Ci sono attribuzioni contrastanti sull’attacco cyber al settore energetico polacco di fine 2025, nuove campagne di cybercrime in Italia e diverse vulnerabilità sfruttate in the wild (ITW).
Attacco in Polonia
L’attacco del 29 dicembre 2025 ha colpito impianti eolici, solari, un’azienda manifatturiera e una centrale di cogenerazione, mirando a sabotaggi distruttivi su sistemi IT e OT senza causare blackout. Gli analisti attribuiscono l’operazione a Sandworm (legato alla Russia) ed ELECTRUM, ma emergono divergenze sulle responsabilità; è stato facilitato da credenziali deboli e mancanza di MFA.
Offensive cybercrime Italia
Sono state rilevate campagne di phishing tematiche: Intesa Sanpaolo per rubare credenziali bancarie, email PA per esfiltrare dati Microsoft 365 via Figma, WhatsApp compromessi per frodi bancarie, rinnovo tessera sanitaria e Agenzia Entrate per SPID. Colpiscono anche università come Salerno e Bergamo; il ritmo degli attacchi in Italia è di uno ogni 5 minuti nel 2025.
Vulnerabilità ITW
Tra le falle sfruttate: CVE-2025-59718 (bypass patch FortiGate), CVE-2026-23760 e altre in Fortinet, SonicWall (CVE-2023-44221, CVE-2024-38475), Samsung (CVE-2024-7399), Palo Alto, Apple e VMware vCenter. La CISA ha prioritarizzato alcune, con exploit attivi su firewall e sistemi gestionali.
Sandworm e ELECTRUM sono gruppi APT (Advanced Persistent Threat) russi legati al GRU (unità 74455), noti per attacchi distruttivi contro infrastrutture critiche.
Sandworm
Sandworm è un collettivo hacker russo identificato per operazioni globali di spionaggio, sabotaggio e info-ops, attivo dal 2014. Ha colpito la rete elettrica ucraina (2015 e 2016 con Industroyer), diffuso NotPetya (2017, danni oltre 10 miliardi di dollari), interferito nelle elezioni francesi e attaccato le Olimpiadi invernali 2018. Dal 2022, noto anche come APT-44 da Mandiant, supporta la campagna militare russa con malware come Industroyer2 e Cyclops Blink.
ELECTRUM
ELECTRUM è un altro alias o sottogruppo state-sponsored russo, spesso sovrapposto a Sandworm ma distinto secondo alcuni analisti. È stato attribuito con confidenza moderata all’attacco energetico polacco del 29 dicembre 2025 contro impianti eolici e solari. Specializzato in infrastrutture critiche, condivide tattiche con Sandworm ma non coincide perfettamente nelle attività.
Sandworm, gruppo APT russo legato al GRU, ha condotto numerosi attacchi distruttivi contro infrastrutture critiche ucraine, focalizzandosi su energia e comunicazioni.
Attacchi al settore energetico
Nel dicembre 2015, ha causato blackout a 230.000 utenti con BlackEnergy e KillDisk. Nel 2016, ha usato Industroyer (Crash Override) per colpire sottostazioni ad alta tensione, il primo malware modulare per ICS.
Operazioni dal 2022
Ha deployato Industroyer2 contro centrali elettriche nel 2022, sventato senza blackout. Ha colpito Viasat con AcidRain prima dell’invasione, disabilitando 19.000 terminali KA-SAT.
Attività recenti
Nel 2024, ha mirato sistemi ICT energetici, idrici e termici con QUEUESEED, LOADGRIP, BIASBOAT e wiper ZEROLOT. Nel 2025, ha intensificato sabotaggi su aziende energetiche con nuove varianti.
\ Get the latest news /
