Venerdi 26 Giugno 2026 18:52:08 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Guerra cibernetica e operazioni di attori statali

Dentro il livello infrastrutturale che tiene in vita le campagne ibride

26 Maggio 2026 18:10Guerra cibernetica e operazioni di attori stataliEuropa / Paesi BassiAGONY

Due arresti e il sequestro di oltre 800 server indicano un caso che riguarda l'hosting, non solo gli operatori, in cui il supporto tecnico può contare quanto l'attacco visibile stesso.

Nelle indagini informatiche, il bersaglio più importante non è sempre la persona dietro la tastiera. A volte è l'insieme di server, relay e capacità in affitto che mantiene operativa un'attività. Le autorità olandesi hanno ora arrestato due uomini in un caso collegato a un sospetto supporto infrastrutturale per operazioni cyber russe, mentre gli investigatori hanno sequestrato oltre 800 server. Le accuse includono anche presunte violazioni delle sanzioni e assistenza a cyberattacchi e campagne di disinformazione filorusse.

Questo conta perché l'infrastruttura è il moltiplicatore. Un singolo server può essere sostituito, ma un livello di hosting distribuito può aiutare a preservare l'accesso, nascondere l'origine, assorbire i sequestri e mantenere online più attività contemporaneamente. I dettagli disponibili non mostrano esattamente come siano state utilizzate le macchine sequestrate, ma la scala suggerisce una piattaforma costruita per la resilienza piuttosto che un sistema isolato.

Fatti rapidi

  • Due uomini sono stati arrestati nei Paesi Bassi in un'indagine collegata a un sospetto supporto infrastrutturale per attività cyber.
  • Durante l'operazione sono stati sequestrati più di 800 server.
  • I sospettati sono descritti come indagati per violazioni delle sanzioni.
  • Il caso riguarda anche il presunto supporto a cyberattacchi e campagne di disinformazione filorusse.
  • La funzione esatta dei server non è stata pubblicamente accertata.

Perché il livello server conta

Da un punto di vista tecnico, questo sembra meno un caso esclusivamente legato al malware e più un caso di facilitazione. In molti ecosistemi criminali e collegati agli Stati, l'infrastruttura può fornire hosting, proxying, staging o intermediazione degli accessi. Queste funzioni sono spesso nascoste dietro noleggi dall'aspetto ordinario, catene di rivenditori o entità fittizie, il che rende più difficile l'attribuzione e più lento il contrasto.

Ecco perché le interruzioni da parte delle forze dell'ordine si concentrano spesso sulla spina dorsale e non solo sul payload. Se un parco server supporta più nodi o servizi, la sua rimozione può costringere gli operatori a ricostruire i flussi di lavoro, ruotare i domini e riassemblare i percorsi di accesso. Questo non prova che ogni campagna collegata sia stata fermata, ma può aumentare i costi operativi e creare tracce investigative nei log, nei record di fatturazione e nei metadati di accesso.

L'aspetto legale è altrettanto importante. La politica sanzionatoria dell'UE può colpire non solo i responsabili diretti dei cyberattacchi, ma anche persone o entità che forniscono supporto tecnico o materiale. In pratica, ciò significa che i fornitori di infrastrutture possono esporsi a conseguenze serie se aiutano consapevolmente soggetti sanzionati a restare online. Le informazioni disponibili invitano alla prudenza: gli uomini sono sospettati, non condannati, e la catena tecnica dietro i server sequestrati resta poco chiara.

La lezione più ampia per il cyber è che l'hosting non è neutrale una volta che diventa un servizio armato. Infrastrutture di tipo bulletproof, abuso di proxy e flotte di server in rapido movimento sono modi comuni per mantenere vive le campagne, soprattutto quando gli attaccanti vogliono sia resilienza tecnica sia una distanza plausibile dall'attività stessa. Quando gli investigatori smantellano quel livello, non stanno solo rimuovendo hardware - stanno cercando di recidere il tessuto connettivo dell'operazione.

Conclusione

Questo caso ricorda che il conflitto cyber moderno spesso si appoggia su infrastrutture banali. L'interruzione più efficace può derivare dal colpire i servizi che rendono scalabile l'abuso, non solo le persone che lo attivano. Per i difensori, la lezione è osservare il livello di supporto con la stessa attenzione del livello del payload, perché è lì che molte campagne sopravvivono in silenzio.

WIKICROOK

  • Hosting bulletproof: Hosting progettato o gestito in modo da tollerare gli abusi e rendere più difficili gli interventi di rimozione.
  • Command-and-control (C2): Infrastruttura usata per gestire da remoto malware o sistemi compromessi.
  • Proxy: Un server intermediario che instrada il traffico e può aiutare a nascondere l'origine dell'attività di rete.
  • Fast-flux: Una tecnica che ruota rapidamente gli indirizzi IP di un dominio per aumentarne la resilienza contro il blocco.
  • Regime sanzionatorio: Un quadro giuridico che limita le attività che coinvolgono persone, entità o canali di supporto designati.
AGONY
AutoreAGONY

Guerra cibernetica e operazioni di attori statali