Coordinamento senza precedenti tra gruppi APT di Russia e Corea del Nord
La cooperazione operativa tra i gruppi hacker russi e nordcoreani sta emergendo come una minaccia diretta per la sicurezza europea. Il 21 novembre 2025, le analisi di Gen Digital, citate in un’ampia ricostruzione di Politico collegata alle attività dei gruppi Gamaredon e Lazarus, sono state rese pubbliche attraverso il riferimento agli sviluppi descritti nell’approfondimento sulle operazioni congiunte tra Russia e Corea del Nord disponibile in questo contenuto di analisi sulle reti di Gamaredon e Lazarus. Gli esperti hanno individuato tattiche simili e infrastrutture condivise, un quadro definito «senza precedenti» dal direttore dell’analisi delle minacce di Gen Digital, Michal Salat, che ha sottolineato come non ricordasse casi in cui due Stati cooperassero in campagne APT complesse e di lunga durata.
Infrastrutture condivise e tecniche convergenti
Secondo Gen Digital, il gruppo Gamaredon — collegato ai servizi di sicurezza russi e attivo contro le reti governative ucraine sin dall’invasione del 2022 — ha utilizzato canali su Telegram per scambiare server di comando e controllo del proprio malware. Durante queste attività, gli analisti hanno scoperto che uno dei server sfruttati da Gamaredon veniva impiegato anche da Lazarus, il gruppo nordcoreano noto per operazioni che spaziano dallo spionaggio ai crimini finanziari. Su uno dei server gestiti da Gamaredon è stata rinvenuta una versione nascosta di malware riconducibile agli strumenti tipici di Lazarus, un comportamento insolito per gruppi affiliati a governi, che raramente ospitano o distribuiscono reciprocamente i propri codici malevoli.
Dati che indicano una collaborazione operativa
Gli specialisti ritengono che tali elementi suggeriscano un possibile utilizzo comune delle stesse infrastrutture e, potenzialmente, un coordinamento diretto tra i due gruppi. Al minimo, mostrano un intento consapevole di imitazione reciproca. Gamaredon potrebbe anche studiare le tecniche sviluppate da Lazarus, che da anni impiega finte offerte di lavoro per colpire obiettivi ad alto profilo e sottrarre criptovalute, una risorsa cruciale per la Corea del Nord sottoposta a severe sanzioni internazionali.
Espansione dell’alleanza Mosca–Pyongyang nel dominio cibernetico
L’emergere di tale coordinamento avviene in parallelo al rafforzamento della cooperazione militare tra Mosca e Pyongyang. Negli ultimi anni la Corea del Nord ha intensificato il sostegno alla Russia, arrivando a inviare migliaia di soldati per sostenere le operazioni contro l’Ucraina. Questa integrazione, che tocca settori militari, economici e tecnologici, consolida un partenariato che si estende ora anche al cyberspazio e che rischia di trasformarsi in un asse strategico capace di accrescere la presenza aggressiva dei due regimi sulla scena globale.
Rischi per infrastrutture critiche e sistemi europei
La sinergia tra Gamaredon e Lazarus apre la strada a operazioni più sofisticate e difficili da tracciare, combinando l’esperienza russa nello spionaggio politico con la specializzazione nordcoreana nei reati finanziari. Il risultato potrebbe essere un incremento di attacchi contro sistemi governativi, istituti bancari, reti energetiche e organizzazioni internazionali. Per l’Ucraina, ciò significherebbe un’intensificazione delle pressioni sulle strutture statali e militari, mentre i Paesi occidentali potrebbero affrontare nuove ondate di furti di criptovalute, truffe digitali e campagne basate su false offerte di lavoro.
Necessità di una risposta internazionale coordinata
Il rafforzamento della cooperazione tra gruppi APT legati a regimi autoritari rischia inoltre di creare un modello per future alleanze cibernetiche tra Stati ostili all’ordine democratico. Questo scenario potrebbe rendere il tracciamento delle minacce sempre più complesso, con infrastrutture distribuite e tecniche di offuscamento condivise. Per contrastare tali dinamiche, Stati Uniti, Europa e Ucraina sono chiamati a intensificare la cooperazione nel monitoraggio, nello scambio di intelligence e nella capacità di risposta rapida, includendo possibili misure restrittive contro individui e strutture che facilitano queste attività. Parallelamente, i settori finanziario ed energetico dovrebbero rafforzare i propri sistemi di sicurezza multilivello e promuovere una maggiore formazione dei dipendenti, mentre la società civile va sensibilizzata sui metodi di ingegneria sociale utilizzati da Lazarus.
