Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Falso leak Pegasus: nessun codice NSO, solo RAT e propaganda

Pietro Melillo : 7 Luglio 2025 07:55

Il 1 luglio 2025 il canale Telegram “APT IRGC” ha pubblicato l’archivio Pegasus-prv.zip (390 MB) rivendicando una fuga di materiale sullo spyware Pegasus di NSO Group. APT IRGC (Advanced Persistent Threat – Islamic Revolutionary Guard Corps) è un acronimo per identificare gruppi di cyber-spionaggio legati all’Iran, ritenuti affiliati o controllati direttamente dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Questi gruppi operano principalmente con finalità politiche, militari e di sorveglianza interna/esterna, e sono responsabili di campagne offensive contro infrastrutture critiche, oppositori politici, e governi stranieri.

Nota: Il nome “APT IRGC” non si riferisce a un singolo gruppo tecnico ma a una famiglia di operatori con affiliazione comune al settore cyber militare iraniano.

AspettoDettagli
OrigineIran, sotto l’egida del IRGC (Pasdaran)
MotivazioneCyber-espionage, controllo politico, propaganda
Target comuniAttivisti iraniani all’estero, governi arabi, dissidenti interni, settori energetici
Tecniche notePhishing avanzato, malware personalizzato, esfiltrazione via tunnel HTTPS, uso di infrastrutture false
Lingue usatePersiano (Farsi), occasionalmente arabo o inglese in lure documents



Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Nel giro di poche ore vx-underground – archivio di riferimento per i ricercatori di malware – ha esaminato il dump, liquidandolo come «FAKE AS ALWAYS» x.com.

    L’obiettivo di questo report è mostrare, con dati alla mano, perché il pacchetto non contiene Pegasus ma soltanto malware generico e documentazione commerciale già nota.

    2 File three

    2.1 Contenuto di Pegasus-prv.zip

    Path (livello 0)TipologiaSize on disk
    NSO-Pegasus.pdfMarketing PDF3,8 kB
    Pegasus Nso V2/Zip annidato144 MB
    Pegasus RAT 4.2/Zip annidato176 MB
    Pegasus Spyware Zero Click/Zip annidato31 kB
    Pegasus_malware.zipZip annidato7,9 kB
    pegasus_spyware-master/Zip annidato37 kB

    Nota Il PDF “NSO-Pegasus” è un brochure di prodotto già trapelata anni fa (versione Pegasus Product Description Oct-2013).

    2.2 Focus su Pegasus_malware.zip

    Dallo zip secondario abbiamo estratto cinque campioni nominati come hash (nessuna estensione):

    Filename (hash)MIME rilevatoProbabile natura
    144778790d4a…application/vnd.android.package-archiveAPK Android
    530b4f4d139f…application/octet-streamBinario generico
    bd8cda80aaee…application/java-archiveJAR Java
    cc9517aafb58…application/java-archiveJAR Java
    d257cfde7599…application/vnd.android.package-archiveAPK Android

    Nessuno di questi file è correlato allo spyware NSO; sono semplici payload/loader mainstream usati in campagne Android o Java RAT.

    3 Analisi tecnica dettagliata

    EvidenzaOsservazioni
    PDF NSO-PegasusDocumento marketing (~40 pagine) che descrive flusso OTA, funzioni di raccolta dati, PATN, ecc. È lo stesso identico file già presente in leak del 2016–2018; nessun exploit, nessun codice.
    Pegasus RAT 4.2Directory in stile builder “RAT” per Windows (GUI .NET, stub, configuratore). Il binario riporta ProductName = Pegasus RAT, ma è un commodity trojan pubblico dal 2020, privo di qualsiasi componente mobile.
    APK & JARLe stringhe interne contengono riferimenti a librerie com.metasploit.stage, AndroRat, com.exodus. Sono tool d’offesa open-source, non NSO.
    Assenza di exploit zero-clickNessun payload iOS, assenza di chain kernel, nessun WebKit/CVE recente, nessun KTRR bypass: impossibile parlare di Pegasus genuino.

    4 Debunking di vx-underground

    • Verifica firma: i campioni non coincidono con SHA-256 noti nei report Citizen Lab su Pegasus.
    • Composizione del dump: miscela di RAT Windows, APK Android, README di un ricercatore indipendente (Jonathan Scott) già fonte di controversie.
    • Conclusione: il leak è una “franken-collezione” di materiale pubblico usata per propaganda anti-israeliana. x.com

    5 Rischio per la community

    RischioDescrizioneMitigazione

    Malware attivo
    Gli APK/JAR sono eseguibili reali: chi li lancia in un ambiente non isolato compromette il sistema.Analisi solo in VM/emulator, no sideload su device personale.
    DisinformazioneIl brand “Pegasus” viene sfruttato per attrarre ricercatori e media, distogliendo l’attenzione da minacce autentiche.Verificare sempre SHA256 e fonti indipendenti (Citizen Lab, Amnesty Tech).
    Supply-chain trustGli operatori SOC potrebbero scaricare campioni per curiosità, introducendoli in repository interni.Utilizzare safelist dedicati e rigide policy di quarantine.

    il file APK: 144778790d4a43a1d93dff6b660a6acb3a6d37a19e6a6f0a6bf1ef47e919648e

    risulta malevolo su varie sandbox:

    https://www.virustotal.com/gui/file/144778790d4a43a1d93dff6b660a6acb3a6d37a19e6a6f0a6bf1ef47e919648e/details

    https://bazaar.abuse.ch/sample/144778790d4a43a1d93dff6b660a6acb3a6d37a19e6a6f0a6bf1ef47e919648e

    La data di prima sottomissione risulta piuttosto datata, elemento che rafforza l’ipotesi di una manipolazione e riutilizzo di un malware preesistente.

    6 Conclusioni

    Il pacchetto Pegasus-prv.zip non contiene né exploit zero-click né codice proprietario NSO.
    È un collage di:

    1. Vecchio materiale marketing (privo di valore operativo).
    2. Malware commodity (APK/JAR/RAT) rinominato per sembrare sofisticato.

    La narrativa di “APT IRGC” è quindi da classificare come operazione di disinformazione a sfondo politico, con un potenziale rischio di infezione per chi analizza il dump senza sandbox.

    Pietro Melillo
    Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

    Lista degli articoli

    Articoli in evidenza

    Il caso “Mia Moglie” e le sfide della responsabilità digitale tra privacy, revenge porn e ruolo delle piattaforme
    Di Paolo Galdieri - 23/08/2025

    La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...

    Performance review 2025 per Google: meno bug, più vibe coding
    Di Redazione RHC - 23/08/2025

    Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...

    20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions
    Di Redazione RHC - 22/08/2025

    Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...

    Un bug critico di Downgrade in Chat-GPT porta al Jailbreak del modello
    Di Redazione RHC - 22/08/2025

    Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...

    972 milioni di utenti VPN di Google Play sono a rischio!
    Di Redazione RHC - 22/08/2025

    Gli analisti di Citizen Lab hanno segnalato che oltre 20 app VPN presenti sul Google Play Store presentano gravi problemi di sicurezza che minacciano la privacy degli utenti e consentono la decrittazi...