C’è un momento, nelle crisi geopolitiche, in cui il cyberspazio smette di funzionare come semplice ambiente di supporto e si trasforma in un moltiplicatore diretto della pressione ostile.
Il confronto tra Israele e Iran sta entrando precisamente in questa fase, la dimensione cyber allunga il conflitto, ne amplia il raggio, ne diversifica gli strumenti e introduce una forma di aggressione che agisce insieme su continuità operativa, fiducia pubblica, reputazione istituzionale e tenuta cognitiva dei bersagli. Il punto che merita attenzione, oggi, riguarda soprattutto la qualità dell’ecosistema attivato attorno all’escalation: gruppi hacktivisti, collettivi ideologici, strutture ombrello e soggetti ibridi che usano il dominio digitale come leva di intimidazione, propaganda, disturbo e segnalazione geopolitica.
Ho analizzato un dossier (Centro Studi Meridian Group) che fotografa un passaggio molto netto, dopo l’escalation del 28 febbraio 2026, la mobilitazione dell’ecosistema hacktivista filo-iraniano ha assunto un profilo rapido, articolato e coerente con una tendenza che si osserva da tempo nei conflitti contemporanei, ovvero le crisi regionali che funzionano da acceleratori dell’attivismo offensivo nel cyberspazio.
Sotto questa lente il cyber offre vantaggi evidenti perché riduce la soglia di accesso alla pressione ostile, consente di agire con forte visibilità pubblica, permette un ampio margine di negabilità e consente di saturare il tempo decisionale delle vittime anche senza produrre, almeno nell’immediato, distruzioni materiali paragonabili a quelle del dominio cinetico.
Indice degli argomenti
Perché l’hacktivismo filo-iraniano non è più protesta digitale
Per questa ragione, parlare genericamente di hacktivismo rischia di essere riduttivo. Le operazioni emerse nel dossier analizzato comprendono doxxing, network intrusion, hack-and-leak, defacement, campagne DDoS e azioni di influence. La combinazione di questi vettori suggerisce una trasformazione importante, perché non siamo più davanti a una protesta digitale estemporanea o a un attivismo simbolico a bassa intensità, ma a una forma di pressione ibrida che utilizza il cyberspazio per produrre attrito politico, carico operativo, shock reputazionale e insicurezza percepita. In molti casi il danno tecnico rappresenta solo una parte dell’effetto ricercato. L’obiettivo vero consiste nel costringere il bersaglio a reagire, a verificare, a rassicurare, a riallocare attenzione e risorse.
Il caso Handala Hack e la pressione sull’ambiente umano
Il caso di Handala Hack è esemplare, il gruppo ha rivendicato una vasta operazione di doxxing contro cinquanta individui identificati come alti funzionari dell’Aeronautica Militare israeliana, con diffusione di nomi, contatti, ruoli, indirizzi e materiale fotografico, inclusi profili associati a piloti F-16 e F-35, comandanti di operazioni droni, tecnici senior e personale collegato alla pianificazione di attacchi aerei. Una simile operazione colpisce l’ambiente umano della deterrenza e della capacità militare, proiettando vulnerabilità su figure simbolicamente sensibili.
Nello stesso filone, Handala Hack ha anche rivendicato l’accesso a telecamere CCTV a Gerusalemme, diffondendo video e screenshot che mostrerebbero dashboard, configurazioni di rete backend e interfacce di gestione associate a un sistema denominato “SaferPlace”. Anche in questo caso, il valore strategico va oltre la verifica tecnica puntuale della singola rivendicazione. Il messaggio rivolto alla controparte è chiaro, la vulnerabilità può riguardare insieme uomini, infrastrutture e spazi della quotidianità urbana.
Come l’hacktivismo filo-iraniano allarga il conflitto regionale
Ancora più rilevante, in chiave geopolitica, è la traiettoria di Fariq Fatemiyoun al-Electronic, o FFE, descritto come gruppo hacktivista filo-sciita monitorato da anni e ritenuto, secondo fonti open source, una struttura di facciata operante in prossimità dell’universo di Kata’ib Hezbollah. La sua attività mostra bene come il cyber consenta di distribuire il conflitto oltre il bersaglio principale. FFE compare in operazioni di hack-and-leak contro il Dipartimento per il Cybercrime del Ministero dell’Interno del Qatar, con esfiltrazione e pubblicazione di documenti sensibili, in azioni di defacement contro portali mediatici, in ulteriori hack-and-leak su aziende israeliane e in presunti attacchi DDoS contro Delek, operatore del settore gas.
Qui emerge una logica precisa che è quella di allargare la superficie di impatto verso Stati e organizzazioni considerate favorevoli, collaterali o funzionali al fronte avversario. Il cyberspazio trasforma un conflitto regionale in una competizione a profondità sistemica che può investire amministrazioni, media, energia, commercio e infrastrutture digitali anche fuori dal teatro bellico diretto.
Dall’hacktivismo filo-iraniano all’interesse per OT e SCADA
Il profilo di APTIran introduce poi un livello tecnico e strategico ancora più delicato. Il gruppo viene presentato come attivo almeno dal 2022 e caratterizzato da rivendicazioni rivolte a schieramenti ideologicamente diversi. L’elemento più interessante sta nel fatto che, nel 2025, APTIran è stato osservato mentre sosteneva di aver ottenuto accesso a sistemi di tecnologia operativa presso un impianto petrolchimico statunitense, diffondendo un video con output da riga di comando MQTT. Nello stesso periodo, il gruppo è stato inoltre visto promuovere contenuti associati al marchio CyberAv3ngers.
Questo tipo di riferimento impone cautela analitica, perché il passaggio da hacktivismo ideologico a interessamento verso ambienti OT, ICS e SCADA modifica sensibilmente la qualità della minaccia. Quando un attore si muove, anche solo sul piano dimostrativo o di probing, verso tecnologia operativa e protocolli industriali, il tema non riguarda più soltanto il danno reputazionale o il disservizio web, ma entra in gioco la possibilità di interferenza con processi fisici, continuità industriale e infrastrutture critiche. Sul piano dell’intelligence, emerge anche un altro nodo, la difficoltà di distinguere con chiarezza tra convergenza ideologica, riuso di brand, emulazione tattica e reale legame con apparati statuali o para-statuali. Questa opacità rende la minaccia più complessa da attribuire e, di conseguenza, più difficile da dissuadere.
L’hacktivismo filo-iraniano come pressione politico-diplomatica
Il richiamo a Homeland Justice conferma ulteriormente che il vettore cyber viene usato anche come strumento di pressione politico-diplomatica indiretta. Il gruppo ha rivendicato un’operazione di hack-and-leak contro il Parlamento albanese, diffondendo file .rar, immagini e video che mostrerebbero accessi non autorizzati, cancellazione di dati da account amministrativi ed esfiltrazione di corrispondenza interna.
Il dossier sottolinea inoltre la coerenza della messaggistica con il dossier MEK e con la storica postura di influence associata alla sigla. E qui il punto è molto chiaro, il danno cyber serve a inviare un messaggio politico. L’operazione digitale segnala che anche i Paesi percepiti come retrovia o sponda dell’opposizione iraniana possono essere investiti da azioni capaci di creare attrito istituzionale, pressione mediatica e tensione diplomatica.
Il Cyber Islamic Resistance Axis e la logica delle sigle ombrello
Un’altra componente di grande rilievo è rappresentata dal Cyber Islamic Resistance Axis, definito come collettivo ombrello composto da molteplici gruppi hacktivisti filo-iraniani ideologicamente allineati. Questa architettura replica nel dominio digitale una logica già nota nello scenario mediorientale, pluralità di sigle, convergenza politica, condivisione di risorse e coordinamento di campagne per amplificare portata e impatto delle operazioni.
Sul piano della sicurezza, una struttura simile produce almeno due effetti. Da un lato aumenta il volume della pressione e rende più difficile separare operazioni autonome, coordinate o meramente opportunistiche. Dall’altro abbassa la soglia della partecipazione offensiva, perché anche gruppi con capacità tecniche limitate possono contribuire al disturbo complessivo attraverso DDoS, defacement e operazioni dimostrative.
Quando queste attività si inseriscono in una fase di tensione elevata, il loro peso politico cresce in modo proporzionale. Un attacco a bassa sofisticazione può acquisire valore strategico se colpisce nel momento giusto, su un target simbolico, con una narrativa coerente e con un effetto di saturazione ben calibrato.
DieNet, Anonymous Sana’a e Keymous+ nella zona grigia
La presenza di DieNet, Anonymous Sana’a e Keymous+ completa il quadro e mostra un’evoluzione che dovrebbe preoccupare molto i decisori. Il dossier in esame descrive DieNet come attore ad alta intensità nel DDoS, orientato anche verso infrastrutture nazionali critiche o simboliche in Israele, Azerbaigian ed Emirati Arabi Uniti, con una parallela capacità di monetizzazione attraverso modelli DDoS-as-a-Service. Keymous+, a sua volta, si colloca in una zona grigia particolarmente insidiosa, nella quale convergono retorica ideologica, attivismo politico e logiche di cybercrime commerciale.
Questo punto è fondamentale perché la distanza tra hacktivismo, proxying, disturbo ideologico e servizi cyber criminali tende progressivamente a ridursi. Quando la militanza incontra la monetizzazione e si appoggia a infrastrutture criminali o semi-criminali, la minaccia diventa più adattiva, più resiliente e più difficile da classificare con le categorie tradizionali.
Cosa significa per Europa e Italia la nuova minaccia cyber
Per l’Europa e per l’Italia la lezione deve essere chiara, la direttiva NIS2, insieme alla più ampia architettura europea per la protezione delle infrastrutture critiche e della supply chain digitale, va letta anche attraverso questa lente. Il problema non coincide soltanto con le APT statuali più sofisticate o con il ransomware ad alto impatto economico perché esiste una fascia di minaccia più fluida, intermittente, ideologicamente motivata e capace di produrre effetti politici superiori al danno tecnico immediato.
Un DDoS contro un operatore sensibile, un leak selettivo, un defacement con alta visibilità, una network intrusion dimostrativa o una campagna di doxxing contro figure chiave possono alterare la fiducia, appesantire il ciclo decisionale, imporre verifiche straordinarie e generare insicurezza sistemica.
Leggere il significato strategico oltre il danno tecnico
E qui oggi si gioca la differenza tra una lettura superficiale e una lettura strategica della minaccia. Limitarsi alla misurazione del danno tecnico porta spesso a sottovalutare il significato reale delle operazioni, molte campagne hacktiviste servono a testare tempi di reazione, capacità di coordinamento, robustezza comunicativa, tenuta reputazionale e vulnerabilità della supply chain.
Altre preparano il terreno a escalation successive, sondano superfici OT o provano a costruire accessi, conoscenza ambientale e vantaggio informativo. In tutti questi casi, il cyberspazio opera come ambiente di pressione continua, nel quale il valore dell’attacco dipende dalla sua funzione nel conflitto più ampio e non solo dal danno osservato nel singolo evento.
La sfida di intelligence davanti alla guerra ibrida contemporanea
La vera sfida, per gli Stati e per gli operatori strategici, consiste dunque nello sviluppare una postura di cyber intelligence capace di leggere segnali deboli, posture narrative, convergenze tra gruppi, interessamento verso logiche di influenza. Infine il confronto tra Usa-Israele e Iran mostra con grande forza che l’hacktivismo ha ormai superato la dimensione marginale dell’attivismo digitale ed è entrato stabilmente nel repertorio della pressione geopolitica contemporanea.
Comprenderne grammatica, obiettivi e trasformazioni significa comprendere una parte oggi imprescindibile della guerra ibrida del nostro tempo.
Bibliografia
Dossier Centro Studi Meridian Group, Lo scenario hacktivista nel conflitto Israele-Iran. Update V.2. Threat Intelligence Report, 13 marzo 2026.
