La campagna Storming Tide ha colpito aziende europee infiltrandosi nelle reti mesi prima della scoperta, sfruttando vulnerabilità nei firewall Fortinet. Gli attaccanti, legati al gruppo Mora_001, hanno mantenuto accessi nascosti tramite VPN compromesse e distribuito diversi malware per preparare l’esfiltrazione dei dati. L’assenza di ransomware evidenzia un importante cambio strategico: non più estorsione immediata, ma una raccolta silente di informazioni. Questo fenomeno segnala una forte evoluzione del cybercrime verso operazioni più persistenti e coordinate, ma su larga scala.
Un recente attacco informatico ad una società europea di trasporti e logistica ha consentito agli esperti IT di ricostruire una serie di incidenti segnalati da diversi team di sicurezza negli ultimi mesi.
Gli esperti di Fortgale ritengono che questo genere di attacchi non siano una raccolta di intrusioni isolate, ma una campagna coordinata denominata “Storming Tide”, in cui alcuni gruppi criminali stanno operando attraverso uno schema comune.
L’indagine, è iniziata nel febbraio 2026, quando sono state rilevate delle scansioni sospette sulla rete di una organizzazione. Dopo altre indagini è stato rivelato che gli aggressori si erano infiltrati molto prima, alla fine del 2025, violando una serie di firewall perimetrali Fortinet .
Advertising
Utilizzando il dispositivo compromesso, gli aggressori, successivamente, hanno configurato un canale VPN per accedere nuovamente alla rete in modo nascosto, rimanendo quindi in silenzio per molti mesi, evitando di destare sospetti.
Il gruppo, identificato da Fortgale come Mora_001, si è infiltrato nella in una rete tramite nodi non gestiti e ha distribuito al suo interno una serie di strumenti dannosi. Tra questi malware il downloader Matanbuchus 3.0 il RATAstarion e SystemBC, mentre RClone e un sistema di archiviazione compatibile con S3 sono stati predisposti per una possibile esfiltrazione dei dati. Fortgale riporta che le rapide misure di contenimento hanno impedito il download dei dati e la successiva diffusione del ransomware.
Secondo l’azienda, l’obiettivo della campagna non era ottenere un riscatto, bensì raccogliere informazioni e sottrarre gradualmente dati preziosi. Fortgale non considera l’utilizzo di strumenti tipici degli attacchi ransomware una contraddizione in termini. Questo approccio è sempre più diffuso tra i gruppi criminali. Pertanto in futuro potremmo assistere ad instrusioni silenti finalizzate solo all’esfiltrazione dei dati per una rivendita futura.
Fortgale osserva che lo schema corrisponde a quanto riportato in altri report da Amazon, SentinelOne, Arctic Wolf, eSentire, Huntress e Forescout. Le stesse caratteristiche si sono ripetute nei vari incidenti dove si è assistito ad una preparazione per il ransomware senza una conferma successiva dell’esecuzione della crittografia.
Il rapporto dedica attenzione all’evoluzione di Mora_001. Mentre in precedenza il gruppo era associato ad attacchi rapidi e all’impiego di SuperBlack subito dopo un attacco informatico, nel 2026 le loro tattiche sono cambiate drasticamente.
Advertising
Invece di un attacco veloce, gli aggressori stanno prediligendo la pazienza, mantenendo l’accesso per mesi piuttosto di affidandosi alla furtività. Si potrebbe anche pensare ad attacchi su commissione, magari finalizzati al furto della proprietà intellettuale. Si ipotizza anche che il gruppo abbia modificato il proprio modello operativo o sia entrato a far parte di un ecosistema ampio, con specifici Initial Access Broker (IaB), e successivi affiliati responsabili di attacchi ed esfiltrazione dei dati.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.