C’è qualcosa di profondamente inquietante nell’idea che il router Wi-Fi, anche quello usato per guardare serie TV in streaming o per far fare i compiti ai nostri figli, possa essere stato arruolato in un esercito digitale criminale a nostra insaputa.

È esattamente quello che è accaduto con le botnet Aisuru, KimWolf, JackSkid e Mossad, che per fortuna sono state smantellate il 20 marzo 2026 in un’operazione internazionale coordinata che non ha precedenti per scala e complessità.

Nelle quattro botnet insieme, infatti, si contavano tre milioni di dispositivi compromessi che hanno consentito tra l’altro anche di condurre attacchi DDoS che hanno raggiunto il picco di 31,4 terabit al secondo, una cifra che supera qualsiasi record precedente nel panorama delle minacce informatiche.

I bersagli includevano sistemi del Dipartimento della Difesa degli Stati Uniti e infrastrutture critiche e aziende private in tutto il mondo.

E, dietro a tutto questo, un modello di business sofisticato come quello del cybercrime-as-a-service in cui la capacità distruttiva veniva “noleggiata” al miglior offerente.

L’operazione: un colpo coordinato su tre continenti

Secondo quanto comunicato dal Dipartimento di Giustizia degli Stati Uniti, l’operazione ha visto la partecipazione della Defense Criminal Investigative Service (DCIS) e dell’FBI sul fronte americano, del Bundeskriminalamt (BKA) e della ZAC NRW in Germania, e della Royal Canadian Mounted Police (RCMP) insieme a Ontario Provincial Police (OPP) e Sûreté du Québec (SQ) in Canada.

Un’alleanza investigativa che ha portato al sequestro di domini internet e server virtuali utilizzati per il comando e controllo (C2) delle botnet, recidendo così il legame tra gli operatori criminali e i milioni di dispositivi infetti.

Determinante il contributo del settore privato: dell’imponente operazione di polizia, infatti, hanno fatto parte anche una dozzina di aziende tecnologiche e organizzazioni di threat intelligence, tra cui Cloudflare, Akamai, Amazon Web Services e The Shadowserver Foundation, che hanno fornito supporto tecnico essenziale.

Un elemento che merita attenzione inquanto è ormai evidente che, sempre più spesso, le grandi operazioni di contrasto al cybercrime non sarebbero possibili senza questa collaborazione pubblico-privato, a testimonianza del fatto che la sicurezza informatica è ormai una questione di ecosistema e non di singoli attori.

Come funzionavano: dalla compromissione al DDoS-as-a-Service

Il meccanismo alla base di queste botnet era, nella sua essenza, alquanto semplice: trovare dispositivi IoT esposti su internet con vulnerabilità note o credenziali di default, infettarli con malware e aggregarli in una rete controllata centralmente dai server C2. Da quel momento in poi, ogni dispositivo compromesso diventava potenzialmente un’arma nelle mani degli attaccanti.

Particolarmente preoccupante era la capacità dimostrata da KimWolf e JackSkid di compromettere dispositivi protetti da firewall tradizionali. Questo rappresenta un salto qualitativo significativo rispetto alle botnet di precedente generazione: non è più sufficiente posizionare un device dietro un NAT o un firewall perimetrale per ritenersi al sicuro.

I criminali hanno affinato tecniche che sfruttano protocolli di rete legittimi, UPnP mal configurato o vulnerabilità nel firmware per raggiungere dispositivi teoricamente isolati.

Una volta costruita la rete, gli operatori non la utilizzavano esclusivamente in proprio: la affittavano ad altri criminali attraverso un modello di cybercrime-as-a-service. I clienti pagavano per lanciare attacchi DDoS contro obiettivi specifici, spesso con finalità estorsive portate avanti con la rituale formula del “paga o la tua infrastruttura smette di funzionare”.

Come riportato dagli investigatori, i danni per le vittime private hanno raggiunto decine di migliaia di dollari tra perdite dirette e costi di remediation d’emergenza.

Cosa ci insegna questa operazione

Al di là della straordinaria dimensione operativa, la vicenda delle quattro botnet smantellate dagli USA pone sul tavolo alcune questioni di carattere strutturale che, chiunque si occupi di sicurezza informatica, non può ignorare.

Il problema IoT è sistemico, non episodico

Queste quattro botnet non sono un’anomalia, ma il sintomo di un ecosistema IoT strutturalmente fragile.

Miliardi di dispositivi vengono immessi sul mercato con firmware minimale, password di default identiche per tutti gli esemplari del modello, nessun meccanismo di aggiornamento automatico e cicli di vita del prodotto che superano di gran lunga il supporto software del produttore.

Quando un router da 30 euro resta in uso per 8 anni e smette di ricevere patch di sicurezza dopo 18 mesi dall’acquisto, il risultato quasi inevitabile è che diventa una risorsa per i criminali.

31,4 Tbps: una soglia che cambia il paradigma difensivo

Il volume di traffico raggiunto da queste botnet non è un numero da leggere distrattamente: per dare un’idea della scala, è sufficiente considerare che un attacco DDoS da 31,4 Tbps è sufficiente a saturare la connettività Internet di intere nazioni di medie dimensioni.

Significa che anche organizzazioni con infrastrutture anti-DDoS robuste e progettate per assorbire picchi nell’ordine dei terabit, si troverebbero in seria difficoltà.

Ciò significa che il settore della mitigazione DDoS dovrà necessariamente ripensare le proprie architetture di riferimento.

C’è anche un serio allarme geopolitico

Il fatto che tra i target figurino indirizzi IP gestiti dal Department of Defense Information Network (DoDIN) suggerisce che almeno parte di questi attacchi avesse una valenza strategica che va oltre la semplice estorsione economica.

Non è possibile escludere che la capacità di queste botnet venisse utilizzata o venduta anche per finalità di disruption di infrastrutture militari e governative, con implicazioni che toccano la sicurezza nazionale.

Come proteggersi: indicazioni pratiche per aziende e privati

Questa operazione di law enforcement è una buona notizia, ma non risolve il problema alla radice. I dispositivi precedentemente infetti sono stati “liberati” dalla disconnessione dei server C2, ma restano vulnerabili e possono essere re-infettati in qualsiasi momento.

Ecco le azioni concrete che consiglio, sia ai privati che alle organizzazioni.

Per gli utenti privati e le PMI

1. Cambiare subito le password di default. Router, webcam, NAS, smart TV, termostati intelligenti: qualsiasi dispositivo connesso alla rete deve avere una password univoca e robusta. Le credenziali di fabbrica sono pubblicamente note e sistematicamente sfruttate dai bot di scansione.
2. Aggiornare il firmware. Verificare mensilmente se sono disponibili aggiornamenti per tutti i dispositivi IoT. Se un produttore non rilascia più patch, valutare la sostituzione del dispositivo o l’adozione di firmware alternativi open source (es. OpenWrt per i router).
3. Segmentare la rete domestica. Se il router lo permette (come nella maggior parte dei modelli moderni), è utile creare una rete Wi-Fi dedicata per i dispositivi IoT, separata da quella usata per navigare con PC e smartphone. In questo modo, un dispositivo compromesso non avrà accesso diretto agli altri.
4. Disabilitate UPnP e il port forwarding non necessario. L’Universal Plug and Play è una funzionalità conveniente ma pericolosa: permette ai dispositivi di aprire automaticamente porte sul router, facilitando l’accesso dall’esterno. Disabilitarlo se non strettamente necessario.
5. Monitorate il traffico anomalo. Consumi di banda insolitamente elevati nelle ore notturne, rallentamenti inspiegabili della connessione: possono essere segnali di un dispositivo infetto che partecipa a un attacco. Alcuni router offrono strumenti di monitoraggio del traffico integrati.

Per le organizzazioni e i responsabili IT

1. Inventario completo degli asset IoT. Non si può proteggere ciò che non si conosce. Il primo passo è un asset inventory aggiornato che includa tutti i dispositivi connessi alla rete aziendale, compresi quelli di terze parti (stampanti, sistemi di videosorveglianza, sensori industriali, dispositivi medicali). Strumenti come Nmap, Shodan Enterprise o soluzioni dedicate come Claroty e Armis possono automatizzare questa fase.
2. Zero Trust Network Access per l’IoT. Abbandonare il modello “all’interno del perimetro ci si fida”. Ogni dispositivo IoT deve essere autenticato, autorizzato e monitorato come se fosse potenzialmente ostile. La microsegmentazione di rete con VLAN dedicate e regole di firewall granulari limita drasticamente il ragio d’azione in caso di compromissione.
3. Threat intelligence e monitoraggio continuo. Iscriversi ai feed di threat intelligence rilevanti per il proprio settore produttivo e monitorate gli indirizzi IP pubblici delle infrastrutture aziendali su database come Shadowserver per verificare se risultano associati a botnet note. Implementare un SIEM con regole specifiche per rilevare comportamenti tipici dei bot (scansioni di porte, tentativi di connessione C2, picchi anomali di traffico UDP/ICMP).
4. Piano di risposta agli incidenti aggiornato. Includere esplicitamente gli scenari DDoS e la compromissione IoT nel proprio Incident Response Plan. Definire in anticipo chi contattare (ISP, provider di mitigazione DDoS, CERT nazionale), quali sistemi isolare in via prioritaria e come comunicare con clienti e stakeholder durante un’interruzione prolungata.
5. Valutazione dei fornitori IoT. Nei processi di procurement, introdurre criteri di cyber security by design: verificare che i produttori abbiano politiche di patch management chiare, tempi di supporto documentati e un processo di vulnerability disclosure. Preferire vendor che aderiscano a standard come ETSI EN 303 645 o le linee guida NIST per l’IoT.

Gestione e mitigazione del rischio: quale prospettiva

Dal punto di vista della gestione del rischio aziendale, questa vicenda ribadisce una verità scomoda e cioè che il rischio IoT non è un rischio tecnico di nicchia, è un rischio di business.

Un’azienda che subisce un attacco DDoS da 30 Tbps, anche qualora dovesse disporre di un contratto con un provider di mitigazione, andrà di sicuro incontro a interruzione del servizio, danni reputazionali, possibili violazioni degli SLA con i clienti e, in alcuni settori regolamentati, obblighi di notifica alle autorità di vigilanza.

Dunque, i danni indiretti spesso superano di gran lunga i costi diretti della remediation.

È dunque opportuno valutare l’adozione di questi tre elementi a supporto delle organizzazioni:

• Assicurazione cyber: verificare che la propria polizza copra esplicitamente gli attacchi DDoS e le perdite da interruzione del servizio. Molte polizze “cyber” contengono esclusioni che emergono solo al momento del sinistro.
• Business Continuity Planning: testare il piano di continuità operativa almeno una volta l’anno con simulazioni realistiche che includano scenari di attacco DDoS prolungato. La gestione di crisi non si improvvisa sotto pressione.
• Supply chain security: se i fornitori o partner hanno dispositivi IoT compromessi nelle loro reti, il rischio può propagarsi verso di noi attraverso connessioni VPN, API o integrazioni di sistema. Estendete le vostre valutazioni di rischio all’ecosistema di terze parti.

Si è vinta una battaglia, non la guerra

Lo smantellamento delle quattro botnet Aisuru, KimWolf, JackSkid e Mossad è un risultato straordinario, reso possibile dalla combinazione di capacità investigative internazionali e cooperazione pubblico-privato a un livello raramente raggiunto in precedenza.

Ma sarebbe un errore interpretarlo come un punto di arrivo.

I dispositivi vulnerabili che hanno alimentato queste botnet esistono ancora, a miliardi, connessi a Internet in tutto il mondo e, purtroppo, le tecniche di infezione sono documentate e replicabili con il modello di business criminale del DDoS-as-a-Service che si è dimostrato redditizio: dunque, possiamo ben prevedere che nuove botnet emergeranno o probabilmente già esistono, in fase di crescita silenziosa.

La risposta strutturale richiede interventi su più livelli: regolamentazione più stringente sulla sicurezza dei prodotti IoT (l’EU Cyber Resilience Act va nella direzione giusta, ma i tempi di implementazione sono lunghi), responsabilizzazione dei produttori, educazione degli utenti finali e investimenti continuativi in capacity di threat intelligence e law enforcement specializzato.

Nel frattempo, la prima linea di difesa siamo noi, aziende e privati che dobbiamo smettere di trattare i dispositivi connessi come gadget e iniziare a trattarli per quello che sono ossia endpoint di sicurezza che richiedono attenzione, aggiornamenti e configurazione consapevole.

Il router del salotto (e, di conseguenza, anche quello aziendale) non è più solo un oggetto di consumo, ma un potenziale vettore di attacchi che possono colpire ospedali, infrastrutture critiche e sistemi di difesa.

Vale la pena prendersene cura.