Giochi d’Ombra: Dentro l’Assalto Cibernetico Invisibile dell’Iran contro Israele
Hacker iraniani hanno scatenato una nuova ondata di attacchi informatici contro settori israeliani, utilizzando malware avanzati e svelando il manuale in evoluzione dello spionaggio digitale sponsorizzato dallo Stato.
In Breve
- Il gruppo MuddyWater, legato all’Iran, ha impiegato il nuovo backdoor “MuddyViper” contro organizzazioni israeliane nel 2024–2025.
- I bersagli includevano settori critici: università, servizi pubblici, tecnologia e amministrazioni locali.
- Gli aggressori hanno utilizzato email di phishing e strumenti di gestione remota per infiltrarsi nelle reti e rubare credenziali.
- Recenti fughe di dati hanno rivelato il funzionamento interno delle unità cyber iraniane, mostrando gerarchie rigide e strategie operative.
- Gli esperti avvertono di una crescente maturità operativa e furtività nelle campagne cyber dell’Iran.
Il Campo di Battaglia Digitale: Una Minaccia in Evoluzione
Immaginate una partita a scacchi silenziosa giocata tra continenti, dove ogni mossa è invisibile fino a quando non è troppo tardi. Questo è il mondo dell’hacking sponsorizzato dagli Stati, e il gruppo MuddyWater dell’Iran si sta dimostrando un formidabile gran maestro. In una recente campagna, questo gruppo-legato al Ministero dell’Intelligence e della Sicurezza iraniano-ha lanciato un backdoor mai visto prima, soprannominato MuddyViper, prendendo di mira settori israeliani che vanno dalle università alle reti elettriche, fino a una società tecnologica egiziana.
MuddyWater, noto anche come Mango Sandstorm, è salito agli onori della cronaca nel 2017 per le sue campagne persistenti in tutto il Medio Oriente. Nel corso degli anni, le sue tattiche sono diventate sempre più sofisticate, fondendo malware personalizzati con strumenti di hacking già pronti. I suoi attacchi più recenti, identificati dalla società di cybersecurity ESET, mostrano un’evoluzione calcolata: gli aggressori usano email di phishing convincenti per indurre le vittime ad aprire PDF che avviano la catena d’infezione. Una volta all’interno della rete, software di gestione remota legittimi come Atera o SimpleHelp diventano un cavallo di Troia, aiutando il malware a passare inosservato ai controlli di sicurezza.
Trucchi Tecnici e Nuovi Strumenti
Al centro di questa nuova ondata c’è MuddyViper, un programma backdoor progettato per raccogliere informazioni in silenzio, eseguire comandi e sottrarre credenziali di accesso e dati dei browser. Il malware viene distribuito da un “loader” chiamato Fooder, talvolta camuffato da classico gioco Snake per non destare sospetti. Insieme, questi strumenti danno agli aggressori un controllo quasi totale, con MuddyViper che supporta 20 comandi nascosti per l’accesso remoto.
Ma l’arsenale non si ferma qui. La campagna include una suite di altri strumenti-ladri di dati dei browser, falsi avvisi di sicurezza per indurre gli utenti a cedere le password, e persino utility che imitano marchi noti come Veeam o OneDrive. Stratificando queste tattiche, MuddyWater massimizza le possibilità di eludere i sistemi di rilevamento e raccogliere dati preziosi.
Fughe di Dati, Spionaggio e le Poste Geopolitiche
Questi attacchi arrivano sulla scia di una clamorosa fuga di dati: documenti interni e codice sorgente delle unità cyber iraniane, incluso il famigerato APT35 (Charming Kitten), sono stati pubblicati online. Le fughe rivelano un apparato cyber tutt’altro che caotico-completo di supervisione burocratica, metriche di performance e un approccio disciplinato che rispecchia le agenzie di intelligence tradizionali.
Per Israele, una nazione da tempo in prima linea sul fronte digitale, queste campagne sottolineano una minaccia crescente che va dalle amministrazioni locali alle infrastrutture critiche. Per l’Iran, il cyber-spionaggio è una leva a basso costo in una rivalità regionale dove i confini fisici contano poco nel cyberspazio. Mentre entrambe le parti affinano i propri arsenali digitali, il rischio di danni collaterali per aziende e civili aumenta sempre di più.
WIKICROOK
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usato dagli aggressori per ottenere il controllo segreto.
- Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
- Loader: Un loader è un software dannoso che installa o esegue altri malware su un sistema infetto, abilitando ulteriori attacchi informatici o accessi non autorizzati.
- Remote Administration Tool (RAT): Un Remote Administration Tool (RAT) permette di controllare un computer a distanza. Sebbene utile per l’assistenza IT, i criminali spesso abusano dei RAT per spiare e rubare dati.
- Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi dannosi.




