Threat actor profiling · attribuzione tecnica Fortgale
CTI · capability 01 · Threat Actor Profiling

Sapere chi vi sta attaccando.

La maggior parte dei team SOC chiude alert. Pochi sanno chi c'è dietro. Threat Actor Profiling trasforma incidenti generici — phishing, malware, attacchi cloud — in conoscenza dell'avversario: TTP MITRE-mapped, infrastruttura osservata, vittimologia, attribuzione con confidence level esplicito.

Richiedi un briefing TA Vedi i dossier reali ↓
180+Attori profilati
4-stepMetodo attribuzione
4 livelliConfidence rating
Framework · standard
MITRE ATT&CK
Diamond Model
STIX 2.1
TAXII 2.1
Analisi · disciplina
OSINT
HUMINT
TECHINT
Reverse engineering
Il problema

Il dato SOC senza attribuzione è cieco.

Un alert chiuso senza sapere chi l'ha generato è un'occasione persa di apprendimento. Ripetuta migliaia di volte all'anno, diventa il motivo per cui le difese non migliorano nonostante l'investimento crescente.

01

Volume senza priorità

Migliaia di alert al giorno, tutti con severità simile. Senza profiling, il team SOC tratta uguale lo spam massivo e lo spear-phishing mirato al CFO.

02

Targeted indistinguibile da opportunistico

Lo stesso vettore tecnico (es. un'email di phishing) può essere spam casuale o un attacco preparato da settimane. Senza attribuzione, la differenza non emerge.

03

Difesa generica

Senza sapere chi attacca, i controlli si applicano a pioggia: blocca tutto, allerta tutto, log tutto. Risultato: rumore, fatigue, costi che crescono e ROI difensivo che cala.

La distinzione che cambia tutto

«Chi potrebbe» vs «chi sta» attaccando.

La threat intelligence generica descrive il paesaggio. Il threat actor profiling identifica l'avversario operativo della specifica organizzazione, basandosi sui suoi incidenti reali e sulla sua vittimologia.

Threat landscape · «chi potrebbe»
  • Tassonomia astratta di gruppi famosi
  • Trend di settore generici
  • Statistiche aggregate macro
  • Utile per orientamento iniziale del CISO
  • Aggiornamento trimestrale o annuale
Necessario, ma non sufficiente
Threat actor profiling · «chi sta»
  • Attori che hanno toccato la specifica organizzazione
  • TTP osservate sui propri incidenti
  • Vittimologia coerente con il proprio settore/geo
  • Drive decisioni di difesa concrete
  • Aggiornamento continuo · feed-back loop col SOC
Operativo · actionable
Il metodo · 4 step

Da alert SOC a attribuzione documentata.

Non è un processo mistico. È una pipeline tecnica documentabile, applicabile a ogni incidente di una certa rilevanza. Il risultato include sempre un confidence level esplicito — anche quando non bastano le evidenze per attribuire, lo diciamo.

  1. 01
    Da alert SOC a evidenza forense

    Triage e raccolta artefatti

    Estrazione e conservazione forense di ogni artefatto: payload, IP, domini, hash, header email completi, log endpoint, telemetria di rete. Nessuna azione di contenimento prima di aver consolidato gli IOC.

    EDR triageEmail forensicsNetwork captureMemory snapshot
  2. 02
    Da artefatto a pattern

    Correlazione MITRE ATT&CK e matching profili

    Mapping delle TTP osservate sul framework MITRE ATT&CK e confronto con i profili dei threat actor già tracciati dal team CTI. Identificazione di overlap su tactic, technique, sub-technique.

    MITRE ATT&CKTTP mappingProfile matchingSigma rules
  3. 03
    Da pattern a fingerprint

    Analisi infrastruttura · tooling · codice · vittimologia

    Analisi della C2 infrastructure (ASN, registrar, hosting pattern, fingerprint TLS), del tooling (loader, RAT, packer), del codice malware (similarity hashing, language artifacts) e della vittimologia (settore, geografia, dimensione).

    C2 fingerprintCode similarityReverse engineeringVictimology
  4. 04
    Da fingerprint a attribuzione

    Attribuzione documentata + confidence level

    Formulazione di attribuzione esplicita con confidence level (high / medium / low / insufficient). Quando le evidenze non sono sufficienti, vengono indicate le ipotesi più probabili senza forzature. L'attribuzione affrettata è una cattiva pratica diffusa nella CTI commerciale — noi non la pratichiamo.

    Confidence high/med/lowDocumented attributionIpotesi rankedPeer review interna
Approfondimenti per vettore

Come attribuiamo incidente per incidente.

Tre vettori coprono oltre il 90% degli incidenti che osserviamo: phishing, malware, attacchi cloud. Per ciascuno, una metodologia di attribuzione specifica.

Vettore 01

Phishing attribution

Da campagna apparentemente generica a kit + operatore

Un'email di phishing è raramente un evento isolato. Fortgale analizza il kit utilizzato (Tycoon 2FA, Mamba 2FA, Caffeine, EvilProxy, NakedPages, W3LL, Greatness), la landing page architecture, l'infrastruttura di delivery (registrar, ASN, certificate fingerprint), il pattern di vittimizzazione e l'operatore dietro la campagna — non tutti i kit vengono usati allo stesso modo.

  • AiTM toolkit Tycoon 2FA · Mamba 2FA · Caffeine · EvilProxy · W3LL — fingerprint distintive su landing, redirect chain, session cookie hijack.
  • Spear-phishing operator Reconnaissance LinkedIn, lookup OSINT su vittima, contestualizzazione (logo cliente, persona reale, processo aziendale).
  • MFA bypass attribution Distinzione tra kit AiTM, social-eng SIM-swap, push fatigue automatizzato, OAuth consent phishing. Ogni metodo punta a un cluster operativo diverso.
  • Italian-targeted vs broad-spray Volume, segmentazione domini cliente, copy in italiano nativo vs traduzione automatica, banche/loghi nazionali → indicatori di mira italiana o europea continentale.
Per il CDA

Per il CDA: l'attribuzione di una campagna AiTM a un operatore specifico si traduce in 2-4 controlli mirati (conditional access policy, hardware FIDO2 per i top targets, geo-fencing, IDP-side detection rules) — non in 1.000 email da analizzare a mano.

Vettore 02

Malware attribution

Da campione binario a famiglia, autore, infrastruttura

Un malware non è solo un hash da bloccare. Fortgale analizza code similarity (BinDiff, ssdeep, TLSH, Vector35 reuse), packer e crypter scelti, protocolli C2 (custom o framework noto), persistence pattern, language artifacts (commenti, debug path, PDB, encoding), timestamp PE e tempi di compilazione. Ogni scelta tecnica restringe il cerchio degli autori probabili.

  • Code similarity & reuse Identificazione di blocchi di codice condivisi tra famiglie (es. SystemBC, Matanbuchus, BumbleBee → operatori frequentemente collegati).
  • Packer / crypter scelti PrivateLoader vs SmokeLoader vs Themida custom → cluster di affiliazione.
  • C2 protocol fingerprint JA3/JA3S TLS fingerprint, certificati self-signed pattern, header HTTP signature, Tor vs cleartext, beacon timing.
  • Language & culture artifacts Encoding stringhe (CP1251 russo, GBK cinese), commit timezone su componenti open-source riutilizzati, PDB path con nome utente, dialect tags.
  • Operational tempo Compilation timestamp pattern (orari lavorativi di un fuso), frequenza di ricompilazione, cadenza di rotazione infrastruttura.
Per il CDA

Per il CDA: distinguere tra un loader commodity venduto su forum e un malware custom mirato cambia radicalmente il livello di risposta richiesto — generico contro custom è la differenza tra patching e DFIR completo.

Vettore 03

Cloud attack attribution

Microsoft 365 · AWS · Azure · GCP · OAuth abuse

Gli attacchi cloud sono il vettore che cresce più rapidamente — e quello dove la maggior parte dei vendor CTI è meno preparata. Fortgale traccia IAM enumeration pattern, OAuth consent abuse, token theft chain, persistence cloud-native (federated identity backdoor, hidden service principal, app registration sleeper) e exfiltration via API legittime.

  • OAuth abuse signatures Pattern di app consent illegittimo, scope richiesti (Mail.ReadWrite, offline_access, full_access_as_user), naming pattern app (mimicking Microsoft, branded come HR tools), abuse di on-behalf-of flow.
  • Token theft attribution Distinzione tra adversary-in-the-middle, infostealer-driven (RedLine, Lumma, Vidar), browser cookie exfiltration, PRT theft. Ogni metodo correla con cluster operativi distinti.
  • Cloud persistence patterns Service principal sleeper, federated identity poisoning (Solorigate-style), conditional access tampering, Microsoft Graph subscription abuse.
  • Identity-as-perimeter Analisi di sign-in pattern, impossible travel non banale, device join anomalies, primary refresh token abuse, MFA bypass via app-password legacy.
  • Living-off-the-cloud Uso di API legittime (Power Automate, Logic Apps, Lambda functions) come C2 e exfiltration channel — vettore in forte crescita nel 2025-2026.
Per il CDA

Per il CDA: un OAuth consent abuse attribuito si traduce in 3 controlli concreti (admin consent workflow, app governance policy, conditional access per app non verificate) — strumenti già presenti nei tenant Microsoft, da configurare correttamente.

Dossier · attori profilati

Sette esempi reali di profili tecnici Fortgale.

Tre attori tracciati e attribuiti da Fortgale CTI con ricerca pubblicata sul blog. Un Initial Access Broker globale. Tre ransomware tra i più attivi contro l'Europa nel 2024-2026. Sono i dossier tipo che riceve un cliente.

APT · Spionaggio · 2026

Operation Storming Tide

Mora_001
Origine
Origine russa · APT
Vettore
Fortinet exploitation · Matanbuchus 3.0 · SystemBC
Vittimologia
Aziende italiane ed europee · supply chain manifatturiera

Campagna multi-stadio attribuita a Mora_001. Il team IR Fortgale l'ha tracciata internamente come FortiSync Quasar: exploit Fortinet, deployment Matanbuchus 3.0, Astarion RAT e SystemBC. Evoluzione da operazioni ransomware a spionaggio puro. Esfiltrazione bloccata.

APT · SpionaggioFortinet 0-dayMatanbuchus 3.0Astarion RAT
Confidence · High Apri il dossier →
Cyber Espionage · 2023-attivo

PhishSurf Nebula

PhishSurf Nebula
Origine
Origine non confermata · risorse APT-level
Vettore
Banking & Finance · Europa · MFA bypass · AiTM
Vittimologia
Settore bancario europeo · top management

Gruppo di spionaggio informatico avanzato con focus primario sul settore bancario europeo. MFA bypass via AiTM, infrastruttura distribuita su registrar regionali, social engineering preparato con OSINT esteso. Risorse significative dietro l'operazione.

Banking & FinanceAiTM phishingMFA bypassCyber espionage
Confidence · Medium Apri il dossier →
Threat Actor · 2022-attivo

Nebula Broker

Nebula Broker
Origine
Origine italiana · custom tooling
Vettore
BrokerLoader (custom) · targeting Italia
Vittimologia
Sistemi e organizzazioni italiane · supply chain

Tracciato da Fortgale dal marzo 2022: attore italiano con malware sviluppato internamente (BrokerLoader). Caso raro di attore locale con capacità offensive custom. Documentato in esclusiva da Fortgale CTI.

Threat actor italianoCustom malwareBrokerLoaderInitial access broker
Confidence · High Apri il dossier →
Worm/Loader · 2021-attivo

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Origine
Initial access broker · russo-affiliato
Vettore
USB worm · Windows Installer abuse · Tor C2
Vittimologia
Pre-ransomware access broker · multi-settore EU/US

Worm USB che si è evoluto in Initial Access Broker di primo piano per gruppi ransomware (LockBit, Akira, Clop). Pattern distintivo: msiexec chained con regsvr32, abuse di rundll32 via fodhelper.exe, Tor onion C2, downloader follow-on per FakeUpdates, IcedID, Bumblebee. Telemetria EU in crescita 2025-2026.

Initial access brokerUSB wormTor C2Pre-ransomware
Confidence · High Apri il dossier →
Ransomware · 2024-attivo · top group

RansomHub

RansomHub · RaaS
Origine
Successor di ALPHV/BlackCat · ex-affiliati
Vettore
RaaS · double extortion · Linux/ESXi/Windows builders
Vittimologia
Enterprise multi-settore · sanità · manifatturiero · PA

Emerso a inizio 2024 dopo il collasso di ALPHV/BlackCat, RansomHub ha rapidamente assorbito affiliati di alto livello (incluso quello dietro il caso Change Healthcare). Builder Linux/ESXi/Windows, exfiltration tooling proprietario, leak site su Tor. Top per impatto enterprise EU nel 2024-2025.

RaaSDouble extortionESXi targetingHealthcare · Manifatturiero
Confidence · High Apri il dossier →
Ransomware · 2023-attivo · EU-heavy

Akira

Akira · RaaS
Origine
Affiliato Conti diaspora · ricostituito
Vettore
VPN exploitation (Cisco ASA, SonicWall) · double extortion · ESXi
Vittimologia
Mid-market EU · manifatturiero · servizi professionali · costruzioni

Attivo da marzo 2023, Akira ha mantenuto cadenza di vittimizzazione elevata nel 2024-2026 con focus sul mid-market europeo. Vettore iniziale dominante: exploitation di VPN appliance non-MFA (Cisco ASA, SonicWall SSLVPN, vulnerabilità note non patchate). Encryptor ESXi efficace, leak site "Akira Dark Site" su Tor con estetica anni '80.

VPN exploitationESXi encryptorMid-market EUConti lineage
Confidence · High Apri il dossier →
Ransomware · 2023-attivo · aggressive negotiator

Medusa

Medusa · RaaS
Origine
Non confermata · russofono
Vettore
Phishing · exploit pubblici · driver-side BYOVD
Vittimologia
PA · sanità · settore educativo · servizi · costruzioni

Medusa si distingue per negoziazione aggressiva (countdown pubblico sul leak site con incremento richiesta) e per l'uso intensivo di BYOVD (Bring Your Own Vulnerable Driver) per disabilitare EDR. Forte presenza nel settore pubblico EU nel 2024-2025, con incidenti documentati su comuni, ASL, scuole.

BYOVDPublic sectorAggressive negotiationLeak site countdown
Confidence · Medium Apri il dossier →
Trust · metodologia

Come comunichiamo la confidence. E quando non attribuiamo.

L'attribuzione affrettata è uno dei problemi più diffusi nella CTI commerciale. Fortgale dichiara esplicitamente il livello di confidence di ogni attribuzione — e ammette quando le evidenze non sono sufficienti.

High

Multiple evidenze indipendenti

Overlap su almeno 3 elementi indipendenti: infrastruttura C2, codice malware, TTP MITRE, vittimologia, language artifacts. Attribuzione documentata in report.

Medium

Alcune evidenze, elementi mancanti

Overlap su 1-2 elementi, con evidenze parziali sul resto. Attribuzione formulata come ipotesi più probabile, con elementi mancanti dichiarati.

Low

Overlap singolo

Un solo elemento di overlap (es. un IOC condiviso). Indichiamo l'ipotesi più probabile e le alternative meno probabili. Non è ancora attribuzione.

Insufficient

Evidenze non adeguate

Dichiariamo esplicitamente che le evidenze non bastano. Diamo i dati raccolti, le TTP osservate, ma non forziamo un'attribuzione. È raro tra i vendor — per noi è standard.

L'output

Cosa arriva sul tavolo del cliente.

Quattro deliverable concreti — non solo un report da archiviare, ma materiale operativo da applicare al SOC, al SIEM, agli endpoint e al CDA.

01

Profilo attore (PDF + JSON STIX)

Documento strutturato con TTP MITRE-mapped, IOC, infrastruttura C2, tooling, vittimologia, attribuzione e confidence level. Versione tecnica + executive in italiano e inglese.

02

Detection rules dedicate

Regole SIGMA per SIEM, YARA per analisi statica/dinamica, Snort/Suricata per IDS, custom rules per le piattaforme MDR del cliente.

03

Espansione del set di controlli

Lista di controlli concreti da implementare in base all'attore profilato: conditional access policy, blocchi infrastruttura, MFA enforcement su asset target, app consent governance, ecc.

04

Briefing tecnico + executive

Sessione live con gli analisti per il team SOC/IR (deep-dive tecnico) e una sessione separata per CISO/CDA (impatto business, rischio, decisioni richieste).

Onestà tecnica

Quando non serve fare TA profiling.

Se la vostra organizzazione ha una superficie d'attacco limitata e subisce solo attacchi opportunistici di basso volume, il threat actor profiling è sovradimensionato rispetto al valore generato. In quei casi è più efficiente un servizio standard di IOC feed e protezione perimetrale.

Il TA profiling diventa critico quando: ① l'organizzazione ha asset di valore (proprietà intellettuale, dati sensibili, infrastrutture critiche); ② è in settori target (finanza, manifatturiero, energia, sanità, PA, difesa); ③ ha già subito incidenti con segnali di mira specifica (reconnaissance prima, personalizzazione del payload, attacco a top management).

Non siete sicuri? Parliamone. Se non ne avete bisogno, ve lo diciamo.

Integrazione

Profiling come motore di tutta la difesa.

Un profilo attore non resta in un PDF. Alimenta il SOC, accelera l'IR, espande il set di controlli MDR.

SOC italiano · 24·7·365

Le detection rules nate dal profiling

Ogni nuovo TA profilato genera regole SIGMA, YARA e custom rules MDR distribuite al SOC. Il SOC le applica in tempo reale a tutti i clienti monitorati.

Scopri il SOC →
MDR · rilevamento aumentato

Detection enrichita con profili attori

L'MDR Fortgale non usa solo le regole del vendor EDR: le arricchisce con i profili dei threat actor attivi, alzando il tasso di rilevamento e riducendo i falsi positivi.

Scopri MDR →
IR · risposta accelerata

Attribuzione che accorcia il containment

Durante un incidente, sapere chi attacca accelera contenimento e remediation: anticipi le mosse successive, blocchi i pattern di esfiltrazione tipici, comunichi al CDA con dati.

Contatta il team IR →
CTI · capability sister

Le altre 6 capability del servizio CTI

Threat Intelligence Feed STIX/TAXII · Advisory verticali · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Threat Actor Profiling è la capability 01 di 7.

Vedi tutte le capability →
Da portare al CDA

Tre slide. Solo tre.

Il CISO legge questa pagina. Poi deve spiegarla in 5 minuti a un Consiglio di Amministrazione che non parla MITRE. Glielo prepariamo noi.

01 · Lo stato

Quanti attacchi profilati hai subito negli ultimi 6 mesi · quanti targeted vs opportunistici · trend.

02 · L'avversario

Chi sta attaccando (cluster profilati) · perché (motivazione · vittimologia) · confidence level esplicito.

03 · La risposta

Set di controlli espansi · costo stimato · impatto previsto · timeline di implementazione · rischio residuo.

Il pack «3 slide CDA» è incluso in ogni Executive Briefing · richiedibile separatamente.

FAQ

Domande frequenti su TA Profiling.

Qual è la differenza tra threat actor profiling e threat intelligence generica?

La threat intelligence generica descrive il paesaggio delle minacce in modo astratto (gruppi famosi, settori a rischio, trend). Il threat actor profiling identifica chi sta effettivamente attaccando una specifica organizzazione, sulla base dei suoi incidenti reali, della sua superficie d'attacco e della sua vittimologia. Il primo informa il CISO; il secondo guida decisioni di difesa concrete.

Come si distingue un attacco targeted da uno opportunistico?

Si distingue attraverso indicatori comportamentali: ricognizione preventiva sul target (LinkedIn, OSINT), personalizzazione del payload (logo, persona, contesto cliente), tempismo (orari ufficio del target), vettori privilegiati (CFO, HR, IT admin). Un attacco generico tratta la vittima come un IP qualunque; un targeted la tratta come un asset. La differenza pesa drasticamente sulla priorità di risposta.

Posso ricevere il profilo di un attore specifico on-demand?

Sì. Il team CTI Fortgale produce profili on-demand di threat actor singoli quando un cliente sospetta o subisce un attacco da un gruppo specifico. Il profilo include TTP MITRE-mapped, infrastruttura osservata, tooling, vittimologia, IOC associati e detection rules dedicate (SIGMA, YARA). Tempo di consegna tipico: 3-10 giorni a seconda della complessità.

Come funziona la confidence level dell'attribuzione?

Quattro livelli: High (multiple evidenze tecniche indipendenti corroboranti — infrastruttura, codice, TTP, vittimologia), Medium (alcune evidenze ma con elementi mancanti o ambigui), Low (singolo elemento di overlap, ipotesi più probabile), Insufficient (evidenze inadeguate per attribuire — viene dichiarato esplicitamente). Fortgale non forza attribuzioni dove le evidenze non bastano.

Quando NON ha senso fare threat actor profiling?

Quando l'organizzazione ha una superficie d'attacco limitata e subisce solo attacchi opportunistici di basso volume, il TA profiling è sovradimensionato rispetto al valore generato. In quei casi è più efficiente un servizio standard di IOC feed e protezione perimetrale. Il TA profiling diventa critico quando l'organizzazione ha asset di valore, è in settori target (finanza, manifatturiero, energia, sanità, PA) o ha già subito incidenti con segnali di mira specifica.

Quanto tempo serve per profilare un threat actor?

Un profilo di primo livello (TTP + IOC + infrastruttura) richiede tipicamente 3-7 giorni. Un profilo completo con attribuzione tecnica documentata, analisi tooling e vittimologia richiede 2-4 settimane. Per gli attori già nel database Fortgale (180+) il profilo è disponibile in 24-48 ore. Per attori non noti, dipende dalla quantità e qualità delle evidenze raccolte.

Inizia con il profiling

Chi vi sta attaccando in questo momento?

Portate un incidente recente — phishing, malware, accesso cloud sospetto. Il team CTI Fortgale ne fa un mini-profilo gratuito entro 5 giorni lavorativi. Niente impegno: solo evidenze.

Tempo di risposta: < 1 giorno lavorativo.