Hacktivisti arrestati in Spagna e attacchi a giganti tech: come vishing e ransomware colpiscono l’Europa e il Giappone

Nella stessa finestra temporale, tre episodi molto diversi tra loro raccontano la stessa cosa: la superficie d’attacco globale non si allarga solo perché aumentano le vulnerabilità tecniche, ma perché cambiano i punti di presa. In Spagna la Guardia Civile arresta quattro sospetti legati al collettivo Anonymous Fénix per una campagna di attacchi DDoS contro siti governativi e istituzioni pubbliche. Negli Stati Uniti Optimizely conferma una data breach nata da un attacco di vishing, cioè phishing vocale, e avverte i clienti di potenziali tentativi di follow-up. In Giappone Advantest, attore critico nella catena dei semiconduttori, isola parte della rete dopo attività anomale e riconosce che un terzo ha distribuito ransomware in porzioni dell’infrastruttura. Sono tre storie che, lette insieme, delineano la traiettoria del 2026: l’hacktivismo torna a usare l’interruzione come arma politica, il social engineering diventa l’accesso preferito ai sistemi “ben protetti”, e il ransomware continua a cercare aziende dove il fermo operativo costa più del riscatto. In mezzo, si intravede un elemento comune: l’attacco efficace non è quello più sofisticato in assoluto, ma quello che intercetta il punto di frizione reale tra tecnologia e persone, tra governance e infrastruttura, tra pressione mediatica e procedure operative.

Anonymous Fénix: l’hacktivismo che sceglie il DDoS come megafono

La Spagna riporta al centro un fenomeno che negli anni sembrava alternare picchi e silenzi: l’hacktivismo organizzato attorno a identità “di rete”, capace di usare il rumore come strumento e la propaganda come moltiplicatore. Le autorità spagnole detengono quattro individui ritenuti legati a Anonymous Fénix, gruppo che rivendica l’affiliazione all’universo Anonymous e che ha concentrato la propria attività su attacchi DDoS contro siti governativi, ministeri, partiti e istituzioni pubbliche, con un raggio d’azione che si estende anche al Sud America. Il dettaglio temporale è rilevante: gli attacchi iniziano nell’aprile 2023, ma la campagna si intensifica dopo le inondazioni DANA che colpiscono Valencia nel 2024. Il gruppo, secondo la ricostruzione, lega apertamente la propria azione a una narrativa di responsabilità politica, accusando le autorità per vittime e danni e trasformando la tragedia in un catalizzatore di reclutamento. È una dinamica classica del conflitto informativo: l’evento traumatico diventa carburante per l’azione digitale, e l’azione digitale diventa prova di “presenza” politica. Qui la tecnologia è quasi secondaria. Il DDoS non serve a rubare dati, non serve a monetizzare, non serve a persistere. Serve a fermare, a mostrare, a costringere istituzioni e media a guardare. Ed è per questo che i canali di diffusione contano quanto gli strumenti d’attacco. Anonymous Fénix, come spesso accade, accompagna le offensive con messaggi su X e Telegram, reclutando “volontari” e amplificando la portata del disturbo. Quando un attacco è presentato come causa, la partecipazione diventa parte del messaggio. La risposta delle autorità si concentra infatti anche sulla componente comunicativa. I tribunali spagnoli ordinano il sequestro di account social attribuiti al gruppo, inclusi profili su X e YouTube, e la chiusura del canale Telegram. Non è un dettaglio burocratico: significa colpire la capacità del collettivo di coordinare e di mantenere il mito della propria continuità. Per un gruppo che vive di identità e di flusso, interrompere i canali è interrompere il reclutamento, quindi la capacità di “distribuire” la pressione. La geografia degli arresti racconta, a sua volta, come questi collettivi si muovono: non un unico centro, ma nodi distanti. Gli arresti citati avvengono in aree come Alcalá de Henares vicino Madrid e Oviedo nelle Asturie, con altri fermati a Ibiza e Móstoles. Nel maggio 2025, sempre secondo quanto emerge, erano già stati arrestati un amministratore e un moderatore. La lettura operativa è chiara: le autorità stanno lavorando sul lato organizzativo, su chi gestisce infrastrutture e moderazione, cioè su chi trasforma la folla in campagna.

Perché il DDoS resta efficace nel 2026

È facile liquidare il DDoS come “attacco rumoroso”, ma l’efficacia non è solo tecnica. Un DDoS è efficace quando colpisce obiettivi dove il downtime è simbolico, oppure quando l’infrastruttura pubblica è ancora fragile nella gestione dei picchi. Le amministrazioni spesso comunicano servizi, bandi, comunicati, emergenze e procedure tramite portali che non sono progettati come infrastrutture critiche, eppure lo diventano nella percezione del cittadino. In questo senso, interrompere un sito istituzionale nel momento di massima tensione sociale significa colpire la fiducia, non la rete. C’è un secondo aspetto: l’hacktivismo contemporaneo usa il DDoS anche come prova di adesione. Reclutare persone perché “partecipino” a un attacco, anche con strumenti elementari, costruisce identità. E l’identità, in rete, è spesso la vera moneta. Se il gruppo riesce a presentare ogni down come “successo”, anche poche ore di disservizio diventano un fatto politico.

Optimizely: la breach che nasce dal vishing e dall’abuso della fiducia

Se Anonymous Fénix rappresenta la dimensione politica del disturbo, Optimizely rappresenta la dimensione industriale della frode: entrare senza forzare una vulnerabilità, ma convincendo una persona a fare il gesto sbagliato. L’azienda, attiva nel settore ad tech e martech, conferma di aver rilevato un’intrusione l’11 febbraio 2026 e di aver avviato una risposta contenitiva. La caratteristica che colpisce non è solo l’ingresso, ma la dichiarazione di perimetro: l’accesso sarebbe rimasto limitato a contatti business e documenti interni legati a processi back-office, senza evidenza di accesso a dati sensibili dei clienti o a informazioni personali. Qui la parola che cambia la prospettiva è vishing. Nel phishing tradizionale l’attaccante spera che la vittima clicchi; nel vishing l’attaccante costruisce pressione in tempo reale, usa tono, urgenza, ruolo, e spesso simula un canale “ufficiale”. È l’attacco che sfrutta la cultura aziendale: l’idea che il supporto IT “ti può chiamare”, che un incidente “si risolve subito”, che la sicurezza “non deve rallentare il lavoro”. In un contesto di autenticazione forte, l’essere umano non è più il punto debole astratto: diventa il punto di accesso. Optimizely afferma che gli attaccanti non avrebbero escalato privilegi, non avrebbero installato software, non avrebbero creato backdoor. Questa descrizione è interessante perché indica un pattern già visto nel 2025 e che nel 2026 diventa quasi standard: entrare, prendere ciò che serve, uscire prima che la telemetria produca un quadro completo. Se l’obiettivo è la monetizzazione tramite estorsione o rivendita di contatti e documenti, l’attaccante non ha interesse a persistere. Ha interesse a rimanere “leggero”, e il vishing è perfetto per accessi rapidi. Il secondo elemento importante è l’avviso ai clienti. Optimizely mette in guardia contro possibili tentativi di phishing successivi, via email, SMS o chiamate, in cui gli attaccanti potrebbero chiedere password, codici MFA o credenziali. Questo è un punto spesso sottovalutato: molte breach non finiscono con l’accesso iniziale, ma aprono un’onda di attacchi opportunistici. I contatti business rubati diventano liste di bersagli credibili. Il documento interno sottratto diventa contesto per rendere una truffa plausibile. La breach si trasforma in un kit per la prossima. Nel testo emergono anche riferimenti a un ecosistema criminale che usa queste tecniche su scala, con collegamenti suggeriti a gruppi noti e a campagne di estorsione che avrebbero colpito numerose organizzazioni ad alta visibilità. Il punto, però, non è attribuire con certezza. Il punto è comprendere la direzione: il social engineering si sta specializzando su flussi moderni di identità, dove l’utente non consegna più “solo” la password, ma viene convinto a concedere un token, un codice, un’approvazione.

Il rischio “device code” e l’attacco ai sistemi SSO

Una parte del racconto attorno a questi incidenti riguarda l’uso di meccanismi come il device code nel contesto OAuth, che permette di completare autenticazioni su dispositivi separati. È una funzione legittima, pensata per facilitare login su device con input limitato, ma può diventare un’arma se un attaccante convince la vittima a inserire un codice su una pagina controllata. Il risultato è l’ottenimento di token validi per servizi come Microsoft Entra e l’accesso a una costellazione di piattaforme collegate, da CRM a collaboration suite. In questi scenari, la difesa non è solo MFA “attiva”. La difesa è la capacità dell’azienda di riconoscere e bloccare pattern di autorizzazione anomali, e di addestrare le persone a diffidare dell’urgenza. Optimizely, secondo la ricostruzione, mantiene l’operatività senza disruption. Questo è un indicatore di maturità della risposta: contenere, isolare, verificare, comunicare. Ma il fatto stesso che l’accesso sia nato da un gesto umano ricorda che, nel 2026, la sicurezza è un equilibrio tra tecnologia e comportamento. E quando un’azienda lavora con clienti globali e grandi brand, la posta in gioco non è solo il dato sottratto: è la credibilità del canale.

Advantest: ransomware su un nodo critico della supply chain dei semiconduttori

Il terzo episodio è quello che, potenzialmente, ha le implicazioni più ampie sulla filiera industriale. Advantest, azienda giapponese leader nelle attrezzature di test per semiconduttori, rileva attività anomale il 15 febbraio 2026, isola rapidamente sistemi impattati e ingaggia esperti esterni per valutare la portata. L’azienda riconosce che un terzo ha ottenuto accesso non autorizzato a porzioni della rete e ha distribuito ransomware. In un settore dove la continuità operativa è tutto, il ransomware non è solo un attacco informatico: è una leva economica. Advantest opera in una catena dove ogni ritardo può riflettersi a valle su produzione, validazione e time-to-market. Il fatto che l’azienda dichiari di aver continuato le operazioni è positivo, ma non elimina il rischio: quando un attaccante entra in una rete industriale, il tema non è solo “cosa è stato cifrato”, ma “cosa è stato visto”, “cosa è stato copiato”, “cosa potrebbe essere usato come leva”. Il profilo industriale di Advantest rende il caso sensibile. Nel testo si parla di ricavi annui oltre 4,58 miliardi di euro, di circa 7.600 dipendenti e di una capitalizzazione elevata. Questi numeri hanno un significato preciso per i ransomware operator: definiscono la capacità di pagamento, la pressione reputazionale e il valore di eventuali dati tecnici. Anche quando non c’è conferma di esfiltrazione, l’azienda deve agire come se fosse possibile, perché l’obiettivo del ransomware moderno non è più solo cifrare, ma doppia estorsione, e spesso persino tripla: dati, downtime, pressione sui partner. Advantest dichiara di non avere, al momento, conferme di furto dati e di riservarsi aggiornamenti in base agli esiti dell’indagine. È la comunicazione tipica di un incidente in corso: prudente, tecnica, orientata alla verifica. C’è anche un passaggio importante: la promessa di notificare le persone impattate se emergono coinvolgimenti di dati di clienti o dipendenti, offrendo guidance su misure protettive. Qui si vede come l’Incident Response sia ormai anche compliance e relazione con stakeholder, non solo attività tecnica.

Il contesto giapponese e la pressione sugli obiettivi industriali

Il caso Advantest si inserisce in un contesto più ampio di attacchi contro aziende giapponesi, con nomi citati come Nissan e NTT e altri incidenti recenti nel Paese. Anche senza ricostruire ogni evento, il senso è evidente: la pressione ransomware e data-extortion su obiettivi industriali e servizi cresce perché le aziende sono sempre più connesse, perché la supply chain è globalizzata, e perché la finestra di ricatto è più efficace quando colpisce nodi essenziali. Nel settore dei semiconduttori, inoltre, esiste una dimensione geopolitica implicita. La disponibilità di hardware, la capacità produttiva e la resilienza delle catene di test e validazione sono parte della competizione tecnologica globale. Un ransomware non deve necessariamente essere “geopolitico” per produrre effetti geopolitici. Basta che rallenti.

Tre incidenti, tre motivazioni, una sola fragilità: l’accesso

La differenza tra i tre casi è netta. Anonymous Fénix usa il DDoS come strumento politico e simbolico, con l’obiettivo di creare disservizio e attenzione, spingendo sul reclutamento via social e sulla narrativa legata a eventi reali come DANA. Optimizely subisce un ingresso tramite vishing, con obiettivi verosimilmente legati a monetizzazione e sfruttamento successivo, e concentra la risposta sul contenimento e sull’avviso ai clienti per prevenire phishing di follow-up. Advantest affronta un classico scenario ransomware, con isolamento rapido, esperti esterni e valutazione degli impatti, in un settore dove l’interruzione è una leva finanziaria immediata. Eppure il filo comune resta l’accesso. Nel DDoS, l’accesso è la capacità di coordinare volontari e infrastrutture di traffico. Nel vishing, l’accesso è la fiducia in un interlocutore e la debolezza dei processi di verifica. Nel ransomware, l’accesso è una falla nella segmentazione, nella gestione delle credenziali, nella postura di rete o nei controlli di lateral movement. Cambiano gli strumenti, ma la sostanza è identica: il sistema cede dove la barriera è progettata per la normalità e non per l’avversario. Nel 2026, questa è la lezione più concreta: non basta avere tecnologia, serve disegnare la sicurezza per il comportamento reale. Il pubblico istituzionale va protetto non solo con mitigazioni, ma con resilienza comunicativa e architetture che reggono gli shock. Le aziende devono considerare la voce e la chat come vettori d’attacco, non come canali “umani” fuori dalla threat model. Le industrie critiche devono trattare ogni accesso anomalo come potenziale compromissione profonda, e investire in isolamento, backup non raggiungibili, telemetria e capacità di ripristino sotto pressione.