Si dice spesso che la verità sia la prima vittima in una guerra, e nel confuso panorama della cybersecurity questa massima risuona con sinistra frequenza. Quella che ha colpito Collins Aerospace a settembre del 2025 non è stato un semplice cyber-incidente, ma piuttosto una tempesta perfetta, un intreccio di negligenze, attacchi paralleli e dinamiche comunicative che hanno lasciato a terra migliaia di passeggeri e hanno sollevato ombre pesanti sulle reali dinamiche occorse.
La narrazione ufficiale, quella presentata alla stampa e alla SEC, parlava di un attacco ransomware che aveva costretto allo shutdown del sistema Multi-User System Environment (MUSE), cruciale per l’elaborazione dei passeggeri in numerosi aeroporti europei. Il risultato fu il caos: voli cancellati, ritardi a catena, viaggiatori bloccati.
Quasi in simultanea, però, nel darkweb emergeva la voce del gruppo Everest. La loro ricostruzione, supportata da screenshot di conversazioni avvenute tramite client Tox, dipinge un quadro radicalmente diverso. Everest nega categoricamente di aver utilizzato ransomware. Ammette invece di aver sfruttato, a partire dal 10 settembre, un server FTP lasciato incredibilmente esposto: ftp.arinc.com:22. Le credenziali di accesso, aiscustomer e muse-insecure, sono di una semplicità che fa rabbrividire, degna di un laboratorio universitario, non dell’infrastruttura critica di un colosso dell’aerospazio.
Per due giorni il gruppo ha prelevato dati in modo sistematico: 1.533.900 record di passeggeri, dump SQL, documentazione operativa, dettagli di 3.637 dipendenti. Il tutto, sostengono, fino a quando un picco di traffico anomalo non ha fatto scattare qualche sistema di monitoraggio, bloccando l’accesso l’11 settembre. Il 15 settembre, Everest ha contattato RTX, la casa madre, fornendo l’elenco completo dei dati trafugati. Iniziano trattative che si rivelano fiacche, condotte da un negoziatore che, a loro dire, appariva impantanato in una burocrazia interna asfissiante e incapace di decisioni tempestive.
Poi, il colpo di scena che ha alimentato le teorie più audaci. Tra il 18 e il 24 settembre, le comunicazioni si interrompono. Il 19, Collins Aerospace spegne i server MUSE, citando un attacco ransomware. Everest grida allo scandalo, accusando pubblicamente l’azienda di aver orchestrato lo shutdown per incassare un’assicurazione e mascherare la propria incompetenza. Sostengono che non ci fosse una necessità tecnica di fermare tutto, che la situazione poteva essere gestita senza creare disagi di massa, e che il loro attacco era stato solo di esfiltrazione dati, senza alcuna cifratura.
È a questo punto che l’analisi di Hudson Rock getta una luce fondamentale sulla vicenda, complicandola ulteriormente. I loro investigatori hanno rintracciato l’origine delle credenziali muse-insecure: un’infezione da infostealer di tipo RedLine risalente addirittura al 14 febbraio 2022, su un dispositivo di un dipendente Collins. Quelle credenziali, mai ruotate in tre anni, sono state il lasciapassare per Everest.
Ma non finisce qui. Hudson Rock conferma che, nella stessa settimana, Collins Aerospace è stata colpita davvero da un attacco ransomware. Un gruppo diverso, indipendente da Everest, ha preso di mira i sistemi MUSE, deployando malware. La NCSC-UK ha confermato l’uso di uno specifico ceppo malevolo.
Si delinea così uno scenario duplice, non una singola azione coordinata. Da un lato, l’attacco di esfiltrazione di Everest, reso possibile da credenziali vecchie e mai cambiate, protratto per giorni in un server FTP che non avrebbe mai dovuto essere esposto con quelle password. Dall’altro, un attacco ransomware vero e proprio, portato avanti da un altro threat actor, che ha effettivamente reso inservibili i sistemi critici.
La conclusione è forse meno cinematografica delle accuse di Everest, ma molto più istruttiva per gli addetti ai lavori. Collins Aerospace non stava inscenando un complotto assicurativo; stava semplicemente pagando il prezzo salato di una postura di sicurezza fragile su più fronti. La mancata rotazione delle credenziali dopo un’infezione nota, l’uso di protocolli insicuri come l’FTP per dati sensibili, e la presenza di un secondo gruppo ransomware in azione simultanea, parlano di un ecosistema digitale vulnerabile.
Il pericolo non arriva mai da una sola direzione, e le credenziali compromesse ieri sono la minaccia di domani. In questo caso, il “domani” è arrivato tre anni dopo, in una settimana di settembre, mostrando come la superficie di attacco sia un’entità che si estende nel tempo, non solo nello spazio: soprattutto se non trattata.