Una nuova campagna malware sta prendendo di mira la filiera ucraina dei droni. Il gruppo tracciato come GhostShell avrebbe iniziato le attività contro la supply chain UAV dell’Ucraina nel febbraio 2026, usando documenti-esca per entrare in reti legate alla difesa e agli acquisti. Il dato più rilevante è il bersaglio: non un singolo sistema isolato, ma un ecosistema industriale e operativo che sostiene capacità militari ad alta intensità tecnologica.
La campagna utilizza file che impersonano Besomar, produttore ucraino di droni intercettori ad alta precisione. Il travestimento è coerente con l’obiettivo: rendere credibile l’apertura di materiali tecnici da parte di persone coinvolte in processi di approvvigionamento, configurazione o supporto. In questo tipo di scenario, la fiducia nella documentazione di settore diventa una superficie d’attacco, perché un manuale apparentemente ordinario può funzionare da copertura per una compromissione più profonda.
L’attacco parte da un archivio malevolo che sfrutta vulnerabilità software note per nascondere uno script di avvio sul computer della vittima. Mentre l’utente visualizza innocui manuali PDF sulle configurazioni dei droni, lo script scarica in silenzio tre payload distinti. La sequenza è significativa: l’esperienza visibile resta plausibile e non allarmante, mentre il sistema viene preparato per una presa di controllo più ampia.
I tre eseguibili svolgono funzioni complementari. L’insieme dei payload serve a mappare la rete, eludere i software di sicurezza e sottrarre informazioni considerate di valore. Non si tratta quindi solo di infezione opportunistica, ma di un impianto pensato per ottenere controllo del sistema e intelligence tecnica. In una filiera UAV, anche informazioni su configurazioni, fornitori, procedure o ambienti di procurement possono avere un peso operativo.
Il bersaglio, concentrato sull’ecosistema militare ucraino, suggerisce una possibile operazione cyber russa. Ma l’attribuzione resta il punto più delicato. Gli analisti applicano il framework SOLBIT proprio per evitare conclusioni affrettate: gli indizi superficiali, come documenti in lingua ucraina, sono facili da falsificare e possono essere usati per costruire piste ingannevoli. In questo caso, la prudenza non è un dettaglio metodologico, ma una condizione per non trasformare l’analisi tecnica in una lettura politica fragile.
Il metodo privilegia elementi più difficili da contraffare, come crittografia custom e certificati unici. Sono segnali tecnici che permettono di seguire GhostShell come cluster distinto, senza dipendere da marcatori più evidenti ma meno affidabili. È un passaggio importante anche per le imprese: nelle indagini su campagne avanzate, la qualità dell’attribuzione dipende dalla profondità delle evidenze, non dalla somiglianza narrativa tra bersaglio, lingua dei documenti e contesto geopolitico.
Per le organizzazioni che operano in settori sensibili, il caso mostra quanto la sicurezza della supply chain sia ormai legata alla gestione dei documenti, degli archivi compressi e dei flussi di collaborazione. Le reti di procurement e difesa sono bersagli naturali perché uniscono informazioni tecniche, relazioni tra fornitori e accessi spesso distribuiti. La compromissione di un nodo può offrire visibilità su processi più ampi, anche quando l’obiettivo finale non è immediatamente evidente.
GhostShell conferma così una tendenza netta: nelle filiere tecnologiche strategiche, l’attacco non punta solo al software o all’infrastruttura, ma alla fiducia che tiene insieme produttori, committenti e operatori. Nel caso dei droni intercettori ucraini, la minaccia combina ingegneria sociale, vulnerabilità note e payload specializzati. La lezione per il business è chiara: proteggere la supply chain significa trattare ogni documento operativo come un possibile punto di ingresso, senza perdere il rigore necessario nell’attribuzione degli attacchi.