Le recenti campagne di spionaggio e sabotaggio digitale, scoperte da ricercatori indipendenti e gruppi di sicurezza informatica, mostrano un'evoluzione preoccupante delle minacce, con attori sponsorizzati da stati esteri che puntano direttamente alle catene di fornitura e alle infrastrutture del trasporto, sfruttando le debolezze nei servizi cloud, nei sistemi di gestione remota e nei fornitori terzi. In particolare, la Threat Research Unit di Acronis ha rilevato un cambiamento nella strategia del gruppo di ciberspionaggio cinese Silk Typhoon, ritenuto legato alla Cina, che ha iniziato a colpire il comparto della logistica. Il gruppo utilizza credenziali compromesse, chiavi Api rubate e vulnerabilità non corrette per infiltrarsi negli ambienti cloud in modo silenzioso e persistente, cancellando i log per ridurre la possibilità di essere individuato.
L'elemento allarmante per il settore dei trasporti è il ricorso sistematico a repository pubblici come GitHub, dove i cibercriminali cercano credenziali trapelate e le usano per attacchi mirati. Secondo, Acronis, questi sistemi, spesso utilizzati per la gestione logistica, il monitoraggio delle flotte e la pianificazione delle consegne, possono trasformarsi in porte d’accesso privilegiato per spionaggio industriale o sabotaggio operativo.
Dall’Europa orientale, invece, proviene un’altra grave minaccia: una massiccia campagna di attacchi informatici rivolta agli operatori di telecomunicazioni in Cina e sulla costa occidentale degli Stati Uniti. L’obiettivo? Installare software malevoli capaci di rubare informazioni, bloccare l’accesso remoto e sfruttare la potenza di calcolo dei sistemi infetti per il "mining" di criptovalute. I criminali impiegano linguaggi di scripting come PowerShell e Python per agire in modo silente, utilizzando servizi di messaggistica cifrata per controllare i sistemi a distanza. Una volta ottenuto l’accesso, il malware si installa in directory dal nome innocuo come Migration, spegne i sistemi di sicurezza, effettua scansioni di rete e intercetta persino gli indirizzi dei portafogli digitali copiati negli appunti degli utenti.
Nel Sud-est asiatico, l’Apt cinese noto come Lotus Panda — attivo almeno dal 2009 — ha aggiornato il proprio arsenale digitale con nuove varianti del malware Sagerunex. I bersagli sono enti governativi, operatori delle telecomunicazioni e industrie manifatturiere di Paesi come Filippine, Vietnam, Hong Kong e Taiwan. Una delle novità più insidiose è l’uso di piattaforme legittime come Dropbox, X e Zimbra per nascondere il traffico di comando e controllo: le istruzioni vengono inviate tramite e-mail o file di bozza, rendendo estremamente difficile l’individuazione. L’infrastruttura di attacco è completata da strumenti per il furto di cookie, proxy sofisticati come Venom e utility per l’elevazione dei privilegi.
Neanche il continente sudamericano ne è immune. In particolare, Paesi di lingua spagnola sono stati colpiti da una campagna riconducibile al gruppo Dark Caracal, noto per operazioni di spionaggio a lungo raggio. Il veicolo di attacco è il malware Poco Rat, in grado di caricare file, acquisire schermate, eseguire comandi e manipolare processi di sistema. Diffuso attraverso e-mail di phishing camuffate da fatture commerciali, Poco Rat permette il controllo totale dei dispositivi compromessi e il furto sistematico di informazioni riservate. Le prime segnalazioni risalgono all’estate del 2024, ma i collegamenti con attività precedenti suggeriscono una strategia coordinata e a lungo termine.
Infine, nel settore dell’aviazione degli Emirati Arabi Uniti è stata rilevata una sofisticata operazione di spionaggio condotta da un gruppo sospettato di avere legami con l’Iran. Utilizzando l’identità compromessa di una società indiana di elettronica, i pirati informatici hanno inviato messaggi di phishing a un numero ristretto di entità nel comparto satellitare e dell’aviazione. Il malware impiegato, chiamato Sosano, è stato programmato in linguaggio Golang e consente di eseguire comandi, scaricare ulteriori componenti malevoli e manipolare le directory di sistema. Gli esperti ritengono che l’operazione, per quanto circoscritta, rappresenti una minaccia latente per le infrastrutture critiche dell’area mediorientale, con potenziali implicazioni anche per il trasporto internazionale.
