L’Advanced Persistent Threat (APT) è una minaccia persistente avanzata cioè una forma di minaccia informatica. Essa è attivata da un avversario dotato di risorse significative e competenze avanzate, in grado di impiegare molteplici vettori di attacco — tra cui il cyberspazio, strumenti fisici e tecniche di inganno — per perseguire obiettivi quali l’esfiltrazione di dati sensibili, l’ostruzione di funzioni critiche o l’infiltrazione prolungata nei sistemi informativi.
La complessità di tali attacchi si manifesta, tra l’altro, nell’abituale condotta di occultamento delle tracce lasciate e nell’impiego di credenziali legittime per accedere a reti esterne rispetto a quella della vittima. L’attaccante utilizza anche le cd. Tecniche di movimento laterale, che gli consentono di estendere la propria presenza all’interno della rete compromessa, infettando ulteriori dispositivi o utenze.
Le APT si distinguono per la loro persistenza temporale, l’adattabilità alle contromisure difensive e la capacità di mantenere un’interazione continuativa con i sistemi violati, sia a fini di spionaggio cibernetico sia per altre forme di intrusione mirata, anche non digitali.
Gli illeciti penalmente rilevanti che si possono configurare in relazione a tali attacchi sono molteplici e variano in base al contesto. Tuttavia, da un punto di vista penalistico, le APT sottendono un disegno criminoso unitario: da una prospettiva teorica, sono riconducibili all’istituto del reato continuato; da un punto di vista tecnico, si concretizzano in una serie di violazioni eterogenee, reiterate, difficili da identificare e da ricondurre a un unico soggetto.
Il modus operandi consente di attribuire gli attacchi a determinati gruppi organizzati. Alcuni di essi, come APT31, si contraddistinguono per l’impiego di botnet realizzate sfruttando router domestici compromessi; altri, come Mustang Panda, adottano tecniche più convenzionali ma comunque efficaci, tra cui l’uso di dispositivi USB infetti.