A cura di Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis
La persistenza delle minacce non si misura dalla novità delle tecniche, ma dalla trascuratezza delle difese. È quanto confermano le ultime attività del gruppo APT SideWinder, oggetto di un’approfondita analisi da parte della Threat Research Unit (TRU) di Acronis: attacchi complessi, sì, ma fondati su vulnerabilità vecchie di anni e ampiamente note.
Tecniche vecchie, attacchi moderni
Le campagne attribuite a SideWinder si sono concentrate su istituzioni governative in Sri Lanka, Bangladesh e Pakistan. Al di là della scelta geografica, ciò che colpisce è il modello operativo: una combinazione tra strumenti avanzati e tattiche consolidate, con lo scopo dichiarato di ottenere la massima efficacia con il minimo investimento. L’utilizzo di vulnerabilità risalenti al 2017 – per le quali esistono da tempo patch pubbliche – mostra quanto il vero punto debole non sia tanto la sofisticazione degli attacchi, quanto la mancata correzione di falle già documentate.
L’approccio di SideWinder si distingue per l’integrazione di tecniche avanzate, come il geofencing e la verifica dell’identità della vittima tramite IP e user agent, che permettono di attivare il payload malevolo solo quando sussistono condizioni precise. Se i criteri non sono soddisfatti, viene restituito un file innocuo o o una risposta HTTP 404 (“Not Found”), evitando così l’esposizione dell’attacco a sistemi fuori target.
Un ulteriore elemento di complessità è rappresentato dal polimorfismo: il server genera ogni volta un payload diverso, rendendo di fatto ogni infezione unica e difficile da rilevare. A ciò si affianca l’uso di DLL sideloading, tecniche living-off-the-land e rotazione continua dei domini C2, tutte finalizzate a garantire persistenza, elusione e bassa tracciabilità.
APT e cybercrime: una linea sempre più sottile
Il caso SideWinder evidenzia anche un trend sempre più marcato: la sovrapposizione tra mondo APT e cybercrime. Gli strumenti utilizzati – da Cobalt Strike agli script già confezionati – mostrano come oggi la linea di demarcazione tra attori avanzati e gruppi criminali sia sempre più sfumata. In entrambi i casi, però, a prevalere è spesso la convenienza: meglio puntare su exploit collaudati e accessibili, piuttosto che investire in tecniche nuove ma incerte nei risultati.
Questo paradosso ha implicazioni importanti anche in ottica difensiva. Mentre l’attenzione si concentra su minacce emergenti e attacchi zero-day, interi segmenti di infrastruttura restano esposti a vulnerabilità vecchie, spesso trascurate. È un fenomeno che riguarda non solo il settore pubblico, ma anche ambiti critici come OT e IoT, sempre più colpiti secondo quanto emerso da analisi di CERT, ENISA e dalla stessa TRU di Acronis.
In particolare, il mondo industriale, spesso caratterizzato da sistemi legacy, ambienti non aggiornabili e scarsa visibilità interna, rappresenta un bersaglio ideale per attacchi persistenti. Il crescente utilizzo di dispositivi connessi nei processi produttivi amplifica ulteriormente la superficie d’attacco, rendendo urgente una strategia di protezione specifica per i sistemi cyber-fisici.
Intelligenza artificiale e minacce invisibili: il ruolo della threat intelligence
Quanto all’intelligenza artificiale, spesso evocata come leva futura degli attacchi avanzati, il quadro attuale suggerisce una prudenza diversa: al momento viene utilizzata soprattutto sul fronte difensivo – ad esempio nei sistemi di Endpoint Detection and Response – per identificare comportamenti anomali e segnalare attività sospette. Tuttavia, il potenziale dell’AI in mano agli attaccanti non può essere sottovalutato: la capacità di automatizzare la scoperta di vulnerabilità minori o poco documentate potrebbe amplificare l’efficacia di campagne già in grado di aggirare con successo le difese tradizionali. È ipotizzabile che, nel prossimo futuro, vengano impiegati modelli di AI per identificare obiettivi ad alto valore, accelerare l’esfiltrazione dei dati o sviluppare malware su misura con rapidità e precisione.
Secondo quanto emerge dalle attività di threat intelligence condotte da TRU, la sola disponibilità di soluzioni di cybersecurity non è più sufficiente. È indispensabile un approccio che integri l’analisi dei comportamenti degli attaccanti, la condivisione tempestiva delle informazioni e la capacità di anticipare le evoluzioni delle minacce. È proprio questa integrazione tra intelligence e tecnologia che oggi può fare la differenza nella lotta contro attacchi sofisticati e persistenti come quelli attribuiti a SideWinder.
Solo uno sforzo costante e coordinato tra prevenzione tecnica, aggiornamento continuo e conoscenza strategica può ridurre il divario tra chi attacca e chi difende. L’illusione che le minacce più gravi provengano solo da exploit mai visti rischia di spostare l’attenzione dai veri punti deboli: quelli che esistono da anni, ma che troppo spesso vengono ignorati.
In questo contesto, il valore della visibilità diventa centrale. Saper riconoscere i segnali deboli di un’intrusione, monitorare l’anomalia prima che diventi incidente, distinguere un comportamento legittimo da uno strumentalizzato: sono tutti elementi che richiedono non solo strumenti, ma anche una cultura della sicurezza radicata. In ambienti particolarmente esposti – come la pubblica amministrazione, la sanità e l’industria – il rischio non è solo quello di subire un attacco, ma di non accorgersene in tempo utile. È qui che threat intelligence e automazione devono convergere, offrendo una difesa contestuale, continua e consapevole. Perché non è l’AI a mancare. A mancare, troppo spesso, è l’attenzione alle basi.
