Guerra Cibernetica

CIP denuncia le APT che colpiscono l’Ucraina e l’Europa: tutti volti noti per Matrice Digitale

di Livio Varriale
scritto da Livio Varriale 0 commenti

Le minacce cyber continuano a rappresentare uno dei fronti più critici della sicurezza internazionale. Secondo le ultime analisi dell’Agenzia ucraina per la protezione delle informazioni, nel 2025 si è registrata un’escalation di attacchi informatici coordinati da gruppi ostili legati a governi stranieri, finalizzati a destabilizzare infrastrutture critiche, paralizzare servizi pubblici e compromettere la fiducia istituzionale. Queste campagne dimostrano un’evoluzione nella guerra ibrida, in cui l’elemento digitale si combina con operazioni fisiche e disinformazione per amplificare gli effetti strategici. I principali attori — Sandworm, Fancy Bear, Cozy Bear, Armagedon e Gamaredon — impiegano tecniche avanzate di phishing, malware e sabotaggio infrastrutturale, sfruttando vulnerabilità sistemiche e la complessità delle supply chain moderne.

Gruppi ostili identificati

Il gruppo Sandworm, considerato una delle minacce più distruttive, è noto per gli attacchi contro il settore energetico ucraino. Attivo dal 2014 e legato a strutture militari russe, utilizza malware wiper e exploit zero-day per manipolare i sistemi di controllo industriale (SCADA), causando blackout e interruzioni di rete. Il suo impiego di strumenti come Industroyer2 e NotPetya ha lasciato segni indelebili nel panorama della cyberwarfare moderna. Fancy Bear (APT28), anch’esso riconducibile a interessi statali, concentra le proprie attività nello spionaggio politico e militare. Attraverso campagne di spear-phishing mirate, il gruppo ha compromesso account governativi e infrastrutture diplomatiche, sottraendo documenti sensibili e diffondendo leak manipolati per interferire nei processi elettorali. Cozy Bear (APT29) opera con tattiche più stealth: adotta malware trojan e accessi persistenti a lungo termine, infiltrandosi in reti istituzionali e think tank per raccogliere intelligence strategica. Le sue operazioni, spesso coordinate con attacchi di disinformazione, mirano a influenzare decisioni di politica estera e difesa. Armagedon, collegato ai servizi di intelligence bielorussi, indirizza le proprie operazioni contro giornalisti, ONG e media indipendenti, usando malware travestiti da documenti ufficiali per esfiltrare informazioni e monitorare comunicazioni. Infine, Gamaredon, attivo sin dal 2013, mantiene un ritmo elevato di attacchi contro istituzioni finanziarie, enti pubblici e imprese tecnologiche. Il gruppo sfrutta tecniche di phishing di massa e server C2 distribuiti, aggiornando costantemente il proprio arsenale per sfuggire ai controlli di sicurezza.

Target principali degli attacchi

I bersagli privilegiati sono le infrastrutture critiche: reti elettriche, sistemi ferroviari, ospedali, banche e centri di ricerca. Sandworm ha colpito ripetutamente centrali energetiche ucraine, provocando blackout di ore. Fancy Bear ha preso di mira ministeri della difesa e partiti politici, mentre Cozy Bear ha penetrato reti diplomatiche e militari per intercettare comunicazioni riservate. Il gruppo Armagedon ha invece infettato redazioni di media indipendenti e piattaforme umanitarie, con l’obiettivo di censurare contenuti e monitorare flussi di informazione. Gamaredon ha condotto operazioni di furto di credenziali bancarie e sabotaggio logistico, sfruttando vulnerabilità nei sistemi di pagamento. L’obiettivo condiviso è indebolire la resilienza nazionale e minare la fiducia nei servizi essenziali. Gli attacchi alle ferrovie e agli ospedali, per esempio, hanno causato ritardi e rischi per i pazienti, mostrando come la guerra digitale possa produrre effetti fisici e sociali tangibili.

Tecniche di attacco impiegate

I gruppi ostili combinano tecniche classiche e nuove soluzioni AI-driven. Tra le più diffuse:

  • Phishing e spear-phishing personalizzati, potenziati da intelligenza artificiale per generare messaggi credibili e adattati al linguaggio delle vittime.
  • Exploits zero-day e attacchi supply chain, sfruttati da Fancy Bear per compromettere vendor e ottenere accesso a sistemi interni dei clienti.
  • Malware distruttivi, come i wiper impiegati da Sandworm, progettati per cancellare file e rendere inutilizzabili i sistemi.
  • Living-off-the-land attacks, tipici di Cozy Bear, che utilizzano strumenti nativi del sistema operativo (come PowerShell e WMI) per operare senza lasciare tracce evidenti.
  • Spyware mobile e trojan mirati, usati da Armagedon per raccogliere dati su attivisti e politici.
  • Botnet e DDoS distribuiti, creati da Gamaredon per sovraccaricare infrastrutture digitali, spesso coordinati con campagne di disinformazione.

Le operazioni sono precedute da ricognizione accurata (reconnaissance): gli attaccanti mappano reti, scannerizzano porte aperte e sfruttano configurazioni deboli per infiltrarsi. Alcuni gruppi, come Sandworm, sincronizzano gli attacchi cyber con azioni militari sul campo, massimizzando l’impatto operativo e psicologico.

Casi recenti e impatti

Nel 2025, le autorità ucraine hanno documentato una serie di episodi significativi:

  • Gennaio: Sandworm colpisce una centrale elettrica, causando blackout temporanei in due regioni.
  • Febbraio: Fancy Bear viola un ministero, esfiltrando documenti di sicurezza.
  • Marzo: Cozy Bear infetta una rete diplomatica, intercettando comunicazioni riservate.
  • Aprile: Armagedon invia malware camuffati da file stampa a giornalisti indipendenti.
  • Maggio: Gamaredon lancia un massiccio attacco DDoS contro banche ucraine.

A questi episodi si aggiungono nuove sperimentazioni: Sandworm testa malware ibridi in combinazione con droni, Fancy Bear impiega modelli linguistici per email di phishing automatiche, Cozy Bear sfrutta errori di configurazione nel cloud, mentre Armagedon utilizza deepfake video per operazioni di disinformazione. Gamaredon amplia la propria infrastruttura con botnet basate su dispositivi IoT. La crescente adozione di intelligenza artificiale nelle offensive cyber segna un salto qualitativo: gli attacchi diventano più dinamici, adattivi e difficili da rilevare. Le agenzie di sicurezza, in risposta, intensificano l’uso di machine learning per threat detection, ma la corsa tecnologica resta aperta.

Prospettive e contromisure

Le nuove minacce cyber confermano che la difesa digitale non può più limitarsi a barriere statiche. È necessario adottare strategie proattive e multilivello, basate su:

  • Monitoraggio continuo e threat intelligence condivisa tra agenzie internazionali.
  • Aggiornamento costante delle infrastrutture critiche e patch management rigoroso.
  • Educazione degli utenti e simulazioni di phishing per ridurre l’errore umano.
  • Cooperazione tra pubblico e privato per rafforzare la resilienza collettiva.

Gli esperti concordano che le operazioni di Sandworm, Fancy Bear e Gamaredon rappresentano oggi il punto di riferimento della guerra cibernetica moderna: campagne persistenti, integrate e capaci di fondere attacco informatico, manipolazione informativa e sabotaggio fisico.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.