Leonardo e Larimart sotto attacco: 10 anni di cyber minacce al cuore della difesa europea

Il colosso italiano della difesa Leonardo S.p.A. e la sua controllata Larimart sono stati vittime di tre distinti attacchi informatici tra il 2015 e il 2025, configurando una delle più gravi e articolate serie di incidenti di cybersicurezza nel panorama europeo della difesa. Il più dannoso è stato un sofisticato attacco insider durato due anni, che ha portato alla compromissione di 10 GB di dati militari sensibili. Gli attacchi più recenti hanno colpito le operazioni delle controllate e alimentato falsi allarmi legati a ransomware.

La minaccia interna che ha scosso la difesa europea

L’attacco più devastante si è verificato tra maggio 2015 e gennaio 2017, quando Arturo D’Elia, responsabile della sicurezza informatica – ironicamente incaricato di prevenire incidenti di cybersecurity – ha orchestrato una sofisticata operazione di sottrazione dati.
Utilizzando chiavette USB, D’Elia ha installato un malware personalizzato denominato “cftmon.exe” su 94 postazioni di lavoro nei siti Leonardo, inclusi 33 sistemi presso l’impianto strategico di Pomigliano d’Arco, nei pressi di Napoli.

Si è trattato di un attacco classificabile come APT (Advanced Persistent Threat), reso possibile grazie a un accesso privilegiato interno. D’Elia aveva infatti lavorato presso la NATO Communication and Information Agency dal 2010 al 2015, acquisendo una profonda conoscenza dei protocolli di sicurezza.
Il malware, sviluppato in Visual Basic 6, disponeva di funzionalità di keylogging e screen capturing, e trasmetteva i dati esfiltrati a un server di comando e controllo localizzato su fujinama.altervista.org.

Nel corso di due anni, sono stati sottratti 10 GB di dati, corrispondenti a circa 100.000 file, contenenti progetti riservati relativi a velivoli come il nEUROn (drone da combattimento), il C-27J (aereo da trasporto tattico) e i turboelica ATR.

La violazione è stata rilevata dal team di cybersecurity di Leonardo nel gennaio 2017, attraverso l’analisi di traffico di rete anomalo. La procura italiana ha formalmente accusato D’Elia di accesso abusivo, intercettazione illecita e manipolazione di dati, mentre Antonio Rossi, suo complice, è stato incriminato per ostruzione alle indagini. Il server C2 è stato sequestrato dalla Polizia Postale, ma i danni risultavano già ingenti: progetti militari sensibili, credenziali di accesso del personale e dati sugli approvvigionamenti erano stati compromessi.

Attacchi recenti: nel mirino le controllate

Nel luglio 2025, Larimart S.p.A., società partecipata al 60% da Leonardo e specializzata in elettronica per la difesa e comunicazioni militari, è stata oggetto di un nuovo attacco informatico. I cybercriminali hanno pubblicato 2,2 GB di dati dell’azienda, attiva nello sviluppo di soluzioni elettroniche per la difesa, la sicurezza e i servizi di emergenza. Gli autori dell’attacco sostengono di essere in possesso di una quantità di dati ben superiore rispetto a quanto reso pubblico.

Fondata nel 1960, Larimart è oggi un punto di riferimento nazionale nell’ambito ICT e nei sistemi di protezione individuale, operando come centro di competenza di Leonardo per terminali utente, computer e display rugged, sottosistemi di gestione integrata delle comunicazioni, protezione balistica e sistemi di difesa CBRN (Chimica, Biologica, Radiologica, Nucleare).
La società coniuga 63 anni di esperienza con tecnologie d’avanguardia, garantendo internamente produzione e controllo qualità per assicurare alti standard di affidabilità e sicurezza.

Il ruolo strategico di Larimart è testimoniato dalla sua leadership nel Consorzio PBI, incaricato dello sviluppo delle corazze di livello IV per le Forze Armate italiane. Nel 2021, Larimart ha acquisito la quota di maggioranza di DPI srl, consolidando la propria posizione nel mercato nazionale della protezione individuale.

L’azienda ha sottolineato che “nessuna informazione classificata è stata compromessa”, confermando che i dati sensibili risultano correttamente segregati dai sistemi oggetto dell’attacco.

Le rivendicazioni ransomware

Tra questi eventi, nel febbraio 2025, il gruppo ransomware 3AM (ThreeAM) ha rivendicato la compromissione dei sistemi di Leonardo, affermando di aver sottratto dati di 39 utenti e informazioni provenienti da 62 entità terze.
Leonardo ha smentito con fermezza tali dichiarazioni, definendole “completamente infondate” e precisando che non vi è alcuna evidenza di accessi non autorizzati ai propri sistemi informatici.

Le analisi di sicurezza suggeriscono che gli attaccanti abbiano colpito fornitori esterni di Leonardo, anziché i sistemi centrali. Tra le realtà potenzialmente coinvolte figurerebbero CAE e Rotorsim, partner in joint venture.

Sofisticazione tecnica e conoscenza dell’ambiente

L’attacco del 2015-2017 ha evidenziato una notevole sofisticazione tecnica, congiunta a una profonda conoscenza interna dei sistemi. D’Elia ha creato un malware che si mascherava da file legittimo di Windows (ctfmon.exe), sfuggendo così ai controlli di sicurezza. Il codice si manteneva persistente grazie a modifiche del registro e utilizzava chiamate API di Windows come InternetConnectA e HttpOpenRequestW per le comunicazioni con il server C2.

L’hash del malware (3c4444c8339f2b4c04931a379daf9d041854b168e45f949515f90b124821d626) e la data di compilazione (14 luglio 2015) sono diventati elementi probatori fondamentali. Il malware era in grado di eseguire keylogging in tempo reale, catturare schermate, ricevere comandi da remoto ed esfiltrare automaticamente i dati, mantenendo l’occultamento grazie all’autocancellazione una volta completata l’operazione.

Risposte aziendali e strategie di contenimento

La risposta di Leonardo agli incidenti ha subito un’evoluzione significativa nel tempo. In occasione dell’attacco interno del 2015-2017, l’azienda ha collaborato con le autorità giudiziarie, sporto denuncia e si è posizionata come parte lesa, piuttosto che come soggetto negligente. Ha inoltre ribadito che i dati classificati erano custoditi in ambienti fisicamente separati e non connessi alla rete, limitando così l’impatto strategico della violazione.

Per gli attacchi del 2025, Leonardo ha dimostrato una maggiore maturità nella comunicazione di crisi, contrastando tempestivamente le affermazioni del gruppo 3AM con dichiarazioni ufficiali, mentre Larimart ha sottolineato la segregazione dei dati e la tutela delle informazioni classificate. Questo approccio rapido e trasparente ha contribuito a contenere i danni reputazionali e a disinnescare la disinformazione.

Implicazioni sistemiche per la cybersecurity della Difesa

Questi episodi mettono in luce vulnerabilità strutturali nei modelli di sicurezza dei contractor della difesa. La minaccia interna si è rivelata la più insidiosa, evidenziando carenze nella gestione degli accessi privilegiati, nell’analisi comportamentale e nella separazione dei compiti. I tradizionali sistemi di sicurezza si sono dimostrati incapaci di rilevare comportamenti malevoli da parte di personale interno con accessi legittimi.

Tali eventi hanno però stimolato un rafforzamento complessivo del comparto. Leonardo ha aumentato in modo significativo gli investimenti in cybersecurity, puntando a 230 milioni di euro in ordini entro il 2029 e registrando una crescita del 21% dei ricavi da sicurezza informatica (168 milioni di euro nel primo trimestre 2025). L’azienda ha siglato partnership strategiche, tra cui quella con Arbit Cyber Defence Systems (dicembre 2024), e ha fondato la Cyber & Security Academy per potenziare la formazione specializzata.

Questi incidenti riflettono un contesto più ampio, in cui la cybersecurity rappresenta una sfida crescente per l’intero settore della difesa. Secondo recenti studi, quasi il 50% delle aziende italiane ha subito attacchi informatici, e 1 su 10 è stata vittima di ransomware con richieste estorsive. La frequenza e la complessità degli attacchi alle infrastrutture critiche sono in costante aumento, rendendo i contractor della difesa obiettivi di alto valore strategico per via dell’accesso a tecnologie militari sensibili e informazioni classificate.

Lezioni dal fronte della sicurezza digitale

Gli incidenti che hanno coinvolto Leonardo e Larimart offrono insegnamenti chiave per la cybersecurity moderna. Le minacce interne richiedono capacità di rilevamento specializzate, che vadano oltre le difese perimetrali convenzionali. Anche gli attacchi esterni più avanzati risultano meno distruttivi rispetto a quelli perpetrati da insider malevoli con accessi privilegiati.

Le organizzazioni devono implementare analisi comportamentali, monitoraggio continuo degli utenti privilegiati e una rigorosa separazione dei compiti, in particolare tra il personale addetto alla sicurezza. Inoltre, è fondamentale una corretta classificazione e segregazione dei dati, come dimostrato dalla limitazione dei danni sia nell’attacco del 2015-2017 che nella violazione subita da Larimart nel 2025.

Conclusioni

Gli attacchi informatici subiti da Leonardo e Larimart rappresentano un decennio di evoluzione delle minacce per i contractor della difesa. Se l’attacco interno del 2015-2017 ha segnato l’evento più dannoso, la successiva maturazione della postura di sicurezza e delle capacità di risposta ha consentito a Leonardo di reagire efficacemente alle minacce successive.

L’impegno continuo dell’azienda in materia di cybersecurity, le partnership strategiche e le solide procedure di risposta agli incidenti la posizionano in modo competitivo per affrontare le sfide future in un panorama di minacce sempre più complesso.

Questi casi dimostrano che la protezione delle infrastrutture critiche richiede strategie integrate in grado di fronteggiare sia minacce esterne che interne, con particolare attenzione ai rischi rappresentati da insider fidati con accesso a informazioni sensibili per la sicurezza nazionale.

Fonti:

• BankInfoSecurity – “2 Charged With Hacking Italian Defense Contractor Leonardo” URL: https://www.bankinfosecurity.com/2-charged-hacking-italian-defense-contractor-leonardo-a-15534
• ICT Security Magazine – “La gang ransomware Hunter International: perché regalano le chiavi per decrittare” https://www.ictsecuritymagazine.com/articoli/hunter-international/
• Bleeping Computer – “Police arrest two in data theft cyberattack on Leonardo defense corp” URL: https://www.bleepingcomputer.com/news/security/police-arrest-two-in-data-theft-cyberattack-on-leonardo-defense-corp/
• Insurance Journal – “Data Theft at Defense Firm Leonardo Targeted Details of Military Aircraft: Arrest Warrant” URL: https://www.insurancejournal.com/news/international/2020/12/23/595291.htm
• Cybersecurity Help – “Two people arrested for stealing 10 GB of confidential data from defense company Leonardo” URL: https://www.cybersecurity-help.cz/blog/1805.html
• Security Boulevard – “Who Watches the Watchers, Italian Style – Insider IP Theft at Leonardo” URL: https://securityboulevard.com/2020/12/who-watches-the-watchers-italian-style-insider-ip-theft-at-leonardo/
• Yoroi Company – “Connecting the dots inside the Italian APT Landscape” URL: https://yoroi.company/research/connecting-the-dots-inside-the-italian-apt-landscape/
• CISA – “Insider Threat Mitigation” URL: https://www.cisa.gov/topics/physical-security/insider-threat-mitigation
• ACN – “La Settimana Cibernetica del 13 luglio 2025” URL: https://www.acn.gov.it/portale/w/la-settimana-cibernetica-del-13-luglio-2025
• TechNadu – “3AM Claims a Ransomware Attack on Italy’s Leonardo SpA” URL: https://www.technadu.com/3am-ransomware-claims-to-extort-italys-aerospace-and-defense-manufacturer-leonardo-spa/575716/
• LeMagIT – “Ransomware : Leonardo réfute les allégations de ThreeAM” URL: https://www.lemagit.fr/actualites/366619111/Ransomware-Leonardo-refute-les-allegations-de-ThreeAM
• Leakd – “Leonardo.com: Aerospace & Defense Giant Allegedly Targeted by ThreeAM Ransomware Group” URL: https://leakd.com/cyber-security/leonardo-com-aerospace-defense-giant-allegedly-targeted-by-threeam-ransomware-group/
• BreachSense – “Leonardo Data Breach in 2025” URL: https://www.breachsense.com/breaches/leonardo-data-breach/
• Leonardo Official – “Strategic agreement with Arbit Cyber Defence Systems” URL: https://www.leonardo.com/en/press-release-detail/-/detail/19-12-2024-leonardo-strategic-agreement-with-arbit-cyber-defence-systems-for-the-development-of-an-advanced-cybersecurity-solution
• Ainvest – “Leonardo’s Cybersecurity Gambit: Building a European Tech Fortress Through Strategic M&A” URL: https://www.ainvest.com/news/leonardo-cybersecurity-gambit-building-european-tech-fortress-strategic-2506/
• Italian Defence Technologies – “The knowledge [to] protect: Leonardo’s Cyber & Security Academy” URL: https://www.italiandefencetechnologies.com/the-knowledge-to-protect-leonardos-cyber-security-academy/
• Larimart Official Website – “Defence, Security, Emergency” URL: https://larimart.it/en/
• Larimart – “Who we are and our mission” URL: https://larimart.it/en/who-we-are/
• AIAD – “Larimart S.p.A. – ICT & Personal Protections” URL: https://aiad.it/aziende-federate/larimart-s-p-a-2025/?lang=en
• Tracxn – “Larimart – 2025 Company Profile, Funding & Competitors” URL: https://tracxn.com/d/companies/larimart/___9_qt3AVy0eHU0VFVmVXEjPCeACrt1KcXxESRIfy0pw
• Integrity360 – “5 of the biggest cyber attacks of 2025 (so far)” URL: https://insights.integrity360.com/it/5-of-the-biggest-cyber-attacks-of-2025-so-far
• BrightDefense – “List of Recent Data Breaches in 2025” URL: https://www.brightdefense.com/resources/recent-data-breaches/
• Tech.co – “Data Breaches That Have Happened in 2024 & 2025” URL: https://tech.co/news/data-breaches-updated-list
• Intellizence – “Recent Cybersecurity Attacks and Data Breaches – 2025” URL: https://intellizence.com/insights/business-signals-trends/major-cyber-attacks-data-breaches-leading-companies/
• KonBriefing – “Cyber attacks worldwide: News today & 2025” URL: https://konbriefing.com/en-topics/cyber-attacks.html
• ICT Security Magazine – “Gli attori della minaccia ransomware” https://www.ictsecuritymagazine.com/articoli/minaccia-ransomware/