Punti chiave
Secondo una nuova ricostruzione di Google Threat Intelligence Group, l’industria della difesa globale è sottoposta a un assedio silenzioso ma costante da parte di attori legati a Cina, Iran, Russia e Corea del Nord. Non si tratta di episodi isolati, ma di un ecosistema di campagne parallele che colpiscono aziende, fornitori, ricercatori, singoli dipendenti, fino ai nodi più periferici delle catene di fornitura. L’obiettivo è accumulare vantaggio strategico in tempo di pace, creando le condizioni per muoversi più velocemente in caso di crisi.
Nel mirino c’è la cosiddetta Defense Industrial Base, l’insieme di imprese, subappaltatori, fornitori e centri di ricerca che sviluppano sistemi d’arma, tecnologie dual use, software di comando e controllo, ma anche componenti industriali apparentemente comuni che possono essere riconvertiti a uso militare. È un bersaglio diffuso, distribuito e spesso meno protetto rispetto alle infrastrutture governative, ma altrettanto decisivo per la tenuta militare di un paese.
Dalle intrusioni nelle catene di fornitura alle false offerte di lavoro per tecnici specializzati, dagli attacchi ai sistemi di messaggistica militare ai malware nascosti in app Android apparentemente innocue, emerge un quadro di guerra cibernetica a bassa intensità ma ad alta continuità.
Quattro direttrici di attacco
Il rapporto di Google individua quattro grandi direttrici attraverso cui si articola la pressione informatica sulla difesa: il collegamento diretto con il campo di battaglia ucraino, l’aggiramento delle difese aziendali tramite i dipendenti, lo sfruttamento degli apparati di frontiera delle reti e, infine, il punto più fragile di ogni ecosistema industriale, la supply chain della difesa.
La prima direttrice è legata alle operazioni connesse alla guerra russa in Ucraina, dove l’uso massiccio di droni, sistemi digitali di comando e comunicazione cifrata ha trasformato smartphone, tablet e laptop in estensioni del fronte. Gruppi russi come APT44 (Sandworm) o cluster come TEMP.Vermin, UNC5125, UNC5792 e UNC4221 hanno preso di mira sistemi di messaggistica come Telegram e Signal, app di gestione del campo di battaglia come Delta e Kropyva, e piattaforme dedicate alle unità UAV.
La seconda direttrice è più sottile e meno appariscente: colpire le persone, non i sistemi. Coreani e iraniani, in particolare, hanno sviluppato campagne che ruotano attorno al reclutamento fittizio, alle offerte di lavoro false, ai portali di selezione manomessi, sfruttando le aspettative di ingegneri, sviluppatori e figure chiave del comparto difesa. Invece di forzare un perimetro tecnico, l’attacco passa dalla fiducia individuale dei dipendenti.
La terza linea si gioca sugli edge devices, cioè tutti quei dispositivi di frontiera come VPN, router, firewall e appliance che spesso sfuggono ai sistemi di monitoraggio interni più avanzati. Qui agiscono soprattutto i gruppi di matrice cinese, che colpiscono vulnerabilità zero‑day per installarsi ai margini delle reti e muoversi con lentezza, invisibili per mesi.
La quarta direttrice è la più trasversale: le catene di produzione e fornitura. A partire dal 2020, il settore manifatturiero è il più rappresentato nei siti di data leak connessi al ransomware, e tra quelle aziende figurano anche produttori di componenti impiegati in ambito militare. Basta che una casa automobilistica che produce anche veicoli militari subisca un attacco per fermare per settimane interi flussi di produzione.
In questo scenario, la parola resilienza industriale non indica solo la robustezza tecnica delle reti, ma la capacità di un intero ecosistema di reggere a una serie di shock distribuiti nel tempo.
Russia: dal fronte ucraino alla disinformazione
La componente russa della minaccia ha un legame diretto con il conflitto in Ucraina, ma non si esaurisce sul campo. Attori come APT44 hanno tentato di esfiltrare dati da app di messaggistica cifrate, spesso dopo aver avuto accesso fisico a dispositivi catturati o compromessi, utilizzando strumenti ad hoc per decifrare e rubare i dati della versione desktop di Signal.
Altri cluster, come UNC5125, hanno colpito gli operatori di droni con campagne mirate, usando sondaggi su Google Forms per raccogliere informazioni sulle unità, sui numeri di telefono e sugli strumenti preferiti di comunicazione, per poi distribuire malware come MESSYFORK attraverso le app di messaggistica più diffuse. Lo stesso gruppo ha impiegato anche malware Android, come GREYBATTLE, per sottrarre credenziali e dati dai dispositivi di operatori UAV sfruttando siti che imitavano aziende di intelligenza artificiale militare.
Cluster come UNC5792 e UNC4221 hanno sfruttato le funzionalità di collegamento dei dispositivi su Signal per agganciare gli account delle vittime e leggere conversazioni in tempo reale, o hanno distribuito app Android malevole che si spacciavano per strumenti di gestione del campo come Delta. In alcuni casi, il vettore è stato un semplice link di gruppo apparentemente legittimo, trasformato in porta d’ingresso per un dispositivo controllato dagli aggressori.
Accanto a queste operazioni di spionaggio sui sistemi militari, si inserisce il ruolo di hacktivisti filo‑russi, come KillNet e altri collettivi, che usano attacchi DDoS, campagne di doxxing e presunte fughe di documenti per colpire aziende della difesa e figure politiche in Ucraina e nei paesi alleati. A volte il danno è limitato, a volte serve a coprire attività più sofisticate, creando rumore e confusione.
Questo mosaico di azioni mostra come informazione e disinformazione siano ormai due lati della stessa strategia cibernetica: rubare dati, selezionare quelli più utili a fini operativi e trasformarne altri in arma narrativa.
Corea del Nord e Iran: il lavoro come cavallo di Troia
Se la Russia appare concentrata sul teatro ucraino e sugli apparati militari direttamente collegati al conflitto, Corea del Nord e Iran hanno affinato un’altra forma di attacco: colpire i nodi umani della difesa e sfruttare la ricerca di lavoro come punto d’ingresso. La superficie esposta non è più solo la rete aziendale, ma l’intero ciclo di carriera di chi lavora nella sicurezza e nella difesa.
Da anni Pyongyang utilizza la figura dell’“IT worker” all’estero come asset operativo ed economico: professionisti che, spesso con identità falsificate, riescono a ottenere posizioni remote in aziende occidentali, anche nel settore difesa, per sottrarre dati sensibili e generare flussi finanziari da inviare al regime. Nel 2025 il Dipartimento di Giustizia statunitense ha reso nota un’ampia operazione di contrasto a queste reti, con arresti e sequestri in decine di sedi, legati anche all’intrusione in aziende coinvolte nello sviluppo di tecnologie basate su intelligenza artificiale e difesa.
All’interno di questo ecosistema si muovono gruppi come APT45, APT43 e UNC2970, associato al Lazarus Group, che hanno preso di mira specificamente dipendenti e candidati di aziende del comparto difesa, spesso fingendosi recruiter o offrendo posizioni di alto profilo con salari competitivi. In alcuni casi, questi gruppi hanno usato strumenti di intelligenza artificiale generativa per profilare i bersagli, analizzare curricula, mappare ruoli e retribuzioni, costruendo identità di recruiting quasi perfettamente credibili.
Dall’altra parte, gruppi iraniani come UNC1549 e UNC6446 hanno sfruttato finti portali di selezione, false job offer, applicazioni di “resume builder” e test di personalità per distribuire malware sui computer di ingegneri e tecnici che lavorano in aziende aerospaziali e di difesa in Medio Oriente, Europa e Stati Uniti. L’interfaccia dell’app appare legittima, ma in background il codice malevolo raccoglie informazioni sul sistema e sulle credenziali degli utenti.
Il passaggio dall’attacco “perimetrale” all’attacco centrato sull’individuo è forse uno dei cambi di paradigma più significativi: la career path di un ingegnere diventa a sua volta superficie d’attacco, tanto quanto un server esposto su internet.
Cina: gli attacchi sui margini della rete
Tra gli attori statali, la Cina è oggi il principale protagonista in termini di volume di operazioni di spionaggio che hanno nel mirino l’industria della difesa. L’attenzione non è solo sulla sottrazione di proprietà intellettuale per accelerare i propri programmi di modernizzazione militare, ma anche sulla conquista di posizioni di lungo periodo nelle infrastrutture digitali occidentali.
Negli ultimi anni i gruppi legati a Pechino hanno mostrato una forte preferenza per lo sfruttamento di vulnerabilità zero‑day su dispositivi di frontiera come VPN, router, switch e appliance di sicurezza, spesso privi di strumenti avanzati di rilevamento. Dal 2020 sono state sfruttate oltre due dozzine di vulnerabilità di questo tipo, distribuite su una decina di vendor, con un’attenzione marcata al settore difesa e ai contractor strategici.
Attori come UNC3886 e UNC5221 si sono distinti per operazioni particolarmente silenziose e persistenti, con malware come BRICKSTORM rimasto annidato nelle reti colpite per una media di oltre un anno prima di essere individuato. Altri cluster, come APT5, hanno bersagliato dipendenti attuali ed ex di grandi contractor aerospaziali e della difesa tramite campagne di phishing su email personali, costruite attorno a inviti ad eventi di settore, corsi di formazione o comunicazioni legate alle elezioni locali.
Ancora più sofisticato il comportamento di gruppi come UNC3236, associato a Volt Typhoon, che hanno condotto attività di ricognizione su portali di login usati da contractor militari nordamericani, nascondendo l’origine del traffico dietro reti di router compromessi e infrastrutture di offuscamento dedicate. Per complicare ulteriormente l’attribuzione, diversi gruppi cinesi hanno iniziato a usare reti di Operational Relay Box, dispositivi domestici o commerciali compromessi che fungono da ponte per il traffico malevolo.
In questo contesto, l’uso offensivo dell’intelligenza artificiale generativa è diventato un moltiplicatore di potenza: modelli avanzati vengono utilizzati in tutte le fasi dell’attacco, dalla scrittura di phishing più credibili alla generazione o adattamento di codice per exploit e strumenti di post‑intrusione.
La supply chain sotto pressione
Se il cuore dell’analisi è il collegamento tra quattro potenze e una costellazione di gruppi statali, criminali e hacktivisti, il punto di vulnerabilità più evidente resta la catena di fornitura. Su questo terreno convergono motivazioni diverse: dal riscatto economico legato al ransomware all’interesse geopolitico per la mappatura dettagliata delle capacità industriali di un paese.
Il rapporto evidenzia che dal 2020 il settore manifatturiero è il più colpito nei data leak legati al ransomware, e che molte di queste aziende producono componenti dual use direttamente o indirettamente collegati alla difesa. Un attacco rilevante nel 2025 a un produttore automobilistico britannico che fabbrica anche veicoli militari ha rallentato la produzione per settimane, con impatti su migliaia di organizzazioni collegate.
Parallelamente, si osserva la circolazione, nei forum underground, di accessi e dati rubati da grandi contractor e imprese collegate al settore difesa, offerti da figure che mettono in vendita interi pacchetti di credenziali e mappe di rete. Questo mercato grigio non è solo un rischio per la proprietà intellettuale, ma anche una minaccia di sicurezza nazionale, perché consente ad attori statali di acquistare sul mercato nero ciò che non sono riusciti a ottenere con operazioni dirette.
La progressiva convergenza tra spionaggio, estorsione e sabotaggio rende la continuità operativa delle filiere una questione strategica, non solo economica. Una singola interruzione può generare ritardi a cascata su programmi militari, esportazioni sensibili, manutenzione di sistemi d’arma già dispiegati.
Un assedio a bassa intensità e lunga durata
Dalla lettura incrociata del rapporto di Google e delle valutazioni pubbliche dei governi occidentali emerge un quadro meno spettacolare dei grandi blackout o degli attacchi catastrofici, ma forse più preoccupante. Ciò che colpisce non è tanto un singolo evento, quanto la continuità dell’azione: piccole brecce, accessi parziali, campagne mirate su gruppi ristretti di bersagli, infiltrazioni silenziose di edge devices e fornitori di secondo o terzo livello.
In questo contesto, l’industria della difesa appare come un ecosistema sottoposto a una forma di stress cronico. Il perimetro non è più il datacenter di un grande contractor, ma la rete di relazioni che collega aziende di nicchia, consulenti, fornitori di software, piattaforme di comunicazione, applicazioni di reclutamento, infrastrutture cloud, dispositivi domestici trasformati in nodi di relay.
I governi hanno iniziato a riconoscere pubblicamente questo scenario, parlando sempre più spesso di minaccia “tutto, ovunque, contemporaneamente” a infrastrutture critiche e settori chiave, compresa la difesa. Allo stesso tempo, la linea di demarcazione tra attori statali, gruppi criminali e hacktivisti è diventata più sfumata: i primi usano i secondi come copertura, mentre questi ultimi si muovono spesso in zone grigie, alimentate da vendette personali, ideologia o semplice ricerca di notorietà.
Per chi guarda al futuro della sicurezza internazionale, la lezione centrale di questi rapporti è che la superiorità tecnologica nel lungo periodo non dipende solo da quanti droni, sensori o sistemi d’arma un paese è in grado di schierare, ma da quanto riesce a proteggere, nel tempo, la trama industriale e umana che li rende possibili. È lì che oggi si gioca, silenziosamente, una parte decisiva dell’equilibrio di potenza globale.
