Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.
L’attacco è stato rivendicato dal gruppo Predatory Sparrow, già noto per le sue operazioni distruttive contro infrastrutture critiche iraniane. Nel presente documento vi è un’analisi approfondita del Threat Actor Predatory Sparrow, delle sue capacità tecniche e degli obiettivi dichiarati, con particolare attenzione al contesto geopolitico e all’uso di malware proprietari.
Autori:
Cyber Defence Center Maticmind
Cyber Competence Center Maticmind
Andrea Mariucci | Head of Cyber Defence Center @Maticmind
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nome Principale: Predatory Sparrow Nomi Alternativi: – Gonjeshke Darande (گنجشک درنده – traduzione in farsi) – Indra (overlap parziale, similitudini nel codice dei malware utilizzati) Classificazione: Gruppo hacktivista pro-israeliano Primo Avvistamento: 2021 Stato Attuale: Attivo (ultima attività documentata: giugno 2025)
IDENTITÀ E AFFILIAZIONI
Predatory Sparrow si presenta come un gruppo di hacktivisti autoproclamato, ma la sua sofisticazione tecnica e le capacità operative suggeriscono un probabile coinvolgimento governativo o militare. Secondo un articolo di WIRED, fonti della difesa statunitense hanno riferito al New York Times che il gruppo era collegato a Israele.
Il gruppo, nato nel 2021, è entrato in stato di quiescenza tra il 2022 e l’ottobre 2023, tornando operativo all’avvio delle ostilità nella striscia di Gaza.
Diamond Model
Avversario
Predatory Sparrow/Gonjeshke Darande
Vittima
Entità affiliate al regime iraniano degli Ayatollah
Infrastruttura
N/A
Capacità
Wiper e malware avanzati atti a compromettere sistemi industriali, distruzione fisica di apparati industriali, cancellazione massiva di dati, blocco delle operazioni di infrastrutture e telecomunicazioni
Motivazioni e Obiettivi
Obiettivo Primario: Condurre attacchi distruttivi contro l’Iran, allo scopo di infliggere danni paragonabili a quelli di attacchi convenzionali, con effetti nella sfera psicologica, per indebolire la fiducia della popolazione nel regime degli Ayatollah e la tenuta di questo, in un quadro di operazioni PSYOPS, campagne di disinformazione e azioni di sabotaggio, causando al contempo conseguenze economiche significative alle aziende iraniane connesse con il governo o con l’esercito.
Motivazione Geopolitica: Si inserisce all’interno del confronto tra Israele, Iran e i proxy di quest’ultimo, allo scopo di rispondere agli attacchi condotti dalla Repubblica islamica direttamente o tramite proxy.
Valenza strategica: affermare la capacità offensiva dell’attore nel colpire asset industriali e digitali critici in territorio iraniano, con l’obiettivo di esercitare pressione e destabilizzazione mirata.
Tattiche di rivendicazione e propaganda
Utilizza canali X e Telegram per rivendicare gli attacchi
Pubblica video come prova degli attacchi riusciti, come nel caso del video dell’attacco distruttivo all’acciaieria iraniana
Include messaggi provocatori con riferimenti al Leader Supremo Iraniano
Si presenta talvolta come gruppo hacktivisti Iraniano per confondere l’attribuzione
Apparentemente, il gruppo conduce attacchi con il criterio dichiarato di non mettere a repentaglio vite innocenti (come riportato sul canale Telegram del TA e riportato da BBC)
CAPACITÀ TECNICHE
Il gruppo dimostra capacità tecniche avanzate che lasciano intendere l’accesso a risorse significative, una conoscenza approfondita dei sistemi industriali iraniani, nonché la capacità di sviluppare malware su misura per obiettivi specifici. Inoltre, evidenzia competenze rilevanti nei sistemi SCADA e ICS (Industrial Control Systems), utilizzati nel controllo di infrastrutture critiche. Rispetto alla maggior parte degli hacktivisti che intervengono su tematiche geopolitiche o di attualità, Predatory Sparrow si distingue per un know-how tecnico notevolmente superiore, che risulta tipico di attori collegati ad apparati statuali.
Settori di Specializzazione
Sistemi di Controllo Industriale (ICS/SCADA)
Capacità di manipolare equipaggiamento industriale
Accesso a sistemi di controllo di acciaierie e pompe di benzina
Interferenza con sistemi ferroviari
Sistemi di Pagamento
Compromissione di reti point-of-sale
Attacchi a sistemi di carte di sussidio carburante
Compromissione di Crypto Exchange
Compromissione di enti finanziari
Infrastrutture Critiche
Sistemi ferroviari nazionali
Reti di distribuzione carburante
Impianti siderurgici
TOOLSET E MALWARE
Sulla base delle informazioni attualmente disponibili, si ritiene che il gruppo sia in possesso di varianti del wiper “Meteor”, comparso per la prima volta nel 2021 e utilizzato da un threat actor denominato “Indra” contro infrastrutture siriane. Questo fattore potrebbe indicare una parziale sovrapposizione tra i due threat actor.
Lo strain di “Meteor” comprende diverse versioni, note come “Stardust” e “Comet”, sempre con funzionalità di wiper. “Chaplin” risulta invece essere il malware utilizzato nell’attacco alle acciaierie iraniane, non dotato di capacità di cancellazione dei dati ma di compromissione e controllo dei sistemi industriali.
Meteor Express (2021)
Meteor Express è un malware di tipo wiper a tre stadi, sviluppato tramite una combinazione di componenti open source e software legacy. Il codice è altamente modulare e progettato per operazioni distruttive mirate a infrastrutture strategiche.
Funzionalità principali
Sovrascrittura e cancellazione di file di sistema.
Blocco dell’accesso utente e terminazione dei processi.
Contesto operativo Attacco lanciato nel luglio 2021 contro la rete ferroviaria iraniana. L’obiettivo apparente era la destabilizzazione dell’infrastruttura pubblica e la generazione di caos operativo su larga scala.
Attribuzione Malware attribuito al gruppo Indra.
Valutazione di impatto
Tecnico: Paralisi totale del sistema informatico ferroviario, con disservizi prolungati e blocchi operativi.
Psicologico: Tentativo di disorientare l’opinione pubblica iraniana attraverso il sabotaggio simbolico.
Obiettivo operativo: Operazione PSYOPS volta a delegittimare il governo iraniano e dimostrare la vulnerabilità delle infrastrutture pubbliche strategiche.
Indicatori di Compromissione (IoCs)
Directory di staging: %temp%\Meteor\
Comet (2021)
Malware wiper simile a Meteor ma privo di payload provocatori. Architettura a tre stadi, con codice misto tra componenti open e legacy.
Uso in attacchi silenziosi contro infrastrutture critiche.
Attribuzione
Malware attribuito al gruppo Indra.
Valutazione di impatto
Tecnico: Elevato.
Psicologico: Consistente, in quanto crea disservizio e mina la fiducia nelle infrastrutture statali
Obiettivo operativo: Sabotaggio silenzioso e persistente.
Stardust (2020)
Wiper distruttivo impiegato in attacchi mirati contro obiettivi siriani. Simile a Comet, ma specificamente orientato alla distruzione sistematica dei dati sensibili.
Data: Ottobre 2021 Obiettivo: Oltre 4.000 stazioni di servizio in Iran (sistema di distribuzione carburante) Metodo d’attacco: Compromissione dei sistemi point-of-sale Impatto:
Disattivazione del sistema di pagamento con carte sovvenzionate
Paralisi temporanea della distribuzione di carburante su scala nazionale
MITRE ATT&CK TTPs:
T1190 (Exploit Public-Facing Application)
T1486 (Data Encrypted for Impact)
Malware/Toolset: Non noto Attribution: Predatory Sparrow Impatto Strategico: Interruzione dei servizi essenziali per aumentare la pressione interna
Attacco alle Acciaierie Iraniane
Data: Giugno 2022 Obiettivo: Tre principali acciaierie iraniane (Khouzestan, Mobarakeh, HOSCO)
Metodo d’attacco: Malware Chaplin + manipolazione dei sistemi di controllo industriale (ICS) Impatto:
Fuoriuscita di acciaio fuso (oltre 1.300°C)
Incendio nell’impianto
Interruzione delle operazioni produttive
MITRE ATT&CK TTPs:
T0859 (Manipulation of Control)
T0882 (Loss of Safety)
T0814 (Alarm Suppression)
Malware/Toolset: Chaplin Attribution: Predatory Sparrow Impatto Strategico: Danneggiamento delle capacità industriali critiche e dimostrazione di capacità offensive contro ICS
Figura 1 – Telecamera sorveglianza
Riattivazione – Conflitto Gaza-Israele
Data: Ottobre 2023 Contesto: Conflitto israelo-palestinese Messaggio: “Pensate che questo faccia paura? Siamo tornati.” Obiettivo: Nuovi attacchi a stazioni di servizio in Iran Metodo d’attacco: Continuazione della strategia disruption verso infrastrutture civili Impatto: Non specificato nel dettaglio ma coerente con attacchi precedenti MITRE ATT&CK TTPs: presumibilmente analoghi all’evento di Ottobre 2021 Attribution: Predatory Sparrow Impatto Strategico: Segnale politico e ritorsione cibernetica in chiave geopolitica
Attacco Bank Sepah
Data: 17 giugno 2025
Obiettivo: Bank Sepah – uno degli istituti finanziari pubblici più antichi dell’Iran Metodo d’attacco: Attacchi informatici distruttivi con probabile uso di wiper (es. Comet/Stardust) Impatto:
Interruzione delle operazioni bancarie
Impossibilità per i cittadini di prelevare denaro dagli sportelli ATM
Diffusione di CVE pubblici da parte dell’attore (es. cve_poc_codes_export_works.csv)
MITRE ATT&CK TTPs:
T1485 (Data Destruction)
T1499 (Endpoint Denial of Service)
T1588.006 (Vulnerability Disclosure)
Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust Attribution: Predatory Sparrow (evidenza su Telegram + X) Impatto Strategico: Destabilizzazione del sistema bancario nazionale e perdita di fiducia nella capacità del governo iraniano di proteggere dati finanziari
Al momento non si conoscono dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor, benché la cancellazione dei dati con conseguente paralisi delle operazioni faccia propendere per l’ipotesi dell’impiego di una versione dei wiper “proprietari” del gruppo, come Meteor, Stardust o Comet. Nella giornata del 16/06, sul proprio canale Telegram il gruppo aveva diffuso una lista di cve ancora funzionati, dal titolo “cve_poc_codes_export_works”.
Figura 2 – Cve diffusa su canale Telegram del TA
Secondo fonti presenti su X, i cittadini iraniani erano impossibilitati a prelevare denaro contante dagli ATM del Paese.
Figura 3 – Sportello banca in disservizio
Tale fattore, unito ai timori relativi al furto di dati sensibili dalle banche colpite, contribuisce all’aggravamento dello scenario e sottolinea le capacità da cyberwar in possesso del Threat Actor.
Figura 4 – Documentazione Bank Sepah
A differenza di molti hacktivisti, infatti, Predatory Sparrow non si è limitato ad un Denial of Service (DoS), ma ha mostrato capacità tecnologiche avanzate e determinazione nel procurare danni su vasta scala.
Al momento non si hanno informazioni ulteriori sullo stato dei servizi erogati dalle banche colpite ma, nel caso in cui tali disservizi dovessero protrarsi, ciò rappresenterebbe un danno considerevole alla capacità dell’Iran di rispondere alle minacce cibernetiche e potrebbe contribuire a generare malcontento e tensioni tra la popolazione colpita.
Attacco Nobitex
Data: 18 giugno 2025
Obiettivo: Nobitex – sito iraniano di crypto exchange Metodo d’attacco: Al momento non si hanno informazioni inerenti alla metodologia di attacco utilizzata Impatto:
Distruzione asset crypto per un totale di 90 milioni di dollari
Sito nobitex[.].ir ancora offline a 24h dall’attacco
MITRE ATT&CK TTPs:
T1485 (Data Destruction)
T1499 (Endpoint Denial of Service)
T1588.006 (Vulnerability Disclosure)
Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust Attribution: Predatory Sparrow Impatto Strategico: Destabilizzazione del sistema valutario di crypto exchange iraniano. Recisione di una linea di finanziamento che permetteva all’Iran di aggirare, parzialmente, le sanzioni occidentali. Effetti psicologici come la diffusione di panico e incertezza riguardo la resilienza degli asset iraniani nel cyberspazio.
Figura 5 – Nobitex[.]ir ancora irraggiungibile nella giornata del 19/06, a un giorno dall’attacco
Predatory Sparrow ha attaccato il sito di exchange di criptovalute iraniano “Nobitex” nella giornata del 18 giugno, soltanto un giorno dopo l’attacco a Sepah Bank. La motivazione dichiarata è la medesima, ovvero l’evasione delle sanzioni imposte all’Iran e il finanziamento del terrorismo. Su X, Predatory Sparrow ha anche sottolineato il nesso tra le attività del regime e quelle di Nobitex, dichiarando che, per il governo iraniano, il servizio presso l’exchange di criptovalute è considerato alla stregua del servizio militare.
Il Threat Actor non ha sottratto le criptovalute, ma ne ha di fatto bruciato un ammontare pari a 90 milioni di dollari, inviandole verso indirizzi inutilizzabili (“burn addresses”), da cui non possono essere recuperate. La tecnica adoperata sottolinea l’obiettivo di Predatory Sparrow di arrecare danno senza alcuna finalità di monetizzazione o finanziamento, come sotteso anche dal ricorso ai wiper.
In data 20/06/2025 threat actor ha inoltre reso pubblico il source code di Nobitex, mettendo a rischio gli asset ancora presenti sul sito e rendendo più facile l’accesso e l’exploit da parte di ulteriori attori malevoli. Questa divulgazione del codice sorgente amplifica la vulnerabilità del sistema, consentendo agli aggressori di identificare rapidamente punti deboli e sviluppare exploit mirati.
Al momento non si hanno ulteriori dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor in questa operazione.
VALUTAZIONE DEL RISCHIO
Livello di Minaccia: ALTO
Determinanti di minaccia: – Capacità dimostrate di causare danni fisici – Accesso persistente a infrastrutture critiche – Sofisticazione tecnica in crescita – Motivazione geopolitica forte
Settori a rischio: – Infrastrutture energetiche – Sistemi di trasporto – Industria pesante – Sistemi di pagamento – Settore bancario e finanziario
Indicatori di Attacco (IoA)
Presenza di file denominati “Chaplin”
Messaggi di sistema con riferimenti al numero 64411
Disconnessioni anomale dalla rete
Malfunzionamenti di sistemi industriali coordinati
Indirizzi wallet crypto recanti messaggi diretti contro le Guardie della repubblica islamica (Islamic Republic Guard Corps IRGC) del tipo “F*ckIRGCterrorists”
CONTROMISURE
Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori. Considerata la mancanza di informazioni dettagliate sulle compromissioni, a fronte della mancata disclosure da parte degli enti iraniani colpiti, si presentano qui alcune considerazioni generali atte a ridurre l’impatto dei malware tipo “wiper” come Meteor e di altri tool utilizzati in contesti di cyber warfare e cyber-espionage come InfoStealer e SpyWare. Inoltre, considerando la presenza di un elenco di CVE con i relativi link alle Proof of Concept pubblicate direttamente dal Threat Actor sul proprio canale Telegram, dove viene evidenziato che si tratta di exploit ancora funzionanti, si può ipotizzare che Predatory Sparrow utilizzi anche applicazioni esposte e vulnerabili come vettore di accesso iniziale, verranno pertanto suggerite delle raccomandazioni per proteggere la superficie di attacco esposta.
Al fine di contenere la propagazione di un wiper all’interno della rete, è opportuno adattare una segmentazione rigida, che separi reti OT da IT, anche attraverso il ricorso ad architetture Zero Trust e stretto controllo degli accessi.
Al tempo stesso, il backup separato, air-gapped, associato a piani di ripristino e disaster recovery, consente il recupero della normale operatività in caso di compromissione.
Il patching, la chiusura delle porte superflue esposte su internet e la disabilitazione dei servizi non necessari sono altresì misure utili a ridurre la superficie di attacco e a minimizzare il rischio derivante dalle applicazioni esposte.
Honeypot ICS/SCADA consentono inoltre di rilevare anomalie e intrusioni prima che attori malevoli raggiungano le aree critiche per l’operatività industriale.
Minaccia o vettore
Contromisura chiave
Impatto atteso
Meteor malware (strain)
Isolamento delle reti OT, presenza di EDR, backup immutabili conservati offline
Riduzione rischio sabotaggio, contenimento dell’infezione, ripristino in caso di attacco
EDR, Segmentazione della rete, Patching delle vulnerabilità, Politiche di controllo accessi, crittografia dei dati, DLP,Deployment di honeypot di deception
Riduzione del rischio di esfiltrazione di dati sensibili
Ultimo Aggiornamento: 20 giugno 2025
Fonti Primarie e Database
Malpedia Threat Actor Database: https://malpedia.caad.fkie.fraunhofer.de/actor/predatory_sparrow
Articoli di Analisi e Reportage
Jason Institute https://jasoninstitute.com/predatory-sparrow-when-angry-birds-attack/
Dark Reading (2023-10-10): “Pro-Israeli Hacktivist Group ‘Predatory Sparrow’ Reappears” – https://www.darkreading.com/threat-intelligence/pro-israeli-hacktivist-group-predatory-sparrow-reappears
BBC Technology (2022-07-11): “Predatory Sparrow: Who are the hackers who say they started a fire in Iran?” – https://www.bbc.com/news/technology-62072480
El País (2024-02-14): “Predatory Sparrow and other weapons of hybrid warfare” – https://english.elpais.com/technology/2024-02-14/predatory-sparrow-and-other-weapons-of-hybrid-warfare-cheap-fast-undetectable-and-effective.html
NATO CCD COE Cyber Law (2022): “Predatory Sparrow operation against Iranian steel maker” – https://cyberlaw.ccdcoe.org/wiki/Predatory_Sparrow_operation_against_Iranian_steel_maker_(2022)
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran. L’attacco è stato rivendicato dal gruppo Predatory ...
La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è...
PALERMO, 19 GIUGNO 2025 – Dopo le difficoltà operative registrate negli ultimi giorni, l’Azienda Sanitaria Provinciale di Palermo ha confermato ufficialmente di essere stata colpita...
Una vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il...
Durante una RHC Conference, Corrado Giustozzi sottolineò una verità tanto semplice quanto potente: “L’essere umano è, da sempre, un creatore di amplificatori.”. Dal...
