Cyber mercenari: il nuovo volto della guerra ibrida
C’è una domanda che i professionisti della sicurezza informatica si pongono con crescente frequenza: quando un attacco viene rivendicato da un gruppo che si autodefinisce “hacktivista”, chi sta davvero premendo il tasto? La risposta, nel 2026, è raramente univoca. E questa ambiguità non è accidentale: è progettuale.
Il panorama della conflittualità digitale si è trasformato radicalmente nell’arco di pochi anni. Non vi è più una netta separazione tra operazioni di Stato, criminalità organizzata e attivismo politico. Al loro posto si è affermato un modello ibrido, fluido, deliberatamente opaco: quello dei cyber mercenari e dei cosiddetti patriotic hackers, attori formalmente non statali ma funzionalmente allineati agli interessi di governi che li tollerano, li finanziano, li dirigono o, nella migliore delle ipotesi per chi subisce l’attacco, semplicemente non li fermano.
La zona grigia come dottrina
Per comprendere il fenomeno, occorre smettere di ragionare in categorie binarie. La distinzione tra “hacker di Stato” e “hacktivista indipendente” è ancora utile sul piano teorico, ma sempre meno praticabile sul piano operativo.
Il caso russo è il più documentato. La Chatham House, in un’analisi del marzo 2026, descrive l’ecosistema di cyber proxy russi come uno spettro di attori che operano con diversi gradi di direzione statale, sponsorizzazione o semplice allineamento con gli obiettivi del Cremlino. Alcuni proxy sono stati collegati direttamente ai servizi di intelligence come il GRU, altri sono sponsorizzati a distanza di sicurezza, altri ancora sono semplicemente tollerati perché le loro azioni coincidono con la linea strategica di Mosca. Il vantaggio di questa struttura è evidente: l’uso di proxy garantisce alla Russia la negazione plausibile, complica l’attribuzione degli attacchi e aiuta lo Stato, così come i singoli attori, a sfuggire alle sanzioni internazionali.
Non si tratta di una particolarità russa. Russia, Cina e Iran si avvalgono sistematicamente di organizzazioni hacktiviste come strumenti per mascherare la propria agenda strategica: destabilizzare gli Stati Uniti e altri Paesi occidentali, proiettare influenza regionale e imporre costi asimmetrici agli avversari. Secondo le stime di CACI, il 75-80% delle minacce informatiche che prendono di mira le nazioni occidentali è oggi riconducibile ad attori sponsorizzati dagli Stati, in particolare quelli sostenuti da Russia, Iran e Cina. Il restante 20-25%, pur apparentemente indipendente, è spesso guidato da motivazioni politiche strutturalmente allineate agli obiettivi delle potenze che ne beneficiano.
Come analizzato in un approfondimento su attori non statali pubblicato su queste pagine, la globalizzazione ha frammentato il quadro strategico tradizionale, favorendo l’ascesa di soggetti capaci di operare nel cyberspazio come proxy strategici, collocandosi in una zona grigia tra guerra informativa, conflitto armato e competizione geopolitica.
Killnet e il modello “Wagner Digitale”
Nessun gruppo incarna meglio questa metamorfosi di Killnet. Nato come collettivo di hacktivisti filo-russi nel contesto dell’invasione dell’Ucraina, si è reso noto per una serie di campagne Distributed Denial of Service (DDoS) contro infrastrutture di governi e aziende in Europa e negli Stati Uniti: tra queste, nel gennaio 2023, una serie di attacchi contro siti tedeschi in risposta alla decisione di Berlino di fornire carri armati all’Ucraina. Il fondatore del gruppo, noto con lo pseudonimo Killmilk, ha dichiarato di voler trasformare Killnet in una “private military hacking company”, riorganizzandola sotto il nome Black Skills e iniziando ad accettare commissioni da entità private e pubbliche.
Il modello dichiarato di ispirazione è rivelatore. Killmilk ha preso a riferimento la Wagner Private Military Company, i mercenari paramilitari di Evgeny Prigozhin, per costruire un equivalente digitale, con unità di HR, formazione e operazioni su larga scala. Come Wagner operava nelle zone grigie del conflitto armato convenzionale, Black Skills ambisce a operare nella zona grigia del conflitto digitale: mercenari per elezione, non per necessità ideologica.
Come ha sottolineato Flashpoint in più occasioni, Killnet è sempre rimasto un gruppo principalmente motivato finanziariamente, che ha sfruttato l’esposizione mediatica offerta dall’ecosistema mediatico filo-Cremlino per promuovere i propri servizi di DDoS-for-hire. Il nazionalismo era, almeno in parte, una strategia di marketing. Con la svolta mercenaria dichiarata, quella maschera è caduta. Ciò che rimane è un blueprint operativo che altri gruppi possono replicare.
La replicazione è già in atto. Nel marzo 2025 è emerso un nuovo collettivo, denominato IT Army of Russia, che comunica attraverso il forum cybercriminale Duty-Free e un canale Telegram con oltre 800 iscritti, pubblica presunte violazioni di siti ucraini, sottrae dati e recluta insider operativi nelle infrastrutture critiche ucraine. Le operazioni sono coordinate attraverso un bot Telegram che incoraggia gli utenti a fornire intelligence militare e a suggerire nuovi obiettivi. Il ciclo si ripete e si moltiplica.
L’IT Army of Ukraine: hacktivismo sanzionato dallo Stato
Sul fronte opposto si colloca un esperimento altrettanto rivoluzionario, e altrettanto problematico sul piano del diritto internazionale. L’IT Army of Ukraine è una forza cibernetica volontaria e crowdsourced, istituita il 26 febbraio 2022 e annunciata da Mykhailo Fedorov, Ministro della Trasformazione Digitale dell’Ucraina, attraverso Twitter. Il canale Telegram coordinato raggiunse rapidamente oltre 300.000 iscritti entro marzo 2022, tra professionisti IT, volontari amatoriali e osservatori internazionali, diventando la prima milizia digitale pubblicamente organizzata impiegata come componente formale della difesa nazionale in un conflitto armato maggiore.
Nel corso del 2022, l’IT Army ha condotto operazioni offensive contro i siti della Borsa di Mosca, Sberbank, il Ministero degli Esteri russo, Gazprombank e l’infrastruttura di rete di Loesk, utility elettrica che alimenta l’Oblast di Leningrado. Secondo ricercatori specializzati, la struttura pubblica dell’IT Army ha progressivamente ceduto spazio a un nucleo interno più ristretto, composto da personale dell’intelligence e della difesa ucraina, che ha guidato operazioni più sofisticate e mirate.
L’IT Army ha ispirato imitatori su entrambi i fronti. Gruppi filo-russi, tra cui NoName057(16), hanno adottato il modello di coordinamento crowdsourced in senso inverso, orchestrando campagne DDoS contro governi NATO, istituzioni finanziarie europee e operatori di infrastrutture critiche.
Nel luglio 2025, il collettivo NoName057(16) è stato oggetto dell’Operation Eastwood, coordinata da Europol ed Eurojust: l’operazione ha portato allo smantellamento di oltre 100 server, a due arresti in Francia e in Spagna, all’emissione di sette mandati d’arresto internazionali (sei dei quali dalla Germania contro cittadini russi) e a 24 perquisizioni condotte in Germania, Lettonia, Spagna, Italia, Cechia, Polonia e Francia. Cinque profili sono stati pubblicati sul sito EU Most Wanted. Il gruppo ha ripreso le operazioni già il giorno successivo, rivendicando nuovi attacchi contro siti governativi tedeschi.
Il caso dell’IT Army solleva questioni giuridiche irrisolte. Poiché il gruppo si dichiara indipendente dalle forze armate ucraine e i suoi volontari non indossano una divisa, non rientrano formalmente nella categoria di combattenti. Se tuttavia contribuiscono, anche marginalmente, allo sforzo bellico militare ucraino, diventano potenzialmente un obiettivo legittimo per le forze russe. La smilitarizzazione formale non equivale a neutralità operativa.
Iran: il modello Layered dell’ecosistema proxy
Mentre il conflitto russo-ucraino ha reso familiare il fenomeno dei cyber proxy, è nel contesto mediorientale che il modello ha raggiunto la sua espressione più sofisticata. L’Iran ha costruito un ecosistema informatico deliberatamente stratificato: attori Advanced Persistent Threat (APT) sponsorizzati dallo Stato, appartenenti al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e al Ministero dell’Intelligence (MOIS), costituiscono il vertice operativo, affiancati da gruppi collegati all’IRGC nello strato intermedio, e da una base ampia di attori ideologicamente motivati al livello più basso. Questa architettura rispecchia la più ampia dottrina militare iraniana della “difesa avanzata”: la proiezione di potere attraverso proxy e asset deniabili, piuttosto che attraverso l’impiego diretto di forze regolari.
Il caso del gruppo CyberAv3ngers è paradigmatico. Al momento degli attacchi contro sistemi di controllo industriale nel settore idrico statunitense nel 2023, il gruppo si presentava come hacktivista ideologicamente motivato. Nel giro di un mese, il Dipartimento del Tesoro statunitense ha sanzionato sei funzionari dell’IRGC-CEC (Cyber-Electronic Command) per aver diretto le operazioni. Gli hacktivisti erano agenti statali fin dall’inizio.
Il pattern è stato confermato a scala più ampia dopo l’operazione militare congiunta USA-Israele del 28 febbraio 2026 contro l’Iran. Nel giro di ore, oltre 60 gruppi hacktivisti filo-iraniani si sono mobilitati, formando una struttura coordinata denominata “Electronic Operations Room”. Come documentato dal Threat Brief di Unit 42 di marzo 2026, un’analisi di DomainTools Investigations ha descritto le attività attribuite ai tre principali gruppi operativi iraniani, Homeland Justice, Karma/KarmaBelow80 e Handala Hack, come “un unico ecosistema di influenza informatica coordinata” allineato al MOIS, con persona che “funzionano come veneer operativi intercambiabili applicati a una capacità sottostante coerente”. Non tre gruppi distinti: una sola struttura con tre maschere.
Questa architettura distribuita ha dimostrato una resilienza notevole. Anche dopo che il quartier generale della Cyber Warfare dell’IRGC a Teheran è stato bombardato nel corso del conflitto, i proxy e gli hacktivisti filo-iraniani hanno continuato a operare con efficacia. La decentralizzazione non è un limite organizzativo: è una scelta dottrinale, in linea con la “difesa a mosaico”, che progetta la resilienza contro gli attacchi decapitanti attraverso la distribuzione strutturale delle capacità. Resecurity ha documentato la formazione dell'”Islamic Resilience Cyber Axis“, una coalizione di gruppi coordinati attraverso canali Telegram e forum del dark web, tra cui Cyber Islamic Resistance, Fatimion Cyber Team, Cyber Fattah, DieNet e Sylhet Gang.
Il caso Stryker: la guerra che entra in sala operatoria
L’11 marzo 2026, alle 3:30 del mattino (ora della costa est degli Stati Uniti), il gruppo Handala, persona hacktivista operata da Void Manticore, il principale strumento offensivo cibernetico del MOIS iraniano, ha colpito Stryker Corporation, colosso della tecnologia medicale con sede a Kalamazoo, Michigan. L’attacco non ha impiegato malware nel senso classico del termine: i threat actor hanno compromesso le credenziali amministrative dell’ambiente Microsoft Intune di Stryker e hanno sfruttato la funzione nativa di remote wipe della piattaforma per cancellare in remoto oltre 200.000 dispositivi, tra server, laptop e smartphone, in 79 Paesi, rendendo inutilizzabili gli endpoint nel giro di minuti. Migliaia di dipendenti hanno assistito in tempo reale alla cancellazione dei propri device aziendali e personali.
Come documentato da KrebsOnSecurity, Stryker ha confermato una “disruption globale della propria rete Microsoft” e ha avviato procedure di business continuity, isolando i sistemi e coinvolgendo il team di incident response Unit 42 di Palo Alto Networks, oltre all’FBI, alla CISA, al White House National Cyber Director e all’HHS. L’indagine ha successivamente identificato un file malevolo utilizzato per eseguire comandi nascondendo l’attività ai sistemi di rilevamento, confermato però come privo di capacità di propagazione interna o esterna.
L’impatto è stato immediato e concreto. Negli ospedali del Maryland, il sistema LIFENET di Stryker per la trasmissione di elettrocardiogrammi è risultato “non funzionale nella maggior parte dello Stato”, costringendo i clinici a ricorrere a consulto radio verbale. Alcune chirurgie sono state cancellate per indisponibilità degli impianti Stryker. Il Dipartimento di Giustizia statunitense ha confermato, in un affidavit contro gli hacker iraniani, che l’attacco “ha avuto un impatto diretto sui servizi di emergenza medica e sugli ospedali nel Maryland”. Stryker ha comunicato alla SEC che l’incidente ha avuto un impatto materiale sui risultati del primo trimestre 2026.
La motivazione dichiarata da Handala era geopolitica: l’attacco è stato presentato come ritorsione per un attacco missilistico statunitense su una scuola elementare iraniana, e come risposta alla percezione di Stryker come “azienda a radici sioniste”, in ragione dell’acquisizione, nel 2019, della società israeliana OrthoSpace. Stryker non produce armamenti, non opera nel settore della difesa e non ha alcun ruolo diretto nel conflitto. È nel mirino perché americana, perché opera in settori rilevanti per la tenuta sociale e perché colpirla produce effetti dimostrativi che travalicano il danno tecnico. Il bersaglio è simbolico quanto strategico.
Il problema dell’attribuzione: una crisi strutturale
Il nodo più critico dell’intero fenomeno è l’attribuzione. Non si tratta di una difficoltà tecnica destinata a essere risolta con strumenti migliori: è una crisi strutturale, resa tale per disegno.
L’elevata soglia giuridica necessaria per attribuire la condotta di attori non statali a uno Stato significa che Russia, Iran e altri beneficiari evadono spesso la responsabilità per le operazioni dei propri proxy nell’ambito dei tradizionali framework di responsabilità statale internazionale. Il diritto internazionale è stato costruito pensando agli Stati come attori unitari, con confini definiti di competenza e accountability. I cyber proxy lo sfruttano sistematicamente, operando in uno spazio giuridico che non prevede forme equivalenti a quelle previste per i mercenari convenzionali o i combattenti stranieri.
Sul piano tecnico, i gruppi utilizzano infrastrutture condivise, si scambiano strumenti, adottano le stesse tecniche degli attori criminali convenzionali e, soprattutto, rivendicano o negano selettivamente la paternità delle operazioni a seconda della convenienza strategica del momento. Come ha documentato Lawfare in un’analisi approfondita, i servizi di intelligence russi hanno creato proprie false persona hacktiviste, tra cui XakNet, Solntsepek e Cyber Army of Russia Reborn, per nascondere le proprie operazioni cibernetiche dirette dietro il velo dell’hacktivismo.
Il Global Cybersecurity Outlook 2026 del World Economic Forum ha rilevato che il 91% delle organizzazioni con più di 100.000 dipendenti ha modificato la propria strategia di cybersicurezza in risposta alla volatilità geopolitica, e che il 64% include oggi gli attacchi informatici con motivazione geopolitica, come la disruption di infrastrutture critiche o lo spionaggio, nella propria strategia complessiva di gestione del rischio.
Le aziende occidentali nel mirino geopolitico
Il caso Stryker non è isolato: è il caso più documentato di una tendenza strutturale. Le imprese private, anche quelle lontane dai settori tradizionalmente sensibili, sono diventate obiettivi geopolitici per ragioni che non hanno nulla a che fare con le loro vulnerabilità tecniche intrinseche o con il valore dei loro dati.
Come sottolinea il World Economic Forum, le industrie high-tech, anche quelle al di fuori della zona di conflitto attiva, sono nel mirino, poiché la distanza geografica non offre alcuna protezione. Bersagliare le organizzazioni private consente agli attori statali di indebolire i rivali indirettamente senza innescare un’immediata escalation politica: il costo del conflitto viene scaricato sul settore privato, mentre lo Stato mantiene la negazione plausibile.
Nel 2026, la distinzione tra sicurezza nazionale e sicurezza aziendale continua a erodersi. Le organizzazioni private giocano sempre più un ruolo nella difesa degli interessi nazionali, che lo vogliano o no. Le tensioni geopolitiche definiscono le decisioni di targeting, i tempi delle campagne e l’intensità operativa. Organizzazioni attive in settori o regioni sensibili, o semplicemente percepite come simbolicamente rappresentative di un Paese avversario, si trovano ad affrontare un rischio elevato sulla base del contesto geopolitico piuttosto che delle proprie azioni specifiche.
Questo implica una trasformazione profonda nel modo in cui le aziende devono concepire la propria esposizione al rischio. Come osserva il WEF, ogni Chief Information Security Officer (CISO) è diventato, di fatto, un attore geopolitico: non perché lo abbia scelto, ma perché il contesto lo ha reso tale.
Cosa fare: verso una resilienza consapevole
Di fronte a uno scenario così complesso, la risposta difensiva non può essere esclusivamente tecnica. Occorre integrare l’analisi geopolitica nel processo di risk management, un cambiamento di paradigma che va ben oltre l’aggiornamento dei sistemi di rilevamento.
Sul piano operativo, le raccomandazioni convergono su alcuni principi fondamentali. Il primo è comprendere la propria posizione nel panorama geopolitico globale: quali governi potrebbero avere interesse a colpire la propria organizzazione, in quale scenario e con quale obiettivo simbolico o strategico. Il secondo è adottare architetture zero-trust che non presuppongano l’integrità di alcuna componente della catena di fornitura, comprese le piattaforme di gestione dei dispositivi: il caso Stryker ha dimostrato che uno strumento legittimo di IT management può essere trasformato in un’arma. Il terzo è investire in threat intelligence contestualizzata, capace di distinguere l’opportunismo criminale dalle campagne state-aligned con logiche proprie. Il quarto è partecipare attivamente ai meccanismi di condivisione delle informazioni tra settori e tra Paesi.
Sul piano normativo, il lavoro non è meno urgente. Come conclude la Chatham House, le risposte tattiche dell’Occidente all’attività informatica dei proxy ostili devono essere sostituite da un approccio strategico che integri leve principali, amplificatori e politiche abilitanti di lungo periodo. Il diritto internazionale deve evolvere per includere la responsabilità degli Stati che tollerano i propri proxy digitali, analogamente a quanto già avviene per i mercenari convenzionali e i combattenti stranieri in zona di guerra.
Sul tema, vale la pena leggere l’analisi della guerra ibrida e difesa integrata NATO pubblicata su ICT Security Magazine, che delinea il quadro dottrinale entro cui si inserisce questo tipo di minacce e le risposte istituzionali in corso di definizione.
Conclusione: cyber mercenari, la guerra senza fronti
I cyber mercenari e gli hacktivisti allineati agli Stati non sono un’anomalia del paesaggio digitale contemporaneo. Sono il suo volto più coerente con la realtà geopolitica: rappresentano la risposta razionale di potenze che vogliono proiettare capacità offensive senza assumersi la responsabilità formale delle proprie azioni, in un dominio, il cyberspazio, che ancora non dispone di un diritto internazionale cogente per governarle.
Il confine tra guerra e pace, tra operazione militare e crimine informatico, tra attore statale e mercenario digitale, è diventato una zona di attrito permanente. In questo spazio operano Killnet e Black Skills, Handala e il suo ecosistema MOIS, IT Army of Russia e NoName057(16): non come fenomeni separati, ma come manifestazioni diverse di una stessa logica strategica, quella dell’ambiguità come arma.
Per le organizzazioni occidentali, la lezione è scomoda ma necessaria: in un conflitto ibrido, non esistono osservatori neutrali. Esistono bersagli che non lo sanno ancora. La consapevolezza di questa condizione è il primo passo, indispensabile anche se non sufficiente, verso una resilienza all’altezza della complessità del presente.
