L’Europa sta vivendo una un'escalation senza precedenti di attacchi APT: all’opera più che altro gruppi affiliati a Russia e Nord Corea, ma l’Iran è da tenere c’occhio.
Autore: Redazione SecurityOpenLab
In Europa fervono le attività APT di Paesi affiliati a Russia e Nord Corea. Nell’intervallo fra ottobre 2025 e marzo 2026 Sandworm ha colpito per la prima volta un'infrastruttura energetica in un paese membro NATO, Sednit ha sfruttato uno zero-day contro trasporti polacchi e istituzioni ucraine, Lazarus ha aggiornato il proprio arsenale dopo aver preso di mira produttori di droni europei. A certificare le informazioni è l'ESET APT Activity Report Q4 2025–Q1 2026.
I gruppi allineati alla Russia rappresentano il 28% delle fonti di attacco rilevate nel periodo, secondi solo ai gruppi allineati con la Cina. In Europa, il settore governativo fa capo al 39,2% dei target, seguito dalla difesa al 15,7% e dall'engineering & manufacturing al 7,8%; energia, NGO/think tank e tecnologia si attestano al 4,8% ciascuno. Il dato aggregato fotografa una pressione costante e multisettoriale, in cui Ucraina e Polonia emergono come i nodi critici dell'intera regione.
Il caso più rilevante per l'Europa del periodo è un attacco di distruzione dati avvenuto nel dicembre 2025 contro un'azienda del settore energetico polacco. ESET attribuisce la componente wiper dell'incidente a Sandworm, sulla base di una forte sovrapposizione tra le Tecniche, Tattiche e Procedure rilevate e quelle storicamente associate al gruppo.
La rilevanza strategica dell'episodio supera la dimensione tecnica. Gli attacchi distruttivi di gruppi allineato con la Russia al di fuori dell'Ucraina sono stati, fino ad oggi, estremamente rari. L'unico precedente polacco documentato risale al 2022, quando almeno un'azienda logistica fu colpita con un wiper. Però, nel caso di dicembre 2025 il target è una infrastruttura critica in senso proprio, in un paese membro NATO. Le reti elettriche polacca e ucraina sono interconnesse, e la Polonia svolge un ruolo attivo nel compensare i danni prodotti dai bombardamenti russi alle infrastrutture energetiche ucraine. L'attacco è avvenuto all'inizio dell'inverno, in coincidenza con la nuova intensificazione dei raid russi contro le utilities energetiche di Kiev: secondo ESET, è plausibile che l'operazione in Polonia fosse intesa ad aumentare la pressione sulla rete ucraina colpendo uno dei suoi backup esterni nel momento di massimo fabbisogno.
Nel medesimo arco temporale, Sandworm ha intensificato le operazioni distruttive in Ucraina, distribuendo tre nuovi wiper con caratteristiche distinte. Il primo è ZeroRays ed è il primo malware wiper del gruppo scritto in linguaggio di programmazione Rust. È stato usato contro un'azienda di energia termica e una compagnia assicurativa in Ucraina.
Il secondo è Occultus, variante di NikoWiper che cancella i file del sistema compromesso e contiene nel pacchetto una porzione di ASCII art che rivela il nome interno del malware. Il terzo è NAUGHTYWIPE, un dropper che installa un wiper Windows nativo reso persistente tramite il registro di sistema. Durante il processo mostra un falso messaggio di aggiornamento Windows per mascherare l'attività. È stato impiegato contro una catena farmaceutica ucraina. Il metodo di distribuzione comune a tutti e tre i wiper è Active Directory Group Policy.
In un'ulteriore operazione, Sandworm ha attaccato un'azienda granaria ucraina con RansomTuga, un malware open source disponibile su GitHub, configurabile sia come wiper sia come ransomware. In abbinamento, è stato rilevata la distribuzione di servizi Tor in modalità ShadowLink.
L'altro gruppo allineato con la Russia rilevante per l'Europa è Sednit, che nel periodo ha continuato a operare in Ucraina. Il vettore di accesso iniziale avviene tipicamente tramite Signal Desktop o WhatsApp Desktop, con distribuzione di documenti Word o Excel trojanizzati. In un caso documentato, il file Excel mostrava a macro disabilitate soltanto l'immagine di un drone, per spingere la vittima ad abilitare le macro; una volta eseguita la catena, il documento rivelava dati tecnici sul velivolo, ma in background distribuiva il malware tramite un loader personalizzato che estrae payload da file PNG con codifica steganografica.
L'aspetto europeo più diretto emerge in gennaio 2026, quando Covenant è stato usato in una campagna spearphishing che ha sfruttato la vulnerabilità CVE-2026-21509 contro istituzioni governative ucraine, aziende logistiche in Turchia e aziende di trasporti in Polonia. I target polacchi confermano un'estensione del raggio operativo di Sednit oltre il perimetro ucraino, coerente con il pattern già osservato per Sandworm.
Operation DreamJob è un cluster attribuito all'universo Lazarus. Nel periodo di analisi i ricercatori hanno smesso di rilevare i consueti indicatori di compromissione precedenti e li hanno visti sostituiti da applicazioni MFC weaponizzate come primo stadio e da una nuova variante di BlindingCan come RAT principale. L'infrastruttura di comando e controllo sfrutta server compromessi in Corea del Sud e in altre parti del mondo tramite vulnerabilità note senza patch.
Chiudiamo con la guerra in Iran, che per il momento ha favorito la mobilitazione di attori proxy e gruppi hacktivisti pro-iraniani, che hanno concentrato l'attività contro Israele, Stati Uniti e altri paesi percepiti come ostili a Teheran. Nel periodo tra ottobre 2025 e marzo 2026, ESET ha documentato tre cluster di attività non attribuibili a gruppi già noti (Rusty Boots, MoKhargosh e MOØN Badr) tutti focalizzati su target israeliani. I primi due hanno mostrato sia capacità di spionaggio sia potenziale distruttivo: Rusty Boots ha colpito produttori di dispositivi in Israele con un wiper in stile bootkit; MoKhargosh ha compromesso oltre 130 sistemi in Israele tra giugno 2025 e aprile 2026 con il backdoor GoKhargosh, mantenendo capacità distruttive finora non attivate. ESET le descrive come una "bomba a orologeria": strumenti disponibili per un utilizzo futuro, dopo aver estratto tutte le informazioni disponibili.
Il nesso con l'Europa è indiretto ma rilevante in una prospettiva di rischio. I gruppi allineati con l’Iran hanno dimostrato storicamente la capacità di estendere le operazioni oltre il Medio Oriente quando motivati da obiettivi di ritorsione o pressione su alleati di Israele e degli Stati Uniti. Con il conflitto ancora in corso al momento della pubblicazione del report, la struttura proxy e hacktivista attivata da Teheran resta operativa e potenzialmente orientabile verso nuovi target. Per l'Europa, e in particolare per i paesi che hanno sostenuto Israele o partecipato alle coalizioni anti-iraniane, il quadro delineato da ESET suggerisce un monitoraggio continuativo, anche in assenza di incidenti diretti nel periodo analizzato.