• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Speciale Stampanti
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Sovranità dei dati: perché il controllo conta più della geografia
    • Zero Trust: l’era dell’apocalisse delle patch richiede un isolamento immediato
    • OVHcloud e LTM in partnership per portare l’AI sovrana alle imprese europee
    • AWS supporta la scienza con l’AI open source
    • AI industriale e Physical AI: la nuova sfida per la cybersecurity nel manifatturiero
    • Certificazione ISO/IEC 42001: Bureau Veritas ottiene l’accreditamento Accredia per la governance dell’AI
    • Lightwell si allarga con due nuove soluzioni
    • Proofpoint identifica una nuova tecnica di attacco cloud che aggira i sistemi di rilevamento
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Shadow Campaigns, Unit 42 scopre un’attività di spionaggio globale

    Shadow Campaigns, Unit 42 scopre un’attività di spionaggio globale

    By Redazione LineaEDP06/02/20265 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Da una nuova indagine di Palo Alto Networks emerge l’esistenza un nuovo gruppo di cyber-spionaggio, che Unit 42 traccia come TGR-STA-1030, riferendosi all’attività come “Shadow Campaigns”

    cybersecurity-Unit 42-TA416-SonicWall
    Foto di Daniel Roberts da Pixabay

    Unit 42, il team di threat intelligence di Palo Alto Networks, ha pubblicato una ricerca incentrata su TGR-STA-1030, attore sofisticato allineato a uno stato che ha compromesso infrastrutture governative e critiche in 37 paesi, prendendo di mira quasi una nazione su cinque a livello globale. In particolare, in Europa, secondo i ricercatori sono stati colpiti Germania, Italia, Polonia, Portogallo, Repubblica Ceca, Serbia, Grecia e Cipro.

    Questo attore punta su un targeting ad alta precisione e strumenti personalizzati, anziché sul volume automatizzato. Grazie agli insight di threat intelligence e alla vasta scala di dati delle piattaforme Palo Alto Networks, Unit 42 è stata in grado di individuare queste firme a livello globale prima di collaborare con partner industriali e governativi per allertare le organizzazioni colpite e offrire assistenza per la bonifica.

    Questa indagine rivela un nuovo gruppo di cyber-spionaggio, che Unit 42 traccia come TGR-STA-1030, riferendosi all’attività come “Shadow Campaigns”. I ricercatori ritengono con elevata probabilità che TGR-STA-1030 sia un gruppo allineato a uno stato che opera dall’Asia e che, nel corso dell’ultimo anno, abbia compromesso organizzazioni governative e infrastrutture critiche in 37 paesi. Ciò significa che circa un paese su cinque ha subìto una violazione critica da parte di questo gruppo negli ultimi dodici mesi. Inoltre, tra novembre e dicembre 2025, sono state osservate attività di ricognizione attiva da parte del Gruppo contro infrastrutture governative associate a 155 paesi.

    Maggiori dettagli sulla ricerca di Unit 42

    Unit 42 ha identificato per la prima volta TGR-STA-1030 (alias UNC6619) indagando su un gruppo di campagne di phishing dannose, “Shadow Campaigns” che prendevano di mira i governi europei a inizio 2025. Il prefisso TGR-STA indica un gruppo temporaneo di attività allineate a uno stato, mentre i ricercatori continuano a perfezionare l’attribuzione a un’organizzazione specifica.

    Dall’indagine iniziale, sono state identificate infrastrutture dell’attore risalenti a gennaio 2024, suggerendo che il gruppo sia attivo da almeno due anni. Nell’ultimo anno, è stata monitorata con particolare attenzione la sua evoluzione, che ha portato alla compromissione di:

    · Cinque enti nazionali di polizia/controllo delle frontiere

    · Tre ministeri delle finanze e vari altri ministeri governativi

    · Vari dipartimenti a livello globale, con funzioni economiche, commerciali, di risorse naturali e diplomatiche

    Con forte probabilità, Unit 42 considera TGR-STA-1030 un gruppo allineato a uno stato che opera dall’Asia, basandosi sui seguenti risultati:

    · Utilizzo frequente di strumenti e servizi dell’area

    · Preferenze di impostazione della lingua

    · Targeting e tempistiche che si allineano regolarmente con eventi di interesse per la region

    · Connessioni a monte con infrastrutture operative originate dalla region

    · Attività dell’attore che si allineano regolarmente con il fuso orario GMT+8

    Inoltre, è stato scoperto che uno degli attaccanti utilizza il nickname “JackMa”, un possibile riferimento al fondatore di Alibaba Group e Yunfeng Capital, uomo d’affari miliardario e filantropo.

    Nel corso dell’ultimo anno, il gruppo ha aumentato sostanzialmente i suoi sforzi di scansione e ricognizione, facendo evolvere nei fatti il suo approccio, passando dall’invio di email di phishing allo sfruttamento di vulnerabilità per l’accesso iniziale.

    L’esempio più emblematico di questa attività è stata l’osservazione del gruppo che ha scansionato infrastrutture in 155 paesi tra novembre e dicembre 2025.

    I ricercatori hanno anche osservato il successo del gruppo nel compromettere diverse organizzazioni governative e infrastrutture critiche a livello globale, valutando come, nell’ultimo anno, il gruppo abbia compromesso almeno 70 organizzazioni in 37 paesi. Gli attaccanti sono stati in grado di mantenere l’accesso a diverse entità colpite per mesi.

    Tra le organizzazioni compromesse ci sono ministeri e dipartimenti dell’interno, degli affari esteri, delle finanze, del commercio, dell’economia, dell’immigrazione, dell’industria mineraria, della giustizia e dell’energia. Non solo, questo gruppo ha compromesso il parlamento di una nazione e un alto funzionario eletto di un’altra oltre ad aziende di telecomunicazioni a livello nazionale e diverse organizzazioni nazionali di polizia e antiterrorismo.

    Sebbene possa perseguire obiettivi di spionaggio, i suoi metodi, obiettivi e la scala delle operazioni sono allarmanti, con potenziali conseguenze a lungo termine per la sicurezza nazionale e i servizi essenziali.

    Monitorando attentamente la tempistica delle sue operazioni, abbiamo tratto correlazioni tra diverse delle sue campagne ed eventi del mondo reale che alimentano le valutazioni sulle potenziali motivazioni del gruppo.

    Focus sull’Europa

    Durante tutto il 2025, TGR-STA-1030 ha intensificato la sua attenzione sulle nazioni europee. A luglio 2025, ha dedicato uno sforzo concertato alla Germania, dove ha avviato connessioni a oltre 490 indirizzi IP che ospitano infrastrutture governative.

    Ad agosto 2025, il Presidente ceco Petr Pavel ha incontrato privatamente il Dalai Lama durante un viaggio in India e nelle settimane successive, è stata osservata una scansione generale dell’infrastruttura governativa ceca, inclusi Esercito, Polizia, Parlamento e Ministeri dell’Interno, delle Finanze e degli Affari Esteri.

    A inizio novembre, una fonte di notizie tibetana ha annunciato che il presidente ceco avrebbe anche co-patrocinato il gala per il 90° compleanno del Dalai Lama. Poco dopo, abbiamo assistito a un secondo ciclo di scansione focalizzato strettamente sul sito web del presidente ceco.

    Separatamente, a fine agosto, il gruppo ha dedicato uno sforzo concertato all’infrastruttura dell’Unione Europea, tentando di connettersi a oltre 600 indirizzi IP che ospitano domini *.europa[.]eu.

    Oltre alle attività di ricognizione, Unit 42 ritiene che il gruppo abbia probabilmente compromesso enti governativi in paesi quali Cipro, Repubblica Ceca, Germania, Grecia, Italia, Polonia, Portogallo e Serbia, compromettendo almeno un ministero delle finanze dove ha cercato di raccogliere intelligence sullo sviluppo internazionale sia dal paese colpito che dall’Unione Europea.

    palo alto networks
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Zero Trust: l’era dell’apocalisse delle patch richiede un isolamento immediato

    14/07/2026

    AI industriale e Physical AI: la nuova sfida per la cybersecurity nel manifatturiero

    14/07/2026

    Proofpoint identifica una nuova tecnica di attacco cloud che aggira i sistemi di rilevamento

    13/07/2026
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    TrendAI rafforza l’ecosistema: partnership, competenze e innovazione per la cybersecurity del futuro
    TrendAI punta sul canale: competenze, consulenza e servizi gestiti al centro della strategia
    Perché sono importanti i protocolli?
    Titanium: l’evoluzione del Motion Control
    IA in azienda: obblighi normativi, governance e protezione dei dati
    Defence Tech

    Zero Trust: l’era dell’apocalisse delle patch richiede un isolamento immediato

    14/07/2026

    AI industriale e Physical AI: la nuova sfida per la cybersecurity nel manifatturiero

    14/07/2026

    Proofpoint identifica una nuova tecnica di attacco cloud che aggira i sistemi di rilevamento

    13/07/2026

    Cybersecurity, come rendere visibile il suo valore al business

    10/07/2026
    Report

    Frodi basate sull’IA: cresce la risposta delle aziende con difese intelligenti

    09/07/2026

    Servizi di consulenza: i commercialisti italiani sono indietro

    07/07/2026

    Data center: nell’era dell’AI il rischio non è solo tecnologico

    06/07/2026

    IA in crescita, ma il ROI dipende dalla preparazione delle persone

    29/06/2026
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    LineaEDP è una testata giornalistica appartenente al gruppo BitMAT Edizioni, una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2026 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.