È stata recentemente scoperta una campagna di attacco che ha preso di mira firewall Cisco impiegati all’interno di reti governative statunitensi.

Secondo quanto confermato da funzionari federali e dall’agenzia per la cybersicurezza e la sicurezza delle infrastrutture (CISA), diversi dispositivi in uso presso agenzie federali sono stati compromessi da un’ondata di attività riconducibile allo stesso attore già responsabile della campagna ArcaneDoor del 2024, identificato come UAT4356/Storm-1849.

CISA ha emanato l’emergency directive 25-03 rivolta a tutte le agenzie federali civili, imponendo l’identificazione e la mitigazione delle vulnerabilità sfruttate nei firewall Cisco (CVE-2025-20333 e CVE-2025-20362) e la verifica di eventuali compromissioni, con obblighi stringenti di hunting, disconnessione e patch entro scadenze precise.

Ad accompagnare tale misura, riservata ai contesti di minaccia considerati ad alto rischio, è un appello alle altre componenti governative e al settore privato affinché adottino le medesime precauzioni.

Allarme data breach, falla nei firewall Cisco ad uso degli enti governativi Usa

La minaccia è stata descritta come “ampia” e la direttiva, pur vincolante solo per il perimetro federale civile, è stata diffusa anche come riferimento per soggetti esterni che volessero adottare le stesse misure.

Cisco ha confermato in un avviso di sicurezza che già nel maggio 2025 l’azienda era oggetto di ingaggio da parte di più agenzie governative, che forniscono servizi di incident response a organizzazioni pubbliche, al fine di indagare anomalie legate ai propri firewall.

Gli accertamenti hanno consentito di individuare tecniche di intrusione mirate che prevedono l’impianto di codice malevolo e l’esecuzione remota di comandi, che potrebbe portare, in prospettiva, all’esfiltrazione di dati sensibili.

La gravità del fenomeno ha spinto anche il National Cyber Security Centre del Regno Unito a diffondere un avviso analogo, a testimonianza della dimensione internazionale del problema e della possibilità che il vettore d’attacco si replichi in più contesti.

Anche l’Australian Cyber Security Centre (Acsc) ha rilasciato la raccomandazione a chi detiene ASA 5500-X di disabilitare IKEv2 e SSL VPN fino alla disponibilità delle patch.

L’attore malevolo

Le attività individuate sono state ricondotte all’attore UAT4356/Storm-1849, già associato da Cisco Talos alla campagna ArcaneDoor del 2024 e successivamente analizzato anche da altre società di cyber security, tra cui Palo Alto Networks con la sua unità Unit 42.

Secondo gli analisti, gli attaccanti hanno progressivamente adattato le loro tecniche.

La dinamica conferma una tendenza ormai consolidata: gli attori di minaccia persistenti avanzati (APT) non operano in maniera statica, ma rivedono costantemente il proprio arsenale e i propri obiettivi in base alle opportunità offerte da nuove vulnerabilità.

I dispositivi colpiti dal data breach

Un aspetto centrale riguarda la tipologia di dispositivi colpiti. I firewall rappresentano il perimetro difensivo primario delle reti, costituendo non solo una barriera logica contro il traffico indesiderato, ma anche un punto privilegiato per la gestione e il monitoraggio dei flussi informativi.

La compromissione di tali apparati comporta il rischio di accesso non autorizzato a volumi consistenti di dati e, in taluni casi, la possibilità di controllare la connettività complessiva di un’organizzazione.

Il quadro delineato da CISA sottolinea inoltre la difficoltà di tracciare con precisione la portata dell’incidente. Non sono noti dettagli pubblici circa le agenzie colpite né sull’entità effettiva delle violazioni.

Questa scelta risponde all’esigenza di non fornire informazioni utili ad altri attori malevoli e riflette una prassi consolidata di riservatezza in materia di sicurezza nazionale.

Tuttavia, la conferma che dispositivi governativi abbiano effettivamente subito violazioni, indica che la minaccia non si limita a scenari teorici, ma ha già avuto successo operativo.

L’aspetto di maggior rilievo, al di là della specifica vulnerabilità tecnica, è l’interazione tra più livelli di risposta: l’allerta iniziale da parte delle agenzie colpite, il coinvolgimento diretto del vendor per l’analisi, la diramazione di direttive vincolanti da parte di CISA, e infine la collaborazione con partner internazionali come il Ncsc britannico.

Questo meccanismo evidenzia l’importanza di reti di cooperazione pubblico-privato nella gestione delle crisi cyber, nonché la necessità di sistemi di condivisione informativa rapida e standardizzata.

L’evoluzione delle minacce

Dal punto di vista strategico, le attività riconducibili a UAT4356/Storm-1849 si inseriscono in una più ampia evoluzione delle minacce legate allo sfruttamento di apparati di rete.

Negli ultimi anni, diversi episodi hanno mostrato come router, firewall e VPN possano diventare bersagli di campagne mirate, sia per finalità di spionaggio sia come punto di ingresso per successive azioni distruttive o criminali. L’esposizione di tali apparati a Internet e la complessità del loro aggiornamento ne fanno target privilegiati rispetto a endpoint tradizionali.

Le valutazioni di più analisti suggeriscono che il gruppo non si limiti a operazioni isolate, ma persegua un disegno strategico di lungo periodo.

La capacità di modificare metodologie e strumenti, osservata nell’arco di pochi mesi, riflette un livello di sofisticazione compatibile con attori sponsorizzati da Stati.

Questa possibilità, pur non ricevendo conferma ufficiale, apre la questione della protezione delle infrastrutture governative rispetto a minacce geopoliticamente motivate, in cui l’obiettivo non è un guadagno economico immediato, bensì la raccolta di informazioni di valore strategico.

Il rischio di campagne di sfruttamento massivo

Un elemento ulteriore riguarda la potenziale evoluzione criminale delle vulnerabilità ora note.

Come osservato dagli analisti, l’esposizione pubblica di falle nei firewall Cisco potrebbe spingere gruppi criminali ad appropriarsene per campagne di sfruttamento massivo, al di fuori del perimetro originario del cyber spionaggio.

Si è già osservato in passato come exploit inizialmente sviluppati da attori statali possano rapidamente circolare in ambienti criminali, dando vita a ondate di attacchi ransomware o di intrusioni opportunistiche.

Il rischio, pertanto, non si limita all’ambito governativo, ma si estende a tutti i settori che impiegano gli stessi dispositivi.

La risposta istituzionale appare quindi centrale. Le emergency directive di CISA non solo richiedono alle agenzie di mitigare immediatamente i rischi, ma fungono anche da segnale al settore privato circa la gravità della minaccia.

La condivisione di informazioni da parte di vendor come Cisco e di partner come Ncsc contribuisce a innalzare il livello di consapevolezza globale e a incentivare l’adozione di contromisure anche da parte di organizzazioni non direttamente colpite.

In questa ottica, l’episodio conferma la necessità di un sistema di sicurezza collettiva nel cyber spazio.

Prospettive future

La vicenda legata a UAT4356/Storm-1849 evidenzia tre linee di riflessione. In
primo luogo, la protezione delle infrastrutture critiche richiede di considerare i firewall e gli apparati di rete non come elementi statici, ma come potenziali punti di vulnerabilità che necessitano di monitoraggio costante.

In secondo luogo, la resilienza dipende dalla capacità di coordinare attori diversi – istituzionali, industriali, internazionali – nella gestione delle minacce.

Infine, l’incidente sottolinea come il confine tra cyber spionaggio e cyber crime sia sempre più labile: una volta esposte, le vulnerabilità tendono a diventare patrimonio comune, generando rischi trasversali.