Il ciberspionaggio è un’attività di intrusione progettata per raccogliere segretamente segreti, monitorare le comunicazioni o mantenere un accesso a lungo termine per fini di intelligence. A differenza degli attacchi distruttivi, il suo obiettivo è di solito la persistenza e la furtività: l’operatore vuole rimanere nascosto mentre esfiltra dati, mappa le reti o osserva nel tempo il comportamento degli utenti e dei sistemi.
In pratica, il ciberspionaggio utilizza spesso tecniche living-off-the-land, sideloading di DLL, phishing, credenziali rubate e backdoor modulari che possono essere aggiornate man mano che i difensori reagiscono. Queste campagne sono importanti perché possono prendere di mira infrastrutture critiche, ricerca, enti governativi o catene di approvvigionamento senza causare interruzioni evidenti, rendendole più difficili da rilevare rispetto al ransomware o al sabotaggio. I difensori cercano genealogie anomale dei processi, percorsi di caricamento delle librerie inattesi, persistenze anomale e accessi ripetuti dallo stesso punto di ingresso dopo la bonifica. Il monitoraggio basato sul comportamento è particolarmente importante, poiché gli strumenti di spionaggio vengono spesso modificati per eludere le firme dei file mantenendo lo stesso scopo operativo.