Foxconn conferma cyberattack, Nitrogen rivendica 8TB di dati

Foxconn conferma cyberattack, Nitrogen rivendica 8TB di dati

Foxconn ha confermato il 12 maggio 2026 che un cyberattack ha colpito alcune fabbriche nordamericane. Nelle stesse ore, il gruppo ransomware Nitrogen ha rivendicato l'intrusione dichiarando di aver esfiltrato circa 8 terabyte di dati e quasi 11 milioni di file. L'incidente, che aveva già causato interruzioni operative nel sito del Wisconsin dal venerdì precedente, solleva interrogativi immediati sulla resilienza cybersecurity del più grande contract manufacturer mondiale di elettronica.

Sistemi in tilt nel Wisconsin: la conferma del portavoce

In un'email inviata a The Record, il portavoce di Foxconn ha confermato che alcune fabbriche nordamericane sono state colpite da un cyberattack. L'azienda non ha tuttavia fornito il numero esatto né un elenco completo degli impianti interessati. Secondo quanto riportato dalle fonti, i siti citati nella rivendicazione includono stabilimenti nel Wisconsin, Ohio, Texas, Virginia, Indiana e Messico, ma questa geografia deriva dalla comunicazione del gruppo criminale e non da un bollettino ufficiale dell'azienda.

Al sito di Mount Pleasant, nel Wisconsin, l'impatto è stato tangibile già dal venerdì precedente alla conferma. Un dipendente, intervistato da DysruptionHub e citato da The Record, ha riferito che la connessione Wi-Fi era caduta, i computer erano inutilizzabili e il personale era costretto a ricorrere a carta e penna per svolgere i compiti quotidiani. Foxconn aveva già ammesso in precedenza la presenza di "technical issues" nel centro, senza allora utilizzare la dizione di cyberattack.

La risposta aziendale è stata immediata. Il portavoce ha dichiarato che il team di cybersecurity ha attivato il protocollo di incident response e che le fabbriche stanno tornando alla produzione normale. Sebbene rassicurante sul piano operativo, la comunicazione non chiarisce se i sistemi siano stati anche cifrati oltre che violati per l'esfiltrazione, né fornisce dettagli sulla modalità di intrusione iniziale.

"The cybersecurity team immediately activated the response mechanism and implemented multiple operational measures to ensure the continuity of production and delivery. The affected factories are currently resuming normal production." — Portavoce Foxconn a The Record

Nitrogen sul dark web: circa 8TB e la minaccia di pubblicazione

Il gruppo ransomware Nitrogen ha pubblicato la rivendicazione dell'attacco lunedì 11 maggio 2026. Nell'annuncio, il collettivo ha dichiarato di aver sottratto circa 8 terabyte di dati e quasi 11 milioni di file. La quantità e il contenuto delle informazioni non sono verificabili indipendentemente al momento, ma Silicon Republic ha riferito che il gruppo ha allegato campioni di file pubblicati su un portale del dark web.

Nella rivendicazione, Nitrogen ha indicato che tra i documenti esfiltrati figurerebbero informazioni tecniche relative a progetti di Intel, Apple, Google, Dell e Nvidia. Questa lista di clienti potenzialmente coinvolti si basa unicamente sulla dichiarazione del gruppo criminale e non su una conferma forense o ufficiale. Non è inoltre chiaro se l'attacco abbia compromesso direttamente i sistemi dei clienti o soltanto l'infrastruttura interna di Foxconn.

Non è stato reso pubblico, al momento della stesura, un importo specifico di riscatto né è stata confermata l'eventuale cifratura dei server produttivi. L'assenza di un comunicato forense da parte di vendor di sicurezza coinvolti nell'indagine lascia aperto il quadro sulle tecniche di doppia estorsione effettivamente adottate in questa specifica campagna.

Il pedigree del gruppo: dal codice Conti alle fabbriche Foxconn

Nitrogen non è un'entità nuova nel panorama delle minacce. Secondo i ricercatori di Barracuda Networks, citati da The Record, "Nitrogen is a sophisticated and financially motivated threat group that was first observed as a malware developer and operator in 2023". Il gruppo impiega un decryptore derivato dal codice sorgente del ransomware Conti, trapelato nel 2022, che ne definisce il DNA tecnico e lo colloca nella galassia delle operazioni basate su codebase ormai diffuso.

Silicon Republic ha riportato analisi contestuali di StepSecurity sul decryptore impiegato, confermando la discendenza dal codice Conti. L'uso di un builder noto non implica necessariamente una minore pericolosità. Al contrario, la maturità operativa del gruppo — testimoniata dalla capacità di colpire un target di dimensione globale come Foxconn, che nel 2025 ha registrato un fatturato di circa 258,3 miliardi di dollari — suggerisce competenze avanzate nella ricognizione e nell'accesso iniziale.

Foxconn era già stata bersaglio di attacchi ransomware negli anni precedenti, ma il dossier non collega direttamente gli incidenti del 2020, 2022 e 2024 alla matrice attuale. La conferma di un nuovo attacco a distanza di mesi solleva però interrogativi strutturali sulla postura difensiva di un player critico dell'industria globale.

Il divario tra comunicazione aziendale e rischio proprietà intellettuale

Foxconn ha scelto una linea comunicativa che sottolinea la continuità operativa. La ripresa della produzione normale è il messaggio dominante, coerente con il ruolo di Foxconn come anello critico nella supply chain di alcuni dei principali vendor di elettronica al mondo. Tuttavia, la rivendicazione di Nitrogen introduce un secondo capitolo che l'azienda non può archiviare con un bollettino produttivo: la possibile fuoriuscita di disegni tecnici e documentazione ingegneristica.

Qui si gioca il paradosso della supply chain globale. Un contract manufacturer gestisce dati proprietari di terzi su scala industriale, ma la sua comunicazione pubblica prioritizza necessariamente la linea di montaggio. Se i campioni pubblicati sul dark web fossero autentici, le conseguenze non riguarderebbero solo Foxconn, ma l'intero ecosistema dei suoi committenti.

L'impatto reale risiede proprio in questa incognita. La produzione riparte, ma i dati potrebbero essere già fuori controllo. Per i giganti tech che affidano a Foxconn la produzione dei propri dispositivi, il problema non è oggi sulla linea di montaggio, bensì nella verifica — che richiederà settimane se non mesi — di cosa sia effettivamente uscito dai server.

Cosa fare adesso

Le organizzazioni connesse alla supply chain Foxconn, e in particolare i partner industriali con dati tecnici ospitati sui sistemi del contract manufacturer, dovrebbero avviare quattro azioni prioritarie.

Primo, verificare l'integrità e l'isolamento fisico e logico dei backup di produzione e dei repository documentali, dato che il modus operandi di Nitrogen include la doppia estorsione con esfiltrazione massiva. Secondo, condurre un audit immediato degli accessi storici alle risorse contenenti disegni e specifiche dei clienti citati nella rivendicazione, per mappare quali directory siano state potenzialmente toccate anche senza conferma ufficiale.

Terzo, intensificare il monitoraggio dei mercati del dark web e dei forum specializzati, poiché il gruppo ha già pubblicato campioni di file e potrebbe rilasciare l'intero archivio nelle prossime settimane. Quarto, isolare segmenti di rete industriale e ridurre la superficie di attacco sui protocolli di accesso remoto, considerando che il codebase derivato da Conti sfrutta spesso tecniche di movimento laterale una volta ottenuto il primo accesso.

L'incidente dimostra che la scala industriale non costituisce automaticamente un riparo contro ransomware che sfruttano codice diffuso e accessi compromessi. La conferma ufficiale di Foxconn chiude la fase della negoziazione mediatica sul fatto dell'attacco, ma apre un'altra sul contenuto effettivo dei dati esfiltrati. Per i giganti tech che affidano a Foxconn la produzione dei propri dispositivi, la vera posta in gioco non è il riavvio degli stabilimenti, bensì la verifica — che richiederà settimane se non mesi — di cosa sia effettivamente uscito dai server.

Domande frequenti

Quale gruppo ha rivendicato l'attacco a Foxconn?

Il gruppo ransomware Nitrogen, attivo dal 2023 e specializzato in operazioni con doppia estorsione. I ricercatori di Barracuda Networks lo descrivono come un'entità finanziariamente motivata che impiega codice derivato dal builder del ransomware Conti.

Foxconn ha confermato il furto di dati dei clienti Intel, Apple o Nvidia?

No. Foxconn ha confermato solo il cyberattack alle fabbriche nordamericane e la ripresa della produzione. L'elenco dei clienti e la natura tecnica dei file rubati derivano esclusivamente dalla rivendicazione di Nitrogen, non verificata indipendentemente.

L'attacco si è limitato al sito del Wisconsin?

No. Sebbene il sito di Mount Pleasant abbia subito interruzioni documentate da un dipendente, la rivendicazione del gruppo e i report citano anche stabilimenti in Ohio, Texas, Virginia, Indiana e Messico. Foxconn non ha fornito un elenco ufficiale completo delle fabbriche colpite.

Fonti

• https://www.cybersecurity-insiders.com/foxconn-confirms-ransomware-attack/
• https://therecord.media/foxconn-confirms-cyberattack-north-american-factories
• https://www.siliconrepublic.com/enterprise/foxconn-cyberattack-nitrogen-data-breach

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.cybersecurity-insiders.com/foxconn-confirms-ransomware-attack/
• https://therecord.media/foxconn-confirms-cyberattack-north-american-factories
• https://www.siliconrepublic.com/enterprise/foxconn-cyberattack-nitrogen-data-breach