Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Fallimenti OPSEC: come gli errori degli autori delle minacce aiutano i difensori

9 gennaio 2026
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Fallimenti OPSEC: come gli errori degli autori delle minacce aiutano i difensori

Gli autori delle minacce spesso cercano di apparire disciplinati e altamente qualificati. Alcuni gestiscono il ransomware come un'attività commerciale, mentre altri sono gruppi organizzati di criminali informatici o team sponsorizzati dallo Stato. Investono tempo in strumenti, infrastrutture e tecniche di evasione.

I resoconti pubblici dimostrano che questa immagine non sempre corrisponde alla realtà.

In diversi casi recenti, gli aggressori hanno commesso errori di sicurezza operativa di base (OPSEC). Questi errori hanno esposto la loro infrastruttura, i loro strumenti e il loro comportamento. Invece di rimanere invisibili, gli aggressori hanno creato visibilità per i difensori.

Di seguito sono riportati tre casi di violazione dell'OPSEC segnalati dai ricercatori nel dicembre 2025.

Devman: Fallimenti procedurali dell'OPSEC nelle operazioni ransomware

In un articolo precedente ho trattato i dettagli tecnici del ransomware Devman, compreso il suo funzionamento e ciò che ha riutilizzato dal codice ransomware esistente.

Dopo il lancio, Devman è stato oggetto di critiche pubbliche su X per quella che i ricercatori hanno definito una "scarsa OPSEC". Diversi analisti hanno sottolineato che il gruppo ha esposto la propria infrastruttura e i propri sistemi interni durante il lancio della sua offerta di ransomware-as-a-service (RaaS).

I problemi segnalati includevano:

  • Infrastruttura interna esposta durante il lancio — I sistemi utilizzati per gestire l'operazione, compresi i servizi interni, erano accessibili da Internet.
  • Protezione insufficiente dei sistemi di gestione e comunicazione — I ricercatori hanno potuto osservare come venivano coordinate alcune parti dell'operazione.
  • Un lancio pubblico affrettato — La piattaforma RaaS è stata resa operativa prima che i sistemi interni fossero adeguatamente isolati o protetti.
  • Riutilizzo di utensili senza un adeguato indurimento — L'operazione si basava su componenti esistenti che non erano stati adeguatamente testati dal punto di vista dell'OPSEC.

Il risultato è stato che l'opinione pubblica ha percepito l'operazione come immatura e mal gestita, soprattutto per un gruppo che cercava di attirare nuovi affiliati.

Hunters di Lapsu$ sparsi: errori comportamentali OPSEC nella verifica degli obiettivi

Attori associati a SLSH hanno dichiarato pubblicamente di aver violato una società di sicurezza informatica. Hanno pubblicato screenshot e affermato che erano stati rubati dati sensibili.

I rapporti successivi hanno dimostrato che i sistemi accessibili non erano ambienti di produzione. Gli aggressori avevano interagito con un honeypot contenente dati sintetici progettati per sembrare realistici.

I ricercatori hanno evidenziato diversi fallimenti dell'OPSEC:

  • Mancata convalida dell'ambiente di destinazione: i sistemi accessibili sono stati considerati reali senza verificare se fossero isolati o monitorati.
  • Fiducia nei dati sintetici — Dati che sembravano legittimi sono stati accettati come prova di compromissione senza un'ulteriore verifica approfondita.
  • Dichiarazioni pubbliche premature — La violazione è stata annunciata prima che fosse confermata.
  • Problemi di automazione che espongono dettagli tecnici — Ripetuti tentativi di scraping e accesso hanno causato errori di proxy che hanno portato alla fuga di informazioni tecniche utili per il tracciamento.

La credibilità del gruppo ha subito un duro colpo quando è stato dimostrato che l'affermazione era falsa.

APT sponsorizzata dallo Stato: errori tecnici OPSEC nell'isolamento del sistema

I ricercatori hanno scoperto che un sistema utilizzato da un attore nordcoreano era stato infettato da LummaC2, un malware ampiamente utilizzato per il furto di informazioni. Il computer infetto apparteneva a uno sviluppatore coinvolto nelle operazioni informatiche della Corea del Nord.

L'analisi dei log ha rivelato credenziali e strumenti collegati al sistema. Ulteriori indagini hanno collegato la macchina all'infrastruttura associata al furto di criptovalute Bybit del valore di 1,4 miliardi di dollari, attribuito ad attori nordcoreani tra cui il Lazarus Group.

I fallimenti OPSEC segnalati includevano:

  • Scarsa endpoint — Un sistema controllato da un aggressore è stato compromesso da un comune infostealer.
  • Riutilizzo delle credenziali: gli account e-mail e le credenziali memorizzati sul dispositivo erano collegati a infrastrutture dannose note.
  • Mancanza di isolamento: strumenti, phishing e risorse operative erano presenti su un unico sistema.
  • Anonimizzazione incompleta: l'uso della VPN non è riuscito a mascherare completamente la configurazione del browser, le impostazioni della lingua e i modelli di utilizzo.

Non si è trattato di un caso isolato. Nel maggio 2025, gli sviluppatori del malware DanaBot hanno accidentalmente infettato i propri computer e i dati delle credenziali recuperati sono stati successivamente utilizzati dagli investigatori.

Entrambi i casi dimostrano come gli aggressori possano cadere vittime delle stesse minacce che essi stessi mettono in atto.

Perché gli errori OPSEC sono importanti per i difensori

Questi incidenti mettono in luce una semplice verità: gli autori delle minacce sono pur sempre esseri umani e anche i team più esperti commettono errori umani.

Quando si verificano questi errori, generano segnali che i difensori possono osservare:

  • Come si comportano gli aggressori dopo aver ottenuto l'accesso
  • Quali strumenti e infrastrutture riutilizzano
  • Come testano, convalidano e annunciano il successo
  • Dove l'isolamento e l'anonimizzazione vengono meno

Gli ambienti di inganno, i dati sintetici e il monitoraggio basato sul comportamento non eliminano gli attacchi, ma rivelano il comportamento degli aggressori quando le ipotesi falliscono.

Gli aggressori stanno adottando sempre più spesso strumenti basati sull'intelligenza artificiale. L'automazione e l'intelligenza artificiale possono accelerare la ricognizione, l'individuazione degli obiettivi e lo sfruttamento, ma non eliminano il giudizio umano dal processo. Possono anche introdurre nuovi errori:

  • Eccessiva fiducia nei risultati automatizzati
  • Scalare più rapidamente le false ipotesi
  • Ripetere gli errori alla velocità della macchina

La tecnologia cambia. Le persone no.

Edè proprio qui che i difensori continuano a guadagnare visibilità.

Domande frequenti