La Communications Security Establishment (CSE), l'agenzia di intelligence segnaletica canadese equivalente della NSA statunitense, ha rivelato nel suo report annuale pubblicato la scorsa settimana di aver condotto nel 2025 tre operazioni cyber offensive autorizzate contro gruppi criminali stranieri. L'agenzia ha anche documentato dieci distruzioni tecniche contro gang ransomware e un'operazione difensiva contro una campagna di phishing mirata a istituzioni governative canadesi. La trasparenza è insolita per un'agenzia Five Eyes.
- La CSE ha condotto nel 2025 tre "active cyber operations" offensive autorizzate contro un gang ransomware-as-a-service, broker di precursori chimici per fentanyl e un gruppo estremista violento straniero.
- Dieci "authorized technical disruptions" hanno reso inutilizzabili parti dell'infrastruttura di altrettante gang ransomware.
- Un'operazione difensiva ha contrastato una campagna phishing contro istituzioni federali canadesi.
- Il report non rivela ubicazione geografica dei target, tecniche operative specifiche né esiti giudiziari; l'identità dei gruppi criminali rimane anonima.
Le tre operazioni offensive: target e risultati dichiarati
La prima operazione ha preso di mira un gang ransomware-as-a-service operante all'estero. La CSE dichiara di aver reso inoperabile l'infrastruttura del gruppo e di aver cancellato dal dark web una grande quantità di dati rubati che venivano pubblicizzati in vendita.
La seconda operazione ha targettato broker di precursori chimici utilizzati per la produzione di fentanyl. L'agenzia afferma di aver "disrupted and diminished" le loro capacità operative.
La terza ha colpito un gruppo estremista violento straniero che reclutava membri in Canada. L'obiettivo dichiarato era minarne la credibilità e limitarne la capacità di radicalizzazione e reclutamento.
"The three separate hacks — revealed in a report released last week by the country's NSA-equivalent Communications Security Establishment (CSE) — were 'active cyber operations' on foreign groups posing a threat to Canada" — The Record, riferendo il report CSE
Questa tripartizione di target — crimine informatico, traffico di droga, estremismo violento — segnala una definizione ampia della minaccia nazionale che giustifica operazioni offensive cyber sotto il mandato della CSE.
Dieci distruzioni tecniche contro il ransomware
Accanto alle tre operazioni strutturali, la CSE ha condotto "authorized technical disruptions" contro dieci major ransomware gangs nel corso del 2025. La formulazione tecnica è precisa: l'obiettivo era rendere inutilizzabili parti dell'infrastruttura dei gruppi criminali, non semplicemente raccogliere intelligence o monitorarne l'attività.
La distinzione tra "active cyber operations" e "technical disruptions" nel report CSE suggerisce una tassonomia interna che separa operazioni di più ampio respiro da interventi mirati e probabilmente più rapidi. La fonte non specifica se le dieci distruzioni siano state coordinate temporalmente o distribuite nell'arco dell'anno.
L'operazione difensiva e il perimetro governativo
TechCrunch riporta un quarto intervento: un'operazione difensiva contro una campagna di phishing diretta a istituzioni federali canadesi. L'inclusione di questo dato nel report annuale mostra la CSE mentre comunica sia azioni offensive che difensive, costruendo un quadro di attività continuativa nel cyberspazio.
La fonte non specifica se la campagna phishing fosse collegata a uno dei gruppi criminali già menzionati o a un attore distinto. Il report CSE non rivela dettagli sul vettore iniziale dell'operazione difensiva.
Il confronto con l'opacità delle altre agenzie Five Eyes
La disclosure CSE si colloca in contrasto netto con la pratica di US Cyber Command e della NSA statunitense, che raramente confermano operazioni offensive individuali in tempo reale o con target identificati per categoria. Il Cyber Command statunitense ha in alcuni casi rilasciato comunicazioni aggregate su operazioni contro ransomware, ma la granularità del report canadese — numero preciso di operazioni, tipologia di target, risultato dichiarato — resta eccezionale nel panorama Five Eyes.
La scelta della trasparenza solleva due letture contrapposte. Da un lato, la pubblicazione dettagliata costituisce segnale deterrente: i gruppi criminali che targettano il Canada devono ora integrare nel proprio calcolo di rischio la possibilità concreta di distruzione infrastrutturale da parte di un'agenzia statale. Dall'altro, ogni elemento di disclosure alimenta l'analisi avversaria su metodi, priorità e timing operativo della CSE.
Cosa cambia
Per le organizzazioni canadesi, il report CSE 2025 conferma che l'agenzia interviene attivamente contro minacce che colpiscono direttamente il territorio nazionale, ma non fornisce indicazioni operative per la difesa autonoma. Tre implicazioni concrete emergono dal dossier.
Primo: le dieci distruzioni tecniche contro gang ransomware indicano che la CSE considera il ransomware una minaccia prioritaria di sicurezza nazionale, non solo un problema di criminalità informatica ordinaria. Le organizzazioni che subiscono attacchi ransomware non possono presumere di essere isolate da un intervento statale preventivo.
Secondo: l'operazione difensiva anti-phishing governativo mostra che la CSE monitora attivamente campagne di ingegneria sociale contro istituzioni federali. Le agenzie governative canadesi hanno accesso a un livello di protezione attiva che non è documentato per il settore privato critico.
Terzo: l'anonimato dei gruppi target e l'assenza di dettagli tecnici impediscono alle vittime private di verificare se una specifica gang che le ha colpite rientri tra quelle neutralizzate. La disclosure strategica della CSE non si traduce in actionable intelligence per i difensori privati.
Chiusura editoriale
Il report CSE 2025 segna un punto di riferimento nella trasparenza delle operazioni cyber offensive. Tre operazioni attive, dieci distruzioni tecniche e un'intervento difensivo: 14 operazioni documentate in un anno per un'agenzia che fino a poco tempo fa non confermava quasi nulla. La misura stessa della disclosure — precisa sui numeri, opaca sui nomi e sulle tecniche — riflette una calibrazione strategica che bilancia segnalazione di forza contro sicurezza operativa. Resta da vedere se questo livello di trasparenza si ripeterà nei report futuri o se rappresenta un'eccezione legata al contesto politico del 2025.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://therecord.media/canada-cse-2025-cyber-operations-ransomware-drugs-extremism
- https://techcrunch.com/2026/07/06/canadian-spy-agency-says-it-hacked-drug-traffickers-extremists-and-a-ransomware-gang-last-year/
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://nvd.nist.gov/vuln/detail/CVE-2025-43529
- https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
- https://www.recordedfuture.com/research/2026-fifa-world-cup-threats
- https://abcnews.com/US/addicted-hacking-young-hacker-historic-breach-speaks-1st/story?id
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments