Gli hacker violano i firewall federali degli Stati Uniti mentre il cyber-spionaggio di ArcaneDoor si espande

Gli hacker hanno sfruttato le vulnerabilità dei dispositivi firewall di Cisco Systems utilizzati dalle agenzie federali degli Stati Uniti, secondo i funzionari.

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso giovedì una direttiva di emergenza, ordinando alle agenzie civili di identificare e mitigare le violazioni.

I difetti sono stati utilizzati per impiantare codice dannoso ed eseguire comandi, sollevando timori di furto di dati. Cisco ha confermato di aver indagato sugli attacchi da maggio 2025 dopo che diverse agenzie governative hanno segnalato incidenti.

Anche il National Cyber Security Centre (NCSC) del Regno Unito ha lanciato l'allarme, avvertendo che la minaccia si estende oltre i confini degli Stati Uniti e potrebbe colpire le infrastrutture critiche.

La CISA si muove per contenere le violazioni

La CISA ha agito rapidamente dopo aver confermato che le intrusioni avevano raggiunto le reti federali.

Chris Butera, vice vicedirettore esecutivo della divisione sicurezza informatica della CISA, ha affermato che la minaccia è "diffusa" e ha sottolineato che anche le aziende private e altri enti governativi dovrebbero agire.

Sebbene la direttiva si applichi solo alle agenzie civili, la portata dell'incidente ha suggerito un rischio più ampio per le infrastrutture critiche negli Stati Uniti.

Bloomberg riporta che le vittime specifiche non sono state divulgate, ma l'indagine della CISA ha confermato che i dispositivi compromessi erano attivi all'interno dei sistemi governativi.

Cisco svela gli hacker di ArcaneDoor

Cisco ha identificato gli hacker come ArcaneDoor, un gruppo che conduce campagne di cyber-spionaggio dal 2024. L'azienda ha dichiarato di essere stata ingaggiata per la prima volta da agenzie governative nel maggio 2025 per indagare sugli attacchi firewall.

Cisco ha emesso un avviso di sicurezza che specificava che gli aggressori avevano sfruttato le falle nei suoi dispositivi per impiantare codice, eseguire comandi e potenzialmente rubare dati sensibili.

Le vulnerabilità hanno permesso agli hacker di aggirare le difese, rendendo i sistemi federali un obiettivo primario. I risultati di Cisco hanno mostrato che negli ultimi mesi ArcaneDoor ha spostato la sua attenzione dallo spionaggio globale alle entità statunitensi.

Allerte internazionali e rischi in espansione

L'NCSC del Regno Unito ha fatto eco agli avvertimenti della CISA, osservando che le vulnerabilità potrebbero essere utilizzate per impiantare codice dannoso nelle reti.

Il suo avviso ha sottolineato che gli attacchi non erano limitati alle agenzie statunitensi, sollevando preoccupazioni sui rischi per i partner internazionali. Anche la società di sicurezza informatica Palo Alto Networks ha confermato di aver monitorato ArcaneDoor dallo scorso anno.

Sam Rubin, vicepresidente senior del team Unit 42 di Palo Alto, ha affermato che il gruppo ha cambiato i suoi metodi nel tempo, intensificando le sue campagne mentre si rivolgevano agli Stati Uniti.

Rubin ha aggiunto che i gruppi di criminali informatici probabilmente sfrutteranno gli stessi difetti dopo l'esposizione di queste tattiche di spionaggio.

Infrastrutture federali e settore privato in allerta

La dichiarazione della CISA ha confermato che le violazioni potrebbero interessare le infrastrutture critiche negli Stati Uniti, anche se non sono stati forniti ulteriori dettagli.

I funzionari federali hanno esortato le aziende private ad adottare le stesse misure di protezione, evidenziando la potenziale diffusione della campagna oltre i sistemi governativi.

L'operazione ArcaneDoor è vista come un'escalation significativa, con la capacità di impiantare malware, esfiltrare dati e interrompere le reti essenziali.

Gli avvertimenti sottolineano come le vulnerabilità in dispositivi ampiamente utilizzati come i firewall Cisco creino rischi sistemici, rendendo urgenti le risposte alla sicurezza informatica sia nel settore governativo che in quello privato.