- Il CSE, l'agenzia spia canadese, ha condotto tre cyberattacchi autorizzati contro broker di fentanyl, un gruppo estremista violento e una gang ransomware-as-a-service
- L'operazione contro la gang ransomware ha reso inoperabile l'intera infrastruttura del gruppo e cancellato i dati dai suoi server
- In parallelo, il CSE ha colpito le infrastrutture di 10 tra le gang ransomware più attive contro obiettivi canadesi
Il Communications Security Establishment (CSE), l’agenzia di intelligence per i segnali del Canada, ha reso pubblico il proprio rapporto annuale rivelando di aver condotto nel corso dell’ultimo anno tre “active cyber operations”, vale a dire attacchi informatici autorizzati dallo Stato contro obiettivi stranieri che minacciavano la sicurezza nazionale o la pubblica sicurezza canadese.
La prima operazione ha preso di mira un gruppo di intermediari stranieri coinvolti nella vendita di sostanze chimiche precursori per la produzione di fentanyl, il potente oppioide sintetico che uccide decine di migliaia di persone ogni anno solo in Nord America. Il CSE ha prima raccolto informazioni di intelligence sui broker, poi ha condotto un’azione che, stando al rapporto, ha “interrotto e ridotto la loro capacità operativa”.
L’operazione si inserisce in un contesto di investimenti crescenti: il governo canadese ha destinato 180 milioni di dollari in sei anni specificamente per espandere la capacità del CSE di colpire il traffico transnazionale di fentanyl, e l’agenzia collabora in questo ambito con la polizia federale RCMP e con l’unità antiriciclaggio FINTRAC attraverso una cellula operativa congiunta.
La seconda operazione ha riguardato un gruppo estremista straniero attivo nella diffusione di ideologia violenta e nel reclutamento di nuovi membri, inclusi alcuni in Canada. Dopo aver analizzato l’organizzazione del gruppo, la sua portata e le sue vulnerabilità attraverso la raccolta di intelligence sui segnali (SIGINT), l’agenzia ha eseguito un’operazione che ha “minato la credibilità del gruppo e limitato la sua capacità di radicalizzare e reclutare nuovi adepti”, arrivando a distruggere l’infrastruttura tecnica del gruppo, rendendola inoperativa.
La terza operazione ha colpito una gang ransomware-as-a-service.
Cos’è il ransomware-as-a-service
Il modello ransomware-as-a-service funziona in modo simile a un franchising criminale. Un gruppo centrale sviluppa e mantiene l’infrastruttura tecnica del ransomware, il software di cifratura, i portali di negoziazione con le vittime, i sistemi di pagamento in criptovaluta, e poi affitta l’accesso a quella infrastruttura ad altri criminali indipendenti, chiamati affiliati. Gli affiliati si occupano della parte operativa, cioè individuare le vittime e infiltrarsi nelle loro reti, mentre il gruppo centrale incassa una percentuale sui riscatti pagati, tipicamente tra il 20 e il 30%.
È un modello che ha permesso al ransomware di scalare enormemente negli ultimi anni: secondo lo stesso CSE, il ransomware resta oggi la principale minaccia cybercriminale per le infrastrutture critiche del Canada, e il modello as-a-service è tra i motivi principali della sua persistente resilienza a livello globale.
Nel caso specifico documentato dal report, il CSE ha identificato come il gruppo operasse contro i settori sanitario, dei trasporti e imprenditoriale canadesi, quindi ha reso inoperabile l’intera infrastruttura della gang e cancellato gran parte dei dati presenti sui suoi server, colpendo così sia il gruppo centrale che, indirettamente, la rete di affiliati che dipendeva dalla sua infrastruttura per operare.
10 gang ransomware nel mirino
Le tre operazioni principali non sono state le uniche azioni condotte nell’anno. L’agenzia ha dichiarato di aver eseguito in parallelo disruption tecniche contro 10 delle gang ransomware più attive ai danni del Canada e dei suoi alleati, con l’obiettivo di rendere inutilizzabili parti della loro infrastruttura. Un approccio che riflette la tendenza, comune tra le agenzie di intelligence occidentali, a colpire in modo proattivo le capacità offensive dei gruppi criminali prima che queste possano causare danni ulteriori.
Il rapporto documenta anche una operazione difensiva: il CSE è intervenuto per smantellare l’infrastruttura di una campagna di phishing diretta contro istituzioni del governo federale canadese e altri sistemi critici, degradando la capacità del gruppo di colpire i propri obiettivi. Sul fronte puramente defensivo, i numeri del report danno la misura della scala operativa dell’agenzia: 3.216 incidenti cyber gestiti nell’anno, oltre 97.000 notifiche di minaccia inviate a organizzazioni canadesi, e 67 allerte pre-ransomware diffuse prima che gli attaccanti potessero effettivamente colpire, con un aumento del 25% delle allerte e del 28% degli avvisi rispetto all’anno precedente.
Il CSE non ha fornito dettagli su dove si trovassero i bersagli né sui metodi specifici utilizzati nelle tre operazioni offensive. Non è una pratica inusuale: le agenzie di intelligence raramente descrivono pubblicamente le proprie capacità offensive, proprio per non compromettere le tecniche impiegate in operazioni future.
Il confronto internazionale: non solo CSE Canada
Per avere un termine di paragone, il Cyber Command statunitense, con base a Fort Meade nel Maryland, ha visto crescere le proprie “hunt forward operations”, missioni in cui team cyber vengono inviati in paesi alleati per proteggerne le reti e disturbare le operazioni offensive di avversari statali, da poche unità nel 2018 a oltre due dozzine nel corso del 2025. Anche il Regno Unito, attraverso il GCHQ, e altri partner dell’alleanza di intelligence Five Eyes (che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda) hanno progressivamente ampliato sia le proprie capacità cyber offensive sia, più recentemente, la propria disponibilità a renderne pubblici alcuni risultati selezionati.
La crescita del CSE stesso racconta la stessa tendenza su scala nazionale canadese: l’agenzia è passata da un budget di poco più di 1 miliardo di dollari nel 2024-25 a uno che supererà i 2 miliardi nel 2026-27, con una forza lavoro salita a 4.178 dipendenti, in crescita dell’8,1% in un solo anno. La direttrice del CSE, Caroline Xavier, ha descritto questo momento come una fase di “espansione e trasformazione sostenuta”, mentre l’agenzia festeggia quest’anno 80 anni di attività, essendo stata fondata come organismo di crittologia nazionale del Canada.
La trasparenza selettiva del CSE si inserisce in questo contesto di progressiva comunicazione pubblica delle attività cyber offensive tra gli alleati occidentali, un tema che si interseca con questioni più ampie di anonimato digitale e attribuzione degli attacchi in rete.
Quello che abbiamo raccontato è uno dei rari casi in cui un’agenzia di intelligence descrive apertamente operazioni cyber offensive andate a buon fine. La scelta di rendere pubblici questi dettagli, pur nella loro vaghezza, serve probabilmente a più scopi contemporaneamente: segnalare capacità agli avversari e giustificare l’esistenza e il mandato dell’agenzia di fronte all’opinione pubblica canadese in un momento di forte espansione del suo budget.
È probabile che nei prossimi report annuali, sia canadesi che di altri paesi alleati, questo tipo di divulgazione selettiva diventi la norma piuttosto che l’eccezione: la deterrenza, in questo campo, funziona solo se l’avversario sa che puoi colpirlo. Del resto, poche settimane fa anche Meta e Microsoft hanno annunciato una collaborazione con il Dipartimento di Giustizia statunitense che ha portato alla cancellazione di 1,4 milioni di account utilizzati per truffe online.






