Dietro la cortina della banda larga: come le reti ORB trasformano i dispositivi di tutti i giorni in scudi per i cyberattacchi
Sottotitolo: Hacker sofisticati sfruttano IoT compromessi e router domestici a Singapore per occultare campagne di spionaggio, lasciando i difensori in un gioco digitale del gatto col topo ad altissima posta.
In una tranquilla serata a Singapore, decine di migliaia di utenti Internet guardavano film in streaming, controllavano le email e giocavano online-ignari che i loro router e gadget intelligenti potessero essere pedine inconsapevoli di una campagna globale di cyber-spionaggio. Benvenuti nel mondo oscuro delle reti Operational Relay Box (ORB), dove dispositivi ordinari diventano mimetizzazione per alcuni degli hacker più sfuggenti al mondo.
Nel febbraio 2026, la Cyber Security Agency (CSA) di Singapore ha rivelato la portata dell’Operazione CYBER GUARDIAN-un enorme sforzo multi-agenzia per sradicare un sofisticato cyberattacco che prendeva di mira tutti e quattro i principali fornitori di telecomunicazioni del Paese. Il responsabile: UNC3886, un noto gruppo di minaccia persistente avanzata (APT) collegato alla Cina, famoso per lo sfruttamento di vulnerabilità “zero-day” e per il dispiegamento di malware personalizzato per infiltrarsi nelle infrastrutture critiche.
Gli attaccanti non sono entrati da porte ovvie. Invece, hanno sfruttato una vasta rete a maglie di dispositivi Internet of Things (IoT) compromessi, router small office/home office (SOHO) e server privati virtuali (VPS). Queste reti ORB hanno agito da cortine fumogene digitali, instradando il traffico malevolo attraverso case e aziende ignare. In superficie, il traffico sembrava proprio come la maratona Netflix del vicino-rendendo quasi impossibile per i difensori distinguere amici da nemici senza rischiare un’interruzione su larga scala per utenti innocenti.
L’analisi tecnica della società di sicurezza Mandiant e del gruppo di threat intelligence Team Cymru ha portato alla luce decine di nodi ORB basati a Singapore, molti operativi all’interno delle reti AWS, StarHub e Singtel. Gli attaccanti sostituivano con astuzia i dispositivi compromessi per mantenere la rete resiliente e spesso posizionavano i nodi vicino ai bersagli, aggirando i controlli di geofencing e abilitando una sorveglianza persistente.
La furtività della campagna è stata favorita dai rootkit-strumenti malevoli che si insinuano in profondità nei dispositivi per mantenere una presenza di lungo periodo e non rilevata. Gli attaccanti hanno esfiltrato dati di rete di scarsa entità, ma il loro vero obiettivo sembrava essere la ricognizione e l’accesso persistente, non l’interruzione immediata.
Il governo di Singapore aveva già imposto dal 2022 router secure-by-default con patching automatico e password uniche. Eppure, l’enorme numero di dispositivi obsoleti o importati ha lasciato fessure sfruttabili nell’armatura digitale del Paese. In soli 90 giorni, Team Cymru ha segnalato oltre una dozzina di IP contrassegnati ORB sugli ISP vittime e 62 IP vittime (principalmente router D-Link e Asus) collegati a ORB, evidenziando la portata e la persistenza della minaccia.
Grazie a CYBER GUARDIAN, l’attacco è stato contenuto senza perdita di dati dei clienti né interruzioni di servizio. Ma il caso è un monito netto: mentre gli attaccanti trasformano in armi la tecnologia di tutti i giorni, i difensori devono dare la caccia alle minacce nascoste, applicare patch ai dispositivi edge e adottare approcci zero-trust. Nel mondo ad altissima posta del cyber-spionaggio, il tuo router di casa potrebbe essere il prossimo complice inconsapevole.
Riflettendo sulla guerra invisibile
La campagna di rete ORB a Singapore mette a nudo una realtà inquietante: i dispositivi di cui ci fidiamo di più possono diventare agenti doppi digitali da un giorno all’altro. Man mano che i criminali informatici diventano più audaci e più astuti, il confine tra vita quotidiana e spionaggio globale si sfuma-rendendo vigilanza, innovazione e collaborazione più cruciali che mai.
WIKICROOK
- Rete ORB: La rete ORB è una maglia decentralizzata di dispositivi violati usata per inoltrare e mascherare attività online malevole, rendendo i cyberattacchi più difficili da rilevare e tracciare.
- Dispositivo IoT: Un dispositivo IoT è un oggetto di uso quotidiano, come un termostato o una videocamera, che si connette a Internet per condividere dati e spesso può essere controllato da remoto.
- Rootkit: Un rootkit è un malware furtivo che si nasconde su un dispositivo, consentendo agli attaccanti di controllare segretamente il sistema ed eludere il rilevamento.
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste alcuna correzione disponibile, rendendola altamente preziosa e pericolosa per gli attaccanti.
- Minaccia persistente avanzata (APT): Una minaccia persistente avanzata (APT) è un cyberattacco prolungato e mirato condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere operazioni.




