Tecnologie di Spionaggio dei Paesi dell'Est: Analisi Dettagliata - Spionaggio Blog | 1.001 notizie su Intelligence e Sorveglianza

Lo spionaggio, nell’era digitale contemporanea, ha subito una trasformazione radicale, con gli stati nazione che sfruttano tecnologie sempre più sofisticate per raggiungere i propri obiettivi strategici. In questo scenario, i paesi dell’Europa orientale, e in particolare la Federazione Russa, hanno dimostrato di possedere e impiegare un arsenale diversificato di capacità di intelligence, che spaziano dal cyber spionaggio all’intelligence umana (HUMINT), dalla signals intelligence (SIGINT) alle operazioni di influenza e disinformazione tecnologicamente avanzate. Le crescenti tensioni geopolitiche, esemplificate dal conflitto in Ucraina e dalle dinamiche complesse con le alleanze occidentali, hanno ulteriormente intensificato queste attività, rendendo la comprensione delle tecnologie impiegate un elemento cruciale per la sicurezza internazionale.

Proliferazione tecnologie di Spionaggio

La proliferazione di tecnologie accessibili ha, da un lato, abbassato la barriera d’ingresso per alcune forme di spionaggio, permettendo anche ad attori minori di condurre operazioni. Tuttavia, gli attori statali più sofisticati, come la Russia, continuano a investire nello sviluppo e nell’impiego di capacità avanzate, spesso personalizzate e altamente complesse. Questo indica una sorta di biforcazione nel panorama globale dello spionaggio: mentre alcuni strumenti e tecniche diventano più diffusi, le operazioni di maggiore impatto e rilevanza strategica rimangono appannaggio di entità con risorse e competenze significative, tipicamente statali.

Il presente report si propone di fornire una disamina dettagliata, basata su fonti aperte e attendibili, delle diverse tecnologie di spionaggio utilizzate dai paesi dell’Est, con un’enfasi specifica sul loro utilizzo pratico, sulla loro composizione tecnica (ove le informazioni siano pubblicamente disponibili) e sugli attori statali coinvolti. L’analisi mira a offrire un quadro comprensivo delle capacità attuali e delle tendenze emergenti in questo dominio critico.

I. Cyber Espionaggio: L’Arsenale Digitale

Il cyber spionaggio rappresenta una componente fondamentale delle moderne operazioni di intelligence, consentendo agli stati di raccogliere informazioni sensibili, sabotare infrastrutture critiche e influenzare eventi politici ed economici su scala globale. I paesi dell’Est, in particolare la Russia, hanno sviluppato capacità cyber offensive e di spionaggio tra le più avanzate al mondo.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

In 30 Minuti rileviamo GPS e Microspie
Nascoste nella tua Auto
Bonifica Microspie Auto a Roma

A. Attori Statali Preminenti e Loro Affiliazioni

Diverse agenzie di intelligence russe sono state identificate come attori chiave nel dominio del cyber spionaggio. Tra queste, il Direttorato principale per l’informazione dello Stato Maggiore Generale delle Forze Armate della Federazione Russa (GRU), il Servizio Federale di Sicurezza (FSB) e il Servizio di Intelligence Estera (SVR) svolgono ruoli preminenti. A queste agenzie sono associati numerosi gruppi di Advanced Persistent Threat (APT), ciascuno con specifici mandati, strumenti e obiettivi.

Il GRU è stato collegato ad alcune delle operazioni cyber più aggressive e distruttive. Tra le sue unità più note figurano:

Unità 74455 (Sandworm Team, APT44, Seashell Blizzard, Telebots, Voodoo Bear, IRIDIUM, Iron Viking): Questo gruppo è responsabile di attacchi altamente distruttivi come NotPetya e di campagne contro infrastrutture critiche, in particolare in Ucraina.
Unità 26165 (APT28, Fancy Bear, Sofacy, Forrest Blizzard): Nota per le sue campagne di spionaggio mirate a governi, organizzazioni militari e politiche, inclusa l’interferenza nelle elezioni statunitensi del 2016 e attacchi a varie entità europee e della NATO.
Unità 29155 (UNC2589, Cadet Blizzard, Ember Bear): Collegata al malware distruttivo WhisperGate utilizzato contro l’Ucraina e ad operazioni contro membri della NATO e paesi in America Latina e Asia Centrale, con un focus sull’interruzione degli aiuti all’Ucraina.
Unità 20728: Identificata come operante il gruppo APT28 per esercitare pressione sulle infrastrutture ucraine.

L’FSB è anch’esso profondamente coinvolto in operazioni cyber, con una crescente capacità di sviluppare malware avanzato e di condurre spionaggio.

Gamaredon Group (UAC-0010, Primitive Bear, Armageddon, Shuckworm, Aqua Blizzard, WINTERFLOUNDER, Hive0051): Attribuito al 18° Centro di Sicurezza Informatica dell’FSB, operante dalla Crimea occupata, questo gruppo è estremamente attivo contro l’Ucraina, prendendo di mira istituzioni governative e militari.

L’SVR è associato a gruppi come:

APT29 (Cozy Bear, Nobelium, Midnight Blizzard): Noto per campagne di spionaggio sofisticate, inclusi attacchi alla supply chain come quelli contro SolarWinds e, più recentemente, JetBrains e 3CX.

La molteplicità di nomi e alias utilizzati dalla comunità della cybersecurity per tracciare questi gruppi (ad esempio, Sandworm è anche noto come APT44, Seashell Blizzard, ecc.) riflette la complessità dell’attribuzione e la natura evolutiva di queste minacce.

È interessante notare come la struttura dell’intelligence russa, con diverse agenzie che a volte competono per risorse e influenza, possa portare a una sovrapposizione negli obiettivi e nelle operazioni. Questa competizione interna, se da un lato può generare inefficienze, dall’altro può anche stimolare le singole unità a sviluppare capacità distintive e a perseguire aggressivamente i propri mandati, risultando in un panorama di minacce più eterogeneo e complesso da contrastare. Inoltre, la pratica russa di utilizzare gruppi di facciata o “cyber-persone” (come XakNet e CyberArmyofRussia_Reborn, associati ad APT44) per rivendicare attacchi o diffondere dati rubati serve un duplice scopo: permette allo stato di negare plausibilmente il proprio coinvolgimento diretto e, contemporaneamente, amplifica l’impatto psicologico delle operazioni cyber, trasformandole anche in strumenti di guerra dell’informazione.

Tabella 1: Principali Gruppi APT dell’Est Europa e Attribuzioni Selezionate

Nome Gruppo APT (e alias)	Affiliazione Sospetta (Paese, Unità)	Obiettivi Primari (Settori, Paesi)	Malware/Strumenti Noti Selezionati
Sandworm (APT44, Seashell Blizzard, GRU Unit 74455, Telebots, Voodoo Bear, IRIDIUM, Iron Viking)	Russia (GRU, Unità 74455)	Infrastrutture critiche (energia, trasporti), governi, militari, telecomunicazioni; focus su Ucraina, ma portata globale (USA, Europa, Asia, Africa)	NotPetya, Industroyer/Industroyer2, WhisperGate, KillDisk, Olympic Destroyer, Infamous Chisel, Cyclops Blink, BlackEnergy, CaddyWiper, ShadowLink, Kalambur, WrongSens
APT28 (Fancy Bear, GRU Unit 26165, Sofacy, Forrest Blizzard, Strontium, Pawn Storm)	Russia (GRU, Unità 26165, operato anche da Unità 20728)	Governi, militari, organizzazioni politiche, difesa, media, energia; focus su USA, Europa (NATO), Ucraina	X-Agent, Sednit, Zebrocy, HeadLace, OceanMap, MASEPIE, exploitation di router EdgeRouter, CVE-2023-23397
Gamaredon Group (UAC-0010, Primitive Bear, Armageddon, Shuckworm, Aqua Blizzard, WINTERFLOUNDER, Hive0051)	Russia (FSB, 18° Centro Sicurezza Informatica)	Istituzioni governative e militari ucraine; tentativi contro paesi NATO (Bulgaria, Lettonia, Lituania, Polonia)	Remcos RAT, PteroBleed, file LNK malevoli, script PowerShell, abuso di Telegram/Signal
APT29 (Cozy Bear, Nobelium, Midnight Blizzard, The Dukes, Cloaked Ursa)	Russia (SVR)	Governi, diplomatici, think tank, sanità, energia, attacchi supply chain; focus su USA, Europa (NATO)	Sunburst, Sunspot (SolarWinds), GoldMax, GoldFinder, Sibot, attacchi a JetBrains, 3CX
UNC2589 (Cadet Blizzard, Ember Bear, GRU Unit 29155)	Russia (GRU, Unità 29155)	Ucraina, membri NATO, America Latina, Asia Centrale; interruzione aiuti all’Ucraina, spionaggio, sabotaggio	WhisperGate
UNC1151 (Ghostwriter)	Bielorussia (Governo, possibile supporto russo)	Disinformazione anti-NATO/USA, furto credenziali; target in Europa Orientale, Ucraina, opposizione bielorussa	PicassoLoader, AgentTesla, Cobalt Strike Beacon, njRAT
FrostyNeighbor	Bielorussia (Governo)	Campagne di disinformazione anti-NATO; target: Agenzia Anti-Doping Polacca (tramite IAB)	Non specificato (focus su hack-and-leak e disinformazione)

B. Malware Sofisticato: Tipologie, Composizione e Impiego

Gli attori statali dell’Est Europa, e in particolare la Russia, sviluppano e impiegano una vasta gamma di malware sofisticato per condurre operazioni di spionaggio, sabotaggio e influenza. Questi strumenti variano da wiper distruttivi a backdoor furtive, spesso caratterizzati da una notevole complessità tecnica.

Malware Distruttivo (Wiper e Ransomware con finalità distruttive): Questi malware sono progettati per danneggiare o rendere inutilizzabili i sistemi e i dati delle vittime.

NotPetya: Emerso nel 2017 e attribuito a Sandworm (GRU Unit 74455), NotPetya si presentava inizialmente come un ransomware, ma la sua funzione primaria era la distruzione dei dati. La sua composizione tecnica prevedeva la modifica del Master Boot Record (MBR) dei sistemi infetti e la crittografia della Master File Table (MFT) del disco rigido, rendendo di fatto irrecuperabili i dati. Possedeva inoltre capacità di propagazione simili a un worm, sfruttando strumenti come EternalBlue ed EternalRomance per diffondersi rapidamente attraverso le reti, colpendo principalmente l’Ucraina ma causando danni per miliardi di dollari a livello globale.
Industroyer/Industroyer2: Considerato uno dei malware più sofisticati mai creati per colpire sistemi di controllo industriale (ICS) e Supervisory Control and Data Acquisition (SCADA), Industroyer è stato sviluppato da Sandworm specificamente per interagire con le infrastrutture delle reti elettriche. La sua architettura è modulare, con componenti progettati per comunicare direttamente con gli apparati industriali utilizzando i loro protocolli nativi, come IEC 60870-5-101, IEC 60870-5-104, IEC 61850 e OPC DA. Questo permette al malware di inviare comandi diretti a interruttori e sezionatori, causando interruzioni di corrente, come avvenuto negli attacchi alla rete elettrica ucraina nel 2015 e 2016 (con Industroyer) e un tentativo nel 2022 (con Industroyer2).
WhisperGate: Impiegato nel gennaio 2022 contro organizzazioni ucraine e attribuito all’Unità 29155 del GRU (nota anche come UNC2589 o Cadet Blizzard), WhisperGate è un malware distruttivo mascherato da ransomware. La sua composizione è multi-stadio: un primo componente corrompe l’MBR per rendere il sistema inavviabile, mentre un secondo stadio scarica un file wiper che sovrascrive i file utente in base a una lista di estensioni predefinite, rendendoli irrecuperabili.
KillDisk: Utilizzato da Sandworm, spesso in congiunzione con il malware BlackEnergy, KillDisk è uno strumento progettato per cancellare i dati dagli hard disk sovrascrivendo i file e rendendo i computer inutilizzabili.
CaddyWiper: Un altro malware di tipo wiper osservato in attacchi contro l’Ucraina, CaddyWiper distrugge i dati degli utenti, le partizioni e l’MBR, cancellando dati, applicazioni e programmi.
Olympic Destroyer: Impiegato da Sandworm durante le Olimpiadi Invernali del 2018, questo malware wiper con capacità di worm ha sabotato l’infrastruttura IT dei giochi, rendendo i sistemi informatici infetti inutilizzabili.

Malware per Spionaggio (RAT, Infostealer, Backdoor): Questi strumenti sono progettati per infiltrarsi nei sistemi, mantenere l’accesso persistente, raccogliere informazioni e comunicare con i server di comando e controllo (C2) degli attaccanti.

Infamous Chisel: Attribuito a Sandworm, questo malware prende di mira i dispositivi Android utilizzati dall’esercito ucraino. Una volta installato, stabilisce un accesso persistente, raccoglie periodicamente ed esfiltra una vasta gamma di dati, tra cui informazioni di sistema, dati da applicazioni di chat (Skype, Telegram, WhatsApp, Signal, Viber, Discord), browser, app di autenticazione a due fattori (Google Authenticator), VPN, app di sincronizzazione file (OneDrive, Dropbox), app finanziarie (Binance, PayPal) e applicazioni militari specifiche. Una caratteristica distintiva è la creazione di un server SSH configurato per operare come servizio nascosto Tor, permettendo agli attaccanti di connettersi remotamente al dispositivo infetto in modo anonimo.
Remcos RAT: Questo Remote Access Trojan è stato utilizzato dal gruppo Gamaredon (FSB) in campagne contro l’Ucraina. Viene tipicamente distribuito tramite file LNK malevoli contenuti in archivi ZIP e permette agli attaccanti di rubare dati e manipolare i sistemi compromessi.
HeadLace Backdoor: Distribuita da APT28, questa backdoor viene veicolata tramite link in email di phishing che portano a domini ospitati su servizi web gratuiti come InfinityFree. Il malware, contenuto in archivi ZIP, utilizza endpoint del servizio Mocky.IO per ricevere comandi. È progettata per raccogliere credenziali, informazioni di sistema e può essere utilizzata per scaricare ulteriori strumenti offensivi.
OceanMap Stealer: Un altro strumento nel arsenale di APT28, OceanMap è un infostealer che sfrutta il protocollo IMAP per esfiltrare le credenziali di accesso salvate nei browser web. Versioni aggiornate di questo stealer sono state distribuite utilizzando i malware SteelHook e MasePie.
MASEPIE: Si tratta di una backdoor scritta in Python e sviluppata da APT28, capace di eseguire comandi arbitrari sul sistema vittima. Per le comunicazioni C2, MASEPIE utilizza router Ubiquiti EdgeRouter compromessi, con il traffico criptato tramite AES.
Cyclops Blink: Attribuito a Sandworm, questo malware è stato descritto come un sostituto di VPNFilter. È in grado di creare una botnet e colpisce principalmente router Asus e appliance di sicurezza WatchGuard Firebox e XTM, permettendo agli attaccanti di stabilire un accesso persistente e una piattaforma per ulteriori attacchi.
ShadowLink: Un’utility personalizzata sviluppata da un sottogruppo di Sandworm, ShadowLink permette ai sistemi compromessi di essere accessibili tramite la rete Tor, garantendo anonimato e resilienza all’infrastruttura C2.
Kalambur: Una backdoor RDP (Remote Desktop Protocol) utilizzata da un sottogruppo di Sandworm, mascherata da aggiornamento di Windows. Anch’essa utilizza la rete Tor per le comunicazioni di comando e controllo.
WrongSens: Una nuova backdoor Windows utilizzata da Sandworm, identificata da ESET nelle sue analisi delle attività del gruppo.
PteroBleed: Un infostealer scoperto da ESET e attribuito a Gamaredon. Questo malware è specificamente focalizzato sul furto di dati da sistemi militari ucraini e dal servizio webmail di un’istituzione governativa ucraina.

L’evoluzione del malware russo mostra una chiara tendenza verso attacchi multi-stadio e l’uso crescente di “living off the land binaries” (LoLBaS) e script (in particolare PowerShell). Questa tecnica permette agli attaccanti di minimizzare la loro traccia forense e di bypassare le difese tradizionali basate su firme, poiché utilizzano strumenti e processi legittimi già presenti sul sistema operativo della vittima. L’uso di PowerShell da parte di Gamaredon per offuscare gli script e l’impiego di strumenti di amministrazione remota legittimi come Atera Agent e Splashtop da parte di Sandworm sono esempi di questo approccio, mirato a mimetizzarsi nel normale traffico di rete e a rendere più complessa la detection.

Distinzione tra malware

Inoltre, la distinzione tra malware puramente destinato allo spionaggio e malware con capacità distruttive si sta assottigliando. Strumenti come NotPetya e WhisperGate presentano caratteristiche di entrambi, iniziando magari con una fase di presunto ransomware per poi rivelare la loro vera natura di wiper. Questa dualità offre agli attaccanti una maggiore flessibilità operativa, permettendo loro di passare dalla raccolta di intelligence al sabotaggio a seconda degli obiettivi strategici del momento o delle direttive ricevute. Ciò suggerisce una pianificazione che contempla diverse opzioni di escalation o de-escalation delle ostilità informatiche.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

In 30 Minuti rileviamo GPS e Microspie
Nascoste nella tua Auto
Bonifica Microspie Auto a Roma

Sfruttamento di Vulnerabilità Note (CVE): Un elemento centrale delle campagne di cyber spionaggio è lo sfruttamento di vulnerabilità software. Gli attori russi monitorano costantemente e sfruttano sia vulnerabilità zero-day (cioè non ancora note pubblicamente o al produttore del software) sia vulnerabilità note per le quali non sono state applicate le patch. Tra le CVE frequentemente sfruttate si annoverano:

CVE-2021-34473 (ProxyShell in Microsoft Exchange)
CVE-2022-41352 (Zimbra Collaboration)
CVE-2023-32315 (OpenFire)
CVE-2023-42793 (JetBrains TeamCity)
CVE-2023-23397 (Microsoft Outlook), sfruttata da APT28 come zero-day per la raccolta di digest NTLMv2
CVE-2024-1709 (ConnectWise ScreenConnect)
CVE-2023-48788 (Fortinet FortiClient EMS)
CVE-2019-10149 (Exim Mail Transfer Agent), sfruttata da Sandworm. Il gruppo RomCom è stato osservato sfruttare una catena di due vulnerabilità zero-day (CVE-2024-9680 in Mozilla Firefox e CVE-2024-49039 in Microsoft Windows) per ottenere l’esecuzione di codice in modalità remota (RCE) senza interazione dell’utente (zero-click).

Tabella 2: Malware Significativi Utilizzati da Attori dell’Est Europa Selezionati

Nome Malware	Tipo	Caratteristiche Tecniche/Composizione Chiave	Obiettivi/Campagne Principali	Attore/i Attribuito/i (e Unità)
NotPetya	Wiper (mascherato da Ransomware)	Modifica MBR, crittografia MFT, propagazione worm-like (EternalBlue/EternalRomance)	Ucraina (primario), diffusione globale (2017)	Sandworm (GRU Unità 74455)
Industroyer/ Industroyer2	ICS/SCADA Wiper	Modulare, protocolli ICS specifici (IEC 60870-5-101/104, IEC 61850, OPC DA), controllo diretto di switch industriali	Reti elettriche ucraine (2015, 2016, tentativo 2022)	Sandworm (GRU Unità 74455)
WhisperGate	Wiper (mascherato da Ransomware)	Multi-stadio: corruzione MBR, wiper di file basato su estensioni	Organizzazioni ucraine (Gennaio 2022)	GRU Unità 29155 (UNC2589/Cadet Blizzard)
Infamous Chisel	Android Infostealer/Spyware	Accesso persistente, esfiltrazione dati (chat, browser, 2FA, app militari), server SSH su Tor	Dispositivi Android militari ucraini	Sandworm (GRU Unità 74455)
Remcos RAT	Remote Access Trojan	Furto dati, manipolazione sistema, distribuito via LNK malevoli	Organizzazioni ucraine	Gamaredon Group (FSB)
HeadLace Backdoor	Backdoor	Distribuita via ZIP da servizi web gratuiti (InfinityFree), C2 via Mocky.IO, raccolta credenziali/info sistema	Non specificato (APT28)	APT28 (GRU)
OceanMap Stealer	Credential Stealer	Sfrutta IMAP per esfiltrare credenziali browser, distribuito con SteelHook/MasePie	Non specificato (APT28)	APT28 (GRU)
MASEPIE	Python Backdoor	Esecuzione comandi arbitrari, C2 via router EdgeRouter compromessi (AES criptato)	Non specificato (APT28)	APT28 (GRU)
Cyclops Blink	Botnet Malware	Simile a VPNFilter, colpisce router Asus e appliance WatchGuard	Creazione botnet, accesso persistente	Sandworm (GRU Unità 74455)
WrongSens	Windows Backdoor	Nuova backdoor Windows	Non specificato (Sandworm)	Sandworm (GRU Unità 74455)
PteroBleed	Infostealer	Furto dati da sistemi militari ucraini e webmail governativo	Sistemi militari e governativi ucraini	Gamaredon Group (FSB)

C. Tattiche, Tecniche e Procedure (TTPs) nel Cyber Espionaggio

Gli attori APT russi impiegano un’ampia gamma di TTPs sofisticate per raggiungere i loro obiettivi di spionaggio, che evolvono costantemente per aggirare le misure di sicurezza.

Accesso Iniziale: La fase di accesso iniziale è cruciale per qualsiasi operazione di spionaggio. Le tecniche più comuni includono:

Spear-phishing: Email mirate contenenti allegati malevoli (es. documenti Microsoft Office armati con macro, file LNK che eseguono script) o link a siti web di phishing che imitano pagine di login legittime. Gruppi come APT28 e Gamaredon utilizzano ampiamente questa tecnica.
Sfruttamento di vulnerabilità: Questo include sia lo sfruttamento di vulnerabilità zero-day (non ancora note pubblicamente) sia di vulnerabilità note (N-day) in software esposti su Internet, come server di posta elettronica (Microsoft Exchange), server VPN, software di collaborazione (Zimbra) e sistemi di gestione dei contenuti. La rapidità con cui questi gruppi riescono a integrare exploit per nuove vulnerabilità nel loro arsenale è notevole.
Compromissione di infrastrutture “edge”: APT28, ad esempio, è noto per prendere di mira router (come gli Ubiquiti EdgeRouter) e altri dispositivi perimetrali di rete. Questi dispositivi sono spesso scarsamente supervisionati, utilizzano credenziali di default o deboli, o non vengono aggiornati regolarmente, rendendoli bersagli ideali. Una volta compromessi, possono essere utilizzati per ospitare strumenti malevoli, proxyare il traffico degli attaccanti o lanciare ulteriori attacchi verso la rete interna. Il malware Moobot è stato osservato installare trojan OpenSSH su questi router, facilitando l’accesso ad APT28.
Watering Hole Attacks: Questa tecnica, utilizzata da APT28, consiste nel compromettere siti web legittimi che sono frequentemente visitati dalle vittime designate. Quando la vittima visita il sito compromesso, viene infettata silenziosamente con malware.
Installatori software trojanizzati: APT44 (Sandworm) è stato osservato distribuire software piratato o modificato tramite piattaforme di file-sharing come i torrent, specialmente su forum in lingua ucraina e russa. Questi installatori contengono malware che fornisce agli attaccanti un accesso iniziale opportunistico ai sistemi delle vittime.

Comando e Controllo (C2): Una volta ottenuto l’accesso, gli attaccanti devono stabilire un canale di comunicazione per controllare il malware e esfiltrare i dati.

Utilizzo di router compromessi: Come menzionato, APT28 utilizza router EdgeRouter compromessi come parte della sua infrastruttura C2, ad esempio per il malware MASEPIE.
Rete TOR: La rete Tor (The Onion Router) viene utilizzata da gruppi come Sandworm (con malware come ShadowLink, Kalambur e Infamous Chisel) per anonimizzare le comunicazioni C2, rendendo più difficile tracciare l’origine degli attaccanti.
Servizi legittimi e gratuiti: Per mimetizzarsi e ridurre i costi, APT28 sfrutta servizi web legittimi e gratuiti come InfinityFree (hosting) e Mocky.IO (mock API) per ospitare payload e distribuire comandi ai malware. Anche altri gruppi russi (come BlueDelta e BlueAlpha) sono stati visti utilizzare servizi come Ngrok (tunneling), Cloudflare Tunnels e Telegram per le comunicazioni C2, eludendo così più facilmente il rilevamento da parte dei sistemi di sicurezza che potrebbero considerare attendibile il traffico verso questi servizi.
Server dedicati e VPS (Virtual Private Servers): APT28 è noto per registrare nomi di dominio che assomigliano molto a quelli di organizzazioni legittime e per utilizzare VPS per ospitare i propri server C2, offrendo flessibilità e un certo grado di anonimato.

Movimento Laterale e Persistenza: Dopo l’accesso iniziale, gli attaccanti cercano di muoversi lateralmente all’interno della rete compromessa per raggiungere obiettivi di maggior valore e di stabilire meccanismi di persistenza per mantenere l’accesso nel tempo.

Furto di credenziali: Tecniche come l’installazione di keylogger, applicazioni spia e l’uso di strumenti di credential harvesting (es. Mimikatz) e attacchi di NTLM relay (ad esempio, APT28 utilizza strumenti come ntlmrelayx.py e Responder su router compromessi per intercettare e inoltrare hash NTLMv2) sono comuni.
DLL Sideloading: Questa tecnica, utilizzata da Gamaredon per caricare il Remcos RAT, sfrutta il modo in cui Windows carica le librerie DLL. Un’applicazione legittima viene ingannata per caricare una DLL malevola piazzata dall’attaccante nella stessa directory o in una directory cercata prima di quella legittima.
Creazione di backdoor e modifica di funzioni di sistema: APT28 impiega vari meccanismi per assicurarsi un accesso a lungo termine ai sistemi compromessi, come l’installazione di backdoor, la creazione di attività pianificate (scheduled tasks) o la modifica di chiavi di registro e funzioni di sistema per garantire l’esecuzione del malware all’avvio o in determinate condizioni.
Script PowerShell: Ampiamente utilizzati da Sandworm e Gamaredon, gli script PowerShell sono versatili e potenti. Vengono usati per l’offuscamento del codice, il download di ulteriori payload, l’esecuzione di comandi e le comunicazioni C2. Essendo PowerShell uno strumento nativo di Windows, il suo utilizzo malevolo può essere più difficile da rilevare (“living off the land”).

Esfiltrazione di Dati e Attacchi alla Supply Chain: L’obiettivo finale di molte operazioni di spionaggio è l’esfiltrazione di dati sensibili.

Esfiltrazione tramite protocolli comuni: APT28 è stato osservato utilizzare il protocollo IMAP (tramite lo stealer OceanMap) per esfiltrare credenziali rubate dai browser, sfruttando un protocollo di posta elettronica comune per mascherare il traffico malevolo.
Attacchi alla supply chain documentati: Gli attori russi, in particolare Cozy Bear (APT29/SVR), hanno dimostrato capacità significative negli attacchi alla supply chain. Casi noti includono la compromissione di JetBrains TeamCity (settembre/ottobre 2023) e del software di comunicazione 3CX (marzo 2023). Questi attacchi mirano a compromettere fornitori di software o servizi per ottenere accesso a un gran numero di loro clienti a valle, amplificando enormemente l’impatto dell’operazione.

Un aspetto significativo delle TTP russe è la loro capacità di adattamento. Gli attori APT russi dimostrano una notevole flessibilità, utilizzando un mix di strumenti personalizzati altamente sofisticati, come Industroyer2, e tool open-source o disponibili commercialmente, come Remcos RAT o Cobalt Strike. Questa dualità strategica rende l’attribuzione e la difesa più complesse. L’uso di malware “off-the-shelf” o di strumenti legittimi (come Atera Agent da parte di Sandworm) può confondere l’attribuzione, ridurre i costi di sviluppo del malware e accelerare il deployment delle campagne. Parallelamente, lo sviluppo di malware customizzato come Infamous Chisel dimostra la capacità di affrontare bersagli specifici e complessi con strumenti su misura.

Inoltre, emerge una tendenza crescente da parte degli attori russi a colpire infrastrutture “edge” come router e dispositivi IoT, nonché a sfruttare servizi cloud e di hosting legittimi per le operazioni di C2 e di staging. Questo approccio non solo migliora l’anonimato e la resilienza delle loro operazioni, ma sfrutta anche la superficie di attacco in continua espansione delle organizzazioni target. Dispositivi edge e servizi cloud sono spesso meno monitorati rispetto ai server interni tradizionali, offrendo agli attaccanti un ambiente più permissivo per le loro attività. L’uso di servizi come Ngrok, Cloudflare e Telegram da parte di gruppi come BlueDelta e BlueAlpha per mascherare il traffico C2 è un chiaro esempio di questa tattica.

Tabella 3: Vulnerabilità (CVE) Chiave Sfruttate da Attori dell’Est Europa Selezionate

ID CVE	Software/Piattaforma Interessato	Tipo di Vulnerabilità	Attore/Malware Sfruttante	Impatto Tipico dell’Exploit
CVE-2021-34473 (ProxyShell)	Microsoft Exchange Server	Remote Code Execution (RCE)	Sandworm, altri APT	Accesso iniziale, esfiltrazione dati, movimento laterale
CVE-2022-41352	Zimbra Collaboration Suite	Command Injection (portava a RCE)	Sandworm, altri APT	Accesso iniziale, installazione web shell
CVE-2023-23397	Microsoft Outlook	Elevation of Privilege (EoP), NTLM Relay	APT28 (come zero-day), Sandworm	Furto di hash NTLMv2, accesso non autorizzato
CVE-2023-42793	JetBrains TeamCity	Authentication Bypass (portava a RCE)	Sandworm, altri APT	Accesso iniziale, esecuzione codice arbitrario su server CI/CD
CVE-2024-1709	ConnectWise ScreenConnect	Authentication Bypass (portava a RCE)	Sandworm, altri APT	Accesso remoto a endpoint, distribuzione malware
CVE-2023-48788	Fortinet FortiClient EMS	SQL Injection (portava a RCE)	Sandworm, altri APT	Compromissione server di gestione endpoint, accesso a reti
CVE-2019-10149	Exim Mail Transfer Agent	Remote Command Execution (RCE)	Sandworm	Pieno controllo dei server di posta
CVE-2018-0802	Microsoft Office (Equation Editor)	Remote Code Execution (RCE)	Cloud Atlas	Accesso iniziale tramite documenti malevoli
CVE-2024-9680	Mozilla Firefox	Zero-day (dettagli non specificati, parte di catena)	RomCom	Parte di una catena RCE zero-click
CVE-2024-49039	Microsoft Windows (Task Scheduler)	Zero-day (EoP, parte di catena)	RomCom	Sandbox escape, elevazione privilegi

D. Bersagli Comuni: Infrastrutture Critiche, Governi, Settore Militare e Diplomatico

Le operazioni di cyber spionaggio condotte da attori dell’Est Europa, e in particolare dalla Russia, prendono di mira un’ampia gamma di settori, riflettendo priorità strategiche, militari ed economiche.

Infrastrutture Critiche: Questo settore è un obiettivo primario, data la sua importanza per il funzionamento di una nazione. Gli attacchi mirano a settori come l’energia (reti elettriche, oleodotti e gasdotti), le telecomunicazioni, i trasporti (ferrovie, porti, aeroporti) e i sistemi di approvvigionamento idrico. Esempi noti includono gli attacchi ripetuti di Sandworm contro la rete elettrica ucraina utilizzando malware come Industroyer e Industroyer2, e attacchi a sistemi SCADA in Danimarca. L’obiettivo può variare dalla raccolta di intelligence sul funzionamento di questi sistemi, alla pre-posizione di accessi per futuri attacchi di sabotaggio, fino all’interruzione diretta dei servizi.
Entità Governative e Militari: Ministeri, agenzie di difesa, forze armate e personale militare sono bersagli costanti. Lo scopo principale è lo spionaggio classico: raccolta di informazioni strategiche, piani militari, capacità difensive, comunicazioni cifrate e segreti di stato. Gruppi come APT28 e Sandworm sono stati ripetutamente associati ad attacchi contro queste entità in numerosi paesi.
Organizzazioni Diplomatiche: Ambasciate, consolati e organizzazioni internazionali come la NATO e l’Unione Europea sono obiettivi di alto valore per lo spionaggio politico. La raccolta di informazioni sulle politiche estere, sui negoziati internazionali, sulle posizioni diplomatiche e sulle dinamiche interne di queste organizzazioni è fondamentale per gli attori statali.
Settore Finanziario e Aziendale: Banche, istituzioni finanziarie, aziende tecnologiche, manifatturiere, farmaceutiche e studi legali sono presi di mira per spionaggio industriale, furto di proprietà intellettuale, segreti commerciali e, in alcuni casi, per destabilizzazione economica o attacchi ransomware con finalità finanziarie o distruttive.
Media e Organizzazioni della Società Civile: Giornalisti, attivisti per i diritti umani, organizzazioni non governative (ONG) e think tank sono spesso bersagli di operazioni di influenza, raccolta di informazioni sulle loro attività e tentativi di screditamento, specialmente se percepiti come ostili agli interessi dello stato attaccante.

Il targeting di questi attori non è casuale, ma segue precise priorità geostrategiche e militari. Nel contesto attuale, si osserva un focus intenso sull’Ucraina e sui paesi membri della NATO che forniscono supporto a Kiev. Tuttavia, la portata globale di gruppi come Sandworm e le attività di spionaggio contro organizzazioni internazionali indicano che gli interessi russi si estendono ben oltre il conflitto ucraino, mirando a mantenere e proiettare influenza e a raccogliere intelligence su scala mondiale.

Un aspetto interessante è l’attacco a infrastrutture civili apparentemente non militari, come nel caso dell’hacking dell’Agenzia Anti-Doping Polacca da parte del gruppo bielorusso FrostyNeighbor. Tali operazioni possono servire a scopi di disinformazione, a creare leve di pressione indiretta o a minare la fiducia nelle istituzioni. Questo dimostra come il cyber spionaggio si estenda oltre i tradizionali obiettivi militari e governativi per includere la manipolazione della percezione pubblica e l’erosione della coesione sociale e istituzionale nei paesi target, elementi tipici di una strategia di “guerra ibrida”.

II. Intelligence Umana (HUMINT): Tecniche e Supporti Tecnologici

Nonostante l’avanzamento esponenziale delle capacità tecnologiche di sorveglianza e raccolta dati (SIGINT, CYBERINT), l’intelligence umana (HUMINT) conserva un ruolo insostituibile nel panorama dello spionaggio moderno. La capacità di reclutare e gestire fonti umane permette di accedere a informazioni altrimenti inattingibili, come le intenzioni, i piani segreti e le dinamiche interne dei gruppi decisionali avversari.

A. Reclutamento, Gestione di Agenti e Operazioni Sotto Copertura

Le metodologie classiche della HUMINT, affinate nel corso di decenni, rimangono fondamentali. Queste includono l’identificazione di individui con accesso a informazioni di valore o in posizioni di influenza, la coltivazione di una relazione di fiducia (o la creazione di vulnerabilità sfruttabili), il reclutamento formale o informale dell’individuo come fonte, e la successiva gestione dell’agente. Quest’ultima fase comporta comunicazioni sicure, la trasmissione di informazioni e, spesso, compensi o altri incentivi. Tecniche tradizionali come i “dead drops” (luoghi segreti per lo scambio di materiali) e gli incontri clandestini continuano ad essere utilizzate, sebbene adattate all’era digitale.

Una delle coperture più comuni per gli ufficiali di intelligence che operano all’estero è quella diplomatica. Ambasciate e consolati forniscono una base operativa e l’immunità diplomatica, facilitando le attività di spionaggio. Le recenti espulsioni reciproche di diplomatici tra Ucraina e Ungheria, a seguito di accuse di spionaggio, evidenziano la persistenza di questa pratica.

Un trend emergente, particolarmente per i servizi russi dopo le numerose espulsioni di loro ufficiali da paesi occidentali a seguito dell’invasione dell’Ucraina, è il crescente ricorso al reclutamento di cittadini stranieri, talvolta facilitato dall’uso dei social media per l’identificazione e il primo contatto con potenziali fonti. La costruzione di relazioni a lungo termine basate sulla comprensione culturale e sulla fiducia rimane, tuttavia, un pilastro per il successo delle operazioni HUMINT più delicate e produttive.

È fondamentale sottolineare che, nonostante la pervasività della sorveglianza tecnologica, la HUMINT offre intuizioni uniche. Mentre SIGINT e CYBERINT possono rivelare cosa viene comunicato o quali sistemi sono compromessi, la HUMINT può far luce sul perché di determinate azioni, sulle intenzioni strategiche e sui processi decisionali interni degli avversari. Come evidenziato da analisti, “l’intelligence umana rimane la linfa vitale della sicurezza nazionale” e può “illuminare il processo decisionale di un avversario ai massimi livelli”. La capacità di penetrare circoli ristretti e di comprendere le motivazioni umane è un vantaggio che i soli mezzi tecnici difficilmente possono eguagliare.

Inoltre, la HUMINT può trascendere il suo ruolo tradizionale di semplice raccolta di informazioni per diventare uno strumento proattivo di influenza geopolitica. La declassificazione strategica e la diffusione selettiva di intelligence basata su fonti umane, come avvenuto da parte degli Stati Uniti nel periodo precedente l’invasione russa dell’Ucraina nel febbraio 2022, hanno dimostrato come la HUMINT, abbinata a moderni strumenti tecnologici e piattaforme mediatiche, possa essere utilizzata per costruire coalizioni internazionali, contrastare le narrative avversarie e plasmare l’ambiente informativo globale. Questo rappresenta un’evoluzione significativa, trasformando la HUMINT in uno strumento attivo nella competizione tra grandi potenze.

B. Tecnologie di Comunicazione Clandestina (Dispositivi cifrati, software specializzati)

La sicurezza delle comunicazioni è vitale per qualsiasi operazione HUMINT. Gli agenti e i loro gestori devono poter scambiare informazioni senza essere intercettati. Per questo, vengono impiegate diverse tecnologie e tecniche:

Dispositivi Cifrati e Software Specializzato: Nel caso della presunta rete di spionaggio ungherese smantellata in Ucraina nel maggio 2025, è stato riportato che agli agenti reclutati sarebbe stato fornito un telefono cellulare con software specializzato per comunicazioni sicure con il loro gestore ungherese. Questo suggerisce l’uso di applicazioni di messaggistica crittografata personalizzate o modificate, o di hardware dedicato con funzionalità di sicurezza avanzate.
Crittografia End-to-End: L’uso di applicazioni di messaggistica commerciale che offrono crittografia end-to-end (come Signal o Telegram) è diffuso. Tuttavia, queste piattaforme presentano un paradosso: se da un lato offrono canali di comunicazione teoricamente sicuri, dall’altro sono esse stesse bersaglio di attori statali che cercano di comprometterle o di sfruttarne le vulnerabilità. Ad esempio, sono stati documentati tentativi da parte di attori allineati alla Russia di abusare della funzione “linked devices” di Signal o di rubare i file del database dell’applicazione per accedere alle comunicazioni degli utenti.
Tecniche di Offuscamento e Contro-Sorveglianza: Oltre alla crittografia, le operazioni HUMINT si affidano a tecniche di “denial and deception” per eludere la sorveglianza tecnica avversaria. Questo può includere l’uso di identità fittizie, la variazione dei metodi di comunicazione e l’adozione di misure per evitare il tracciamento digitale e fisico.
Sviluppo Interno di Strumenti: Agenzie come l’FSB russo hanno la capacità di produrre i propri strumenti malware avanzati e di manipolare malware esistente per mascherare le proprie attività o attribuirle falsamente ad altri gruppi. È plausibile che questa capacità si estenda anche allo sviluppo di strumenti di comunicazione sicura personalizzati per le proprie operazioni HUMINT, offrendo un livello di controllo e sicurezza (o presunta tale) superiore rispetto a soluzioni commerciali.

La proliferazione di app di messaggistica crittografata end-to-end ha quindi un duplice impatto. Da un lato, fornisce agli operatori HUMINT e alle loro fonti canali di comunicazione più sicuri rispetto al passato. Dall’altro, queste stesse piattaforme sono diventate un campo di battaglia, con i servizi di intelligence che investono risorse significative per trovare modi di aggirare la crittografia, sfruttare vulnerabilità nelle app o negli endpoint, o compromettere i dispositivi degli utenti.

C. Caso di Studio: La Crisi di Spionaggio Ucraina-Ungheria (Maggio 2025)

Nel maggio 2025, le autorità ucraine hanno annunciato di aver smantellato una presunta rete di spionaggio ungherese operante nella regione della Transcarpazia, un’area dell’Ucraina occidentale con una significativa minoranza etnica ungherese. Questo incidente offre uno spaccato delle moderne operazioni HUMINT e delle tecnologie impiegate in un contesto di acute tensioni geopolitiche.

Contesto dell’Operazione: Secondo il Servizio di Sicurezza dell’Ucraina (SBU), la rete era gestita da un ufficiale dell’intelligence militare ungherese e mirava a raccogliere informazioni sensibili sulle difese ucraine e sul sentiment della popolazione locale, apparentemente anche in vista di una possibile futura incursione militare ungherese nella regione. Le accuse si inseriscono in un quadro di relazioni tese tra Kiev e Budapest, esacerbate dalla posizione del governo Orbán critica nei confronti dell’Ucraina e considerata neutrale o filorussa nel contesto del conflitto con la Russia, nonché dalle dispute sui diritti linguistici della minoranza ungherese in Transcarpazia.

Tecnologie e Metodi di Spionaggio Utilizzati (secondo l’SBU):

Reclutamento di Agenti Locali: L’SBU ha dichiarato di aver arrestato due veterani militari ucraini. Uno di essi, un quarantenne originario della città di Berehove (a maggioranza ungherese), sarebbe stato reclutato nel 2021 come “agente dormiente” e “attivato” nel 2024 per raccogliere informazioni. Questo modus operandi evidenzia la classica tecnica di coltivare asset locali con accesso o potenziale accesso a informazioni rilevanti.
Obiettivi dell’Intelligence: Le informazioni ricercate includevano dettagli sulle difese militari nell’Ucraina occidentale (come le coordinate dei sistemi di difesa aerea S-300), potenziali vulnerabilità, l’eventuale disponibilità di equipaggiamento militare sul mercato nero locale, i flussi migratori della popolazione di etnia ungherese, e, significativamente, il “sentiment” della popolazione locale, inclusa la loro possibile reazione a un’ipotetica incursione di forze ungheresi nella regione. Quest’ultimo punto suggerisce un interesse che va oltre il semplice spionaggio militare, toccando la sfera della potenziale destabilizzazione regionale.
Comunicazioni e Finanziamento: Secondo l’SBU, uno degli agenti arrestati si sarebbe recato in Ungheria per incontrare il suo gestore, consegnare le informazioni raccolte e ricevere pagamenti in denaro. In una di queste occasioni, gli sarebbe stato fornito un telefono cellulare dotato di software specializzato per comunicazioni sicure, destinato a facilitare lo scambio di informazioni criptate e a eludere l’intercettazione. L’SBU ha anche affermato che l’agente era stato incaricato di espandere la rete reclutando altri informatori.
Copertura Diplomatica e Crisi Diplomatica: La vicenda ha rapidamente assunto una dimensione diplomatica. L’Ungheria ha espulso due diplomatici ucraini da Budapest, accusandoli di spionaggio sotto copertura diplomatica. Kiev ha risposto con una misura analoga, espellendo due diplomatici ungheresi e invocando il “principio di reciprocità”. Questo scambio di espulsioni è una prassi comune quando le accuse di spionaggio coinvolgono personale diplomatico.

Risposta Ungherese: Il governo ungherese, per bocca del Ministro degli Esteri Péter Szijjártó, ha respinto le accuse, definendole “propaganda anti-ungherese” e affermando di non aver ricevuto alcuna prova ufficiale da Kiev. Szijjártó ha dichiarato che l’Ungheria avrebbe affrontato la questione solo dopo aver ricevuto dettagli ufficiali, trattando nel frattempo le affermazioni con cautela.

Fonti Attendibili e Analisi: Le informazioni su questo caso provengono da diverse testate giornalistiche internazionali e agenzie di stampa, tra cui AGI.it, Kyiv Independent, Euromaidan Press, Al Jazeera, Associated Press, Ukrinform, Politico.eu, Reuters, e analisi da istituti come il Lansing Institute.

Questo caso di studio illustra vividamente come le tensioni etniche e linguistiche (come quelle relative alla minoranza ungherese in Transcarpazia) e le divergenze geopolitiche (in particolare la posizione dell’Ungheria sulla guerra Russia-Ucraina e sulle aspirazioni euro-atlantiche di Kiev) possano fungere da catalizzatori e fornire il contesto per attività di spionaggio HUMINT di stampo tradizionale, anche tra paesi confinanti e, nel caso dell’Ungheria, membri di alleanze come NATO e UE. L’obiettivo dichiarato di raccogliere informazioni sul “sentiment” della popolazione locale e sulla possibile reazione a un’incursione militare suggerisce che le dinamiche etniche e le ambizioni territoriali (o la percezione di esse) siano un fattore chiave.

È plausibile che un simile incidente di spionaggio, con le relative espulsioni diplomatiche e l’accesa retorica, possa essere strumentalizzato da attori terzi, come la Russia, per esacerbare le divisioni all’interno della NATO e dell’Unione Europea. L’indebolimento dell’unità occidentale nei confronti della guerra in Ucraina e su altre questioni di sicurezza regionale rappresenta un obiettivo strategico per Mosca. Alcuni analisti suggeriscono che il governo Orbán possa cercare di trarre vantaggio politico e territoriale allineandosi, implicitamente o esplicitamente, con la Russia , e che la Russia stessa benefici da qualsiasi deterioramento delle relazioni tra Ungheria e Ucraina. Le analisi del Lansing Institute, ad esempio, esplorano i potenziali legami tra Budapest e Mosca e come le azioni ungheresi potrebbero, di fatto, servire gli interessi russi nella regione. Questo conferisce all’incidente una dimensione che trascende la bilateralità, inserendolo in un più ampio gioco geopolitico.

III. Signals Intelligence (SIGINT) e Guerra Elettronica (EW)

La Signals Intelligence (SIGINT), ovvero la raccolta di intelligence attraverso l’intercettazione di segnali (siano essi comunicazioni tra persone, COMINT, o segnali elettronici emessi da sistemi d’arma e radar, ELINT), e la Guerra Elettronica (EW), che comprende l’uso dello spettro elettromagnetico per contrastare il nemico, sono capacità cruciali per gli attori statali moderni. La Russia, in particolare, ha investito significativamente in questi settori, sviluppando sistemi sia spaziali che terrestri.

A. Sistemi SIGINT/ELINT Spaziali Russi (es. Liana, Lotos-S, Pion): Capacità e composizione

La Russia mantiene una costellazione di satelliti dedicati alla SIGINT e all’ELINT, con un focus storico e continuo sulla sorveglianza marittima e sull’intercettazione di comunicazioni.

Liana: Questo è il sistema di sorveglianza oceanica satellitare di nuova generazione della Russia, progettato per sostituire i precedenti sistemi sovietici. Operativo dal 2014, Liana fornisce principalmente SIGINT per la Marina Russa, consentendo il tracciamento e il targeting di navi da guerra avversarie. Il sistema Liana è composto da due tipi principali di satelliti:
- Lotos-S (14F145): Questi satelliti sono dedicati primariamente all’ELINT, ovvero all’intercettazione e analisi di segnali elettronici emessi da radar e altri sistemi non comunicativi. Sono progettati per localizzare, caratterizzare e potenzialmente bersagliare veicoli e installazioni militari. Una caratteristica tecnica rilevante è l’uso dell’elaborazione digitale del segnale a bordo, che permette una più precisa localizzazione delle fonti di emissione direttamente dal satellite.
- Pion-NKS (14F139): Lanciato nel 2021 dopo significativi ritardi, il Pion-NKS è un satellite più complesso che combina capacità ELINT con un radar ad apertura sintetica (SAR) per l’imaging. Il suo ruolo è quello di utilizzare i sensori ELINT per rilevare e localizzare asset navali e, una volta identificato un bersaglio, utilizzare il SAR per ottenerne un’immagine dettagliata. Questa combinazione di sensori è particolarmente potente per il targeting navale e si ritiene possa guidare i missili antinave della Marina Russa.
Olymp-K (Olimp-K): La Russia ha anche schierato satelliti SIGINT in orbita geostazionaria (GEO), come l’Olymp-K-1 (lanciato nel 2014) e l’Olymp-K-2 (lanciato nel 2023). Questi satelliti, posizionati a circa 36,000 km dalla Terra, offrono una copertura ampia e persistente su vaste aree geografiche. L’Olymp-K-2, in particolare, ha dimostrato la capacità di effettuare operazioni di prossimità, manovrando vicino ad altri satelliti di comunicazione (come quelli di Eutelsat) per intercettare le loro trasmissioni nelle bande C e Ku. Questa capacità di “spionaggio satellitare” diretto è motivo di preoccupazione per gli operatori di satelliti commerciali e militari.
Sistemi Legacy (Tselina): Prima di Liana, l’Unione Sovietica e poi la Russia hanno operato per decenni i sistemi satellitari ELINT della famiglia Tselina. Le prime versioni (Tselina-O, operativo dagli anni ’70) erano focalizzate sulla rilevazione e localizzazione generale delle fonti di emissioni radio. Le versioni successive (Tselina-D, anch’esso operativo dagli anni ’70, e il più avanzato Tselina-2, sviluppato a partire dagli anni ’70 ma con lanci proseguiti fino agli anni 2000) avevano capacità migliorate, inclusa una maggiore sensibilità, una vita operativa più lunga e, nel caso di Tselina-2, la capacità di trasmettere i dati raccolti tramite satelliti relay e l’uso dell’hardware di ricezione radio “Korvet”.

Questi sistemi indicano una priorità strategica russa nel monitorare e, potenzialmente, disturbare o neutralizzare le capacità militari e di comunicazione della NATO e degli Stati Uniti, specialmente in ambito marittimo e satellitare. Tuttavia, lo sviluppo di questi complessi sistemi spaziali non è stato esente da difficoltà. Fonti indicano che il progetto Liana, ad esempio, ha sofferto di problemi comuni all’industria della difesa russa, come bassi finanziamenti, fuga di cervelli, cattiva gestione e deterioramento delle infrastrutture, portando a ritardi e a costi superiori al previsto, con capacità tecniche talvolta non significativamente superiori a quelle dei sistemi precedenti come Tselina. Queste sfide potrebbero spingere la Russia a integrare maggiormente le capacità spaziali con quelle cyber e di guerra elettronica terrestre, cercando di massimizzare l’efficacia complessiva e compensare eventuali lacune o ritardi nei singoli programmi spaziali. Ad esempio, un attacco cyber a una stazione di terra satellitare potrebbe degradare un sistema spaziale avversario tanto quanto un attacco cinetico diretto, ma con minori rischi di escalation e costi inferiori.

B. Sistemi di Sorveglianza Terrestre Russi (es. SORM): Aspetti tecnici e utilizzo per la sorveglianza di massa e l’intelligence estera

Parallelamente alle capacità spaziali, la Russia ha sviluppato e implementato estesi sistemi di sorveglianza terrestre, il più noto dei quali è il SORM.

SORM (Sistema Operativno-Rozysknikh Meropriyatiy – Sistema per le Attività Operative Investigative): Questo è l’apparato legale e tecnico che permette alle agenzie di sicurezza e intelligence russe (principalmente l’FSB) di monitorare e intercettare le comunicazioni elettroniche all’interno della Federazione Russa. La legislazione russa obbliga tutti i fornitori di servizi di telecomunicazione (ISP, operatori di telefonia fissa e mobile) a installare apparecchiature hardware e software specifiche, fornite da aziende russe certificate, che consentono alle agenzie di accedere direttamente al traffico di comunicazioni.
- Composizione Tecnica e Evoluzione: Il sistema SORM si è evoluto nel tempo.
  - SORM-1: Introdotto negli anni ’90, era focalizzato sull’intercettazione delle comunicazioni telefoniche (fisse e mobili).
  - SORM-2: Esteso negli anni 2000 per includere il monitoraggio del traffico Internet, inclusi email, navigazione web e social media.
  - SORM-3: L’iterazione più recente, implementata a partire dal 2014 circa, ha ulteriormente potenziato le capacità di sorveglianza, introducendo requisiti per la raccolta e l’archiviazione a lungo termine (fino a tre anni per i metadati e sei mesi per il contenuto effettivo delle comunicazioni secondo la “legge Yarovaya”) di enormi volumi di traffico e metadati degli abbonati. Questi dati sono archiviati in database ricercabili che permettono alle autorità di filtrare le informazioni per vari identificatori come numeri di telefono, indirizzi IP, geolocalizzazioni, nomi utente, indirizzi MAC, ecc.. Un aspetto cruciale è che l’accesso a questi dati da parte dei servizi di sicurezza avviene spesso direttamente, bypassando i provider di servizi, i quali potrebbero non essere nemmeno a conoscenza delle specifiche intercettazioni in corso.
Esportazione e Proliferazione della Tecnologia SORM: Diverse aziende russe, come Citadel (parte del gruppo USM di Alisher Usmanov, poi passata a Rostec), Norsi-Trans e Protei, sono produttrici e fornitrici di tecnologie conformi ai requisiti SORM. Queste aziende non limitano le loro attività al mercato russo, ma esportano attivamente le loro soluzioni di sorveglianza, in particolare verso paesi dell’Asia Centrale (come Kazakistan, Kirghizistan, Uzbekistan), dell’America Latina (Cuba, Nicaragua) e verso la Bielorussia. Partecipano inoltre a fiere ed esposizioni internazionali in Africa e Medio Oriente, indicando un interesse a espandere ulteriormente la loro portata globale.
Utilizzo per Intelligence Estera: La proliferazione di tecnologie SORM o di sistemi analoghi basati su tecnologia russa in paesi alleati o con stretti legami politici con la Russia solleva significative preoccupazioni. Sebbene questi sistemi siano ufficialmente destinati alle forze dell’ordine e ai servizi di intelligence locali, la dipendenza da fornitori russi per l’installazione, la manutenzione e gli aggiornamenti potrebbe creare delle vulnerabilità o delle “backdoor” che l’intelligence russa potrebbe sfruttare per accedere a comunicazioni intercettate in quei paesi terzi, ampliando di fatto le proprie capacità di raccolta di intelligence estera. Questa dinamica è analoga alle preoccupazioni espresse da alcuni governi occidentali riguardo all’uso di tecnologie provenienti da paesi considerati avversari.

L’esportazione della tecnologia SORM da parte della Russia può quindi essere vista non solo come un’attività commerciale, ma anche come una componente di una strategia più ampia volta a estendere la propria sfera di influenza digitale e le proprie capacità di sorveglianza a livello globale. La natura intrinseca di SORM, che permette un accesso diretto e spesso opaco alle comunicazioni, e la sua implementazione in paesi con sistemi giudiziari e di supervisione deboli o politicizzati, creano un ambiente ad alto rischio per i diritti umani, facilitando la repressione del dissenso interno e lo spionaggio contro cittadini, attivisti, giornalisti e organizzazioni straniere che operano in tali paesi.

C. Capacità di Guerra Elettronica (EW) Russa

La Russia considera la guerra elettronica (EW) una componente critica del moderno conflitto e ha investito considerevolmente nello sviluppo e nel dispiegamento di una vasta gamma di sistemi EW. L’obiettivo è ottenere la superiorità nello spettro elettromagnetico, disturbando, degradando o neutralizzando i sistemi elettronici avversari, proteggendo al contempo i propri.

Sistemi di Jamming e Spoofing: L’arsenale EW russo include:
- Krasukha (es. Krasukha-2, Krasukha-S4): Questi sono complessi EW mobili terrestri progettati per disturbare i radar di sorveglianza aerea (come quelli degli AWACS), i radar di bordo degli aerei da attacco, i sistemi di guida dei missili e i satelliti spia in orbita bassa (LEO). Possono creare potenti interferenze per accecare i sensori nemici su vaste aree.
- Moskva-1: Un sistema di ricognizione elettronica passiva che può rilevare e tracciare le emissioni elettromagnetiche nemiche (radar, comunicazioni) a grande distanza (fino a 400 km) e coordinare l’impiego di altri sistemi EW per il jamming o l’attacco.
- Murmansk-BN: Un sistema strategico di jamming delle comunicazioni a onde corte (HF). È progettato per disturbare le comunicazioni radio a lungo raggio utilizzate da navi, aerei e comandi militari su distanze che possono raggiungere migliaia di chilometri, potenzialmente in grado di interferire con i complessi di comunicazione e radar della NATO.
- Divnomorye: Un altro sistema avanzato progettato per sopprimere radar di bordo, sistemi di comunicazione e navigazione satellitare.
- Saphir: Un complesso EW più recente, focalizzato sul contrasto ai veicoli aerei senza pilota (UAV), attraverso la classificazione automatica delle minacce e la loro soppressione elettronica.
- Orlan-10 UAV: Questo diffuso UAV russo non è solo una piattaforma di ricognizione (ISR), ma può anche essere equipaggiato con payload EW per disturbare le comunicazioni nemiche o fungere da esca.
- Tecnologie Anti-Drone: Oltre ai sistemi di jamming, la Russia ha sviluppato armi elettromagnetiche portatili (cannoni anti-drone) come l’Harpoon-3 e sistemi come il Silok, progettati per interrompere i collegamenti di controllo e i segnali di navigazione GPS degli UAV.
Armi a Energia Diretta (DEW) e Capacità Contro-Spaziali: La Russia sta espandendo il suo arsenale di DEW e altre capacità contro-spaziali, inclusi sistemi di jamming satellitare e potenziali armi anti-satellite (ASAT) terrestri o spaziali, per disturbare e degradare le capacità spaziali statunitensi e alleate.
Impiego nel Conflitto Ucraino: Le capacità EW russe sono state ampiamente utilizzate nel conflitto in Ucraina. Sono state impiegate per disturbare le comunicazioni ucraine (radio, telefoni cellulari), i segnali GPS (influenzando la navigazione di UAV e la precisione di alcune munizioni guidate), e i radar di difesa aerea. È stato riportato che i sistemi russi sono in grado di disturbare anche i segnali GPS criptati M-Code, considerati più resistenti al jamming.
Integrazione con Operazioni Militari: La dottrina militare russa enfatizza l’integrazione delle operazioni EW con le azioni militari convenzionali. L’EW è vista come uno strumento per ottenere un “vantaggio informativo decisivo” e per creare condizioni favorevoli alle proprie forze, accecando e disorientando il nemico.

Le capacità EW russe sono una componente fondamentale della loro più ampia dottrina di “guerra informativa” (un concetto che in Russia abbraccia aspetti psicologici, tecnici e cibernetici). Non sono progettate solo per degradare le capacità militari avversarie, ma anche per creare incertezza, influenzare il processo decisionale nemico e operare in quella “zona grigia” al di sotto della soglia del conflitto armato convenzionale. L’uso estensivo del jamming GPS che ha interessato anche l’aviazione civile in Europa è un esempio di come queste capacità possano avere effetti che trascendono il campo di battaglia.

Emerge chiaramente una stretta interdipendenza tra le capacità spaziali, cyber ed EW nella strategia russa. Gli attacchi cyber a sistemi satellitari (come l’attacco a Viasat all’inizio dell’invasione dell’Ucraina o i tentativi di disturbo contro Starlink) e l’uso intensivo dell’EW contro i segnali di navigazione e comunicazione satellitare dimostrano un approccio olistico. L’obiettivo è negare all’avversario l’uso efficace dello spazio e dello spettro elettromagnetico, domini considerati cruciali per la guerra moderna. La capacità di un sistema come il Krasukha-S4 di bersagliare direttamente i satelliti spia completa questo quadro di minaccia integrata.

Tabella 4: Sistemi SIGINT/EW Russi Selezionati

Nome Sistema	Tipo	Capacità Chiave/Funzione	Note sulla Composizione/Tecnologia
Liana (sistema)	Spaziale SIGINT/ELINT	Sorveglianza oceanica, targeting navale	Include satelliti Lotos-S (ELINT) e Pion-NKS (ELINT+SAR)
Lotos-S (satellite)	Spaziale ELINT	Intercettazione segnali elettronici (radar, ecc.), localizzazione fonti	Parte del sistema Liana, elaborazione digitale del segnale a bordo
Pion-NKS (satellite)	Spaziale ELINT & SAR	Rilevamento asset navali (ELINT), imaging dettagliato (SAR), guida missili	Parte del sistema Liana, combina sensori passivi e attivi
Olymp-K (satelliti)	Spaziale SIGINT (GEO)	Intercettazione comunicazioni satellitari (banda C, Ku), operazioni di prossimità	Orbita geostazionaria per copertura persistente
SORM (sistema)	Sorveglianza Terrestre (COMINT, Internet)	Intercettazione legale di telefonia e traffico dati, archiviazione a lungo termine (SORM-3)	Apparecchiature installate presso ISP/Telco, accesso diretto per agenzie sicurezza
Krasukha-2/S4 (complesso)	EW Terrestre (Jamming)	Disturbo radar di sorveglianza aerea, radar di bordo aerei, satelliti LEO	Mobile, alta potenza
Moskva-1 (complesso)	EW Terrestre (Ricognizione Passiva & C2)	Rilevamento emissioni EM nemiche, coordinamento sistemi EW	Raggio esteso (fino a 400 km)
Murmansk-BN (complesso)	EW Terrestre (Jamming Strategico HF)	Disturbo comunicazioni radio a onde corte a lungo raggio	Portata strategica (migliaia di km)

IV. Disinformazione e Operazioni di Influenza Tecnologicamente Avanzate

Le operazioni di disinformazione e influenza, condotte principalmente dalla Russia, rappresentano un altro pilastro delle sue strategie di spionaggio e proiezione di potenza. Queste campagne mirano a manipolare l’opinione pubblica, seminare discordia, minare la fiducia nelle istituzioni democratiche e promuovere narrazioni favorevoli agli interessi russi. L’avvento di nuove tecnologie, in particolare l’intelligenza artificiale (IA), sta potenziando ulteriormente queste capacità.

A. Infrastruttura Tecnologica (Botnet, troll farm, siti web falsi come Doppelganger, Pravda network)

La Russia ha costruito una sofisticata infrastruttura per condurre le sue operazioni di influenza:

Doppelganger (o “RRN” – Recent Reliable News): Questa è una vasta e persistente campagna di influenza maligna attribuita a entità dirette dal governo russo, tra cui Social Design Agency (SDA), Structura National Technology e ANO Dialog, operanti sotto la direzione dell’Amministrazione Presidenziale Russa (in particolare del Primo Vice Capo di Gabinetto Sergei Kiriyenko). La tecnica distintiva di Doppelganger è il “cybersquatting”, ovvero la registrazione di nomi di dominio molto simili a quelli di media occidentali legittimi (es. washingtonpost.pm per imitare washingtonpost.com, o siti che mimano The Guardian, Bild, Le Monde, Fox News). Su questi siti clone vengono pubblicati articoli di propaganda russa, spesso critici verso l’Ucraina o le politiche occidentali, mascherati da contenuti giornalistici autentici. Per amplificare la portata, la campagna utilizza “influencer” (a volte pagati), pubblicità sui social media (in alcuni casi create con strumenti di IA) e una rete di account social falsi che fingono di essere utenti statunitensi o di altre nazionalità per diffondere i link a questi siti.
Pravda Network: Si tratta di una rete di centinaia di siti web e account social (attiva su X, Telegram, VKontakte, Bluesky) che aggregano e diffondono propaganda pro-Cremlino e disinformazione. Caratteristiche peculiari di questa rete sono l’enorme volume di contenuti pubblicati e l’ampia portata geografica e linguistica (targettizzando almeno 74 paesi e 12 lingue). Tuttavia, i siti della Pravda Network sono spesso poco curati dal punto di vista dell’usabilità (es. assenza di funzioni di ricerca, menu di navigazione generici) e presentano uno scarso coinvolgimento organico da parte di utenti umani. Ciò ha portato alcuni analisti a ipotizzare che uno degli scopi principali della Pravda Network sia il cosiddetto “LLM grooming”: inondare Internet con grandi quantità di contenuti pro-Russia per influenzare i dataset di addestramento dei modelli di linguaggio di grandi dimensioni (LLM), con l’obiettivo di indurre i futuri chatbot IA a riprodurre e amplificare involontariamente la disinformazione russa.
Troll Farm: La più nota è l’Internet Research Agency (IRA) di San Pietroburgo, legata a Yevgeny Prigozhin e implicata nelle interferenze elettorali statunitensi del 2016 e successive. Queste “fabbriche di troll” impiegano centinaia di persone per creare account falsi sui social media, impersonare attivisti o cittadini comuni, e diffondere commenti, post e meme volti a polarizzare il dibattito, screditare figure politiche o promuovere specifiche narrative.
Piattaforme Tecnologiche Sfruttate:
- Telegram: Questa piattaforma di messaggistica è ampiamente utilizzata dagli attori russi per coordinare campagne di disinformazione, diffondere contenuti senza filtri (grazie alla sua crittografia e alla moderazione dei contenuti relativamente permissiva) e comunicare con reti di agenti o simpatizzanti. Anche gruppi APT come Gamaredon e Sandworm sono stati osservati utilizzare Telegram per comunicazioni C2 o per l’esfiltrazione di dati.
- Yandex: Essendo il motore di ricerca e il provider tecnologico dominante in Russia, Yandex può svolgere un ruolo nel supportare i media statali e, potenzialmente, nel manipolare i risultati di ricerca o gli algoritmi di raccomandazione per dare priorità a contenuti allineati con le narrative del Cremlino.

Le campagne di disinformazione russe sono diventate altamente industrializzate, caratterizzate da un approccio sistemico che combina infrastrutture dedicate (reti di siti web, account bot), lo sfruttamento strategico di piattaforme social e di messaggistica esistenti, e un coordinamento, talvolta opaco, tra attori statali, entità para-statali (come le società di PR coinvolte in Doppelganger) e attori privati (come le troll farm). Questa industrializzazione permette di massimizzare la portata, la persistenza e l’impatto potenziale delle operazioni di influenza.

La strategia russa di “LLM grooming”, se confermata e attuata su larga scala, rappresenta un’evoluzione particolarmente insidiosa e a lungo termine della guerra dell’informazione. Anziché mirare solo a influenzare l’opinione pubblica attuale attraverso la diffusione di notizie false, questa tattica mira a corrompere le future fonti di informazione automatizzate, come i chatbot IA. Se i modelli LLM vengono addestrati su dataset “inquinati” da massicce quantità di propaganda, potrebbero iniziare a riprodurre e presentare tali narrative come fatti o informazioni neutrali, raggiungendo un pubblico vastissimo e spesso inconsapevole della manipolazione sottostante. Questo rappresenta un cambiamento qualitativo nella sfida posta dalla disinformazione, con implicazioni profonde per l’integrità dell’ecosistema informativo futuro.

B. Disinformazione Potenziata dall’IA (Deepfake, contenuti generati artificialmente): Strumenti di generazione e diffusione

L’intelligenza artificiale (IA) sta diventando uno strumento sempre più rilevante nelle mani degli attori che conducono operazioni di disinformazione, inclusi quelli statali russi.

Deepfake: Si tratta di media sintetici (video, audio, immagini, testi) creati utilizzando algoritmi di IA, in particolare Reti Generative Avversarie (GAN) e deep neural network, per sovrapporre in modo estremamente realistico le sembianze di una persona a un’altra, o per generare ex novo contenuti falsi ma verosimili.
- Tecniche di Generazione: Le GAN, ad esempio, sono composte da due reti neurali: un “generatore” che crea i contenuti sintetici e un “discriminatore” che valuta la loro verosimiglianza rispetto a dati reali, affinando progressivamente la qualità del falso fino a renderlo difficilmente distinguibile dall’originale. Altre tecniche includono l'”identity swap” (sostituzione dell’identità), l'”attribute editing” (modifica di espressioni, acconciature, ecc.) e la “face synthesis” (generazione di volti).
- Esempi di Utilizzo: Un esempio noto è il video deepfake del Presidente ucraino Volodymyr Zelensky che apparentemente annunciava la resa delle forze ucraine, diffuso ampiamente sui social media all’inizio dell’invasione russa del 2022. L’obiettivo era minare il morale ucraino e convincere la comunità internazionale dell’imminente sconfitta di Kiev.
Voiceover Deepfake Industrializzati: Campagne pro-russe più recenti, come quelle osservate sulla piattaforma Bluesky, hanno utilizzato deepfake audio per manipolare video esistenti, facendo sembrare che accademici o studenti elogiassero la Russia o criticassero le politiche occidentali, quando i video originali non contenevano tali affermazioni. Questo indica una capacità di “industrializzare” la produzione di questi falsi.
Contenuti Generati da IA (Testo, Immagini): L’IA viene utilizzata anche per produrre rapidamente grandi volumi di testo, come migliaia di articoli contenenti disinformazione, che vengono poi pubblicati da reti come la Pravda Network. La campagna Doppelganger ha impiegato strumenti di IA per creare pubblicità ingannevoli sui social media.
Utilizzo da parte di Operativi Russi per Ricerca e Sviluppo: È stato riportato che operativi informatici russi hanno utilizzato piattaforme di IA generativa come quelle di OpenAI per ricercare protocolli di comunicazione satellitare e tecnologia di imaging radar (presumibilmente per identificarne le vulnerabilità o per sviluppare contromisure) e per assistere in attività di programmazione (coding). Sebbene OpenAI abbia chiuso gli account associati, la collaborazione annunciata tra la russa Sberbank e la cinese DeepSeek per progetti di ricerca congiunti sull’IA suggerisce che la Russia continuerà ad avere accesso a capacità di IA avanzate.

L’IA sta indubbiamente abbassando i costi e aumentando la velocità di produzione di contenuti di disinformazione che possono apparire sofisticati e personalizzati. Ciò permette di lanciare campagne più ampie e potenzialmente più mirate. Tuttavia, l’efficacia reale di questi contenuti generati dall’IA nell’influenzare in modo significativo e duraturo l’opinione pubblica è ancora oggetto di dibattito. Alcuni rapporti suggeriscono che, sebbene l’IA sia uno strumento utile per gli attori delle minacce, “non è ancora il game-changer che a volte viene descritto” e il suo uso attuale da parte dei gruppi di minaccia appare “abbastanza basilare e rudimentale”. L’impatto dipende spesso dalla capacità di integrare questi contenuti falsi all’interno di narrazioni più ampie, credibili e preesistenti, e dalla sofisticazione con cui vengono diffusi e amplificati.

Un aspetto preoccupante è la potenziale convergenza tra la disinformazione potenziata dall’IA e gli attacchi cyber mirati. La ricerca condotta da operativi russi su protocolli satellitari utilizzando piattaforme IA suggerisce una possibile futura integrazione più stretta tra operazioni di influenza e attività di sabotaggio o spionaggio informatico. In questo scenario, la disinformazione (ad esempio, un deepfake che annuncia un’interruzione di servizio) potrebbe essere usata per preparare il terreno psicologico a un attacco cyber, per amplificarne gli effetti confondendo le vittime, o per deviare la colpa dell’attacco stesso.

C. Sfruttamento di Social Media e Piattaforme di Messaggistica (es. X, Telegram, Signal)

Le piattaforme di social media e le applicazioni di messaggistica sono canali cruciali per la diffusione della disinformazione e per il supporto alle operazioni di spionaggio.

Diffusione su Larga Scala: Piattaforme con un vasto bacino di utenti e politiche di moderazione dei contenuti talvolta permissive o variabili, come X (precedentemente Twitter), Telegram, e la russa VKontakte (VK), sono ampiamente utilizzate per disseminare propaganda e disinformazione generata da reti come la Pravda Network o la campagna Doppelganger. Anche piattaforme più recenti come Bluesky sono state prese di mira.
Abuso di Funzionalità Legittime: Gli attori russi hanno dimostrato ingegnosità nell’abusare di funzionalità legittime delle piattaforme per i propri scopi. Un esempio significativo è l’abuso della funzione “linked devices” dell’applicazione di messaggistica sicura Signal. Gli attaccanti creano codici QR malevoli che, se scansionati dalla vittima, collegano l’account Signal della vittima a un dispositivo controllato dall’attaccante. Questi codici QR vengono spesso mascherati da inviti a gruppi Signal legittimi o da avvisi di sicurezza urgenti per ingannare l’utente.
Targeting Specifico di App di Messaggistica: Oltre a Signal, anche altre app di messaggistica sono nel mirino. Il gruppo Gamaredon ha rielaborato i propri strumenti malware per utilizzare e abusare delle funzionalità di Telegram e Signal nelle sue operazioni contro l’Ucraina, probabilmente per l’esfiltrazione di dati o per il comando e controllo. Il malware Infamous Chisel di Sandworm è specificamente progettato per estrarre dati da un’ampia gamma di app di chat su dispositivi Android, tra cui Skype, Telegram, WhatsApp, Signal, Viber e Discord.
Uso di Account Bot: Reti di account automatizzati (bot) o semi-automatizzati vengono utilizzate per amplificare artificialmente la visibilità e la portata dei post di disinformazione, creando l’illusione di un ampio sostegno popolare per determinate narrative o inondando le discussioni online con contenuti specifici.

La scelta delle piattaforme da parte degli attori dell’Est Europa è chiaramente strategica. Piattaforme con una vasta portata e una moderazione dei contenuti meno stringente o più facilmente aggirabile (come X o Telegram) sono preferite per la diffusione di massa della propaganda e della disinformazione. Al contrario, applicazioni percepite come più sicure e utilizzate per comunicazioni sensibili (come Signal) diventano bersagli per operazioni di spionaggio mirate contro individui o gruppi specifici, come personale militare, funzionari governativi o attivisti.

La continua evoluzione delle TTP per sfruttare le vulnerabilità o le funzionalità delle piattaforme di messaggistica, come l’abuso della funzione “linked devices” di Signal , indica una persistente “corsa agli armamenti” tra gli sviluppatori di applicazioni sicure e i servizi di intelligence che cercano di comprometterle. Questa dinamica ha implicazioni dirette e significative per la sicurezza delle comunicazioni di individui e gruppi a rischio in tutto il mondo.

V. Attori Specifici e Loro Impronta Tecnologica (Sintesi e Collegamenti)

Questa sezione sintetizza le capacità tecnologiche dei principali attori statali dell’Est Europa coinvolti in attività di spionaggio, basandosi sulle informazioni dettagliate nelle sezioni precedenti.

A. Russia: Attore dominante con vasta gamma di capacità cyber, HUMINT e SIGINT (GRU, FSB, SVR)

La Federazione Russa si distingue come l’attore più prolifico e sofisticato della regione, con un apparato di intelligence vasto e diversificato che impiega un’ampia gamma di tecnologie di spionaggio.

GRU (Direttorato Principale per l’Informazione dello Stato Maggiore Generale): L’intelligence militare russa è implicata in alcune delle operazioni cyber più note e aggressive a livello globale.
- Unità 74455 (Sandworm/APT44, et al.): Questo gruppo è rinomato per i suoi attacchi distruttivi su larga scala (NotPetya, Industroyer, attacchi alla rete elettrica ucraina, Olympic Destroyer) e per sofisticate campagne di spionaggio (malware Infamous Chisel per Android, Cyclops Blink per router, backdoor WrongSens). Sfrutta attivamente vulnerabilità software (incluse CVE-2021-34473, CVE-2022-41352, CVE-2023-23397, CVE-2024-1709), utilizza la rete Tor per l’anonimizzazione e talvolta coordina le sue azioni con gruppi di facciata “hacktivisti” come XakNet e CyberArmyofRussia_Reborn. I suoi obiettivi principali includono l’Ucraina, le infrastrutture critiche a livello globale, governi e settori strategici come l’energia e le telecomunicazioni.
- Unità 26165 (APT28/Fancy Bear, et al.): Specializzata nello spionaggio politico-militare, APT28 prende di mira governi, militari, organizzazioni politiche e infrastrutture critiche (come il settore energetico). Le sue TTP includono spear-phishing, sfruttamento di vulnerabilità (in particolare CVE-2023-23397 in Outlook, utilizzata come zero-day), la compromissione di router EdgeRouter (sfruttando il malware Moobot e impiegando script Python personalizzati come MASEPIE per il C2 e strumenti per attacchi NTLM relay), e l’uso di backdoor come HeadLace e infostealer come OceanMap. Gli obiettivi principali sono Stati Uniti, Europa (in particolare membri NATO) e Ucraina, con un focus anche sull’interferenza elettorale. L’Unità 20728 del GRU è stata specificamente collegata all’operatività di APT28 contro le infrastrutture ucraine.
- Unità 29155 (UNC2589/Cadet Blizzard, et al.): Questa unità è stata collegata al malware distruttivo WhisperGate utilizzato contro l’Ucraina all’inizio del 2022 e a operazioni contro membri della NATO, paesi dell’America Latina e dell’Asia Centrale. Il suo focus principale sembra essere l’interruzione degli aiuti all’Ucraina. È stato osservato che collabora con personale non appartenente al GRU e con cybercriminali.
- Unità 54777 (72° Centro Servizi Speciali): Secondo quanto riferito, è responsabile delle operazioni psicologiche (PSYOP) del GRU, incluse campagne di disinformazione online.
FSB (Servizio Federale di Sicurezza): L’agenzia di sicurezza interna russa ha anch’essa significative capacità cyber offensive e di spionaggio.
- Gamaredon Group (UAC-0010, et al.): Attribuito al 18° Centro di Sicurezza Informatica dell’FSB, questo gruppo è uno degli attori più persistentemente attivi contro l’Ucraina, prendendo di mira istituzioni governative e militari. Utilizza tecniche come spear-phishing con file LNK malevoli, il Remcos RAT, DLL sideloading, script PowerShell offuscati e l’infostealer PteroBleed. È stato anche osservato abusare delle piattaforme di messaggistica Telegram e Signal per le sue operazioni. Ha tentato, sebbene senza successo confermato, di compromettere obiettivi in paesi NATO come Bulgaria, Lettonia, Lituania e Polonia.
- Centri 16 e 18: Secondo fonti britanniche, il Centro 16 dell’FSB si concentra sulla raccolta di intelligence estera e sulla penetrazione tecnologica, mentre il Centro 18, parte del Servizio di Controspionaggio dell’FSB, conduce operazioni di cyber spionaggio, ad esempio contro il Regno Unito. L’FSB è noto per la sua capacità di sviluppare malware avanzato e di manipolare strumenti esistenti per operazioni di false flag, oltre a mantenere stretti legami con hacker criminali e civili che possono essere cooptati per operazioni statali.
SVR (Servizio di Intelligence Estera): L’agenzia di intelligence estera russa è associata ad alcune delle campagne di spionaggio più sofisticate e furtive.
- APT29 (Cozy Bear/Nobelium, et al.): Questo gruppo è tristemente noto per l’attacco alla supply chain di SolarWinds e per altri attacchi sofisticati contro governi, diplomatici, think tank e settori strategici. Più recentemente, è stato collegato ad attacchi alla supply chain che hanno coinvolto JetBrains TeamCity e il software di comunicazione 3CX. I suoi obiettivi principali sono Stati Uniti e paesi europei membri della NATO, con un focus sul settore dei trasporti e delle telecomunicazioni.
HUMINT: La Russia possiede una lunga e consolidata tradizione nell’intelligence umana, utilizzando coperture diplomatiche, reclutando agenti stranieri (sempre più spesso tramite canali online dopo le espulsioni di massa) e impiegando tecniche classiche di spionaggio.
SIGINT/EW: La Russia dispone di significative capacità SIGINT, sia spaziali (sistemi Liana, Pion, Olymp per la sorveglianza oceanica e l’intercettazione di comunicazioni satellitari) sia terrestri (il sistema SORM per la sorveglianza di massa delle comunicazioni interne, esportato anche all’estero). Possiede inoltre una vasta gamma di sistemi di guerra elettronica (Krasukha, Murmansk-BN, Moskva-1) per il jamming e il disturbo dei sistemi radar, di comunicazione e navigazione avversari.
Disinformazione e Operazioni di Influenza: La Russia gestisce infrastrutture dedicate (come le reti Doppelganger e Pravda Network, e le “troll farm” come l’Internet Research Agency) per la diffusione di propaganda e disinformazione. Sta inoltre iniziando a integrare l’intelligenza artificiale per la generazione di contenuti falsi (deepfake) e l’automazione delle campagne.

L’ecosistema di intelligence russo è caratterizzato da una notevole specializzazione delle sue unità (ad esempio, Sandworm per attacchi distruttivi e su ICS, APT28 per spionaggio politico-militare, Gamaredon/FSB con un forte focus sull’Ucraina). Tuttavia, si osserva anche una significativa sovrapposizione negli obiettivi e, occasionalmente, una possibile coordinazione o condivisione di infrastrutture e strumenti, specialmente in contesti di conflitto aperto come quello ucraino. Ad esempio, la collaborazione di Sandworm con gruppi di facciata “hacktivisti” o l’uso di famiglie di malware simili (come i wiper) da parte di diverse entità suggeriscono un certo grado di interconnessione o, quantomeno, di apprendimento e adattamento reciproco all’interno dell’apparato di intelligence russo.

Nel complesso, la Russia dimostra una strategia di “guerra ibrida” matura e integrata. Le capacità cyber, HUMINT, SIGINT e di disinformazione non vengono impiegate isolatamente, ma sono orchestrate in modo sinergico per raggiungere obiettivi strategici complessi. Questi includono la destabilizzazione degli avversari, la raccolta di intelligence critica per vantaggi militari ed economici, e la capacità di plasmare l’ambiente informativo globale a proprio favore. La capacità russa di “integrare attacchi e operazioni cyber con azioni militari belliche” , l’uso pervasivo della disinformazione per “influenzare l’opinione pubblica a sostegno degli interessi russi” , l’impiego mirato della SIGINT per il targeting navale e delle comunicazioni , e l’uso della HUMINT per penetrare circoli decisionali ristretti sono tutte manifestazioni di questo approccio multidominio coordinato. L’emergente utilizzo dell’IA per processare i dati rubati e migliorare il targeting delle operazioni non fa che rafforzare ulteriormente questa capacità integrata.

B. Bielorussia: Capacità cyber e presunti legami con operazioni russe (es. Ghostwriter)

Le capacità di spionaggio della Bielorussia, specialmente nel dominio cyber, appaiono strettamente interconnesse con quelle della Russia, e in molti casi la Bielorussia sembra agire più come un facilitatore o un’estensione delle operazioni russe che come un attore pienamente indipendente con una propria agenda tecnologica e strategica globale.

UNC1151/Ghostwriter: Questo gruppo, che Mandiant ha collegato con “alta confidenza” al governo bielorusso, è stato coinvolto in campagne di influenza che diffondono disinformazione anti-NATO e anti-USA e in operazioni di furto di credenziali in Europa orientale, Ucraina e contro l’opposizione bielorussa. Le TTP includono la compromissione di siti web, lo spoofing di account email per diffondere notizie false e l’uso di personas online inautentiche. Tra i malware utilizzati figurano PicassoLoader, AgentTesla, Cobalt Strike Beacon e njRAT. È importante notare che non si può escludere un contributo russo a queste operazioni, data la forte sovrapposizione di interessi geostrategici.
FrostyNeighbor: Un altro gruppo APT allineato alla Bielorussia, FrostyNeighbor è stato implicato nell’hacking dell’Agenzia Anti-Doping Polacca. Si ritiene che un “initial access broker” (IAB) abbia prima compromesso l’agenzia e poi condiviso l’accesso con FrostyNeighbor, che ha utilizzato i dati per campagne di disinformazione critiche nei confronti della NATO.
Dipendenza dalla Russia e Ruolo di “Staging Ground”: Diversi analisti esprimono dubbi sulla capacità della Bielorussia di condurre operazioni cyber sofisticate in modo completamente indipendente dalla Russia. La Bielorussia potrebbe piuttosto fungere da “staging ground” (base operativa avanzata) per le operazioni russe e come punto di esfiltrazione per lo sviluppo tecnologico straniero. Significativamente, la Bielorussia ha adottato e duplicato il sistema russo SORM per la sorveglianza legale delle comunicazioni online, indicando una dipendenza tecnologica da Mosca in questo settore cruciale. La mancanza di targeting verso entità russe o bielorusse da parte di UNC1151 e la sua focalizzazione su obiettivi di interesse anche per la Russia rafforzano questa ipotesi.
Cyber Partisans Bielorussi (Opposizione): Un fattore unico nel contesto bielorusso è la presenza di un attivo e tecnicamente competente movimento di hacktivisti noto come “Cyber Partisans”. Questo gruppo si oppone al regime di Alyaksandr Lukashenka e ha condotto operazioni di hacking di alto profilo contro infrastrutture statali bielorusse (come la rete ferroviaria per ostacolare i movimenti delle truppe russe) e ha fatto trapelare dati sensibili, come quelli relativi a informatori del KGB bielorusso. I Cyber Partisans collaborano anche con la resistenza ucraina.

La Bielorussia, quindi, sembra operare principalmente come un alleato minore della Russia nel dominio dello spionaggio, fornendo supporto logistico e possibilmente conducendo operazioni di influenza e spionaggio regionale che si allineano con gli interessi di Mosca. La significativa attività di un movimento di hacktivismo interno come i Cyber Partisans rappresenta una dinamica interna peculiare. Questa “guerra civile digitale” potrebbe distogliere risorse e attenzione dalle operazioni di spionaggio statale estero o, addirittura, creare vulnerabilità nelle infrastrutture bielorusse che altri attori (inclusi quelli ostili al regime) potrebbero sfruttare.

C. Altri Attori dell’Est (limitatamente ai dati disponibili, es. Ungheria nel caso specifico)

Le informazioni disponibili su altri attori dell’Est Europa sono più limitate e spesso si concentrano su incidenti specifici piuttosto che su un quadro sistematico delle loro capacità tecnologiche di spionaggio. Il caso più rilevante emerso dalla ricerca riguarda l’Ungheria.

Ungheria: L’incidente di spionaggio del maggio 2025, in cui l’Ucraina ha accusato l’Ungheria di gestire una rete HUMINT nella regione della Transcarpazia, ha messo in luce alcune presunte capacità e metodi. Questi includevano:
- Il reclutamento di cittadini ucraini come agenti.
- La raccolta di informazioni militari (es. sistemi di difesa aerea S-300) e sul sentiment della popolazione locale, inclusa la potenziale reazione a un’incursione militare ungherese.
- L’uso di incontri fisici per lo scambio di informazioni e pagamenti, e la fornitura di telefoni cellulari con software specializzato per comunicazioni sicure.
- Il presunto utilizzo di coperture diplomatiche, che ha portato a espulsioni reciproche di diplomatici.
- Le motivazioni sospettate dietro queste attività, secondo alcune analisi (es. Lansing Institute), includono possibili mire irredentiste sulla Transcarpazia, la volontà di proiettare influenza politica e un potenziale coordinamento o allineamento con gli interessi della Russia nella regione.
- Dal punto di vista delle capacità militari convenzionali, l’Ungheria possiede forze armate modeste ma modernizzate, che alcuni analisti ritengono sufficienti per condurre incursioni limitate o operazioni di “peacekeeping” nell’Ucraina occidentale, qualora si presentassero determinate condizioni.

Le attività di spionaggio di altri paesi dell’Est, come l’Ungheria, sembrano essere più focalizzate geograficamente e guidate da specifici interessi nazionali, come la protezione o la promozione degli interessi delle minoranze etniche, o da percepite rivendicazioni territoriali storiche. In contesti di instabilità regionale o di forte competizione geopolitica, le azioni di questi attori minori potrebbero occasionalmente allinearsi con, o essere influenzate da, attori più grandi come la Russia. Le analisi del Lansing Institute, ad esempio, suggeriscono che le motivazioni ungheresi in Transcarpazia sono legate a un “revisionismo territoriale” e a una “leva etnica”, e ipotizzano “potenziali legami con la Russia” e “interessi strategici sovrapposti”. Ciò indica che, pur avendo una propria agenda, le azioni di paesi come l’Ungheria possono inserirsi in dinamiche geopolitiche più ampie, dominate da attori maggiori, e potrebbero essere sfruttate per destabilizzare ulteriormente la regione o minare la coesione delle alleanze occidentali.

VI. Conclusione: Tendenze Emergenti e Implicazioni Future delle Tecnologie di Spionaggio

L’analisi delle tecnologie di spionaggio impiegate dai paesi dell’Est Europa, con un focus preponderante sulla Russia data la disponibilità di informazioni, rivela un panorama complesso, dinamico e in continua evoluzione. Emergono diverse tendenze chiave e implicazioni significative per la sicurezza internazionale.

Sintesi delle Tecnologie Chiave e delle Tendenze:

Dominio Russo nel Cyber Spionaggio: La Russia mantiene un arsenale vasto e sofisticato di malware (distruttivo, di spionaggio, ransomware) e impiega TTPs avanzate e adattive, condotte da unità specializzate del GRU, FSB e SVR.
Persistenza della HUMINT: Nonostante l’era digitale, l’intelligence umana rimane cruciale, supportata da tecnologie di comunicazione dedicate e adattata a un ambiente operativo complesso che include il reclutamento online e l’uso di cittadini stranieri.
Significative Capacità SIGINT/EW Russe: La Russia continua a investire in sistemi SIGINT spaziali (Liana, Olymp) e terrestri (SORM), e possiede una gamma formidabile di sistemi di guerra elettronica (Krasukha, Murmansk-BN) per il controllo dello spettro elettromagnetico.
Crescente Sofisticazione delle Operazioni di Influenza: Le campagne di disinformazione russe sono industrializzate, con infrastrutture dedicate (Doppelganger, Pravda Network) e un crescente utilizzo dell’intelligenza artificiale per la generazione di contenuti (deepfake) e l’automazione.
Integrazione Multi-Dominio: Si osserva una chiara tendenza verso l’integrazione delle capacità cyber, HUMINT, SIGINT, EW e di influenza in operazioni coordinate e sinergiche per massimizzare l’impatto strategico.

Evoluzione Prevista delle Minacce:

Maggiore Impiego dell’IA: È prevedibile un uso crescente dell’intelligenza artificiale non solo per la disinformazione, ma anche per automatizzare e personalizzare gli attacchi cyber, identificare vulnerabilità, processare grandi volumi di dati rubati e migliorare il targeting delle operazioni.
Focus su Vulnerabilità Diffuse e Infrastrutture Edge/IoT: Gli attori continueranno a sfruttare vulnerabilità in software ampiamente utilizzati e a prendere di mira la crescente superficie di attacco offerta da dispositivi edge (router, firewall) e dall’Internet of Things (IoT), spesso meno sicuri e monitorati.
Intensificazione degli Attacchi alla Supply Chain: Gli attacchi che mirano a compromettere fornitori di software o servizi per raggiungere un gran numero di vittime a valle (come nel caso SolarWinds o 3CX) potrebbero diventare più frequenti, data la loro elevata efficacia.
Proliferazione di Tecnologie di Sorveglianza: Tecnologie di sorveglianza di massa come il sistema SORM russo potrebbero vedere un’ulteriore diffusione in paesi con regimi autoritari, espandendo la portata della sorveglianza digitale e le potenziali capacità di raccolta di intelligence per gli stati che le esportano.

Implicazioni per la Sicurezza Internazionale: Le capacità di spionaggio descritte e le tendenze emergenti comportano serie implicazioni:

Necessità di Vigilanza e Adattamento Costanti: Le agenzie di sicurezza e le organizzazioni private devono mantenere una vigilanza costante e adattare continuamente le proprie strategie di difesa e controspionaggio per far fronte a minacce in rapida evoluzione.
Importanza della Cooperazione Internazionale: La natura transnazionale delle minacce informatiche e di spionaggio richiede una stretta cooperazione internazionale tra agenzie di intelligence, forze dell’ordine e settore privato per la condivisione di informazioni, l’attribuzione degli attacchi e lo sviluppo di contromisure efficaci.
Rischio di Escalation e Destabilizzazione: Operazioni di spionaggio particolarmente aggressive o distruttive, specialmente se condotte in contesti di alta tensione geopolitica, comportano un rischio significativo di escalation involontaria o di destabilizzazione regionale.

In definitiva, la linea di demarcazione tra spionaggio tradizionale, guerra cibernetica e operazioni di influenza si sta assottigliando sempre di più. Gli attori statali dell’Est Europa, e la Russia in particolare, dimostrano una crescente capacità di orchestrare campagne complesse e integrate che sfruttano simultaneamente debolezze tecnologiche, umane e informative per raggiungere obiettivi strategici a lungo termine. La sfida per le democrazie occidentali e per la comunità internazionale nel suo complesso non è solo di natura tecnica, ma anche strategica e cognitiva: richiede la capacità di riconoscere la natura multidimensionale di queste minacce e di sviluppare risposte altrettanto integrate, resilienti e proattive.

FAQ (Domande Frequenti):

Quali sono le principali tecnologie di spionaggio utilizzate dai paesi dell’Est Europa?

I paesi dell’Est Europa, in particolare la Russia, utilizzano una vasta gamma di tecnologie che includono il cyber spionaggio (malware sofisticati come wiper e RAT, sfruttamento di vulnerabilità), l’intelligence umana (HUMINT, con supporto di comunicazioni cifrate), la signals intelligence (SIGINT, tramite satelliti come Liana e sistemi terrestri come SORM), la guerra elettronica (EW, con sistemi di jamming come Krasukha) e operazioni di disinformazione avanzate (botnet, troll farm, deepfake potenziati dall’IA).

Quali attori statali sono più attivi nel cyber spionaggio nell’Est Europa e quali sono le loro affiliazioni?

La Russia è l’attore predominante. Le sue principali agenzie di intelligence coinvolte sono il GRU (intelligence militare), l’FSB (sicurezza interna) e l’SVR (intelligence estera). A queste sono affiliati noti gruppi APT come Sandworm/APT44 (GRU Unità 74455), APT28/Fancy Bear (GRU Unità 26165), Gamaredon (FSB) e APT29/Cozy Bear (SVR). Anche la Bielorussia è attiva, spesso in coordinamento con la Russia, con gruppi come UNC1151/Ghostwriter.

Quali tipi di malware vengono utilizzati e quali sono alcuni esempi specifici?

Viene utilizzata un’ampia gamma di malware, tra cui:

Wiper (distruttivi): NotPetya, Industroyer/Industroyer2, WhisperGate, KillDisk, CaddyWiper, Olympic Destroyer.

Spyware/Infostealer/Backdoor: Infamous Chisel (per Android), Remcos RAT, HeadLace, OceanMap, MASEPIE, Cyclops Blink, PteroBleed. Questi strumenti mirano a distruggere dati, rubare informazioni, ottenere accesso remoto e mantenere la persistenza sui sistemi compromessi.

Come funziona il sistema di sorveglianza russo SORM e qual è il suo impiego?

Il SORM (Sistema per le Attività Operative Investigative) è un apparato legale e tecnico russo che obbliga i provider di telecomunicazioni a installare hardware/software per permettere all’FSB di monitorare e intercettare comunicazioni (telefoniche, internet, social media). SORM-3 consente l’archiviazione a lungo termine di dati e metadati. La Russia esporta questa tecnologia, sollevando preoccupazioni per la sorveglianza di massa e il potenziale accesso dell’intelligence russa a dati intercettati in paesi terzi.

In che modo l’intelligenza artificiale (IA) viene utilizzata nelle operazioni di disinformazione e spionaggio?

L’IA viene usata per potenziare le campagne di disinformazione attraverso la generazione di deepfake (video, audio, immagini falsi ma realistici), la creazione automatizzata di grandi volumi di testo propagandistico (come nella rete Pravda) e la creazione di pubblicità ingannevoli. Operativi russi hanno anche usato piattaforme IA per ricerche su protocolli di comunicazione e per assistenza nel coding, suggerendo un uso futuro per l’analisi di vulnerabilità e la generazione di malware.

Quali sono state le principali accuse e i metodi di spionaggio nel caso della presunta rete ungherese in Ucraina (maggio 2025)?

L’Ucraina (SBU) ha accusato l’Ungheria di gestire una rete di agenti (ex militari ucraini) in Transcarpazia per raccogliere informazioni su difese militari (es. sistemi S-300), vulnerabilità e il “sentiment” della popolazione locale riguardo a una possibile incursione ungherese. I metodi includevano reclutamento con denaro, incontri in Ungheria e fornitura di telefoni con software per comunicazioni sicure. L’Ungheria ha respinto le accuse come “propaganda”, procedendo a espulsioni diplomatiche reciproche.

Quali sono le tendenze emergenti nello spionaggio tecnologico dell’Est Europa?

Le tendenze includono un maggiore impiego dell’IA per attacchi cyber e disinformazione, un focus continuo su vulnerabilità software diffuse e infrastrutture “edge” (router, IoT), l’intensificazione degli attacchi alla supply chain e la proliferazione di tecnologie di sorveglianza di massa. Si osserva inoltre una crescente integrazione tra capacità cyber, HUMINT, SIGINT, EW e operazioni di influenza.

Tecnologie di Spionaggio dei Paesi dell’Est: Analisi Dettagliata

Proliferazione tecnologie di Spionaggio

I. Cyber Espionaggio: L’Arsenale Digitale

A. Attori Statali Preminenti e Loro Affiliazioni

B. Malware Sofisticato: Tipologie, Composizione e Impiego

Distinzione tra malware

C. Tattiche, Tecniche e Procedure (TTPs) nel Cyber Espionaggio

D. Bersagli Comuni: Infrastrutture Critiche, Governi, Settore Militare e Diplomatico

II. Intelligence Umana (HUMINT): Tecniche e Supporti Tecnologici

A. Reclutamento, Gestione di Agenti e Operazioni Sotto Copertura

B. Tecnologie di Comunicazione Clandestina (Dispositivi cifrati, software specializzati)

C. Caso di Studio: La Crisi di Spionaggio Ucraina-Ungheria (Maggio 2025)

Tecnologie e Metodi di Spionaggio Utilizzati (secondo l’SBU):

III. Signals Intelligence (SIGINT) e Guerra Elettronica (EW)

A. Sistemi SIGINT/ELINT Spaziali Russi (es. Liana, Lotos-S, Pion): Capacità e composizione

B. Sistemi di Sorveglianza Terrestre Russi (es. SORM): Aspetti tecnici e utilizzo per la sorveglianza di massa e l’intelligence estera

C. Capacità di Guerra Elettronica (EW) Russa

Tabella 4: Sistemi SIGINT/EW Russi Selezionati

IV. Disinformazione e Operazioni di Influenza Tecnologicamente Avanzate

A. Infrastruttura Tecnologica (Botnet, troll farm, siti web falsi come Doppelganger, Pravda network)

B. Disinformazione Potenziata dall’IA (Deepfake, contenuti generati artificialmente): Strumenti di generazione e diffusione

C. Sfruttamento di Social Media e Piattaforme di Messaggistica (es. X, Telegram, Signal)

V. Attori Specifici e Loro Impronta Tecnologica (Sintesi e Collegamenti)

A. Russia: Attore dominante con vasta gamma di capacità cyber, HUMINT e SIGINT (GRU, FSB, SVR)

B. Bielorussia: Capacità cyber e presunti legami con operazioni russe (es. Ghostwriter)

C. Altri Attori dell’Est (limitatamente ai dati disponibili, es. Ungheria nel caso specifico)

VI. Conclusione: Tendenze Emergenti e Implicazioni Future delle Tecnologie di Spionaggio

Sintesi delle Tecnologie Chiave e delle Tendenze:

Evoluzione Prevista delle Minacce:

Implicazioni per la Sicurezza Internazionale: Le capacità di spionaggio descritte e le tendenze emergenti comportano serie implicazioni:

FAQ (Domande Frequenti):

Quali sono le principali tecnologie di spionaggio utilizzate dai paesi dell’Est Europa?

Quali attori statali sono più attivi nel cyber spionaggio nell’Est Europa e quali sono le loro affiliazioni?

Quali tipi di malware vengono utilizzati e quali sono alcuni esempi specifici?

Come funziona il sistema di sorveglianza russo SORM e qual è il suo impiego?

In che modo l’intelligenza artificiale (IA) viene utilizzata nelle operazioni di disinformazione e spionaggio?

Quali sono state le principali accuse e i metodi di spionaggio nel caso della presunta rete ungherese in Ucraina (maggio 2025)?

Quali sono le tendenze emergenti nello spionaggio tecnologico dell’Est Europa?

Post correlati

Proliferazione tecnologie di Spionaggio

I. Cyber Espionaggio: L’Arsenale Digitale

A. Attori Statali Preminenti e Loro Affiliazioni

B. Malware Sofisticato: Tipologie, Composizione e Impiego

Distinzione tra malware

C. Tattiche, Tecniche e Procedure (TTPs) nel Cyber Espionaggio

D. Bersagli Comuni: Infrastrutture Critiche, Governi, Settore Militare e Diplomatico

II. Intelligence Umana (HUMINT): Tecniche e Supporti Tecnologici

A. Reclutamento, Gestione di Agenti e Operazioni Sotto Copertura

B. Tecnologie di Comunicazione Clandestina (Dispositivi cifrati, software specializzati)

C. Caso di Studio: La Crisi di Spionaggio Ucraina-Ungheria (Maggio 2025)

Tecnologie e Metodi di Spionaggio Utilizzati (secondo l’SBU):

III. Signals Intelligence (SIGINT) e Guerra Elettronica (EW)

A. Sistemi SIGINT/ELINT Spaziali Russi (es. Liana, Lotos-S, Pion): Capacità e composizione

B. Sistemi di Sorveglianza Terrestre Russi (es. SORM): Aspetti tecnici e utilizzo per la sorveglianza di massa e l’intelligence estera

C. Capacità di Guerra Elettronica (EW) Russa

Tabella 4: Sistemi SIGINT/EW Russi Selezionati

IV. Disinformazione e Operazioni di Influenza Tecnologicamente Avanzate

A. Infrastruttura Tecnologica (Botnet, troll farm, siti web falsi come Doppelganger, Pravda network)

B. Disinformazione Potenziata dall’IA (Deepfake, contenuti generati artificialmente): Strumenti di generazione e diffusione

C. Sfruttamento di Social Media e Piattaforme di Messaggistica (es. X, Telegram, Signal)

V. Attori Specifici e Loro Impronta Tecnologica (Sintesi e Collegamenti)

A. Russia: Attore dominante con vasta gamma di capacità cyber, HUMINT e SIGINT (GRU, FSB, SVR)

B. Bielorussia: Capacità cyber e presunti legami con operazioni russe (es. Ghostwriter)

C. Altri Attori dell’Est (limitatamente ai dati disponibili, es. Ungheria nel caso specifico)

VI. Conclusione: Tendenze Emergenti e Implicazioni Future delle Tecnologie di Spionaggio

Sintesi delle Tecnologie Chiave e delle Tendenze:

Evoluzione Prevista delle Minacce:

Implicazioni per la Sicurezza Internazionale: Le capacità di spionaggio descritte e le tendenze emergenti comportano serie implicazioni:

FAQ (Domande Frequenti):

Quali sono le principali tecnologie di spionaggio utilizzate dai paesi dell’Est Europa?

Quali attori statali sono più attivi nel cyber spionaggio nell’Est Europa e quali sono le loro affiliazioni?

Quali tipi di malware vengono utilizzati e quali sono alcuni esempi specifici?

Come funziona il sistema di sorveglianza russo SORM e qual è il suo impiego?

In che modo l’intelligenza artificiale (IA) viene utilizzata nelle operazioni di disinformazione e spionaggio?

Quali sono state le principali accuse e i metodi di spionaggio nel caso della presunta rete ungherese in Ucraina (maggio 2025)?

Quali sono le tendenze emergenti nello spionaggio tecnologico dell’Est Europa?

Post correlati

Come spiare le storie di Instagram?

Quali sono le applicazioni spia?

Cosa fa un investigatore privato per scoprire un tradimento?