Attacco hacker cinese Webworm che spia la PA italiana

Francesco Polimeni
Attacco-hacker-cinese-Webworm-che-spia-la-PA-italiana

Articolo Aggiornato il 02/06/2026 da Francesco Polimeni

Attacco Hacker Cinese: un’analisi tecnica di ESET Research svela le nuove tecniche di infiltrazione del gruppo hacker cinese noto come Webworm. L’APT filocinese, che nel 2025 ha intensificato le sue attività di cyber spionaggio in Italia e in Europa, ha colpito un’entità della Pubblica Amministrazione italiana, sfruttando backdoor su Discord, Microsoft OneDrive e server cloud compromessi.

Attacco Hacker cinese in Italia: dati della PA nel mirino

L’indagine dei ricercatori ha portato alla luce un dettaglio di particolare allarme per il nostro Paese. Analizzando un bucket AWS S3 compromesso e utilizzato dagli aggressori come deposito per configurazioni e esfiltrazione dati cloud, è stato identificato uno snapshot di una macchina virtuale appartenente a un’entità governativa italiana.

Cyber Spionaggio: Il Wi-Fi Rivela Più di Quanto Pensiamo

Le reti wireless rappresentano un vettore di attacco spesso sottovalutato. Scopri come le connessioni Wi-Fi possano essere sfruttate per attività di spionaggio informatico e quali vulnerabilità nascondono le reti apparentemente sicure.

Leggi l’approfondimento

Questo ritrovamento suggerisce che il gruppo hacker Webworm sia riuscito a penetrare, almeno parzialmente, negli ambienti responsabili della gestione delle infrastrutture virtuali, sfruttando credenziali rubate o configurazioni di sicurezza inadeguate del provider, come documentato in dettaglio anche da Wired Italia.

Tecniche “fuori dagli schemi”: addio ai vecchi malware

Ciò che rende Webworm particolarmente insidioso è l’abbandono dei tradizionali Remote Access Trojan (RAT) a favore di strumenti che si mimetizzano perfettamente nel traffico di rete legittimo. Nel corso del 2025, il gruppo ha introdotto due nuove backdoor altamente evasive:

  • EchoCreep: sfrutta i server di Discord per la comunicazione Command and Control (C&C). Gli hacker inviavano comandi crittografati e ricevevano dati rubati attraverso messaggi diretti, eludendo i firewall aziendali. I ricercatori di ESET hanno decrittato oltre 400 messaggi, ricostruendo l’intera mappa delle vittime di questa backdoor Discord EchoCreep.
  • GraphWorm: utilizza le API di Microsoft Graph e gli endpoint di OneDrive. Questo malware Microsoft OneDrive crea cartelle specifiche nel cloud della vittima per nascondere file malevoli e scaricare istruzioni operative, rendendo il traffico di esfiltrazione quasi indistinguibile da una normale attività d’ufficio su Microsoft 365.

Attacco Hacker Cinese: un’infrastruttura occulta e “parassita”

Oltre alle backdoor, questo APT filocinese utilizza una rete complessa di proxy personalizzati (come WormFrp e ChainWorm) per rimbalzare il traffico e nascondere la propria origine geografica. Particolarmente cinica è la strategia di esfiltrazione: il gruppo carica i dati rubati su bucket S3 compromessi di terzi, facendo ricadere sull’ignaro proprietario del servizio i costi del traffico e dello storage.

Grazie all’analisi, ESET ha già collaborato alla disattivazione di repository GitHub malevoli e bucket S3 utilizzati come basi operative per queste minacce ibride e cyber warfare.

Il contesto: l’Italia bersaglio strategico

L’attività di Webworm non è un evento isolato, ma si inserisce in un trend più ampio, confermando l’allerta hacker Cina Europa. Solo nelle ultime settimane, le ultime notizie cyber security Italia hanno riportato gravi attacchi alla PA attribuiti ad altri gruppi di alto profilo, come il noto Salt Typhoon. L’Italia è ormai un bersaglio strategico per lo spionaggio digitale mirato ad accedere a dati governativi sensibili, infrastrutture critiche e proprietà intellettuale.

Come difendersi dall’attacco hacker: le raccomandazioni del CSIRT Italia

Di fronte a minacce che abusano di servizi legittimi, i tradizionali antivirus non sono più sufficienti. Il CSIRT Italia e gli esperti di settore raccomandano di elevare la sicurezza informatica nella Pubblica Amministrazione italiana adottando misure proattive:

  • Monitoraggio avanzato del cloud: implementare log e alert per rilevare attività anomale su Microsoft 365, OneDrive e ambienti AWS (es. accessi da IP insoliti o sessioni di caricamento di grandi dimensioni).
  • Adozione di servizi MDR (Managed Detection and Response): affidarsi a team di sicurezza h24 in grado di identificare comportamenti sospetti in tempo reale, anche quando il traffico di rete sembra legittimo.
  • Revisione delle policy di rete: limitare o monitorare rigorosamente l’uso di applicazioni di messaggistica (come Discord) o strumenti di sviluppo non autorizzati sui dispositivi aziendali.

La notizia, certificata dai dati tecnici di ESET e approfondita dalle principali testate specializzate, sottolinea l’urgenza di elevare la soglia di attenzione nazionale sulla resilienza informatica.

Domande Frequenti (FAQ) su Webworm e Cyber Spionaggio

Chi è il gruppo hacker Webworm?

Webworm (noto anche come Space Pirates o UAT-8302) è un gruppo APT (Advanced Persistent Threat) filocinese attivo nel cyber spionaggio. Secondo il report di ESET del 2026, ha spostato il suo focus operativo dall’Asia all’Europa, colpendo entità governative e organizzative in Italia, Belgio, Polonia, Serbia e Spagna.

Come ha colpito con un attacco hacker la Pubblica Amministrazione italiana?

I ricercatori di sicurezza hanno individuato uno snapshot di una macchina virtuale appartenente a un’entità governativa italiana all’interno di un bucket Amazon Web Services (AWS) S3 compromesso. Gli aggressori utilizzavano questo spazio di archiviazione come deposito temporaneo per i dati esfiltrati e le configurazioni delle loro operazioni.

Quali tecniche di attacco utilizza Webworm?

Il gruppo ha abbandonato i classici malware per adottare backdoor altamente evasive che sfruttano servizi di rete legittimi. Tra queste spiccano EchoCreep, che utilizza i server Discord per le comunicazioni di comando e controllo (C&C), e GraphWorm, che sfrutta le API ufficiali di Microsoft OneDrive per nascondere il traffico di esfiltrazione dati, rendendolo quasi indistinguibile da una normale attività d’ufficio.

Come possono difendersi le organizzazioni da questi attacchi?

Il CSIRT Italia e gli esperti di cybersecurity raccomandano tre azioni principali: il monitoraggio avanzato dei log cloud (su ambienti come AWS e Microsoft 365) per rilevare accessi anomali; l’adozione di servizi di Managed Detection and Response (MDR) per l’identificazione tempestiva delle minacce; e una rigorosa revisione delle policy di rete aziendale per limitare o bloccare l’uso di applicazioni non autorizzate (come Discord) sui dispositivi di lavoro.

Clicca per votare questo articolo!
[Voti: 1 Media: 5]

Autore

  • Francesco Polimeni è un esperto riconosciuto nel campo del Technical Surveillance Counter Measures (TSCM), con oltre trent'anni di esperienza nel settore della sicurezza e del controspionaggio.

    Dopo una carriera come agente della Polizia di Stato, ha fondato Polinet S.r.l. a Roma, un'azienda leader nelle bonifiche elettroniche e nella vendita di dispositivi di sorveglianza.

    Dal 2001 è Amministratore Unico della Polinet S.r.l., tra le società leader in Italia esperte in tecnologie di Controsorveglianza e Anti Intercettazioni.

    La sua specializzazione include la bonifica di microspie in ambienti privati e professionali, nonché la rimozione di localizzatori GPS nascosti nei veicoli.

    Polimeni è anche un volto noto nei media italiani, avendo partecipato a numerose trasmissioni televisive di rilievo come "Porta a Porta" e "Matrix", dove è spesso invitato come esperto per discutere di tematiche legate alla sicurezza delle informazioni e al controspionaggio.

    La sua attività non si limita alla capitale; infatti, offre i suoi servizi di bonifica in tutta Italia, mantenendo un alto livello di riservatezza e professionalità in ogni intervento.

    Francesco Polimeni è iscritto al Ruolo Periti ed Esperti dalla C.C.I.A.A. di Roma al numero *** RM-2368 *** quale "Esperto in Sistemi di Prevenzione del Crimine".

    Competenze chiave:

    - Bonifiche elettroniche e rimozione di dispositivi di sorveglianza

    - Consulenze tecniche per la prevenzione del crimine

    - Utilizzo di tecnologie avanzate per il rilevamento di localizzatori GPS

    - Esperienza pluriennale nel settore TSCM e controspionaggio

    Titolare della Licenza Ministeriale ex Art. 28 T.U.L.P.S., rilasciata dalla Prefettura di Roma, che autorizza la vendita e manutenzione di materiale per le Forze Armate e le Forze di Polizia. Certificato NATO NCAGE AL332 nel NATO Codification System, riconosciuto come fornitore ufficiale per le Amministrazioni della Difesa e gli Enti Governativi NATO. Qualificato MEPA/Consip e iscritto all'Albo Fornitori Carabinieri e al registro del Ministero della Difesa.

    - Licenza Ministeriale ex Art. 28 T.U.L.P.S.
    - Certificazione NATO NCAGE AL332
    - Fornitore qualificato MEPA/Consip — Ministero della Difesa
    - Albo Fornitori Carabinieri

    Visualizza tutti gli articoli

Related posts

Leave a Comment