Domini italiani esposti su forum underground. C’è anche un ospedale

Nel monitoraggio quotidiano dei forum underground capita spesso di imbattersi in leak che, almeno a una prima lettura, sembrano “ordinari”: liste di credenziali, accessi a servizi legacy, dump poco strutturati. Il thread “NEW LEAK FTP LOGIN” comparso su un forum underground rientra formalmente in questa categoria, ma presenta una serie di elementi che meritano attenzione, soprattutto per l’impatto potenziale sul contesto italiano.

Il post è stato pubblicato da un utente che si presenta con il nickname Hackfut e contiene un elenco molto esteso di credenziali FTP, pubblicate in chiaro e apparentemente ancora valide. Non si tratta di un singolo dump isolato, ma di una raccolta ampia, eterogenea, che tocca numerosi domini e infrastrutture reali.

Già da una lettura superficiale emerge un primo dato rilevante: la presenza di un numero elevato di domini italiani .it. Un elemento che, per chi segue da tempo le dinamiche di compromissione di hosting e servizi web in Italia, purtroppo non rappresenta una sorpresa, ma continua a confermare una fragilità strutturale mai realmente risolta.

Un leak “grezzo”, ma immediatamente sfruttabile

Il valore operativo di questo tipo di leak non sta nella raffinatezza tecnica, ma nella prontezza all’uso. Le credenziali FTP, se valide, consentono un accesso diretto a:

• web root di siti pubblici
• file applicativi e configurazioni
• contenuti caricati dagli utenti
• potenziali punti di pivot verso database o pannelli di controllo

Non servono exploit avanzati, né competenze particolarmente elevate. È esattamente questo il motivo per cui gli accessi FTP continuano a essere una commodity molto appetibile nel sottobosco cybercriminale: basso costo, basso rischio, ritorno immediato.

Il thread non si limita a pubblicare la lista, ma inserisce anche riferimenti a risorse esterne – repository GitHub, Pastebin e canali Telegram – costruendo di fatto una filiera completa: leak → verifica → sfruttamento → redistribuzione.

Hackfut e l’ecosistema di supporto

Analizzando le risorse collegate al post emerge un pattern ormai consolidato. L’account GitHub associato a HackfutSec ospita script e tool orientati all’automazione di test massivi, in particolare su servizi FTP e SMTP. Non parliamo di codice particolarmente sofisticato, ma di strumenti sufficienti per:

• validare rapidamente grandi quantità di credenziali
• individuare accessi effettivamente funzionanti
• notificare risultati tramite canali esterni (es. Telegram)

Parallelamente, la pagina Pastebin riconducibile allo stesso alias mostra una storia di pubblicazioni ricorrenti legate a leak di FTP, webmail e pannelli di controllo. Questo suggerisce che il thread su Umbra.by non sia un episodio isolato, ma parte di un’attività continuativa di raccolta e redistribuzione di accessi.

Dal punto di vista CTI, il profilo è chiaro: non un singolo “leaker occasionale”, ma un operatore orientato alla quantità, che lavora su servizi legacy e superfici d’attacco trascurate.

L’Italia come bersaglio ricorrente

L’aspetto più critico del leak resta la forte concentrazione di domini italiani. Hosting condivisi, siti di PMI, associazioni, studi professionali: un panorama già visto molte volte. Tuttavia, all’interno della lista compare anche un riferimento a un account FTP riconducibile ad un grande ospedale italiano.

È importante essere precisi: la presenza di un dominio in una lista non equivale automaticamente a una compromissione attiva. Le credenziali potrebbero essere obsolete, disattivate o già ruotate. Ma il solo fatto che un’infrastruttura sanitaria compaia in un contesto del genere è sufficiente a giustificare un’attenzione immediata.

Quando un accesso FTP riguarda un ente sanitario, le implicazioni non sono solo tecniche:

• esposizione di dati personali o sanitari
• rischio di alterazione dei contenuti
• possibili impatti su compliance e continuità operativa

Ancora una volta, il problema non è il singolo leak, ma la persistenza di servizi obsoleti e poco monitorati.

FTP nel 2026: un problema che continua a ripresentarsi

Questo episodio conferma un dato che emerge costantemente nel threat landscape: FTP in chiaro è tutt’altro che scomparso. In molti casi resta attivo per inerzia, compatibilità con vecchi flussi di lavoro o semplice mancanza di revisione delle superfici esposte.

Le condizioni che favoriscono questo tipo di leak sono quasi sempre le stesse:

• password riutilizzate
• assenza di MFA
• nessuna limitazione IP
• logging minimale o inesistente
• controlli di sicurezza demandati interamente al provider di hosting

Il risultato è una lunga coda di accessi che, prima o poi, finiscono in una combolist, su Pastebin o su un forum underground.

Il thread “NEW LEAK FTP LOGIN” su Umbra.by non introduce nulla di “nuovo” dal punto di vista tecnico. Ma proprio per questo è importante: mostra quanto siano ancora efficaci gli attacchi più banali, quando colpiscono infrastrutture trascurate.

Per l’Italia, il segnale è chiaro e ripetuto: una parte significativa del tessuto digitale continua a poggiare su servizi legacy esposti, facilmente enumerabili e scarsamente difesi. Questi leak non fanno notizia come un ransomware, ma alimentano l’intera catena criminale, fornendo accessi iniziali, punti di appoggio e superfici di persistenza.

In altre parole: prima del ransomware, prima dell’estorsione, prima del data breach “da prima pagina”, c’è quasi sempre un accesso semplice che nessuno ha chiuso.

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione