Svelare unità e operativi del GRU, l’intelligence militare russa, con Osint è possibile? Degli analisti avrebbero “tracciato l’infrastruttura di una delle unità più segrete dell’intelligence russa” utilizzando la faleristica, ovvero lo studio accademico di medaglie e decorazioni militari, e attraverso altre tecniche Osint, attività di Open Source Intelligence. Cosa ne è venuto fuori?
L’analisi delle operazioni informative russe ha spesso sofferto di un limite strutturale: la difficoltà di collegare attività digitali, apparentemente frammentate, a unità militari concrete. Un recente studio basato su tecniche OSINT propone però un approccio diverso, capace di ricostruire – almeno in parte – l’architettura delle cosiddette Information Operations Troops del GRU. Il punto di partenza è tanto semplice quanto inusuale: medaglie, distintivi e simboli militari. Attraverso la raccolta e l’analisi sistematica di immagini pubbliche, i ricercatori hanno applicato principi di Phaleristics (lo studio delle decorazioni militari, ndr) per individuare ricorrenze, connessioni e riferimenti incrociati tra personale, unità e funzioni operative.
Il risultato della mappatura preliminare pubblicata da CheckFirst 2026 mostra un ecosistema che, fino a oggi, era noto soprattutto per singoli episodi – attacchi cyber, campagne di disinformazione, operazioni di influenza – ma raramente osservato come struttura organizzata. Citiamo testualmente: “Sulla base degli indicatori visibili sulle decorazioni che abbiamo analizzato, e corroborati attraverso ricerche open-source, le Truppe per le Operazioni Informatiche (VIO) del GRU sembrano comprendere oggi almeno quindici unità, che abbracciano tre specializzazioni storicamente radicate: crittografia e crittoanalisi, operazioni di rete informatica e operazioni psicologiche. La maggior parte di queste unità precedono la creazione delle VIO e hanno avuto origine all’interno di diverse branche del GRU. Tuttavia, sono state successivamente riunite sotto una struttura di comando unificata che è stata molto probabilmente istituita nel 2014 e, secondo quanto riferito, supervisionata dall’Unità Militare 55111 del GRU. Alcune delle unità VIO sono note al pubblico da tempo, in particolare le Unità 26165 e 74455, poiché le rivelazioni pubbliche hanno rispettivamente attribuito loro le operazioni dei gruppi di hacker APT28 e Sandworm. Altre, invece, sono state scarsamente documentate, o non documentate affatto, né precedentemente collegate al VIO, come le unità 20766, 48707 o 20978.“
Tuttavia, il contributo più rilevante dello studio è l’emersione di strutture meno visibili, che suggeriscono un livello di complessità e coordinamento superiore rispetto a quanto ipotizzato in precedenza. L’elemento distintivo dell’indagine è il metodo: invece di partire dagli attacchi per risalire agli attori, il processo si sviluppa “dal basso”, aggregando indizi apparentemente marginali. Un distintivo fotografato durante una cerimonia, una medaglia conferita a personale tecnico, un simbolo ricorrente su uniformi non ufficiali: ciascun dettaglio diventa un nodo informativo che, se correlato ad altri, contribuisce a delineare una rete. Chi è amante delle trame di spionaggio, ricorderà l’analisi che si faceva un tempo degli scatti fotografici rubati durante gli eventi pubblici che potevano attirare funzionari e ufficiali di alto livello, come le parate militari nella Piazza Rossa, per studiare i profili, confrontare posizioni, uniformi, gradi, e volti di uomini e donne che potevano essere inviati oltre cortina, sotto copertura, magari proprio in missione diplomatica presso le ambasciate.
Dalle evidenze raccolte emerge un quadro che, pur restando incompleto, appare coerente e soprattutto temporalmente radicato: le cosiddette Information Operations Troops del GRU risultano operative almeno dal 2014, in coincidenza con una fase di profonda trasformazione della postura strategica russa nel dominio informativo. Non si tratterebbe, quindi, di strutture nate in modo estemporaneo o reattivo, ma di un dispositivo progressivamente consolidato, verosimilmente articolato in circa quindici unità distinte, ciascuna con funzioni specifiche ma inserita in un disegno complessivo. L’analisi suggerisce infatti una ripartizione lungo tre direttrici principali. Da un lato, una componente tecnico-analitica legata alla crittografia e all’intelligence dei segnali, fondamentale per l’intercettazione, la protezione e l’elaborazione delle informazioni; dall’altro, un asse più propriamente offensivo, riconducibile alle operazioni cyber, in cui rientrano attività di intrusione, sabotaggio e accesso illecito ai sistemi; infine, una dimensione più sfumata ma altrettanto centrale, quella delle operazioni psicologiche e della disinformazione, orientate a influenzare percezioni, narrazioni e comportamenti. In breve, le azioni più attuali, frequenti e in un certo senso importanti che l’intelligence moderna può svolgere, dato che nell’era dell’informazione telematica la percezione dell’opinione pubblica, e l’influenza che si riesce imporre su di essa, può creare una “vittoria” prima ancora che essa venga raggiunta, o tramutare una sconfitta sul campo in una vittoria percepita.
Nella guerra dell’informazione chi è più convincente, vince.
All’interno di questo perimetro, alcune unità risultano già note alla comunità di analisti, come la 26165, comunemente associata al gruppo APT28, Fancy Bear, o la74455, collegata a operazioni attribuite a Sandworm: sigle che negli anni sono diventate quasi sinonimo delle capacità offensive russe nel cyberspazio. Tuttavia, ciò che conferisce maggiore rilevanza allo studio è l’emersione di ulteriori entità che, fino a oggi, erano rimaste ai margini dell’attenzione o del tutto sconosciute. La loro individuazione, seppur ancora parziale, suggerisce che l’ecosistema delle operazioni informative del GRU sia più ampio e stratificato di quanto precedentemente ipotizzato, con livelli di specializzazione e compartimentazione che riflettono una vera e propria istituzionalizzazione della guerra informativa.
Questo approccio evidenzia uno degli aspetti più rilevanti dell’Osint contemporaneo: la capacità di trasformare dati pubblici e non classificati in intelligence operativa. In un contesto in cui le organizzazioni militari adottano misure sempre più sofisticate per occultare le proprie attività, l’esposizione involontaria attraverso canali aperti rimane un punto di vulnerabilità. Va tuttavia sottolineato che le conclusioni dello studio restano, per natura, parziali. L’assenza di fonti interne e la dipendenza da materiali open source impediscono di definire con precisione la dimensione delle unità, le catene di comando complete e, soprattutto, il dettaglio delle operazioni condotte.
Nonostante questi limiti, il quadro che emerge è significativo: le operazioni informative non rappresentano più un’estensione accessoria delle attività militari, ma una componente strutturata e istituzionalizzata. L’integrazione tra cyber warfare e guerra psicologica appare sempre più sistematica, con unità dedicate, simboli identificativi e – verosimilmente – percorsi di carriera specifici. In questa prospettiva, lo studio non si limita a descrivere un insieme di unità, ma contribuisce a ridefinire il modo in cui osserviamo il conflitto contemporaneo. La dimensione informativa non è più un dominio parallelo: è parte integrante del campo di battaglia. E, come dimostra questo caso, può essere analizzata – e in parte svelata – anche partendo da dettagli che, a prima vista e per dei “non addetti ai lavori“, potrebbero sembrare del tutto irrilevanti.
Abbonati e diventa uno di noi
Se l'articolo che hai appena letto ti è piaciuto, domandati: se non l'avessi letto qui, avrei potuto leggerlo altrove? Se pensi che valga la pena di incoraggiarci e sostenerci, fallo ora.
