (Encapsulating Security Payload), protocollo tipico di ambienti VPN, raramente filtrato.
Questa escalation è coerente con il trend che vede gli attaccanti colpire simultaneamente applicazioni e layer di trasporto, sfruttando misconfigurazioni note nei data center europei e statunitensi.
Nel campo delle minacce silenziose, è stato documentato un attacco proof-of-concept chiamato Cookie Bite, che sfrutta un’estensione Chrome apparentemente legittima per accedere ai token di sessione attivi e alle API cloud (come Azure Entra ID).
Una volta acquisito il token, gli attori possono bypassare completamente MFA e login, mantenendo il controllo persistente dell’account. Il metodo è difficile da rilevare, poiché i token sono validi e non violano policy.
In parallelo, ricercatori e threat actors hanno incrementato le scansioni automatizzate alla ricerca di token trapelati su repository GitHub, file .env, o dump configurazioni. Questo trend ha portato a violazioni rapide, spesso prima ancora che l’utente si accorga della perdita di credenziali.
Segnalazioni errate e falsi allarmi: il caso Coinbase
Non tutte le minacce sono reali. Un esempio recente ha riguardato Coinbase, che ha dovuto chiarire un errore nel proprio sistema di notifiche 2FA.
Alcuni utenti hanno ricevuto alert ingannevoli che suggerivano un login da dispositivo sconosciuto, generando preoccupazione e panico, ma in realtà si trattava di una replica di log causata da una regressione nel sistema backend.
Questo evento ha riportato l’attenzione sul problema dei falsi positivi nella cybersecurity e sull’importanza di fornire notifiche chiare, contestuali e verificate, per evitare escalation inutili o perdita di fiducia da parte degli utenti.
Criptovalute e rebranding fraudolento: il caso Garantex–Grinex
Nel segmento crypto, il 2025 ha registrato l’apparizione dell’exchange Grinex, sospettato di essere un rebrand del servizio sanzionato Garantex, bandito da vari paesi per facilitazione del riciclaggio di denaro e traffici illeciti.
Grinex mostra infrastrutture e comportamenti simili a Garantex, inclusi wallet address sovrapposti, DNS simili e UI identica.
Anche se l’azienda nega ogni collegamento, analisi tecniche e confronti OSINT indicano con alta probabilità una continuità operativa.
Questo episodio sottolinea come le sanzioni internazionali siano facilmente aggirabili attraverso la rinascita sotto altro nome, un problema che richiede strumenti normativi più agili e cooperazione transnazionale.
