Meno bombe, più malware: la nuova fase silenziosa del conflitto israelo-mediorientale

Nel confronto permanente tra Israele e l’ecosistema di militanza armata che lo circonda – con l’Iran che, nella sua retorica e nella sua postura strategica, continua a sostenere una linea radicalmente ostile – il nuovo anno difficilmente porterà una pacificazione strutturale. È una previsione scontata, dirà qualcuno. Ma ciò che cambia davvero non è la cornice politica: sono le capacità offensive che maturano sotto soglia, dove il rumore mediatico si abbassa e la competizione continua.

Se i riflettori sul fronte di Gaza si sono affievoliti, anche per la pressione e la presenza degli Stati Uniti nel contenimento della crisi, questo non significa che si sia aperto un ‘tavolo della pace’. Al contrario: le fratture sociali e psicologiche prodotte dalla guerra restano per anni, generano polarizzazione, radicalizzazione e cicli di vendetta difficili da spegnere.

Indicatori e previsione realistica di breve periodo

Sul piano cyber, vale una regola: distinguere tra rumore (hacktivismo episodico, propaganda, claim non verificati) e segnali strutturati (campagne persistenti, targeting coerente, tradecraft ripetibile). Qui le fonti aperte e i report di threat intelligence aiutano: non perché ‘predicono il futuro’, ma perché fotografano la maturazione delle capacità.

In questo senso, analisi recenti di Unit 42 (il team di Palo Alto Networks specializzato in threat intelligence e incident response) riportano un’accelerazione di attività di spionaggio attribuite al cluster noto come Ashen Lepus / WIRTE, rivolte a entità governative e diplomatiche in Medio Oriente, con l’introduzione di una nuova suite chiamata AshTag. Il punto non è il nome del malware: è la traiettoria. Il report evidenzia una maturazione progressiva dal 2020, con aumento di sofisticazione, nuove tattiche, migliore gestione dell’infrastruttura e maggiore disciplina operativa (OpSec).

Questo non significa che Hamas abbia compiuto un ‘salto di qualità’ tale da ribaltare i rapporti di forza. Significa però che, nella massa di segnali e messaggi che riceviamo ogni giorno, esistono rumori che non vanno sottovalutati perché indicano crescita di capacità e continuità operativa.

I segnali ‘in rosso’ da segnare in agenda

• Persistenza: campagne che durano mesi o anni, non picchi di 48 ore.
• Targeting coerente: stessi settori/Paesi, obiettivi realistici (diplomatici, ministeri, enti regionali).
• Tradecraft ripetibile: infrastruttura e TTP che ritornano, anche se evolvono.
• Disruptive credibile: incidenti con indicatori tecnici e narrazione coerente, non solo claim.
• Implicazioni: prontezza e decisione, non allarmismo

La linea di difesa contro il cyber-terrorismo e le minacce ibride deve restare sempre in tensione: niente cali di attenzione, niente ritardi decisionali, perché proprio i tempi di reazione (tecnici e politici) spesso determinano l’impatto reale di un attacco. E non si tratta semplicemente di ‘spendere di più in armi’: si tratta di investire in resilienza, protezione dell’ecosistema ICT, continuità operativa e, soprattutto, consapevolezza cyber a lungo termine.

Non dobbiamo farci spaventare da questi indicatori, ma valutarli con metodo: misurare probabilità e impatto, aggiornare posture e procedure, e riconoscere che gli attori del conflitto sono costantemente alla ricerca di nuove risorse umane e nuove affiliazioni, anche sfruttando disinformazione e proselitismo. Cambiano i mezzi, non la logica. Chi conosce la storia dell’intelligence ostile, almeno dai tempi di Kim Phillby l’agente Zig Zag, comprende quali siano questi pericoli.

Italia: un tema non troppo lontano

Per l’Italia il tema non è astratto, né lontano. La Pubblica Amministrazione resta uno dei bersagli più appetibili perché concentra dati, identità, servizi essenziali e, soprattutto, un mosaico di infrastrutture spesso eterogenee: legacy che convivono con cloud, fornitori diversi, livelli di maturità disallineati tra ministeri, enti locali e sanità. In questo quadro, la minaccia non cerca necessariamente ‘l’exploit perfetto’: cerca l’anello debole, il fornitore trascurato, l’utenza senza formazione, la segmentazione fatta a metà.

Se accettiamo che nel 2026 la competizione cyber continuerà sotto soglia, allora la risposta non può essere solo tecnica e non può essere solo politica: deve essere governance operativa. Significa catene decisionali corte, esercitazioni reali, piani di continuità verificati, patching e identity hardening come priorità nazionale, e soprattutto una cultura che tratti la sicurezza come funzione di servizio pubblico, non come costo. Perché quando il bersaglio è la PA, l’impatto non resta nei log: arriva direttamente al cittadino.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Roberto Villani

Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.

Aree di competenza: Geopolitica, cyber warfare, intelligence, Diritto penale, Risk analysis