Le più recenti analisi di threat intelligence mostrano come il settore della difesa e, in particolare, la Defense Industrial Base sia diventato un obiettivo prioritario di operazioni cyber coordinate. Gruppi legati a Cina, Iran, Russia e Corea del Nord, insieme ad attori hacktivist e criminali, stanno concentrando gli attacchi su aziende aerospaziali, fornitori militari e organizzazioni connesse alla produzione e alla ricerca. Il quadro evidenzia una pressione costante e multivettore che combina spionaggio, sabotaggio ed estorsione.

Contesto operativo: guerra in Ucraina

Un primo elemento chiave riguarda il contesto operativo della guerra in Ucraina. Diverse campagne mirano a colpire enti e personale che utilizzano tecnologie impiegate sul campo come droni, veicoli autonomi e piattaforme di gestione del combattimento. L’interesse verso droni e sistemi autonomi cresce perché queste soluzioni hanno un ruolo sempre più centrale nella guerra moderna e quindi rappresentano un vantaggio informativo strategico per chi riesce a sottrarre progetti, piani di produzione o dati operativi.

Attacchi a persone e processi interni

Un secondo tema è l’attacco alle persone e ai processi interni. Attori nordcoreani e iraniani avrebbero sfruttato l’avvicinamento diretto ai dipendenti e soprattutto l’abuso del processo di selezione e assunzione. Le campagne di finto recruiting e offerte di lavoro mirate vengono usate per indurre le vittime a eseguire malware o consegnare credenziali. In parallelo sono state osservate tecniche di phishing e l’uso di strumenti di accesso remoto mascherati da software legittimo.

Accesso iniziale tramite dispositivi edge e appliance esposte

Il terzo filone riguarda l’accesso iniziale tramite dispositivi edge e appliance esposte. Gruppi collegati alla Cina tendono a sfruttare questi punti di ingresso per ottenere foothold senza passare da endpoint tradizionali. In questo scenario emerge anche l’uso di reti di relay operativi chiamate ORB, che possono rendere più difficile la rilevazione e l’attribuzione delle intrusioni grazie a infrastrutture intermedie distribuite.

Rischio supply chain e pressione ransomware

Infine pesa il rischio supply chain legato al settore manifatturiero. La compromissione di aziende di produzione può propagarsi lungo la catena di fornitura verso i contractor della difesa. Inoltre, attori finanziari conducono estorsioni e ransomware contro difesa e manifattura come in altri verticali ad alto valore.