In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 200 campagne malevole, di cui 150 con obiettivi italiani e 50 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1537 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 28 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Tema sfruttato in 107 campagne di phishing italiane, veicolate sia tramite email che sms, e riconducibili a finite comunicazioni da parte di SEND o PagoPA.
2. Ordine – Argomento usato in 11 campagne malware, di cui due italiane, finalizzate alla distribuzione dei malware AgentTesla, Guloader, XWorm, MassLogger, QuasarRAT e Remcos. Utilizzato, inoltre, per una campagna di phishing italiana ai danni di utenti Apple.
3. Rinnovo – Tema impiegato 11 campagne di phishing, di cui cinque italiane, ai danni dei brand Aruba, Register, SiteGround, Tophost, WPX e Wix.
4. Banking – Argomento impiegato in otto campagne di phishing italiane indirizzate a clienti di banche e istituti di rilievo nazionale come Banca d’Italia, Hype, ING, Inbank, Klarna, PayPal e ScalaPay. Sfruttato anche per due campagne, una italiana e l’altra generica, che hanno distribuito i malware Rokarolla ed Herodotus.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Individuate diverse campagne italiane di phishing che abusano del nome e del logo dell’Agenzia Delle Entrate, a tema dichiarazione di cripto-asset digitali. Una campagna, in particolare, presenta un elemento inedito: il flusso si trasforma in corso d’opera in vishing.
• Il CERT-AGID ha riscontrato evidenze di coinvolgimento di enti della Pubblica Amministrazione italiana nel data leak FortiBleed, che ha esposto credenziali di accesso a interfacce SSL VPN e pannelli di amministrazione di apparati FortiGate.
• È in aumento l’abuso di caselle PEC usate per veicolare spam o contenuti malevoli. Da gennaio 2026 ad oggi il CERT-AGID ha gestito, con il supporto dei Gestori PEC, oltre 650 eventi riconducibili a caselle PEC compromesse o registrate per finalità illecite, con un trend in crescita. I dettagli nella news dedicata.
• Il CERT-AGID ha pubblicato un approfondimento sul gruppo Ransomware The Gentlemen. Si tratta di uno dei primi attori malevoli che in meno di un anno è riuscito a rivendicare circa 500 vittime globali ottimizzando i propri flussi di lavoro tramite intelligenza artificiale.

Malware della settimana

Sono state individuate, nell’arco della settimana, 18 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Scoperte una campagna italiana e sei generiche a tema “Pagamenti”, “Prezzi”, “Legale”, “Contratti” e “Preventivo” che hanno sfruttato allegati RAR e ZIP.
2. AgentTesla – Rilevate tre campagne italiane “Ordine”, “Documenti” e “Fattura” e due campagne generiche “Fattura” e “Pagamenti” veicolate tramite archivi TAR e RAR.
3. Guloader – Individuate cinque campagne generiche ad argomento “Ordine” e “Prezzi” diffuse tramite 7Z, XLS, DOCX e VBS.
4. Remcos – Osservate cinque campagne generiche “Ordine”, “Pagamenti” e “Preventivo” che hanno sfruttato file 7Z, TAR, XLS, ZIP.
5. PhantomStealer – Scoperte tre campagne generiche a tema “Booking”, “Contratti” e “Prezzi” che usavano archivi 7Z e RAR.
6. AsyncRat – Rilevate una campagna italiana “Documenti” e una campagna generica “Contratti”, diffuse via allegati RAR e 7Z.
7. XWorm – Individuate due campagne a tema “Ordine”, una italiana e una generica, che hanno sfruttato file ZIP, VBS e XLS.
8. Rilevate due campagne a tema “Banking” mirate a infettare dispositivi Android con i malware Herodotus e Rokarolla.
9. ScreenConnect – Scoperta una campagna generica ad argomento “Delivery” che abusa del tool legittimo per controllare da remoto gli host compromessi e sfrutta allegati PDF contenenti link.
10. Osservate, infine, sette campagne che hanno sfruttato file XLS, RAR, HTML, BAT, TAR, ZIP e DLL per distribuire i malware Lumma Stealer, MassLogger, MintLoader, NeptuneRat, Overlord, PureLogs, QuasarRAT e RedLine

Phishing della settimana

Sono 30 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema SEND e PagoPA.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche