Campagne di spear phishing altamente localizzate e credibili stanno prendendo di mira anche l’Italia, con email su fisco, HR e fatture elettroniche. Il tasso di evasione degli antispam è molto alto grazie a contenuti personalizzati e impersonificazione di enti come Agenzia delle Entrate e previdenza.
Il Threat Actor TA4922 sta spostando le sue attività dal far east all’europa con specifica menzione dell’Italia come target delle loro campagne di spear phishing altamente personalizzato, localizzato perfettamente e con un tasso di evasione dei sistemi antispam altissimo.
Il 3 giugno 2026, Proofpoint ha pubblicato un report dettagliato su questo threat actor di lingua cinese. Vista la qualità della localizzazione delle mail di phishing e l’analisi delle campagne tedesche e inglesi, è ragionevole aspettarsi che il gruppo stia testando o abbia già attivato campagne in lingua italiana impersonando l’Agenzia delle Entrate o istituti previdenziali.
Gli indicatori di compromissione (ne trovate una tabella dettagliata alla fine dell’articolo) evidenziano file malevoli allegati alle mail che fanno riferimento a: comunicazioni urgenti dall’ufficio risorse umane, mancati pagamenti di fatture, comunicazioni urgenti relativi a tasse o tributi non pagati, ecc.
Advertising
Malware utilizzati dal gruppo
Atlas RAT: è un backdoor modulare che copre ricognizione di sistema, esfiltrazione di file, keylogging, cattura screenshot, registrazione audio e video via webcam, e comandi remoti di shutdown/reboot.
RomulusLoader: è il primo stage usato per caricare tool legittimi di remote management come AnyDesk e SyncFuture (un RMM popolare in Cina, usato stranamente anche nelle campagne contro aziende tedesche).
SilentRunLoader: è un loader/stealer che esfiltra dati da Google Chrome (credenziali, cookie, browsing history) verso ws[.]ztts88[.]cyou.
Modelli LLM come acceleratore di sviluppo malware
Proofpoint afferma “con alto grado di confidenza” che TA4922 sta usando modelli AI per sviluppare rapidamente nuovi malware Python. I segnali sono inequivocabili: placeholder non rimossi, commenti strutturati nel codice, ecc. Queste evidenze non equivalgono a dire che i malware siano completamente generati da AI. Ma SilentRunLoader ha tutta l’aria di essere vibe-coded: scritto in fretta, con un LLM come co-pilota, modificato il minimo indispensabile e compilato. Il risultato è funzionale ma lascia tracce.
Le campagne documentate: timeline e metodi
I vettori di accesso iniziale sono quasi sempre gli stessi: email di phishing con allegati ZIP o IMG ospitati su servizi di file sharing legittimi (GoFile, MediaFire, LimeWire). Le mail di phishing sono localizzate e specifiche per settore: buste paga, revisioni fiscali, IVA, comunicazioni HR, fatture elettroniche.
Una sequenza tipica in Germania osservata a metà aprile 2026:
Email che impersona il Finanzamt München con oggetto “Controllo fiscale in corso”
URL a landing page falsa del portale fiscale tedesco
ZIP con eseguibile legittimo (Vulkan Loader) + DLL malevola
Le campagne UK usano invece SilentRunLoader con lure HMRC (Her Majesty’s Revenue and Customs) e benefici governativi.
Fonte: proofpoint
Il fatto che Proofpoint sottolinei esplicitamente che “le capacità di sorveglianza del malware potrebbero essere vendute a gruppi di spionaggio” dice tutto sul livello di attenzione che questo cluster merita.
Advertising
La difesa passa da tre cose: monitorare il traffico verso le porte non standard (886, 1234), bloccare l’esecuzione di processi da %TEMP% e %APPDATA%, e — soprattutto — fare training specifico sulle email che chiedono di spostare la conversazione su WhatsApp o Teams. Quel pattern è il vettore di accesso umano di TA4922. Ed è quello che funziona meglio.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.
Aree di competenza:Cyber Threat Intelligence, Architectural Design, Divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.