Il briefing della Cyber Security Forum Initiative (CSFI) appare come uno di quei rari momenti in cui l’intelligence smette di fare accademia e consegna una mappa operativa.

Il documento che circola in queste ore tra i professionisti – “Per Teheran, il cyberspazio rimane il dominio più permissivo per imporre costi agli Stati Uniti e ai loro alleati” – non è il solito aggiornamento sulle APT.

È la fotografia di un cambiamento di paradigma che, da CISO, non è possibile ignorare. Viviamo in un’epoca in cui il confine tra pace e conflitto è diventato così poroso da risultare irrilevante.

Le aziende che proteggiamo, anche quelle che operano esclusivamente in Italia senza interessi diretti in Medio Oriente, si trovano improvvisamente proiettate in uno scenario di guerra ibrida. Non per scelta, ma perché l’architettura digitale che difendiamo ogni giorno è diventata, di fatto, terreno di scontro tra potenze.

Oltre la retorica: cosa significa davvero “dominio più permissivo”

Il briefing CSFI individua con precisione chirurgica il punto centrale: per Teheran, il cyberspazio è oggi lo strumento più efficace per “imporre costi” all’Occidente.

Spesso mi chiedono se questa sia una vera novità. In sé forse no, ma lo è il contesto: negli ultimi giorni abbiamo assistito a quella che alcuni osservatori definiscono “la più grande operazione informatica della storia”, con il blackout che ha colpito l’Iran in contemporanea agli attacchi cinetici sul campo.

Quello che colpisce è la consapevolezza con cui gli attori iraniani stanno giocando la loro partita.

Non c’è improvvisazione, ma una strategia chiara che coordina apparati statali, gruppi proxy e hacktivisti.

I gruppi citati nel briefing – APT35, APT42, APT34, MuddyWater, Fox Kitten, CyberAv3ngers – non agiscono in compartimenti stagni.

Sono ingranaggi di un meccanismo progettato per massimizzare l’impatto con risorse limitate.

Lo ha spiegato bene Denis Calderone di Suzu Labs: se APT34, il gruppo di spionaggio più sofisticato, rimane in silenzio durante una crisi, non significa che sia inattiva. Vuol dire, invece, che sta lavorando al preposizionamento: backdoor già installate e accessi consolidati in attesa del momento opportuno per colpire.

L’effetto alone: perché la minaccia riguarda anche noi

C’è un errore che vedo ripetere spesso: la tendenza a considerare i conflitti geopolitici come questioni che riguardano “altri”.

Israele è lontano, gli Stati Uniti sono lontani. Eppure, la logica della guerra ibrida non conosce distanze.

Il documento CSFI elenca obiettivi e modalità con estrema precisione. APT35 (Charming Kitten) si concentra sul furto di credenziali cloud, mentre APT42 conduce spionaggio mirato contro ONG e figure politiche. APT34 e MuddyWater operano con tecniche LOTL (Living Off The Land), usando strumenti legittimi per mimetizzarsi nel traffico normale.

Fox Kitten, invece, punta a compromettere VPN e firewall per garantirsi persistenza.
Ma ciò che preoccupa di più è la menzione di fronti come CyberAv3ngers. Il briefing usa una formula quasi matematica: “esposizione OT + credenziali deboli = impatto sproporzionato”. Non serve essere un bersaglio diretto per finire nel mirino.

Basta essere esposti, avere password deboli o non aver segmentato adeguatamente la rete industriale da quella IT.

Il momento che stiamo vivendo: conferme dalle ultime 72 ore

Mentre scrivo queste riflessioni, le notizie confermano purtroppo i timori. Broadcom Symantec e Carbon Black hanno reso pubblico che MuddyWater era già attiva sulle reti di una banca statunitense e di un aeroporto fin dall’inizio di febbraio.

Il dettaglio che merita attenzione è il backdoor Dindoor, uno strumento che esegue attraverso Deno, il runtime JavaScript.

È la dimostrazione che la preparazione iraniana investe nello sviluppo di capacità nuove, progettate per eludere le firme dei tradizionali sistemi di rilevamento.

Usano Rclone per l’esfiltrazione e certificati rubati per firmare il malware: tutto sembra legittimo finché non si scava a fondo.

Secondo le analisi di Flashpoint, gruppi come Handala hanno già colpito sistemi di controllo industriale israeliani, mentre la “Cyber Islamic Resistance” sta conducendo attacchi DDoS e wiper contro fornitori logistici.

Spesso mi chiedono se queste attività possano estendersi all’Europa. La domanda corretta, purtroppo, non è “se”, ma “quando” o da quanto tempo.

Ascoltare il silenzio: l’arte di leggere tra le righe

Uno dei passaggi più inquietanti del briefing CSFI è implicito. Quando leggiamo che alcuni gruppi operano e altri tacciono, stiamo guardando solo ciò che è visibile. Ma l’intelligence funziona anche su ciò che non si vede.

La vera minaccia non è sempre quella che fa rumore.

APT34 che si acquieta nel momento di massima tensione non è un segnale di inerzia, ma l’indizio di un’operazione in modalità stealth.

Questa è una lezione che ogni CISO dovrebbe interiorizzare: la nostra attenzione è attratta dagli allarmi che suonano, ma il lavoro più difficile è cercare le backdoor dormienti e gli accessi legittimi usati in modo improprio.

La dimensione OT: il tallone d’Achille

Il briefing menziona esplicitamente il mondo OT (Operational Technology) con una preoccupazione che condivido.

CyberAv3ngers ha già dimostrato di saper colpire sistemi di controllo industriale scarsamente protetti, come acquedotti e impianti energetici. La loro strategia è cercare i punti in cui la maturità della sicurezza è più bassa, sapendo che l’impatto potenziale è enorme.

Da CISO che ha lavorato in contesti produttivi internazionali, so quanto sia complesso proteggere l’OT.

Sono sistemi progettati decenni fa per l’affidabilità, non per la sicurezza, con cicli di vita lunghissimi e patch difficili da applicare. In questi casi, la soluzione è partire dai fondamentali: i SANS ICS 5 Critical Controls restano una guida insostituibile.

Visibilità, segmentazione e backup immutabili non sono opzioni, sono necessità di sopravvivenza.

La priorità numero uno: l’identità come nuovo perimetro

Il documento CSFI è chiaro sulle priorità: “MFA resistente al phishing per utenti ad alto rischio”.

Spesso mi chiedono perché l’autenticazione multifattore tradizionale non basti più.
L’esperienza di Yale University è emblematica: anche con sistemi push, gli utenti venivano ingannati e approvavano richieste fraudolente.

La risposta oggi è adottare FIDO2 e passkey che leghino fisicamente l’autenticazione al dispositivo.

Il briefing parla anche di abusi di OAuth e accessi amministrativi sospetti. Le caselle di posta sono il tesoro di un’organizzazione: contengono segreti, allegati e credenziali.

Una volta compromesse, diventano la piattaforma perfetta per la fase successiva dell’attacco.

Il patching come disciplina e la caccia alle minacce

Il tempo di “breakout” medio di un attaccante è oggi stimato in soli 51 secondi. In meno di un minuto, un adversary può passare dal primo accesso allo spostamento laterale.

Contro questi ritmi, il patching mensile è semplicemente inadeguato. Se una vulnerabilità è nota e sfruttata (KEV), l’obiettivo deve essere chiuderla in ore. Allo stesso tempo, non possiamo più aspettare che un antivirus rilevi un malware noto.

Dobbiamo cercare attivamente i comportamenti: script PowerShell codificati, task schedulati anomali o l’uso improprio di WMI.

Questo richiede una scelta strategica: investire nella threat hunting come disciplina attiva, non solo nella detection passiva.

La resilienza come obiettivo finale

In questi giorni di tensione, è utile ricordare che la cybersecurity non riguarda la perfezione, ma la resilienza.

Non possiamo impedire ogni singolo attacco, ma possiamo costruire organizzazioni in grado di assorbire il colpo e continuare a funzionare. Possiamo rendere l’ambiente così ostile da spingere gli attaccanti verso bersagli più facili.

La resilienza si costruisce sui fondamentali: privilegi minimi, autenticazione forte e piani di risposta provati sul campo. Non ci sono scorciatoie.

Una personale riflessione finale

Leggendo il briefing, tornano in mente le parole di Dawn Cappelli, che nel non lontano 2020 affrontò un’escalation simile.

La sua reazione fu non dare nulla per scontato, verificando ogni singola protezione. Per chi ha la responsabilità di proteggere un’azienda, l’arroganza è il peggior nemico.

Pensare di essere pronti solo perché “finora non è successo nulla” è esattamente ciò che gli attaccanti sperano.

Il documento CSFI ci dice chiaramente che la minaccia ha nomi e cognomi e tattiche ben precise. Ora tocca a noi.

Perché, come conclude il briefing, “In questo campo di battaglia, identità e margine sono terreni decisivi”. L’identità è il nuovo perimetro; il margine è quel piccolo vantaggio che costruiamo ogni giorno per restare un passo avanti.

Non abbiamo scelto noi questa guerra, ma possiamo scegliere come combatterla.