“Il router aziendale compromesso? Quello funziona, non ci ha mai dato problemi.”
È la frase che sento più spesso quando entro da un nuovo cliente. Ed è esattamente quella che mi preoccupa di più. Perché il router che non dà problemi è il router che nessuno guarda — e il router che nessuno guarda è il posto perfetto dove nascondersi.
Un attacco attivo da mesi, annunciato la settimana scorsa
La settimana scorsa l’NCSC britannico, Microsoft Threat Intelligence e Lumen Black Lotus Labs hanno pubblicato un advisory coordinato su una campagna di spionaggio attribuita ad APT28 — il gruppo dell’intelligence militare russa collegato al GRU, gli stessi che nel 2016 hanno compromesso la campagna elettorale americana. L’operazione si chiama FrostArmada. L’FBI ne ha annunciato lo smantellamento questa settimana.
I numeri fanno impressione: oltre diciottomila router aziendali compromessi in centoventi paesi, al picco dell’attività a dicembre 2025. Obiettivo primario: ministeri degli esteri, forze dell’ordine, provider email, infrastrutture critiche. Ma l’attacco è opportunistico — gli attaccanti hanno compromesso tutto quello che era vulnerabile, poi hanno selezionato cosa valeva la pena spiare.
Modelli coinvolti: router SOHO (Small Office – Home Office) TP-Link e MikroTik. Esattamente quelli che trovo regolarmente nelle PMI italiane quando vado da un nuovo cliente.
Il doppiogioco
Il trucco è elegante, e per questo pericoloso. Niente ransomware, niente malware vistoso, niente schermate strane. Gli attaccanti entrano nel router sfruttando vulnerabilità note — nel caso dei TP-Link, soprattutto la CVE-2023-50224, una falla che consente di estrarre credenziali senza nemmeno autenticarsi — e una volta dentro cambiano una sola cosa: i server DNS configurati nel servizio DHCP del router.
Da quel momento ogni dispositivo della rete — PC, telefoni, stampanti, VoIP, sistemi IoT — eredita automaticamente le nuove impostazioni. Quando un dipendente apre Outlook, accede al gestionale aziendale o si collega alla VPN, la richiesta DNS passa attraverso server controllati da Mosca. L’utente viene reindirizzato a una copia identica della pagina di login. Inserisce le credenziali. La pagina autentica normalmente — così non si insospettisce. Nel frattempo username, password e token OAuth sono già nei database di APT28, aggirando di fatto anche l’autenticazione a due fattori.
Il router continua a funzionare. La connessione è stabile. Nessun allarme. Tutto sembra normale. E per settimane o mesi il dispositivo lavora per due padroni contemporaneamente: il suo proprietario legittimo e l’intelligence militare russa.
Doppiogioco perfetto.
Perché questa storia riguarda le PMI italiane
La campagna FrostArmada ha colpito obiettivi di alto profilo, ma la logica dell’attacco non discrimina. Chi compromette un router aziendale TP-Link a Torino o a Bergamo fa lo stesso lavoro di chi ne compromette uno a Lagos: si sfrutta quello che è vulnerabile, poi si decide dopo cosa farne.
I router SOHO di TP-Link e MikroTik sono ovunque nelle aziende italiane. Li trovo quasi settimanalmente durante i sopralluoghi: acquistati cinque o sei anni fa, firmware mai aggiornato, interfaccia di gestione accessibile dall’esterno, spesso ancora con le credenziali di fabbrica. Non per negligenza — ma perché nessuno ha mai spiegato ai responsabili che quel dispositivo ha bisogno di manutenzione quanto un server. Nella percezione comune il router è “il box di internet”. Nella realtà è il primo punto di controllo dell’intera rete aziendale.
Il Rapporto Clusit 2025 ha confermato che le aziende manifatturiere italiane sono tra i target preferiti dei cybercriminali, con una crescita del quindici percento degli attacchi rispetto all’anno precedente. Un router compromesso in un’azienda di produzione non è un problema astratto: è un canale aperto verso email, ERP, portali dei clienti, progetti riservati.
Cosa fare adesso
Tre azioni concrete, in ordine di priorità.
Verificare il firmware del router attuale. Controllare se il modello in uso è ancora supportato dal produttore e se ci sono aggiornamenti di sicurezza disponibili. L’advisory dell’NCSC elenca specifici modelli TP-Link coinvolti — Archer C5 e C7, WR841N, WR1043ND, WDR3500/3600/4300, MR3420, MR6400 e diverse varianti della serie WR — ma la lista non è esaustiva. Se il dispositivo è end-of-life va sostituito, senza se e senza ma.
Non esporre l’interfaccia di gestione su internet. L’accesso alla console di configurazione del router deve essere possibile solo dalla rete interna. Se serve gestione remota, va fatta tramite VPN — mai con porte aperte verso l’esterno. È una regola che vale per ogni apparato di rete, non solo per i router.
Implementare un firewall perimetrale con protezione DNS. Qui il salto di qualità è reale. Un firewall SonicWall correttamente configurato offre funzioni che un router SOHO semplicemente non ha: il DNS proxy intercetta tutte le richieste DNS della rete, indipendentemente da dove i dispositivi pensino di mandarle; il DNS Filtering blocca i domini malevoli noti e rileva reindirizzamenti anomali; il Content Filtering Service impedisce l’accesso a infrastrutture di phishing e AitM anche quando un DNS è stato già compromesso a monte. A questo si aggiunge la segmentazione delle reti, che fa sì che una compromissione a un livello non si propaghi a tutti i dispositivi aziendali. Non è paranoia: è il livello di difesa che oggi ogni PMI dovrebbe considerare standard.
La lezione che possiamo imparare
FrostArmada ha funzionato per mesi perché ha puntato sul dispositivo che tutti danno per scontato. Il doppiogioco del router non è stato un attacco sofisticato nel senso hollywoodiano: è stato un attacco paziente a un punto cieco della difesa aziendale.
La prossima volta che qualcuno dice “il router funziona, non ci ha mai dato problemi”, vale la pena ricordare che è esattamente quello che pensavano anche le organizzazioni colpite da FrostArmada — finché FBI, NCSC e Microsoft non hanno bussato alla porta.
Se vuoi capire qual è il livello di sicurezza della tua infrastruttura di rete, parliamone.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Verificare il tuo router
✅Analizzare lo stato attuale delle difese che avete messo in campo
✅Creare per voi un report con i vostri punti di forza e i vostri punti deboli
Contattaci e parliamone insieme
