“La prima vittima della guerra è la verità.” Attribuito ad Eschilo, e mai così calzante come quando il campo di battaglia è invisibile, le armi sono pacchetti di dati, e gli obiettivi sono le fondamenta digitali di una civiltà globalizzata.
Il dashboard che lo aveva visto arrivare
La mattina del 3 marzo 2026, un dashboard si aggiornava silenziosamente in background all’interno di un sistema di monitoraggio chiamato NEXUS, una piattaforma di intelligence e osservazione sviluppata da Cyberium Limited per tracciare, in tempo reale, la salute delle infrastrutture digitali critiche nelle regioni più sensibili del mondo. Lo screenshot, catturato alle 14:41:21 e riprodotto qui come parte di questa analisi, racconta una storia che nessun telegiornale stava riportando in quel preciso momento. Il Bahrein, che ospita contemporaneamente la regione AWS me-south-1 e il quartier generale della Quinta Flotta della Marina americana, era al 56% di salute. Gli Emirati Arabi Uniti, sede di me-central-1 e uno degli ecosistemi finanziari più dipendenti dal cloud al mondo, erano scesi al 50%. Tel Aviv, paradossalmente, leggeva 100%. Due incidenti attivi, entrambi classificati con raggio di esplosione massimo 5/5, si propagavano attraverso stack multi-servizio in tutto il Golfo. La catena di dipendenze mostrata sullo schermo recitava: Multi-Svc, poi EC2, poi CloudWatch, poi ECR. Tempo stimato di risoluzione: da due a sei ore.
Questo non è una metafora. È un feed di intelligence in tempo reale da una delle zone di conflitto più consequenziali della Terra, tradotto nella grammatica fredda del monitoraggio della salute dei servizi, dei rating di criticità e dei punteggi di rischio di propagazione. NEXUS non editoriale. Osserva, correla e calcola. E il 3 marzo 2026, stava calcolando la firma digitale di una guerra.
L’architettura della guerra moderna
C’è una tendenza, quando le guerre iniziano, a ricorrere al vocabolario del ventesimo secolo. Parliamo di campagne aeree, di bombardamenti strategici, come se stessimo narrando la RAF sulla Ruhr nel 1943, o le sortite americane sul Vietnam del Nord. Ma la guerra iniziata il 28 febbraio 2026 tra Stati Uniti e Israele da un lato e Iran dall’altro non si combatte soltanto nello spazio aereo sopra Teheran. Si combatte, simultaneamente e con uguale intensità, nello spettro elettromagnetico, nelle tabelle di routing dei fornitori di servizi internet, nei log di autenticazione delle piattaforme cloud, e nelle reti di tecnologia operativa delle raffinerie di petrolio e dei sistemi logistici portuali di tutto il Golfo.
L’Operazione Epic Fury, come il fronte americano ha denominato la campagna, e l’Operazione Ruggito del Leone, la designazione israeliana, hanno lanciato i loro primi attacchi contro 500 obiettivi militari in una sola notte, impiegando circa 200 caccia in quella che l’Aeronautica Militare Israeliana ha descritto come la più grande sortita da combattimento della sua storia. Più di 1.200 bombe furono sganciate nelle prime 24 ore. I bombardieri stealth B-2 americani sganciarono decine di munizioni penetranti da 900 kg su lanciatori di missili balistici interrati in profondità. Gli obiettivi selezionati includevano sistemi di difesa aerea, lanciatori di missili balistici, siti adiacenti al nucleare, il complesso personale del Leader Supremo Ali Khamenei, ucciso nei colpi di apertura, e la sede dell’IRIB, l’emittente di Stato iraniana, colpita il 3 marzo in un’operazione aerea separata.
Quest’ultimo obiettivo merita più attenzione di quanta ne abbia ricevuta. L’emittente di Stato non è un’installazione militare. È il sistema nervoso dell’informazione di un governo. Distruggerla ottiene qualcosa che una batteria missilistica non può ottenere: recide la capacità del regime di narrare la propria sopravvivenza al proprio popolo. Il parallelo con i trasmettitori della BBC che gli Alleati combatterono per mantenere operativi durante la Seconda Guerra Mondiale non è casuale. In questo conflitto, controllare l’ambiente informativo è inseparabile dal controllare il campo di battaglia fisico.
La cyberguerra che ha preceduto le bombe
Ciò che il ciclo di notizie convenzionale ha mancato, come fa sempre, è che la campagna Cyber non è iniziata il 28 febbraio. La campagna cyber è iniziata settimane, forse mesi, prima. I ricercatori di sicurezza di Approov hanno documentato un significativo aumento negli attacchi sofisticati di probing API contro applicazioni governative regionali a partire dall’inizio di febbraio 2026, probe che si sono interrotte bruscamente il 27 febbraio, un giorno prima dell’inizio dei bombardamenti. Binary Defense ha riferito che l’Iran sembrava stesse attivamente preparando malware per colpire entità in Israele e in Medio Oriente anche prima degli attacchi aerei. MuddyWater, APT42, APT33, APT34 e il resto dell’arsenale cyber iraniano avevano condotto campagne di intrusione persistente per mesi, posizionandosi all’interno di reti che avrebbero potuto dover attivare in qualsiasi momento.
Questa è l’architettura della moderna guerra ibrida, e segue una logica tanto antica quanto la strategia militare stessa. Non si inizia una guerra; ci si posiziona per una guerra. Si pre-posizionano le capacità. Si stabilisce la persistenza. Si aspetta. Quando cadono le bombe, le operazioni cyber si spostano dalla raccolta di intelligence alla disruption e alla degradazione attiva. I monitor indipendenti hanno confermato che la connettività internet dell’Iran è crollata tra l’1 e il 4 percento dei livelli normali entro poche ore dai colpi di apertura. Questo è stato descritto dagli analisti di CloudSEK come potenzialmente il più grande singolo attacco informatico contro l’infrastruttura digitale di uno Stato-nazione della storia.
I servizi digitali governativi si sono spenti in tutta Teheran, Isfahan e Shiraz. I sistemi di comunicazione dell’IRGC sono stati perturbati. L’app di preghiera BadeSaba è stata presumibilmente compromessa per mostrare messaggi che esortavano i militari a disertare. L’agenzia di stampa statale IRNA ha visto la sua prima pagina sostituita con messaggi anti-regime. Queste non sono le azioni di hacktivisti che operano da laptop in caffetterie. Sono operazioni statali coordinate, sincronizzate al minuto con la campagna Cyber.
Perché questi obiettivi, e perché ancora
I siti nucleari e i lanciatori di missili rappresentano lo strato ovvio degli obiettivi. I 460 chilogrammi di uranio arricchito al 60% dell’Iran, abbastanza per undici armi nucleari secondo le stime degli stessi funzionari americani, hanno fornito la giustificazione strategica. Il deposito missilistico, con oltre 500 missili balistici e navali e quasi 2.000 droni lanciati contro Israele e le basi statunitensi regionali entro l’inizio di marzo, ha fornito la giustificazione militare immediata. I sistemi di difesa aerea dovevano essere neutralizzati per primi. Questo strato di logica degli obiettivi è convenzionale e ben compreso.
Ma guardando più attentamente a ciò che è stato colpito nei primi dieci giorni, emerge un secondo strato. Depositi di petrolio. Impianti di raffinazione del carburante. Il deposito petrolifero Shahran alla periferia di Teheran, in fiamme per giorni dopo l’attacco. L’area industriale Shokouhiyeh a Qom, dove i residenti hanno avuto ore per evacuare. Questi sono obiettivi infrastrutturali la cui distruzione non degrada la capacità militare in prima istanza. Degradano il substrato economico da cui dipende la capacità militare. Il greggio Brent è salito a 119,50 dollari al barile. Bapco Energies di Bahrein ha dichiarato forza maggiore. Il GPS spoofing e l’interruzione AIS è stata confermata su oltre 1.100 navi nelle acque del Golfo.
Il dashboard NEXUS ha registrato tutto questo in tempo reale. Il punteggio di salute del 56% per il Bahrein e del 50% per gli EAU non erano problemi tecnici nei data center di Amazon. Erano la firma digitale di una guerra condotta sul sistema nervoso di una regione. L’Iran ha da allora nominato Mojtaba Khamenei, figlio del Leader Supremo assassinato, come suo successore. Un regime che nomina un successore sotto le bombe è un regime che intende continuare a combattere.
Cosa non stiamo dicendo
C’è un argomento che quasi nessuno nella copertura mainstream di questo conflitto ha affrontato seriamente: la questione di cosa significano le disruption digitali del Golfo per le infrastrutture al di fuori della regione. Le regioni AWS me-south-1 in Bahrein e me-central-1 negli EAU servono istituzioni finanziarie, agenzie governative, sistemi sanitari e operatori di infrastrutture critiche in una regione le cui arterie economiche si alimentano direttamente nell’economia globale. Quando gli incidenti Multi-Svc si propagano attraverso quelle regioni con un blast radius di 5/5, come il dashboard NEXUS ha registrato alle 17:14 del 3 marzo, la catena di dipendenze non si ferma al confine regionale.
La CISA, l’Agenzia per la Sicurezza della Cybersecurity e delle Infrastrutture degli Stati Uniti, stava operando con circa il 38% dei livelli di personale autorizzati al momento in cui questo conflitto è iniziato, risultato di un parziale shutdown del governo e di una riorganizzazione della gestione. Il momento più pericoloso per le infrastrutture critiche americane è arrivato precisamente quando l’agenzia progettata per difenderle era in caduta libera amministrativa.
Le capacità cyber dell’Iran non sono limitate dal blackout dell’internet domestico. I gruppi che operano sotto la direzione dell’IRGC, Handala, APT34, APT35, MuddyWater, APT42, Hydro Kitten, la Sala Operazioni Elettronica istituita il 28 febbraio 2026, operano attraverso proxy, attraverso infrastrutture pre-posizionate fuori dall’Iran, attraverso operatori affiliati in Libano, Iraq e Yemen che non sono affatto colpiti dal blackout domestico.
Particolarmente preoccupante è il gruppo ransomware Sicarii, emerso nel dicembre 2025 con un difetto critico di progettazione: la sua cifratura scarta le proprie chiavi dopo aver cifrato i file, rendendo la decifratura permanentemente impossibile sia per le vittime che per gli operatori. Un gruppo che distribuisce ransomware che non può essere invertito non sta eseguendo un’operazione di estorsione criminale. Sta eseguendo un’operazione di distruzione con una vernice finanziaria. Gli analisti di Halcyon hanno osservato che Sicarii aveva recentemente segnalato l’intenzione di espandere drasticamente il volume degli obiettivi.
La storia che abbiamo dimenticato di leggere
Nel 2010, un pezzo di malware chiamato Stuxnet, successivamente attribuito a un’operazione congiunta USA-Israele, distrusse circa un quinto delle centrifughe nucleari dell’Iran presso l’impianto di Natanz, facendole girare fino alla distruzione mentre riportavano un funzionamento normale ai sistemi di monitoraggio. Era l’arma cibernetica più sofisticata mai dispiegata in un conflitto, e la sua lezione era che le infrastrutture critiche di una nazione potevano essere distrutte da remoto, invisibilmente e con completa negabilità. L’Iran ha assorbito quella lezione. Ha passato i successivi quindici anni a costruire la capacità di rispondere in natura.
CyberAv3ngers, un gruppo legato all’IRGC, ha attaccato sistemi idrici e del gas negli Stati Uniti nel 2024, compromettendo i Controllori Logici Programmabili in impianti in più stati. Il Boston Children’s Hospital è stato preso di mira nel 2017. Gli attori cyber iraniani avevano stabilito foothold persistenti nelle infrastrutture critiche mediorientali attraverso il furto di credenziali e la compromissione VPN almeno dall’inizio del 2025.
L’aforisma di Sun Tzu secondo cui l’arte suprema della guerra è sottomettere il nemico senza combattere trova la sua espressione contemporanea nel malware pre-posizionato che attende in silenzio all’interno della rete di un avversario, nelle probe API che mappano le vulnerabilità mesi prima del primo attacco Cyber, e nel GPS spoofing che rende improvvisamente incerti della propria posizione 1.100 navi in uno dei corridoi marittimi più trafficati del mondo. Le bombe sono la parte visibile di una campagna i cui elementi più consequenziali potrebbero non apparire mai in una valutazione dei danni.
Cosa potrebbe accadere: analisi degli scenari
Man mano che la capacità missilistica convenzionale dell’Iran si degrada, con gli analisti che stimano un tasso di consumo che ha ridotto le scorte utilizzabili di circa il 40% dall’inizio della campagna, l’incentivo strategico a sostituire le operazioni cyber aumenta. Un regime con meno missili ha ragioni più forti per massimizzare l’uso delle armi che non costano nulla da replicare: il malware, i wiper, le botnet DDoS, gli impianti pre-posizionati nelle reti di tecnologia operativa che possono essere attivati con un singolo comando crittografato da un operatore che si trova lontano da Teheran.
Le infrastrutture petrolifere ed energetiche del Golfo, già perturbate dalla fase Cyber del conflitto, sono il bersaglio più esposto e più consequenziale per la fase cyber che seguirà. I sistemi SCADA che controllano le operazioni delle raffinerie, la gestione della pressione degli oleodotti, le piattaforme di perforazione offshore e la logistica dei terminali GNL sono precisamente il tipo di ambienti di tecnologia operativa in cui CyberAv3ngers e APT34 hanno dimostrato accesso persistente. Una campagna coordinata contro le infrastrutture OT energetiche del Golfo, eseguita da asset pre-posizionati fuori dall’Iran, potrebbe causare danni fisici ai sistemi di produzione energetica con una velocità e una scala che renderebbero modesto l’attacco al deposito petrolifero Shahran.
Gli operatori di infrastrutture europei che credono che questo scenario sia geograficamente remoto stanno commettendo un errore categoriale. L’architettura cloud che sottende i sistemi finanziari europei, le reti logistiche e le infrastrutture critiche non è isolata dalle regioni del Golfo attualmente sotto attacco. La catena di dipendenze NEXUS, da multi a ec2 a cloudwatch a ecr, è una rappresentazione semplificata di percorsi che si estendono nei workload in esecuzione a Francoforte, Parigi, Londra e Milano. La cascata da una disruption della regione del Golfo a un’interruzione dei workload europei non è una possibilità teorica. È un percorso documentato e osservabile.
Analisi tecnica: cosa ci dicono i dati
Le tabelle seguenti presentano la valutazione di intelligence strutturata prodotta dalla piattaforma NEXUS e corroborata dall’intelligence open-source di Unit 42 (Palo Alto Networks), CloudSEK, CSIS, il Centro Canadese per la Cybersicurezza, Google Threat Intelligence Group, CrowdStrike e Halcyon. Sono intese non come un briefing tecnico esaustivo ma come strumento di calibrazione, un modo per assegnare pesi relativi alle minacce che la copertura narrativa di questo conflitto ha finora trattato come equivalenti o ha ignorato del tutto.
Tabella 1 — Categorie di Obiettivi, Logica degli Attacchi e Correlazione Cyber
| Categoria Obiettivo | Scopo | Cyber | Cyber | Probabilità nuovo attacco |
| Difesa Aerea / SAM | Degrado involucro A2/AD | Sì | Jamming comunicazioni | Molto Alta |
| Siti Missili Balistici | Riduzione capacità offensiva | Sì | Spoofing pre-lancio | Molto Alta |
| Installazioni Nucleari | Non-proliferazione / negazione WMD | Sì | Disruption SCADA | Alta |
| IRIB Emittente di Stato | Controllo narrativo | Sì | Defacement siti web | Media |
| Depositi petrolio / Raffinerie | Logoramento economico | Sì | Attacco SCADA / OT | Alta |
| Residenza Leadership | Decapitazione | Sì | Blackout comunicazioni | Bassa (eseguita) |
| Nodi Rete Elettrica | Disruption sistemica | Parziale | Malware pre-posizionato | Molto Alta |
| Logistica portuale / Marittima | Pressione supply chain | No | Spoofing AIS/GPS | Alta |
| Cloud / Infra Telecom | Blackout info, taglio C2 | No | BGP hijack, DDoS | In corso |
Tabella 2 — Stato di Salute Regionale AWS, 3 marzo 2026 (Dati di intelligence in tempo reale NEXUS)
| Regione AWS | Sede | Health Score (03/03) | Incidente Attivo | Blast Radius | MTTR Stimato |
| me-south-1 | Bahrein | 56% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| me-central-1 | EAU | 50% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| il-central-1 | Tel Aviv | 100% | Nessun incidente | 0/5 | — |
| Global Edge | CloudFront | 94% | Minore (Risolto) | 1/5 | Risolto |
Tabella 3 — Attori di Minaccia Allineati all’Iran, Capacità e Settori Obiettivo
| Attore di Minaccia | Affiliazione | TTP Principale | Settore Obiettivo | Sofisticazione |
| Handala Hack | MOIS | Esfiltrazione + wiper + fuga dati | Difesa, sanità, energia | Alta |
| APT34 / OilRig | IRGC | Spear-phishing, exploit PLC | Gov, finanza, OT/ICS | Molto Alta |
| APT35 / Charming Kitten | IRGC | Furto credenziali, sorveglianza mobile | Giornalisti, diaspora, gov | Alta |
| MuddyWater / Op. Olalampo | MOIS | Backdoor VPN, webshell | Gov, telco, finanza | Alta |
| APT42 | IRGC-IS | Ing. sociale, sorveglianza | Società civile, gov occid. | Alta |
| Hydro Kitten | IRGC-allineato | DDoS, settore finanziario | Banche, finanza CCG | Media |
| CyberAv3ngers | IRGC | Attacchi PLC OT/ICS | Acqua, gas, utilities | Alta |
| Electronic Ops Room | Coord. IRGC | Operazioni ibride multi-vettore | Infra. regionale, media | Molto Alta |
| Sicarii Ransomware | Criminale/proxy IRGC | RaaS — distruzione permanente dati | Industria, regione META | Media-Alta |
| KillNet (russo-allineato) | Opportunista | Campagne DDoS | Obiettivi NATO-adiacenti | Media |
Tabella 4 — Valutazione degli Scenari Futuri (Orizzonte 6 Mesi)
| Scenario | Probabilità (6m) | Vettore di Attacco | Obiettivo | Impatto Potenziale |
| Wiper malware su OT del Golfo | >60% Alta | Impianti pre-posizionati | SCADA oil/gas | Disruption approvvigionamento regionale, petrolio >150$ |
| BGP/DNS hijack cloud CCG | ~40% Media | Manipolazione routing | Settore finanziario | Fallimento auth, esposizione dati di massa |
| DDoS infrastrutture critiche UE | ~45% Media | Botnet, catena proxy | Energia, ospedali | Interruzione servizi, ~50M€+ |
| Saturazione AIS/GPS Ormuz | >65% Alta | Guerra elettronica | Navigazione commerciale | Rerouting merci, impennata petrolio |
| Attacchi acquedotti USA | ~35% Media | Exploit PLC (CyberAv3ngers) | Utilities idriche | Rischio contaminazione, salute pubblica |
| Intercettazione telecom occidentale | ~25% Bassa | Backdoor VPN (APT34) | ISP, operatori satellite | Raccolta intelligence a lungo termine |
| Disruption mercati finanziari UE | ~20% Bassa | DDoS + disinformazione | Borse, banche | Volatilità mercati, rischio sistemico |
| Ransomware supply chain | >50% Med-Alta | Fornitore compromesso | Shipping, porti, logistica | Disruption a cascata, settimane di ritardo |
Tabella 5 — Indicatori Chiave di Rischio e Prestazione: Stato Operativo Attuale
| KPI / KRI | Valore Attuale | Soglia di Allarme | Stato | Azione Raccomandata |
| Salute AWS me-south-1 | 56% | <70% = Allarme | CRITICO | Attivare DR failover su eu-west-1 |
| Salute AWS me-central-1 | 50% | <70% = Allarme | CRITICO | Failover su ap-south-1 |
| Brent Greggio | ~$113–119/bbl | >$100 = Elevato | ELEVATO | Rivedere copertura forniture energetiche |
| Gruppi hacktivisti attivi | 8+ attivi | >5 = Alto | ALTO | Alzare soglia allarme EDR |
| Personale CISA | ~38% | <75% = Pericolo | CRITICO | Ingaggiare MSSP del settore privato |
| Spoofing GPS/AIS nel Golfo | 1.100+ navi | >500 = Allarme | ELEVATO | Attivare protocolli navigazione alternativi |
| Scorte missili iraniani | Est. 40% esaurite | <30% = Cambio tattico | SORVEGLIANZA | Monitorare escalation cyber |
| Blast Radius cloud (max) | 5/5 | >=4 = Critico | CRITICO | Isolare dipendenze cloud regionali |
| Malware pre-posizionato (noto) | Attivo (non quantificato) | Qualsiasi = Allarme | ALTO | Threat hunt su OT/ICS, audit log VPN |
| Traffico Stretto di Hormuz | Perturbato | >10% deviazione = Allarme | ELEVATO | Attivare rotte logistiche alternative |
Cosa ci dice NEXUS che i generali non dicono
La piattaforma NEXUS non prevede il futuro. Osserva il presente con una granularità sufficiente a rendere il futuro leggibile. Quando mostra Bahrein al 56% e gli EAU al 50%, non sta segnalando un problema tecnico. Sta segnalando la conseguenza digitale di una guerra. Quando mostra una cascata di dipendenze da Multi-Svc a EC2 a CloudWatch a ECR, non sta descrivendo un diagramma architetturale. Sta tracciando il percorso lungo il quale una disruption diventa un guasto, diventa una cascata, diventa una crisi.
La domanda che ogni CISO, ogni responsabile di infrastrutture, ogni regolatore e ogni responsabile politico che legge questa analisi dovrebbe porsi non è se sta guardando la guerra in Iran in televisione. È se la propria mappa delle dipendenze assomiglia a quella che il dashboard NEXUS sta mostrando in tempo reale, e cosa intende fare al riguardo prima che la cascata li raggiunga.
La storia non si ripete. Ma fa rima. La rima che dovremmo ascoltare, nella banda di frequenza tra le bombe e il silenzio, è il suono di un malware piantato mesi fa, in una rete il cui proprietario sta guardando le notizie e pensando: quella guerra sta succedendo laggiù. Non sta succedendo laggiù. È nella vostra rete dal mese di febbraio.
Dati di origine: AWS Health RSS feeds, status.aws.amazon.com, Unit 42 / Palo Alto Networks, CloudSEK, CSIS, Centro Canadese per la Cybersicurezza, Google Threat Intelligence Group, CrowdStrike, Halcyon, Al Jazeera, House of Commons Library, CNBC, The Register, Cybersecurity Dive.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
Sull’autore:
🇮🇹 Amazon.it: https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 Amazon.fr: https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4