Il settore aerospaziale e tutta la filiera economica associata sono target primari per APT state-sponsored che colpiscono la proprietà intellettuale industriale, e per supply-chain attack che entrano via email e via interconnessioni cloud con fornitori e partner. Settore esteso: OEM, prime contractor, subfornitura, MRO, spazio commerciale, R&D — l'intera economia aerospaziale italiana ed europea.
Il settore aerospaziale non è "manifattura come le altre": l'avversario è strutturato come stato-nazione, la supply chain ha 4-5 livelli di profondità con interconnessioni email e cloud quotidiane, e l'IP industriale ha valore pluriennale. Tre fattori che cambiano radicalmente il presidio cyber richiesto.
Il team CTI traccia i gruppi APT28, APT41, Lazarus, MuddyWater attivi contro la filiera aerospaziale italiana: spionaggio industriale, furto di IP, modelli CAD, codice avionica, R&D dual-use. Detection mappata MITRE ATT&CK.
Il BEC (Business Email Compromise) su account fornitori compromessi è il vettore più sfruttato: fatture sostitutive, ordini di pagamento manipolati, payload firmati da partner trusted. Detection AI su anomalie linguistiche e patterns.
Le interconnessioni cloud sono il nuovo vettore: OAuth consent phishing, tenant-to-tenant trust abuse, API key compromise, federation attack su SSO condiviso, injection in pipeline CI/CD federate. Presidio cross-tenant con UEBA.
Fortgale traccia attivamente questi gruppi sulla base di incidenti documentati contro la filiera aerospaziale italiana ed europea negli ultimi 24 mesi. Le TTP sono integrate nelle regole di detection, gli IOC alimentano il SOC.
Spionaggio industriale. Spear phishing su personale tecnico R&D, sfruttamento 0-day Exchange e VPN. Target storico filiera aerospaziale italiana ed europea.
Spionaggio industriale a lungo termine. Furto di IP aerospaziale, modifiche persistenti a build server, accesso multi-anno. Aerospazio civile e tecnologie dual-use.
Spionaggio industriale + finanza. Job offer impersonation via LinkedIn su ingegneri aerospaziali, supply chain attack su tool di sviluppo e CI/CD.
Phishing massivo a basso costo, credential harvesting, persistenza via PowerShell. Pivot verso supply chain di partner regionali della filiera.
Il 78% degli attacchi al settore aerospaziale nel 2025 non entra dal perimetro diretto della vittima, ma da un anello di filiera: un fornitore, un partner, un'interconnessione automatizzata. Email e cloud trust relationships sono i due vettori dominanti.
L'attaccante non spoofa il fornitore — compromette l'account email reale del fornitore e da lì invia comunicazioni legittime. Pattern osservati: fatture sostitutive con IBAN cambiato, ordini di pagamento da CFO impersonato, aggiornamenti firmware o documentazione tecnica con payload firmati. Detection Fortgale: anomalie linguistiche tramite AI, baseline comportamentale per pattern di pagamento, authenticated lookahead su domini lookalike, correlazione email-eventi di rete nel SOC.
Le filiere aerospaziali condividono ambienti cloud quotidianamente: tenant Microsoft 365 federati tra OEM e subfornitori, OAuth consent phishing su account R&D, API key compromise su integrazioni ERP/CRM/PLM/MES, federation attack su SSO condiviso, injection in pipeline CI/CD federate (es. GitHub Actions con secret di partner). Detection Fortgale: UEBA cross-tenant, monitoring degli OAuth consent grant insoliti, audit continuo dei guest accounts Entra ID, MITRE ATT&CK T1199 e T1078.004.
L'economia aerospaziale italiana raggruppa circa 2.500 imprese del settore puro con un fatturato 2025 di ~9 miliardi di euro, di cui oltre il 70% in esportazione (fonte AIAD, parte aerospaziale civile). Includendo l'indotto della filiera (logistica specializzata, certificazione, MRO, R&D) la base industriale supera le 6.000 imprese. Questa è la base che gli APT state-sponsored colpiscono — e che NIS2 classifica come essenziale per il settore spazio.
Federazione AIAD parte aerospaziale civile: OEM, prime contractor, subfornitori meccanici, elettronici, software embedded, MRO. Il 92% sono PMI sotto i 250 dipendenti — il segmento più esposto e meno presidiato della filiera.
Crescita year-over-year degli attacchi documentati contro target aerospaziali europei. Il 67% attribuito a gruppi state-sponsored, APT28 e APT41 i più ricorrenti.
Stima ENISA della quota di incidenti nel settore aerospaziale che entra via supply chain (email BEC, cloud federation, partner compromessi) anziché perimetro diretto. Time-to-detection medio: 287 giorni.
Nove dei dodici incidenti gravi del settore spazio notificati al CSIRT-Italia nell'ultimo anno hanno coinvolto compromissione di credenziali R&D o accesso a build server e repository CAD.
Mappatura MITRE ATT&CK delle tecniche che Fortgale ha osservato in incidenti reali e advisory di intelligence contro target aerospaziali italiani ed europei. Detection scritte e validate sui SOC dei clienti, non teoria.
Documenti Office macro firmati con certificati validi (sottratti a partner). Temi ricorrenti: "Aggiornamento certificazione AS9100", "Notifica fornitore Tier-1", "Audit qualità OEM". Target: ingegneri R&D, direttori acquisti, security manager.
Account email reali di fornitori compromessi usati per inviare fatture sostitutive con IBAN cambiato, ordini di pagamento, documenti tecnici con payload. Persistenza media dell'access prima della detection: 23 giorni.
Sfruttamento di VPN SSL legacy non patchate (Pulse Secure, Fortinet FortiOS, Citrix NetScaler) come ingresso iniziale. Tempo medio osservato da CVE pubblica a sfruttamento contro target aerospaziali italiani: 9 giorni.
Credenziali Microsoft 365 di personale R&D acquisite via infostealer log (RedLine, Lumma, Vidar) e rivendute su forum underground. Bypass MFA via session token hijack o token reissue.
Compromissione di system integrator o subfornitori software con VPN site-to-site verso i sistemi del prime contractor. Persistenza media osservata prima della detection: 187 giorni.
Inganno di utenti R&D per concedere consenso OAuth ad app malevole con permessi Mail.Read, Files.Read.All, offline_access. Persistenza tramite refresh token, sopravvive al reset password.
Costruttori principali: cellule, motori, avionica, satelliti commerciali, sistemi propulsivi. Perimetri estesi multi-stabilimento con build server e CAD repository condivisi.
Componentistica meccanica e elettronica, software embedded, certificazione qualità (AS9100, EN 9100). PMI con perimetri IT/OT misti — l'anello più esposto della supply chain.
Operatori satellitari civili, ground segment, payload commerciali, Earth Observation, telecomunicazioni satellitari, lanciatori commerciali. Soggetti essenziali NIS2.
Manutenzione, riparazione, overhaul: ambienti misti IT/OT con tooling proprietario, accessi diagnostici aircraft connessi, ERP di certificazione airworthiness.
Catene di approvvigionamento aerospaziali: trasporto specializzato, gestione magazzini cleanroom, tracciabilità lotti, certificazioni qualità di filiera.
Università, consorzi, laboratori R&D civili con accesso a programmi nazionali ed europei (Horizon Europe, ESA). Target ricorrenti per furto di IP pre-brevetto.
180+ attori profilati, focus su APT state-sponsored e broker di accesso attivi sulla filiera aerospaziale. Report e advisory verticali.
Scopri CTI →Detection mappata MITRE ATT&CK, contenimento mediano ~11 min. Esteso a subfornitori critici via SOC condiviso.
Scopri MDR →Pillar settore manifatturiero critico. Soluzioni per macchine industriali, linee produzione e ambienti MRO.
Scopri →NIS2 (D.Lgs. 138/2024) include il settore spazio tra i soggetti essenziali e la manifattura critica (di cui fa parte buona parte della filiera aerospaziale) tra i soggetti importanti. A queste si affiancano i requisiti contrattuali OEM e prime contractor (es. ISO/IEC 27001, NIST CSF, IEC 62443 per OT), gli standard ECSS per le missioni spaziali commerciali, e gli obblighi GDPR per dati personali. Fortgale produce una matrice unica di mappatura.
Tre ragioni: (1) proprietà intellettuale ad altissimo valore (progetti, brevetti, codice avionica, modelli CAD, dati R&D dual-use); (2) accesso a una supply chain stratificata con centinaia di subfornitori interconnessi; (3) capacità di pivot verso fornitori meno difesi per arrivare ai grandi OEM. Gruppi documentati: APT28 (Russia), APT41 (Cina), Lazarus (Corea del Nord), MuddyWater (Iran).
Gli attacchi via email sulla supply chain sono il vettore più sfruttato: Business Email Compromise (BEC) con account fornitore reale compromesso, fatture sostitutive, ordini di pagamento manipolati, payload firmati da partner trusted. Quattro misure: (1) DMARC/DKIM/SPF enforcement; (2) detection AI su anomalie linguistiche e patterns di pagamento; (3) authenticated lookahead su domini lookalike di fornitori; (4) MDR con SOC che correla anomalie email con eventi di rete.
Le interconnessioni cloud sono il nuovo vettore di supply chain attack: (1) OAuth consent phishing su tenant Microsoft 365 dei fornitori; (2) tenant-to-tenant trust abuse via Entra ID guest accounts; (3) API key compromise su integrazioni SaaS (ERP, CRM, PLM, MES); (4) federation attack su SSO condiviso; (5) injection in pipeline CI/CD federate. Fortgale presidia gli accessi cross-tenant con UEBA e detection mappata MITRE ATT&CK (T1199, T1078.004, T1528).
Sì. Il settore spazio è esplicitamente incluso tra i soggetti essenziali NIS2 (D.Lgs. 138/2024). Molte aziende aerospaziali italiane ricadono anche sotto la classificazione di manifatturiero critico (importante). Quando coesistono più qualificazioni, si applica la più stringente. Fortgale supporta self-assessment NIS2 e mappatura controlli.
Quando il target è la filiera aerospaziale italiana, l'attaccante è strutturato, finanziato e paziente — e entra spesso da un anello debole della supply chain, non dal vostro perimetro diretto. Richiedi un threat briefing sui gruppi APT attivi contro il vostro settore e sui pattern di supply chain attack via email e cloud osservati.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.
