Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Check Point Research hanno notato un cambiamento nelle tattiche degli operatori iraniani. In precedenza, gli attacchi venivano spesso mascherati da normali crimini informatici o attività di hacktivismo. Nella maggior parte dei casi, gli aggressori nascondevano le loro operazioni sotto forma di attacchi ransomware.
Questa nuova tendenza è particolarmente evidente nelle attività dei gruppi affiliati al Ministero dell’Intelligence e della Sicurezza iraniano. Infatti la situazione sta cambiando radicalmente. Alcuni gruppi hanno iniziato a sfruttare direttamente l’infrastruttura dei servizi criminali: malware, mercati clandestini e schemi di affiliazione per la distribuzione di malware.
Questo approccio contribuisce ad ampliare le capacità tecniche degli attacchi, complicando al contempo l’identificazione dei veri responsabili.
Il modello ricorda l’approccio che i servizi segreti iraniani utilizzano da tempo nelle operazioni offline. In diversi paesi, i servizi segreti hanno collaborato con reti criminali per condurre attività di sorveglianza, rapimenti e attacchi contro gli oppositori politici.
Una logica simile si sta gradualmente trasferendo nel cyberspazio. Tra i gruppi più attivi, gli esperti segnalano Void Manticore, noto anche con lo pseudonimo di Handala Hack. Gli operatori hanno utilizzato diverse identità da hacktivisti e hanno condotto operazioni contro l’Albania e Israele. In diverse campagne, gli aggressori hanno utilizzato lo strumento commerciale per il furto di dati Rhadamanthys, venduto su forum clandestini. Il malware è stato distribuito tramite email di phishing camuffate da messaggi della Direzione Nazionale per la Sicurezza Informatica di Israele.
Un altro partecipante a tali operazioni è il gruppo MuddyWater, che le autorità statunitensi collegano al Ministero dell’Intelligence iraniano. Gli operatori conducono campagne di spionaggio informatico in Medio Oriente da molti anni, attaccando agenzie governative e aziende nei settori delle telecomunicazioni, della difesa e dell’energia.
Analisi recenti hanno rivelato sovrapposizioni tra le attività di MuddyWater e le infrastrutture della criminalità informatica. Un esempio è la botnet Tsundere, scoperta alla fine del 2025. Il sistema utilizza Node.js e script JavaScript per eseguire comandi sui computer infetti.
Quando viene rilevato un ambiente Node.js, il codice dannoso passa a un meccanismo alternativo tramite la piattaforma Deno. In questa configurazione, il malware viene denominato DinDoor.
Tracce di MuddyWater sono state trovate anche nelle catene di infezione che utilizzavano il downloader FakeSet. Il programma distribuiva un altro strumento dannoso, CastleLoader, offerto come malware-as-a-service (MaaS). L’analisi ha rivelato sovrapposizioni nei certificati di firma digitale utilizzati da diverse famiglie di malware. Molto probabilmente, diversi soggetti hanno ottenuto questi certificati da un’unica fonte.
Il legame tra operatori statali e infrastrutture criminali è emerso chiaramente anche nell’attacco al centro medico Shamir in Israele nell’autunno del 2025. L’incidente fu inizialmente descritto come un attacco ransomware di Qilin. Le autorità israeliane conclusero in seguito che dietro l’operazione si celavano entità iraniane. Qilin opera con un modello di partnership, fornendo strumenti ad attori esterni che conducono attacchi informatici.
Gli esperti ritengono che tali operazioni facciano parte di una più ampia campagna contro le istituzioni mediche israeliane, in corso dalla fine del 2023. L’utilizzo di infrastrutture di criminalità informatica offre agli operatori diversi vantaggi: accesso a strumenti già pronti, un’infrastruttura resiliente e un ulteriore livello di mimetizzazione.
Un’analisi dei recenti attacchi rivela questi significativo cambiamento di strategia.
Per alcuni operatori iraniani, il mondo della criminalità informatica non è più solo una copertura. L’ecosistema criminale si sta gradualmente trasformando in una risorsa a tutti gli effetti per le operazioni informatiche statali.
