È stata individuata dal CERT-AGID una nuova campagna di phishing a tema SPID finalizzata ad acquisire, in modo fraudolento, dati personali e bancari.

La campagna di phishing viene diffusa tramite email ingannevole con oggetti del tipo “Importante: Conferma i tuoi dati SPID” oppure “Verifica richiesta per la tua identità digitale” che invitano l’utente ad accedere alla propria area privata per controllare ed eventualmente aggiornare le informazioni fornite per l’utilizzo di SPID. Il link presente nel corpo dell’email rimanda a un finto portale SPID ospitato su Google Sites.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 63 campagne malevole, di cui 46 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 487 indicatori di compromissione (IoC) individuati.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 55 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 634 indicatori di compromissione (IoC) individuati.

A differenza di bug passati, Ni8mare non richiede credenziali. Un attaccante remoto può sfruttare un difetto nel modo in cui n8n gestisce le richieste ai webhook e ai nodi Form per ottenere accesso non autorizzato al server, estrarre file locali, generare credenziali amministrative e infine comandare l’istanza.

Il CERT-AGID ha individuato una nuova campagna di phishing, attualmente attiva, che sfrutta il loghi del Sistema Tessera Sanitaria, e il nome del Ministero della Salute.

Il CERT-AGID ha avuto evidenza di un dominio malevolo, di recente registrazione, utilizzato per ospitare un falso portale del Ministero dell’Interno (con riferimenti anche alla Polizia di Stato). Il sito si presenta come servizio di verifica dello stato di accettazione o validità del Nulla Osta per pratiche amministrative legate all’immigrazione.​

Venerdì 19 dicembre è stata resa pubblica, direttamente dal team di n8n, una vulnerabilità critica di esecuzione remota di codice, identificata come CVE-2025-68613, con punteggio CVSS 9.9/10. La falla interessa diverse versioni di n8n precedenti alle patch di sicurezza rilasciate a dicembre 2025 (v1.122.0).

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 46 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 966 indicatori di compromissione (IoC) individuati.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 62 campagne malevole, di cui 25 con obiettivi italiani e 37 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1293 indicatori di compromissione (IoC) individuati.

È in corso una campagna malevola che sfrutta account email compromessi di enti della Pubblica Amministrazione ed è diretta in modo massivo verso altri utenti della PA.

Dalle segnalazioni raccolte dalle amministrazioni e analizzate dal CERT-AGID, la campagna risulta attiva dall’8 dicembre. I messaggi hanno in genere oggetto e contenuto in lingua inglese, anche se in alcuni casi il corpo del testo è in italiano. I destinatari non sono visibili perché inseriti in CCN. Il messaggio invita l’utente ad aprire uno o più allegati presenti nell’email.