APT

APT sostenuti da governi: come stanno evolvendo nel 2025

A cura di:Redazione Ore

Negli ultimi anni gli attacchi informatici sponsorizzati da governi (Advanced Persistent Threat, APT) sono cresciuti in numero e sofisticazione. Secondo la Relazione Annuale italiana 2025, nel 2024 circa il 50% degli attacchi subiti in Italia era riconducibile ad APT stranieri, con un focus spinto su infrastrutture pubbliche centrali, reti digitali, trasporti, energia e telecomunicazioni. Questi gruppi “living off the land” mettono in campo tool avanzati, reti di comando resiliente e malware modulare per prolungare la loro persistenza nelle reti di governo e aziende strategiche.

Nuove tecniche e vettori d’attacco

  • Abuso di strumenti legittimi (“living off the land”): gli APT sempre più sfruttano software benigni già presenti nelle reti vittime (script Office, PowerShell, RMM, browser) per nascondere le proprie attività. Questo riduce il traffico malevolo visibile e complica l’attribuzione.
  • Malware e backdoor avanzati: i gruppi statali sviluppano costantemente nuovi payload. Ad esempio APT41 ha introdotto tool multi-stage come DUSTPAN e DUSTTRAP, che agiscono in memoria per limitare tracce forensi. Similmente, nuovi malware .NET o Go (es. i RAT creduti infallibili) vengono progettati con payload encrypted e moduli plug-in.
  • Phishing evoluto e AI: i messaggi di spear-phishing sono ora potenziati da intelligenza artificiale, che genera contenuti di social engineering altamente personalizzati e deepfake per ingannare le vittime. L’AI viene usata anche per automatizzare la ricerca di vulnerabilità (“bug-hunting”) e per gestire payload in fase di post-exploit.
  • Supply chain compromesse: le campagne APT sfruttano catene di fornitura per infettare vittime secondarie. Un caso recente vede il gruppo Lazarus (Corea del Nord) che ha usato tecniche di watering hole e zero-day in software di terze parti (uno strumento bancario coreano, Innorix Agent) per diffondere backdoor. Anche in Ucraina i russi di Sandworm hanno lanciato un attacco supply-chain: nuove backdoor (Kapeka su Windows e Biasboat su Linux) sono state installate attraverso software ICS legittimo compromesso.
  • Ransomware “doppio scopo”: un’evoluzione preoccupante è l’uso del ransomware da parte di stati per spionaggio e sabotaggio oltre all’estorsione. La Relazione italiana osserva che ora i ransomware vengono impiegati da attori statali anche per disturbo e “false flag”, con l’effetto collaterale di danneggiare infrastrutture critiche e confondere gli investigatori.

Cambiamenti nelle infrastrutture di comando e controllo (C2)

  • Reti di “relay” coperte: gli APT organizzano complesse reti di proxy compromessi (VPN, VPS, router IoT, NAS) per instradare il traffico malevolo e mascherarne l’origine. Queste “Covert Relay Network” rendono più difficoltoso il tracciamento. Ad esempio, un Paese può impiegare centinaia di server in giro per il mondo per i propri scopi di spionaggio cyber.
  • Uso di servizi cloud e file-sharing legittimi: sempre più attacchi sfruttano infrastrutture online di massa come canali C2 o drop-off server. Gruppi APT hanno utilizzato cloud pubblici (OneDrive, MEGA, Supabase, Backendless, API di koofr.com) per ricevere comandi o esfiltrare dati. In un caso recente, APT28 ha occultato uno shellcode in un’immagine PNG e lo ha caricato via API di cloud storage per eseguire il malware Covenant.
  • Abuso di piattaforme di comunicazione e software legittimi: alcuni gruppi veicolano i payload attraverso piattaforme di chat e collaborazione per eludere i filtri. Per esempio, Transparent Tribe (Pakistan) ha usato Discord, Google Drive, Slack e Telegram per distribuire archivi infetti. Allo stesso modo, attacchi recenti (MuddyWater, Iran) hanno usato pacchetti di Remote Monitoring Management (RMM) legittimi (Atera Agent, Tactical RMM) registrati con account compromessi e diffusi via phishing. Anche il protocollo WebDAV (Nextcloud/Mega) è stato impiegato come canale di esfiltrazione. Queste tattiche dimostrano che gli APT integrano infrastrutture “normali” per mantenere nascosti i loro C2.

Gruppi APT attivi e campagne recenti

  • APT28 (“Fancy Bear”, Russia) – Gruppo del GRU russo, noto per spionaggio politico e militare. Recentemente ha lanciato campagne mirate contro agenzie ucraine: via messaggi Signal gli operatori hanno inviato un documento Word infetto che carica in memoria il framework Covenant (loader) e il backdoor BeardShell. BeardShell (scritta in C++) può eseguire script PowerShell e caricare dati tramite l’API Icedrive. Queste tecniche confermano il trend “living off the land”: gli attaccanti usano applicazioni e servizi familiari (Signal, cloud storage) per eseguire malware senza destare sospetti. Da segnalare anche l’uso della vulnerabilità CVE-2022-38028 (print spooler) da parte di varianti Fancy Bear, sfruttata con il tool GooseEgg per rubare credenziali.
  • Lazarus Group (Nord Corea) – APT legato ai servizi segreti nordcoreani, attivo dal 2009. Nel 2025 Kaspersky ha documentato una campagna sofisticata denominata “SyncHole” volta a colpire la supply chain sudcoreana. Lazarus ha combinato un attacco watering hole con vulnerabilità zero-day in plugin/browser coreani (Innorix Agent) per veicolare malware come ThreatNeedle e LPEClient. La tecnica è tipica dello spionaggio cyber nordcoreano: usare siti legittimi come esca e software amministrativi locali (Cross EX) compromessi per la diffusione dei payload.
  • APT41 (Wicked Panda, Cina) – Gruppo di cyber-spionaggio cinese ad attività finanziaria. Una ricerca congiunta Google/Mandiant ha descritto la campagna “DUST” (gen 2023–lug 2024) che ha preso di mira aziende nei settori trasporti, logistica, media e intrattenimento, con il maggior numero di vittime in Italia, Spagna, Taiwan, Thailandia, Turchia e Regno Unito. APT41 ha utilizzato una serie di web shell (ANTSWORD/BLUEBEAM) su server compromessi, installando poi DUSTPAN per iniettare il backdoor Beacon, seguito dal dropper DUSTTRAP eseguito in memoria. Successivamente, con strumenti open source (SQLULDR2, PINEGROVE) ha estratto dati da database Oracle ed esfiltrato su OneDrive. Il framework MITRE ATT&CK classifica questa campagna come “APT41 DUST”. Il diagramma di attacco (Figura sopra) illustra come APT41 abbia unito web shell e servizi cloud per una compromissione stealth: i comandi iniziali sono occultati in web shell, mentre lo spostamento laterale e l’esfiltrazione avvengono via connessioni cifrate e servizi pubblici.
  • Sandworm Team (Russia) – Gruppo GRU noto per attacchi contro infrastrutture critiche. Secondo Kaspersky, dal 2022 ad oggi Sandworm ha sviluppato nuovi backdoor multi-piattaforma (es. Kapeka su Windows, e varianti Linux come Biasboat/Loadgrip per sistemi ICS) che hanno infettato utilities elettriche, idriche e di teleriscaldamento ucraine. Gli attaccanti hanno sfruttato vulnerabilità zero-day nel software industriale impiegato dai fornitori ucraini, inserendo code di minaccia durante l’installazione del prodotto (supply chain). Inoltre è emerso l’uso di strumenti di tunneling (GossipFlow, SDelete) per collegare reti OT e IT compromesse.
  • Altri gruppi emergenti: Anche altri APT continuano campagne rilevanti. Ad esempio, Transparent Tribe (APT36, Pakistan) ha condotto campagne di spear-phishing con malware multi-linguaggio (Python/Go/Rust), distribuendo payload via Discord, Google Drive, Slack e Telegram. In Medio Oriente, Polonium (legato a Hezbollah) ha usato un backdoor Python (MegaPy) con C2 basati su MEGA e Nextcloud. Il gruppo MuddyWater (Iran) ha intensificato l’uso di tool RMM legittimi per infiltrarsi in vari settori, inclusa Italia. Questi esempi evidenziano che la galassia APT abbraccia attori di diverse nazionalità (Cina, Russia, Nord Corea, Iran, Medio Oriente, Pakistan) tutti con obiettivi di spionaggio o disturbo geopolitico.

Impatti sulle infrastrutture critiche in Italia e in Europa

Le infrastrutture critiche – energia, trasporti, sanità, telecomunicazioni – sono particolarmente a rischio. In Italia la Relazione 2025 indica che il settore energetico è stato preso di mira più volte (ad esempio attacchi ai sistemi di controllo delle reti), e il settore trasporti è stato vittima di circa l’11% delle intrusioni APT nel 2024. A livello europeo, un aggiornamento del Clusit 2024 segnala un aumento del 50% degli attacchi al comparto Energy & Utilities nel primo trimestre 2024 rispetto al 2023.

In Ucraina, Sandworm ha dimostrato l’impatto devastante di un’Ata APT su reti elettriche e idriche nazionali. Tali eventi sottolineano l’urgenza di proteggere le reti di distribuzione energetica, le centrali di approvvigionamento idrico e i sistemi di trasporto governati da controllori industriali. L’UE sta recependo questo rischio con normative come NIS2, che rafforza gli obblighi di sicurezza per i fornitori di servizi critici transfrontalieri.

Risposta di autorità e aziende italiane ed europee nel 2025

L’Europa e l’Italia stanno potenziando contromisure mirate. A livello UE, la Commissione ha proposto l’EU Cyber Solidarity Act, un’iniziativa da 1,1 miliardi di euro per istituire una rete paneuropea di centri operativi e un meccanismo di emergenza cyber. Questi centri (nazionali e transfrontalieri) faciliteranno il rilevamento rapido delle minacce e il coordinamento delle crisi informatiche più gravi. Nel frattempo, la nuova direttiva NIS2 obbliga Stati e aziende strategiche a collaborare più strettamente nella condivisione di intelligence e segnalare incidenti critici in tempo reale.

In Italia operano misure di difesa nazionali. Il Polo Strategico Nazionale, che protegge il cloud delle PA, ha adottato un modello di responsabilità condivisa (SSRM) per innalzare la sicurezza delle infrastrutture informatiche governative. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha implementato una rete di SOC (Security Operations Center) nazionali, oltre a realizzare un “Hyper SOC” finanziato dal PNRR, che utilizza super-calcolo HPC e intelligenza artificiale per analisi predittive delle minacce.

Dal lato istituzionale, l’Intelligence italiana ha aumentato il monitoraggio delle campagne cyber: nel 2024 sono giunte 660 richieste di valutazione ai fini di Golden Power (+14% sul 2023) per acquisizioni di infrastrutture strategiche. Si è rafforzata la collaborazione inter-agenzia (es. Comitato di Analisi Strategica Antiterrorismo “CASA”) e il controllo delle piattaforme del dark web per intercettare la vendita di credenziali di accesso a servizi critici. Anche le aziende private investono in difesa avanzata, aderendo agli standard EU di threat intelligence e collaborando con le Autorità per esercitazioni e informazioni condivise.

Framework di riferimento e intelligence sulle minacce

Per comprendere e contrastare gli APT si fa ampio uso di framework di riferimento. Il MITRE ATT&CK fornisce un catalogo strutturato di tattiche e tecniche usate dagli APT: ad esempio, nel suo database la campagna “APT41 DUST” (2023-24) è dettagliata con tecniche come DUSTPAN e DUSTTRAP. Organizzazioni di settore e consorzi promuovono l’adozione di tali framework (attenzione alle tecniche mapolate) per migliorare difesa e rilevazione.

A livello europeo esistono community come l’EU ATT&CK che promuovono workshop (es. quello 2025 a Bruxelles) per far collaborare analisti e integrare l’intelligence fra CERT/CIRT nazionali. Inoltre, la Threat Intelligence operativa utilizza piattaforme open-source (MISP, STIX/TAXII) e servizi commerciali (report Kaspersky, FireEye, IBM X-Force, ecc.) per condividere indicatori di compromissione e profili di minaccia. L’impiego dell’AI sta accelerando anche in questo campo, abilitando tool di analisi automatizzata di grandi volumi di dati di rete e la generazione di regole Sigma per individuare attacchi complessi.

Fonti:

Agenzia per la Cybersicurezza Nazionale (ACN). (2025). Relazione sulla postura cibernetica nazionale 2024.

Google Threat Analysis Group & Mandiant. (2024). APT41’s Campaign DUST: Cloud-enabled espionage across five continents.

MITRE ATT&CK Framework. (2025). APT41 DUST – Tactics and Techniques.

Kaspersky. (2025). Lazarus’ SyncHole campaign abuses South Korean software to deploy malware.

ENISA – European Union Agency for Cybersecurity. (2023). Cybersecurity Threat Landscape.

European Commission. (2023). EU Cyber Solidarity Act: Proposal for enhanced cyber resilience.

 

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi