Un ricercatore di sicurezza informatica ha identificato a Singapore, durante la conferenza Black Hat Asia, un malware denominato "fast16" che avrebbe preceduto di circa cinque anni il celebre worm Stuxnet, ritenuto il primo caso documentato di cyberarma statale. La scoperta, presentata da Vitaly Kamluk di SentinelOne, suggerisce che operazioni di sabotaggio digitale a infrastrutture critiche abbiano radici più profonde di quanto finora accertato.
L'identificazione di fast16 rimette in discussione la cronologia ufficiale della cyberguerra tra Stati. Se Stuxnet, attribuito a Usa e Israele, ha rappresentato il caso emblematico di sabotaggio industriale attraverso software malevolo, fast16 sposta l'asticella al 2005, aprendo interrogativi su quali programmi statali clandestini abbiano preceduto ciò che il pubblico ha conosciuto come l'alba della guerra cibernetica.
L'indagine ha preso avvio da una domanda metodologica: strumenti di spionaggio avanzato come Flame, Animal Farm e Project Sauron erano davvero i primi del loro genere? Tutti e tre condividevano l'uso del linguaggio di programmazione Lua e della relativa macchina virtuale. Partendo da questa analogia, Kamluk ha setacciato il database pubblico VirusTotal, trovando un campione caricato nel 2016 con un riferimento a "fast16". Le tecniche impiegate dagli sviluppatori apparivano anacronistiche rispetto agli standard del 2016, e un ulteriore indizio è emerso dal tristemente noto archivio ShadowBrokers — successivamente collegato alla National Security Agency statunitense — che conteneva anch'esso un riferimento a fast16.
Sul piano tecnico, il malware installa un worm e distribuisce un driver denominato fast16.sys, progettato per alterare l'output di calcoli in virgola mobile e identificare software di simulazione ingegneristica e fisica. I ricercatori di SentinelOne hanno individuato tre piattaforme specificamente prese di mira: LS-DYNA 970, PKPM e MOHID, utilizzate rispettivamente per crash test, analisi strutturali e modellazione idrodinamica ambientale. LS-DYNA è stato impiegato anche nel programma nucleare iraniano, elemento che alimenta le ipotesi sull'attribuzione geopolitica dell'operazione.
La datazione al 2005 poggia su due elementi convergenti: indizi nel codice sorgente e la compatibilità esclusiva con Windows XP su processori a singolo core. Intel ha commercializzato i primi processori multi-core per il mercato consumer nel 2006, rendendo quella limitazione tecnica un marcatore temporale attendibile. Il malware, insomma, sarebbe stato sviluppato in un ambiente hardware che di lì a poco sarebbe diventato obsoleto.
La logica del sabotaggio è tanto semplice quanto insidiosa: non distruggere fisicamente un impianto, ma introdurre errori subdoli nei calcoli ingegneristici, potenzialmente traducibili in guasti strutturali o incidenti nel mondo reale. Kamluk ha segnalato la scoperta ai produttori dei software colpiti, invitandoli a verificare se l'output dei loro strumenti possa essere stato compromesso da calcoli alterati nel corso degli anni.
Il contesto geopolitico del 2005 è rilevante: anni di tensioni diplomatiche sul programma nucleare iraniano, trattative multilaterali in stallo, e intelligence occidentale alla ricerca di strumenti di pressione non convenzionali. Fast16 si inserirebbe in quella fase di sperimentazione silente che ha poi portato alle operazioni più documentate del decennio successivo.
La domanda che Kamluk lascia aperta riguarda quanti altri strumenti analoghi giacciano ancora inosservati in archivi pubblici o sistemi attivi. Se un malware sviluppato vent'anni fa è rimasto non rilevato fino al 2025, il perimetro reale della cyberguerra statale — e i suoi effetti concreti su infrastrutture civili e industriali — potrebbe essere significativamente più ampio di quanto le analisi forensi abbiano finora documentato.