Netcrook Logo
👤 SHADOWFIREWALL
🗓️ 20 Feb 2026   🌍 Europe

Reti nell’ombra: come gli attaccanti si annidano nelle infrastrutture critiche mesi prima di colpire

Avversari sofisticati si infiltrano silenziosamente nelle reti industriali ed energetiche, preparando il terreno per attacchi potenzialmente catastrofici se i difensori non agiscono subito.

È uno scenario un tempo relegato alla narrativa di cyberwar: avversari silenziosi che si insinuano nelle vene digitali di centrali elettriche, acquedotti e linee di produzione, in attesa del segnale per scatenare il caos. Ma, come mostrano le nuove ricerche di Team Cymru e i recenti attacchi nel mondo reale, non è più fantasia: è la nuova prima linea del conflitto cibernetico, e il conto alla rovescia verso l’interruzione potrebbe essere già iniziato.

Le più recenti threat intelligence di Team Cymru dipingono un quadro inquietante: gli attaccanti che prendono di mira le critical national infrastructure (CNI) non si accontentano più di colpi rapidi o di furti di dati “mordi e fuggi”. Al contrario, si infiltrano metodicamente negli ambienti OT e ICS, spesso restando inosservati per mesi mentre mappano i sistemi, sfruttano l’esposizione esterna e preparano operazioni che potrebbero interrompere o persino danneggiare fisicamente servizi essenziali.

Al centro di questa nuova ondata ci sono strumenti come le Operational Relay Box (ORB): server furtivi e anonimizzanti che consentono agli avversari di svolgere attività di ricognizione e di command-and-control senza rivelare la loro reale posizione. Queste ORB, spesso collegate a gruppi riconducibili alla Cina ma utilizzate da molteplici attori statali, funzionano come basi di appoggio digitali, offrendo agli attaccanti un punto d’appoggio persistente all’interno delle reti industriali.

L’attacco del dicembre 2025 alla rete elettrica polacca è un esempio agghiacciante. In una campagna coordinata, gli attaccanti hanno interrotto le comunicazioni tra i siti di energia rinnovabile e gli operatori, distribuito un malware personalizzato per la cancellazione dei dati (“DynoWiper”) e lasciato i responsabili delle utility ciechi rispetto ai propri sistemi. Sebbene la rete sia rimasta operativa, la perdita di visibilità è stata un monito netto: nel mondo iperconnesso di oggi, non puoi difendere ciò che non puoi vedere.

Esperti come Will Baxter di Team Cymru e Mark Graham di Dragos sostengono che la soluzione stia nel trattare queste esposizioni non semplicemente come errate configurazioni, ma come problemi di intelligence. Firewall tradizionali e sistemi di intrusion detection spesso non colgono le tattiche sottili e a combustione lenta dei moderni avversari OT. I difensori devono invece integrare threat intelligence globale, monitorare comportamenti anomali di rete e dare attivamente la caccia ai segnali di infrastrutture ostili - prima che gli attaccanti “attraversino il ponte” per produrre effetti cinetici.

Ciò significa sfruttare strumenti di visibilità passiva - come i dati NetFlow e feed di threat intelligence ricchi di contesto - capaci di individuare dispositivi a rischio senza interrompere processi industriali sensibili. Significa anche passare da una risposta reattiva a una difesa proattiva: identificare l’infrastruttura degli attaccanti, come le ORB, nelle prime fasi della kill chain e chiudere i punti ciechi critici che hanno permesso agli avversari di restare in agguato senza essere rilevati.

Man mano che gli ambienti industriali diventano più connessi e complessi, la posta in gioco non è mai stata così alta. L’era delle minacce ipotetiche è finita. Gli avversari sono già dentro, osservano, aspettano. Solo adottando un nuovo modello di visibilità completa e guidata dall’intelligence i difensori possono sperare di bruciare il ponte prima che venga attraversato - e impedire che la prossima crisi si sviluppi nell’oscurità.

WIKICROOK

  • Operational Technology (OT): La Operational Technology (OT) comprende sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili rispetto ai sistemi IT tradizionali.
  • Industrial Control Systems (ICS): Gli Industrial Control Systems (ICS) sono sistemi computerizzati che gestiscono e automatizzano macchinari e processi in fabbriche e infrastrutture critiche.
  • Operational Relay Box (ORB): Una Operational Relay Box (ORB) è un dispositivo compromesso usato dai criminali informatici per inoltrare segretamente comandi e dati, mascherando la loro vera identità e posizione.
  • Visibilità passiva: La visibilità passiva è un monitoraggio di rete non intrusivo, che consente il rilevamento delle minacce senza interrogare i dispositivi né interrompere sistemi sensibili e legacy.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a eseguire azioni specifiche, talvolta per scopi malevoli.
Cybersecurity Critical Infrastructure Operational Technology
SHADOWFIREWALL SHADOWFIREWALL
Adaptive Defense Architect
← Back to news