L’attacco USA‑Israele all’Iran apre il fronte della cyberwarfare. APT legati a Teheran potrebbero colpire istituzioni e imprese italiane nell’ambito di una guerra ibrida che è già in corso.
Autore: Redazione SecurityOpenLab
L’attacco congiunto di Stati Uniti e Israele contro l’Iran riaccende l’allerta sulla dimensione cibernetica del conflitto, la cosiddetta cyberwarfare. Come già accaduto quattro anni addietro con l’invasione russa dell’Ucraina, con tutta probabilità anche in questo caso le operazioni militari saranno accompagnate da campagne di cyber attacchi, cyber spionaggio e disinformazione rivolte sia contro i Paesi direttamente coinvolti, sia contro gli alleati, Italia compresa, in un contesto di guerra ibrida.
Nel caso dell’Iran, sebbene la campagna militare abbia avuto inizio nel fine settimana, sul piano digitale il confronto era già aperto da tempo: negli ultimi anni gruppi legati all’Iran hanno condotto campagne di intrusione e sabotaggio contro governi, aziende energetiche, infrastrutture critiche e media in Medio Oriente, Stati Uniti ed Europa. A titolo di esempio, a partire dal 2024 l’APT iraniano Nimbus Manticore ha preso di mira in modo sistematico aziende di telecomunicazioni, difesa, aerospazio, satellite e compagnie aeree in Europa occidentale, con particolare focus su Danimarca, Svezia e Portogallo. Questa campagna coinvolge supply chain che toccano grandi contractor e operatori TLC francesi, tedeschi e italiani, pertanto rappresenta una minaccia strutturale per l’Unione: parliamo di compromissione delle filiere, esfiltrazione di dati sul lungo termine e impianto di malware (come Minibike) studiati per restare sotto traccia grazie allo sfruttamento di servizi cloud legittimi.
Pare quindi evidente che l’attività cyber iraniana sia parte integrante della strategia di pressione politica e militare, in parallelo alle operazioni cinetiche. Come spesso accade, il cyberwarfare offre un canale a basso costo, difficilmente attribuibile con certezza, per colpire avversari ben oltre il raggio d’azione delle armi fisiche, bypassando la supremazia militare dei nemici (in questo caso USA e Israele).
All’inizio del conflitto Check Point ha pubblicato un post sul blog aziendale che fa il punto sull’ecosistema degli APT sponsorizzati da Teheran, con l’obiettivo di offrire contesto e consapevolezza a chi ha il compito di difendere le imprese. Gli esperti descrivono un tessuto frammentato ma ormai consolidato di gruppi APT, contractor e proxy hacktivist che operano in sinergia con i Pasdaran e gli apparati di intelligence. È, in sostanza, un “sistema dei sistemi” che copre tre macro‑obiettivi: spionaggio, distruzione e operazioni di influenza tramite campagne di leak e propaganda online.
Sul fronte dello spionaggio, i threat actor iraniani cercano accesso persistente alle reti di governi, forze armate, aziende energetiche e telco dei Paesi nemici, per raccogliere informazioni di intelligence militare, diplomatica ed economica. Sul versante distruttivo, impiegano DDoS, pseudo-ransomware e malware wiper per interrompere servizi essenziali, aumentare i costi operativi e lanciare messaggi politici al pubblico interno ed esterno. Infine, combinano data breach e campagne di amplificazione sui social per abbattere la fiducia nelle istituzioni.
Gli esperti di Check Point evidenziano inoltre come gli APT iraniani abbiano gradualmente alzato il livello tecnico delle proprie operazioni, passando da attacchi opportunistici a campagne mirate che sfruttano tool custom, supply chain e piattaforme compromesse. Tra le tecniche ricorrenti compaiono spear phishing ben confezionato, sfruttamento rapido di vulnerabilità su VPN, firewall e appliance esposte, uso di botnet basate su dispositivi SOHO per mascherare il traffico malevolo. Negli ultimi anni sono emersi malware wiper sviluppati ad hoc, pseudo-ransomware usati più come arma di distruzione che per estorsione, e tool per il controllo di sistemi industriali (ICS/SCADA) che alzano la posta in gioco rispetto al semplice furto di dati.
I bersagli prioritari riflettono la mappa degli interessi geopolitici di Teheran: infrastrutture energetiche lungo l’intera filiera (oleodotti, gasdotti, impianti di raffinazione e distribuzione dei carburanti) strutture governative e militari in Medio Oriente, Stati Uniti ed Europa, grandi telco e operatori Internet. Sono obiettivi anche media, piattaforme online e provider di servizi cloud, che vengono sfruttati come moltiplicatori di impatto.
La dottrina iraniana prevede di colpire non solo gli avversari diretti, ma anche i loro alleati e i Paesi percepiti come ostili sul piano diplomatico ed economico. In questo quadro, la recente reazione di Teheran alle posizioni dell’Italia sulle Guardie Rivoluzionarie, culminata nella convocazione dell’ambasciatore italiano, è un indicatore di come il regime percepisce oggi il ruolo di Roma.
Il passaggio al conflitto armato verificatosi nel fine settimana porta verosimilmente a ipotizzare un ampliamento della platea di bersagli cyber. Nel mirino possono finire obiettivi governativi italiani, e in particolare Difesa, Esteri, Interni e le strutture di coordinamento cyber. Sono da ritenersi potenziali obiettivi anche le infrastrutture critiche con esposizione internazionale, come energia, trasporti e TLC, dove l’interruzione dei servizi ha un’immediata visibilità mediatica. A questi si aggiungono le aziende italiane con interessi nel Golfo o rapporti consolidati con gli Stati Uniti, che rischiano di diventare soft target utili a mandare segnali politici senza un’escalation militare diretta.
La frontiera non è solo tecnica: nella logica della guerra ibrida, Teheran e i suoi proxy possono combinare attacchi informatici e campagne di disinformazione rivolte all’opinione pubblica italiana, alimentando narrazioni anti-occidentali o sfiducia nella capacità dello Stato di proteggere cittadini e imprese.
Già prima dell’ultima escalation, il quadro italiano era tutt’altro che rassicurante: nel 2025 il numero di cyber attacchi gravi verso il nostro Paese è cresciuto, con una forte componente di hacktivism politico e operazioni dimostrative contro enti pubblici e infrastrutture digitali. In più occasioni il Ministro della Difesa ha descritto questa situazione come un “conflitto ibrido quotidiano”, indicando Russia, Cina, Iran e Corea del Nord tra i principali attori ostili nello spazio informativo e cibernetico.
In questo contesto, l’attacco USA–Israele all’Iran rappresenta un’accelerazione: aumenta la probabilità che gruppi pro‑Teheran utilizzino l’Italia come terreno di pressione indiretta sugli alleati, con campagne di DDoS, defacement, leak di dati e operazioni di influenza mirate a logorare istituzioni e imprese. Le organizzazioni italiane non possono più raccontarsi di essere “fuori dal mirino” solo perché non hanno rapporti diretti con Teheran. In una guerra ibrida a geometria variabile, basta essere visti come un pezzo della rete occidentale per ritrovarsi, da un giorno all’altro, nell’elenco dei bersagli.
Da qui i consigli sulla difesa pubblicati da Check Point. Gli esperti raccomandano di leggere le capacità cyber iraniane come un continuum che va dall’hacktivismo di facciata alle operazioni APT sofisticate. Per i difensori questo implica un doppio livello di preparazione: resistere al rumore di fondo (DDoS, vandalismo digitale, campagne poco strutturate) e, allo stesso tempo, individuare i segnali deboli di attività più strategiche e persistenti.
Tra le priorità operative, Check Point insiste su alcuni punti molto concreti. Anzitutto migliorare la visibilità sugli asset esposti a internet, in particolare VPN, firewall, appliance e dispositivi edge che spesso sono trascurati, ma sono estremamente appetibili per gli APT iraniani. In secondo luogo rafforzare il patch management per ridurre al minimo la finestra di esposizione sulle vulnerabilità note. A questo si aggiunge la necessità di tenere sotto stretta osservazione gli account privilegiati e gli accessi che arrivano da reti residenziali o da dispositivi SOHO compromessi, spesso usati per camuffare la vera origine degli attacchi. Il report sottolinea anche l’importanza di correlare eventi di sicurezza con le dinamiche geopolitiche: picchi di attività malevola possono accompagnare fasi di escalation militare o decisioni politiche considerate ostili da Teheran.
Vale la pena sottolineare che il tema non riguarda solo i SOC delle grandi aziende, ma la resilienza del sistema Paese in senso ampio. Le amministrazioni pubbliche, specie a livello centrale, devono assumere che la nuova fase del conflitto aumenti il rischio di attacchi dimostrativi e tentativi di intrusione mirata, e adeguare di conseguenza livelli di logging, monitoraggio e capacità di risposta.
Il settore privato è altrettanto esposto: banche, utility, manifattura a forte componente export, sanità possono diventare bersaglio tanto per operazioni di spionaggio quanto per campagne di pressione simbolica. In questo contesto, la collaborazione pubblico–privato, lo scambio tempestivo di indicatori di compromissione e la capacità di recepire rapidamente gli alert di CERT-AgID e ACN diventano elementi critici per contenere l’impatto di eventuali offensive iraniane o pro-iraniane nello spazio digitale.