Gli attacchi ICS/OT aumentano con l'intensificarsi delle minacce
Negli ultimi due anni, gli attacchi contro i sistemi di controllo industriale e la tecnologia operativa sono passati dall'essere un rischio teorico a diventare una realtà operativa. Gli Stati-nazione non si limitano più a prepararsi all'interno delle infrastrutture critiche: stanno passando all'azione. I wiper hanno superato il ransomware come arma preferita dagli attori sponsorizzati dallo Stato che prendono di mira gli ambienti OT. Un unico schema accomuna quasi tutti i principali incidenti: un file dannoso ha varcato un confine di sicurezza che nessuno stava controllando.
Questo articolo offre una panoramica del panorama delle minacce ICS/OT dal 2024 fino all'inizio del 2026, non come un semplice elenco di nomi di APT e codici CVE, ma come una narrazione. Inizieremo con una visione d'insieme: cosa è successo e quando. Successivamente, analizzeremo chi c'è dietro questi attacchi, come sono stati condotti e, infine, esamineremo un incidente nel dettaglio per illustrare come si presenta dall'interno un moderno attacco wiper contro un sistema ICS.
Cifre chiave
- Nel 2025, 119 gruppi di ransomware hanno preso di mira attivamente gli ambienti OT, con un aumento del 49% rispetto agli 80 del 2024
- Oltre i due terzi delle vittime del ransomware OT erano aziende manifatturiere, il settore più colpito in assoluto
- Volt Typhoon ha operato inosservato all'interno della rete OT di un'azienda elettrica statunitense per oltre 300 giorni
- Solo nel biennio 2024-2025 si sono verificate sei campagne di attacchi informatici contro sistemi ICS/OT, un numero superiore a quello registrato in qualsiasi altro periodo analogo
Panoramica della cronologia degli incidenti ICS/OT
Prima di analizzare chi ci sia dietro questi attacchi o come funzionino, è utile osservarli in una cronologia. La tabella sottostante riporta tutti gli incidenti significativi relativi agli ICS/OT verificatisi in questo periodo — classificati per settore, autore della minaccia e area geografica — in modo da potersi orientare prima di approfondire l'argomento.
Data | Incidente | Settore | Attore | Geografia |
Aprile 2026 | Un gruppo APT iraniano che sfrutta i PLC Rockwell — causando interruzioni delle operazioni in tutta l'infrastruttura critica degli Stati Uniti | Energia Acqua Amministrazione pubblica | IRGC-CEC / Gruppo CyberAv3ngers | Stati Uniti |
Marzo 2026 | Handala Wiper mette fuori uso Stryker: secondo quanto riferito, sono stati cancellati oltre 200.000 dispositivi in 79 paesi | Assistenza sanitaria | Handala / Manticora del Vuoto (MOIS) | A livello mondiale (79 paesi) |
2025 | DynoWiper punta alla rete elettrica polacca e alle risorse energetiche distribuite (DER) rinnovabili | Energia | Sandworm / ELECTRUM (GRU) | Polonia (NATO) |
2025 | PathWiper utilizzato contro le infrastrutture critiche ucraine | Infrastrutture critiche | Collegamento con la Russia | Ucraina |
2025 | BAUXITE / Campagna promozionale BlueWipe-SewerGoo | Accumulo di energia | BAUXITE (IRGC-CEC) | Israele |
2025 | PYROXENE Wiper prende di mira il settore pubblico e le infrastrutture critiche | Infrastrutture critiche governative | PYROXENE (IRGC-CEC / APT35) | Israele, Albania |
2025 | SYLVANITE → VOLTZITE: violazioni della catena di approvvigionamento | Energia Acqua | legato allo Stato cinese | Stati Uniti |
2025 | KAMACITE sta analizzando obiettivi industriali negli Stati Uniti | Produzione | Russia (legata al GRU) | Stati Uniti |
2025 | Z-PENTEST compromette l'interfaccia uomo-macchina (HMI) di una diga norvegese | Acqua/Diga | Z-PENTEST (filorusso) | Norvegia |
Gennaio 2024 | FrostyGoop interrompe il sistema di teleriscaldamento di Leopoli tramite Modbus TCP | Energia/Riscaldamento | legato alla Russia | Ucraina |
2024 | Volt Typhoon / VOLTZITE — Oltre 300 giorni presso un'azienda di servizi pubblici statunitense | Energia Acqua | RPC (Volt Typhoon) | Stati Uniti |
2024 | AcidPour prende di mira le infrastrutture di telecomunicazione ucraine | Telecomunicazioni | Sandworm (GRU) | Ucraina |
2024 | Sandworm Spring — attacco alla catena di approvvigionamento nei settori dell'energia e dell'acqua | Energia Acqua | Sandworm (GRU) | Ucraina |
Agosto 2024 | Halliburton colpita da RansomHub — danni per 35 milioni di dollari | Petrolio e gas | RansomHub | Stati Uniti |
2024 | Fuxnet distrugge l'infrastruttura dei sensori dei servizi pubblici di Mosca | Utilità | BlackJack (collegato all'Ucraina) | Russia |
Settembre 2024 | Ransomware contro l'impianto di trattamento delle acque di Arkansas City (Kansas) | Acqua | Ransomware Hazard | Stati Uniti |
2023–24 | CyberAv3ngers / IOCONTROL — Oltre 75 dispositivi compromessi in impianti idrici degli Stati Uniti | Acqua | IRGC (Iran) | Stati Uniti, Israele |
Gennaio 2024 | Troppo pieno del serbatoio dell'acqua a Muleshoe, Texas, tramite HMI visibile | Acqua | CyberArmyofRussia_Reborn | Stati Uniti |
Aumento delle campagne di wiper e ampliamento degli obiettivi OT
Il ritmo sta accelerando. Il solo 2025 ha visto un numero di campagne di attacchi informatici contro i sistemi ICS/OT superiore a quello di qualsiasi anno precedente. La diffusione geografica si è ampliata, estendendosi oltre il teatro ucraino-russo fino a raggiungere Stati membri della NATO come la Polonia, l’Europa occidentale (compresa la Norvegia) e il Medio Oriente (compreso Israele). Anche la diversificazione settoriale si è estesa oltre i settori dell’energia e dell’acqua, interessando ora anche la sanità, le telecomunicazioni e l’industria manifatturiera.
Questi attacchi colpiscono paesi, settori e vittime diverse, ma hanno tutti lo stesso inizio: un file che è sfuggito a tutti. Basta aprirne uno solo per rendersi subito conto che è stato creato per distruggere.
Gli Stati-nazione e i gruppi di hacktivisti Drive degli attacchi contro i sistemi Drive
La cronologia sopra riportata è fitta, ma non è casuale. Gli episodi ruotano attorno a un numero ristretto di gruppi di attori, ciascuno con motivazioni, capacità e obiettivi preferiti ben definiti.
La Russia — ancora la principale fonte di minacce per gli ICS
Gli attori legati alla Russia rappresentano la quota maggiore delle attività dirette contro i sistemi ICS in questo periodo, operando attraverso diversi gruppi con ruoli diversi.
Sandworm (ELECTRUM) rimane l'attore malintenzionato più temibile al mondo nel settore dei sistemi di controllo industriale (ICS). La campagna condotta nel dicembre 2025 contro la rete elettrica polacca ha preso di mira circa 30 siti di energia distribuita, tra cui impianti di cogenerazione e sistemi di gestione delle energie rinnovabili, quali quelli eolici e solari. Si è trattato del primo grande attacco informatico coordinato su larga scala diretto contro le risorse energetiche distribuite.
Il malware DynoWiper utilizzato in quell'attacco era un wiper Windows PE impiegato contro le infrastrutture energetiche. Ha cancellato i dati dai computer Windows presenti nei siti DER e ha reso irreparabilmente inutilizzabili alcune apparecchiature OT e ICS. Sebbene non si siano verificate interruzioni di corrente, gli autori dell'attacco sono riusciti ad accedere a sistemi di tecnologia operativa fondamentali per il funzionamento della rete elettrica.
In precedenza, la loro campagna PathWiper aveva preso di mira le infrastrutture critiche ucraine utilizzando un dropper VBScript abbinato a un wiper PE in grado di distruggere l'MBR e MFT di sovrascrivere i file su tutte le unità. Nel 2024 hanno impiegato AcidPour, un wiper ELF per Linux, contro le infrastrutture di telecomunicazione ucraine e hanno orchestrato un attacco alla catena di approvvigionamento rivolto ai sistemi energetici e idrici.
KAMACITE funge da livello infrastrutturale di supporto. Nel 2025, questo gruppo legato al GRU è stato osservato mentre effettuava operazioni di ricognizione su obiettivi industriali statunitensi, nell'ambito di attività di preparazione che storicamente precedono le operazioni distruttive di ELECTRUM.
Cina: paziente, profonda e in continua espansione
L'approccio della Cina è sostanzialmente diverso da quello della Russia. Mentre gli attori russi distruggono, quelli cinesi perseverano.
È stato accertato che VOLTZITE (Volt Typhoon) è rimasto all'interno della rete OT di un'azienda elettrica statunitense per oltre 300 giorni, sottraendo dati relativi ai sistemi GIS e alle configurazioni dei sistemi OT. Non si è trattato di spionaggio fine a se stesso. Il modello di preparazione osservato è coerente con i preparativi per un futuro attacco alle infrastrutture elettriche statunitensi.
Nel 2025, il broker di accesso iniziale SYLVANITE ha rapidamente sfruttato le vulnerabilità presenti negli apparecchi VPN Ivanti, nei dispositivi F5 e in altre infrastrutture periferiche. Questi punti di appoggio sono stati poi inseriti nella pipeline VOLTZITE per consentire intrusioni più profonde nei sistemi OT. Gli obiettivi sono stati estesi fino a includere sia le aziende elettriche che quelle idriche.
AZURITE, un gruppo individuato di recente e segnalato nel 2025, rappresenta un'escalation degli attacchi contro le infrastrutture OT collegati alla Cina. AZURITE sta prendendo di mira attivamente le workstation dei reparti di ingegneria OT nei settori manifatturiero, della difesa e automobilistico negli Stati Uniti, in Australia e in Europa. Il gruppo si concentra sull'esfiltrazione di schemi di rete, dati relativi agli allarmi e configurazioni dei processi.
Iran — oltrepassare il limite e arrivare alla violenza fisica
In questo periodo, gli attori sostenuti dallo Stato iraniano hanno compiuto una svolta decisiva, passando da un approccio opportunistico a un attacco mirato e deliberato ai processi fisici.
Nel periodo 2023–2024, il gruppo CyberAv3ngers (BAUXITE / IRGC) ha compromesso oltre 75 dispositivi in diverse strutture idriche statunitensi, arrivando persino a prendere il controllo diretto di un PLC in una stazione di pompaggio in Pennsylvania. Il loro malware IOCONTROL, un file binario Linux con un sistema di comando e controllo basato su MQTT integrato nei pacchetti di aggiornamento del firmware dei dispositivi, è stato appositamente progettato per compromettere i dispositivi OT. Nel 2025, il gruppo BAUXITE ha distribuito varianti del wiper BlueWipe-SewerGoo contro le infrastrutture energetiche e di stoccaggio israeliane.
Nel 2025, PYROXENE (IRGC-CEC, con sovrapposizioni con APT35) ha preso di mira infrastrutture critiche e reti governative in Israele e in Albania. Il gruppo ha utilizzato una combinazione di tecniche di ingegneria sociale e compromissione della catena di approvvigionamento per distribuire payload di tipo "wiper" in formato PE.
Handala incarna il confine sempre più labile tra l'hacktivismo e la distruzione orchestrata dallo Stato. Considerato da diverse agenzie di intelligence sulle minacce come una copertura per un attore malintenzionato denominato Void Manticore, finanziato dal Ministero dell'Intelligence e della Sicurezza iraniano, il gruppo è emerso alla fine del 2023 e da allora ha condotto operazioni di wiper contro obiettivi israeliani.
Il loro kit di strumenti è tecnicamente sofisticato. Le e-mail di phishing, spesso redatte in un ebraico fluente, contengono un programma di installazione NSIS che avvia uno script AutoIT per iniettare il wiper in un processo Windows legittimo. Il payload finale sovrascrive i file con dati casuali, ottiene privilegi elevati sfruttando un driver vulnerabile ed esfiltra le informazioni di sistema tramite API di Telegram API distruggere i dati.
Questo programma di installazione è composto da molte parti in movimento: file suddivisi, rinominati con nomi fittizi e comandi assemblati man mano che viene eseguito. Ma ogni fase consiste in realtà semplicemente nell'inserimento e nell'esecuzione di un altro file. L'analisi del campione rivela l'intera sequenza prima che il wiper cancelli qualsiasi cosa.
Nel marzo 2026, Handala ha colpito Stryker, un produttore di dispositivi medici presente nella classifica Fortune 500, cancellando i dati dai dispositivi in 79 paesi sfruttando Microsoft Intune, la piattaforma di gestione degli endpoint dell'azienda. Per la fase distruttiva non è stato necessario alcun malware personalizzato. L'accesso a livello di amministratore a Intune ha fornito un "kill switch" centralizzato per i dispositivi registrati.
Nell'aprile 2026, un avviso congiunto emesso da sei agenzie statunitensi ha segnalato che lo stesso gruppo iraniano stava attivamente compromettendo i PLC Rockwell connessi a Internet presso strutture governative, idriche ed energetiche almeno dal marzo 2026. Gli aggressori hanno utilizzato software di progettazione Rockwell legittimo per manomettere i file di progetto dei PLC e manipolare i display degli operatori sfruttando una vulnerabilità nota che consentiva di aggirare l'autenticazione (CVE-2021-22681). Si è trattato di un'interruzione attiva dei processi industriali sul suolo americano.
Hacktivisti: arrivare al livello fisico
In questo periodo i gruppi di hacktivisti filorussi hanno superato una soglia critica. Nel 2025, Z-PENTEST è riuscito a compromettere un'interfaccia uomo-macchina (HMI) collegata a Internet presso una diga norvegese sfruttando una password debole, ottenendo così la possibilità di manipolare i sistemi fisici di controllo dell'acqua. CyberArmyofRussia_Reborn è riuscito ad accedere a un'interfaccia uomo-macchina (HMI) a Muleshoe, in Texas, provocando il traboccamento di un serbatoio d'acqua prima che il personale passasse al funzionamento manuale.
Non si tratta di attacchi sofisticati. Sono semplici, opportunistici e sempre più gravi. La soglia per causare interruzioni fisiche negli ambienti OT è più bassa di quanto molti operatori credano.
Gli attacchi basati su file, i wiper e il pivoting tra IT e OT caratterizzano le intrusioni negli ICS/OT
Se si considerano tutti questi episodi, che coinvolgono attori, settori e aree geografiche diversi, emerge una serie di modelli ricorrenti.
I raschietti sono diventati lo strumento distruttivo per eccellenza
Si tratta della tendenza più significativa nell'ambito delle minacce rivolte ai sistemi ICS e OT. Solo nel periodo 2024-2025, almeno sei distinte campagne wiper hanno preso di mira ambienti industriali e infrastrutture critiche: DynoWiper contro il settore energetico polacco, PathWiper contro le infrastrutture critiche ucraine, AcidPour contro le telecomunicazioni ucraine, BAUXITE o BlueWipe-SewerGoo contro il settore energetico israeliano, PYROXENE contro il governo e le infrastrutture critiche in Israele e Albania, e Handala contro il settore sanitario globale.
I programmi di cancellazione dei dati stanno diventando sempre più mirati. DynoWiper è stato utilizzato specificatamente contro le infrastrutture energetiche in Polonia, cancellando i dati dai computer basati su Windows presenti in siti di produzione energetica distribuita e rendendo irrecuperabili alcune apparecchiature OT. PathWiper distrugge l'MBR e MFT sovrascrivere i file, rendendo il recupero il più difficile possibile. AcidPour prende di mira i dispositivi Linux embedded, cancellando i volumi UBI e le partizioni Device Mapper utilizzati nelle apparecchiature OT.
L'attacco Stryker sferrato da Handala ha messo in luce un diverso tipo di evoluzione. Anziché distribuire malware personalizzato su larga scala, gli aggressori hanno sfruttato uno strumento di gestione aziendale legittimo, denominato Microsoft Intune, per inviare contemporaneamente un comando di cancellazione di massa a tutti i dispositivi registrati. Ciò ha di fatto trasformato l'infrastruttura stessa dell'organizzazione in un'arma. Non si tratta di strumenti generici riadattati per l'OT, bensì di strumenti progettati o adattati appositamente per gli ambienti su cui agiscono.
Il malware specifico per ICS sta diventando sempre più sofisticato
FrostyGoop merita un'attenzione particolare in quanto rappresenta una pietra miliare. Lanciato contro la rete di teleriscaldamento di Leopoli nel gennaio 2024, è stato il primo malware a sfruttare direttamente il protocollo Modbus TCP in un ambiente operativo. Scritto in Go e compilato come file binario PE per Windows, è stato introdotto attraverso la rete di ingegneria, passando dall'IT all'OT tramite un trasferimento di file. L'attacco ha lasciato più di 600 condomini senza riscaldamento per due giorni, con temperature sotto lo zero.
FrostyGoop è importante perché il protocollo Modbus TCP è ampiamente utilizzato negli ambienti industriali di tutto il mondo. Questo malware ha dimostrato che gli hacker non si limitano più a prendere di mira le workstation Windows adiacenti alle infrastrutture OT. Ora stanno scrivendo codice in grado di comunicare direttamente con i protocolli industriali.
Lo scopo di FrostyGoop è chiaramente indicato nel codice che carica: le librerie che importa esistono per un unico motivo: comunicare con i controllori industriali
Ogni violazione OT ha una fase nella sua catena di attacco
Questo è il denominatore comune. In ogni singolo episodio riportato nella cronologia, indipendentemente dall'autore, dal settore o dall'area geografica, un file dannoso ha superato un confine di fiducia in un punto qualsiasi della catena di attacco:
- I malware sono stati distribuiti sotto forma di file eseguibili PE, dropper VBScript e file binari ELF per Linux.
- L'attacco alla catena di approvvigionamento ha sfruttato pacchetti di installazione e aggiornamenti software infettati da trojan.
- L'attacco di spearphishing ha diffuso documenti dannosi, tra cui file Excel contenenti macro VBA e file OneNote con payload incorporati.
- Il malware specifico per ICS si è diffuso sotto forma di file binari Go compilati, come FrostyGoop, payload Python, come Triton e COSMICENERGY, e file binari PE personalizzati, come Industroyer2 e DynoWiper.
- Anche campagne di tipo "living-off-the-land" come Volt Typhoon hanno lasciato tracce digitali, tra cui web shell, script per il movimento laterale e strumenti per la raccolta di credenziali, inseriti nei sistemi compromessi.
- I payload dei ransomware che hanno colpito ambienti adiacenti alle infrastrutture OT, come Halliburton e Arkansas City, sono stati diffusi tramite allegati di e-mail di phishing e violazioni dei server.
I tipi di file variano. I meccanismi di diffusione variano. Gli autori variano. Lo schema rimane lo stesso: un file entra nell'ambiente, penetra in una zona di fiducia e viene eseguito direttamente oppure avvia la fase successiva dell'attacco.
I dispositivi periferici e le interfacce uomo-macchina (HMI) esposte costituiscono il nuovo perimetro
Sia l'attacco alla diga Z-PENTEST in Norvegia che lo straripamento dell'impianto idrico di Muleshoe in Texas hanno sfruttato la stessa vulnerabilità: interfacce HMI esposte a Internet con credenziali deboli o predefinite. La campagna CyberAv3ngers contro gli impianti idrici statunitensi ha preso di mira i PLC Unitronics utilizzando credenziali predefinite. Non si tratta di exploit zero-day, bensì di errori di configurazione al confine tra i sistemi OT e Internet.
Il confine tra IT e OT è il punto in cui gli attacchi si concentrano
In un caso dopo l'altro, il punto di accesso degli attacchi si trova al confine tra IT e OT. Le postazioni di lavoro dei tecnici, che si trovano in entrambi gli ambienti e collegano le reti aziendali ai PLC dell'area di produzione, rappresentano il punto di accesso più comune. AZURITE le prende di mira direttamente. Volt Typhoon le ha utilizzate come via d'accesso. Triton ha richiesto l'accesso fisico a una di esse. FrostyGoop è stato diffuso attraverso la rete dei tecnici. Proteggere la postazione di lavoro significa proteggere i file che vi vengono trasferiti.
Le previsioni pre-esecuzione e l'analisi comportamentale bloccano gli attacchi OT prima che abbiano un impatto
Rilevamento comportamentale degli attacchi zero-day con MetaDefender
I modelli ricorrenti negli attacchi ICS e OT evidenziano una realtà costante: minacce sconosciute e elusive penetrano negli ambienti sotto forma di file, superano i confini di sicurezza e vengono eseguite prima che le difese tradizionali possano reagire. Per bloccare questi attacchi sono necessarie sia un'analisi comportamentale approfondita sia la capacità di prevedere le intenzioni malevole prima dell'esecuzione.
MetaDefender è la soluzione unificata di rilevamento zero-day OPSWAT, progettata per individuare minacce sconosciute e elusive nascoste nei file. Combina sandboxing adattivo, intelligence sulle minacce, valutazione del rischio e ricerca di somiglianze basata sull'apprendimento automatico in un unico flusso di rilevamento che fornisce un verdetto affidabile per ogni file.
Eseguendo i file in un ambiente emulato, Aether rivela comportamenti nascosti quali la logica del ransomware, l'iniezione di codice, le tecniche anti-analisi e i payload multistadio che gli strumenti statici non sono in grado di rilevare. Il sistema mette in correlazione questi risultati con miliardi di indicatori di minaccia per identificare i rischi, individuare le varianti e associare le attività alle tecniche note degli autori delle minacce.
Questo approccio consente alle organizzazioni di individuare minacce zero-day presenti in file eseguibili, script, archivi e file di patch che non possono essere ripuliti o modificati. Inoltre, soddisfa i requisiti di conformità nei settori soggetti a regolamentazione in cui è obbligatoria l'analisi dinamica e deve essere preservata l'integrità dei file.
Previsione delle minacce prima dell'esecuzione con Predictive Alin AI
A completamento di ciò, Predictive Alin AI introduce un livello di rilevamento pre-esecuzione che opera a livello perimetrale. Anziché attendere che i file si attivino, analizza gli indicatori strutturali e comportamentali per prevedere le intenzioni malevole in pochi millisecondi. Ciò consente alle organizzazioni di bloccare i file ad alto rischio prima che entrino nell'ambiente o raggiungano i sistemi critici.
Il sistema predittivo Alin AI viene costantemente aggiornato utilizzando le minacce zero-day identificate da MetaDefender . Ogni minaccia confermata rafforza la capacità del modello di rilevare attacchi simili in una fase precoce della catena. Ciò crea un circolo virtuoso tra analisi approfondita e rilevamento predittivo, in cui Aether individua minacce sconosciute e Alin utilizza tali informazioni per bloccare la prossima generazione di attacchi prima che vengano eseguiti.
Se implementati insieme, MetaDefender e Predictive Alin AI garantiscono sia profondità che rapidità. Predictive Alin AI fornisce valutazioni immediate prima dell'esecuzione a livello perimetrale, mentre MetaDefender esegue un'analisi comportamentale completa dei file che richiedono un'ispezione più approfondita. Questo approccio a più livelli riduce i falsi positivi, accelera la risposta del SOC e garantisce che le minacce, sia note che sconosciute, vengano identificate prima che possano avere un impatto sugli ambienti OT.
Per contrastare gli attacchi OT basati su file è necessario un sistema di rilevamento zero-day a più livelli
Il panorama delle minacce per i sistemi ICS e OT non è più caratterizzato da incidenti isolati, ma è determinato da schemi ricorrenti. Gli attacchi di tipo "wiper" stanno diventando sempre più mirati, gli aggressori agiscono con maggiore rapidità e gli attacchi si concentrano costantemente sui confini di fiducia. In ogni caso, una costante rimane: un file entra nell'ambiente e rende possibile l'attacco.
Gli strumenti di ispezione statica e quelli basati sulle firme non riescono a individuare ciò che accomuna questi attacchi, ovvero un file che attraversa un confine di affidabilità con un intento non ancora catalogato. Per bloccarli è necessario ispezionare quel file prima che venga eseguito e prevedere quale azione compirà una volta eseguito.
È proprio per questo ruolo che sono stati progettati MetaDefender e Predictive Alin AI. Predictive Alin AI emette un verdetto a livello perimetrale in pochi millisecondi; MetaDefender individua ciò che richiede un'analisi più approfondita e reimmette ogni zero-day confermato nel modello predittivo. Il risultato è una difesa a più livelli che diventa sempre più precisa con ogni file analizzato, proprio sul confine esatto dove hanno inizio gli attacchi agli ICS e alle reti OT.
Scopri come MetaDefender e Predictive Alin AI bloccano il percorso di attacco basato sui file verso il tuo ambiente OT.
