Nel fuoco incrociato cibernetico: hacker legati all’Iran violano infrastrutture critiche USA mentre le tensioni aumentano
Sottotitolo: Mentre esplode il conflitto geopolitico, attori della minaccia iraniani intensificano sofisticati attacchi informatici contro obiettivi statunitensi e alleati, facendo scattare l’allarme in tutta la comunità della sicurezza.
All’ombra di attacchi missilistici e rotture diplomatiche, una battaglia più silenziosa ma altrettanto decisiva infuria nel cyberspazio. Dall’inizio di febbraio 2026, le infrastrutture critiche statunitensi-banche, aeroporti, fornitori della difesa-si sono ritrovate nel mirino di Seedworm, un gruppo di hacker legato allo Stato iraniano, mentre le conseguenze delle azioni militari statunitensi e israeliane contro l’Iran si riversano nel dominio digitale.
Gli investigatori hanno notato per la prima volta l’impennata dell’attività cyber iraniana mentre le ostilità regionali si intensificavano dopo i raid aerei statunitensi e israeliani sull’Iran del 28 febbraio, che hanno ucciso la Guida Suprema Ayatollah Ali Khamenei. Quasi immediatamente, Seedworm-da tempo attribuito al Ministero dell’Intelligence e della Sicurezza iraniano-ha iniziato a distribuire malware personalizzato contro obiettivi occidentali di alto valore.
Tra le scoperte più preoccupanti: la backdoor Dindoor, un impianto furtivo che sfrutta il runtime Deno, raramente monitorato, per JavaScript e TypeScript. Dindoor è stata trovata sui sistemi di una banca statunitense, di una non profit canadese e nell’ufficio israeliano di un importante fornitore statunitense di software aerospaziale. Il malware era firmato digitalmente con certificati rilasciati a identità fittizie come “Amy Cherne”, una tattica pensata per aggirare i controlli di sicurezza abusando di infrastrutture di firma del codice considerate affidabili.
In parallelo, i ricercatori hanno individuato Fakeset, una backdoor basata su Python, nelle reti di un aeroporto statunitense e di un’altra non profit. Questo strumento, anch’esso firmato con certificati sospetti, è stato ricondotto a bucket di archiviazione cloud su Backblaze-mettendo in evidenza una tendenza tra gli attori iraniani ad abusare di servizi cloud affidabili per il command-and-control e per la preparazione degli attacchi.
Collegamenti forensi-come il riutilizzo dei certificati e toolkit malware sovrapposti-legano queste campagne alle precedenti operazioni di Seedworm. Sebbene finora non si sia verificata alcuna distruzione su larga scala confermata, i team di sicurezza temono che l’attuale presenza del gruppo possa consentire in futuro attacchi dirompenti o persino distruttivi, soprattutto se l’Iran dovesse cercare una ritorsione asimmetrica.
Nel frattempo, altri collettivi allineati all’Iran come Handala e DieNet hanno lanciato attacchi DDoS e rivendicato violazioni contro obiettivi statunitensi e israeliani, utilizzando piattaforme DDoS-as-a-service e sfruttando la connettività Starlink per eludere le interruzioni locali. Le valutazioni dell’intelligence USA avvertono che sia gli attacchi “rumorosi” (come defacement di siti web e DDoS) sia lo spionaggio “low-and-slow” probabilmente aumenteranno per portata e sofisticazione.
Ai difensori viene raccomandato di monitorare trasferimenti cloud insoliti, firme di codice sospette e l’uso anomalo di runtime come Deno, rafforzando al contempo i sistemi di identità e mantenendo backup offline. La battaglia per le infrastrutture critiche è ormai tanto digitale quanto fisica-e la prossima salva potrebbe essere a un clic di distanza.
Mentre l’attenzione del mondo resta concentrata sugli scambi missilistici e sulle ricadute diplomatiche, si sta svolgendo una guerra cibernetica parallela-una guerra in cui la posta in gioco è la stabilità nazionale e i bersagli sono la spina dorsale della società moderna. Per i difensori in prima linea, la vigilanza non è mai stata così vitale.
WIKICROOK
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- Codice: Il codice è un insieme di istruzioni scritte per i computer. Nella cybersecurity, analizzare il codice aiuta a individuare software non autorizzato o sospetto, incluse minacce nascoste.
- DDoS (Distributed Denial of Service): Un attacco DDoS sovraccarica un sito web o un servizio con traffico eccessivo, interrompendo le operazioni normali e rendendolo non disponibile per gli utenti reali.
- Living: Living off the Land significa che gli attaccanti usano strumenti di sistema affidabili (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
- Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.




