Dietro il Codice Nemico: cyber spie iraniane si smascherano nell’hack al governo dell’Oman
Sottotitolo: Un passo falso di disarmante superficialità da parte di hacker legati all’Iran rivela una vasta campagna per rubare dati sensibili dai ministeri dell’Oman-e l’intero loro manuale operativo di hacking.
Era il tipo di errore che la maggior parte dei cybercriminali teme solo negli incubi: un server privato, lasciato completamente aperto, che riversa all’esterno i segreti di un’operazione di spionaggio digitale in corso. All’inizio di aprile 2026, ricercatori di sicurezza si sono imbattuti nel cuore operativo di un gruppo di hacker con legami con l’Iran mentre prendeva di mira il governo omanita. Non solo è emersa la lista degli obiettivi, ma anche strumenti, appunti e perfino i loro fallimenti-offrendo un raro sguardo dall’interno su come gli hacker sponsorizzati dallo Stato conducono la guerra digitale.
Dentro l’operazione
La violazione è iniziata con tattiche classiche: brute force delle password e scansione delle vulnerabilità contro portali chiave del governo omanita. Gli attaccanti, ricondotti a interessi iraniani, si sono concentrati sul sistema eVisa della Royal Oman Police e sul sito di formazione della State Audit Institution, martellando le credenziali di accesso e cercando crepe sfruttabili.
Quando il brute force non è bastato, hanno scatenato script di exploit mirati-soprattutto tentativi di sfruttare le vulnerabilità ProxyShell contro i server email governativi. Sebbene questi tentativi siano in gran parte falliti, la perseveranza degli attaccanti ha dato frutti altrove: cookie di sessione catturati dal portale eVisa hanno confermato che erano riusciti ad aggirare l’autenticazione, aprendo la porta a dati sensibili.
La vera rivelazione è arrivata quando i ricercatori hanno scoperto due directory aperte sul server di staging degli hacker, ospitato da RouterHosting negli Emirati Arabi Uniti. Una directory tracciava la fase di ricognizione e di accesso iniziale; l’altra, un ambiente post-compromissione, era una miniera d’oro digitale. Qui l’arsenale degli hacker era in piena mostra: webshell personalizzate per un accesso persistente, una pletora di script Python per sfruttare di tutto-dai bug SSRF di DotNetNuke all’escalation dei privilegi su SQL Server-e perfino più iterazioni dello strumento di privilege escalation GodPotato, ciascuna versione ritoccata in risposta agli ostacoli difensivi.
L’infrastruttura degli attaccanti era altrettanto sofisticata. La loro rete di comando e controllo (C2) si estendeva su più porte: porte web standard per reverse shell furtive, la porta 7777 per tunnel Chisel cifrati e la fascia 8000 per segnali beacon ed esfiltrazione dei dati. Ogni mossa era documentata in tempo reale, con note sui fallimenti e revisioni del codice lasciate in bella vista-prova di un avversario altamente adattivo, seppur operativamente negligente.
Questa trasparenza accidentale offre una finestra senza precedenti su come gli hacker allineati a uno Stato affinano i propri metodi e si adattano a difese in evoluzione. Sottolinea anche una lezione cruciale: persino gli attori di minaccia più avanzati non sono immuni dall’errore umano.
Conclusione
La violazione ai danni del governo omanita è un promemoria netto: le ombre digitali in cui operano le cyber spie possono trasformarsi rapidamente in case di vetro. Mentre gli hacker legati all’Iran hanno dimostrato competenza tecnica e capacità di adattamento, un singolo server esposto ha disvelato i loro segreti-offrendo ai difensori una rara opportunità di studiare nel dettaglio il manuale operativo del nemico. Nella cyber-guerra, come su qualsiasi campo di battaglia, la compiacenza è l’alleata del nemico e la migliore amica dell’investigatore.
WIKICROOK
- Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
- ProxyShell: ProxyShell è un insieme di gravi falle di sicurezza nei server Microsoft Exchange che, se non corrette, consentono agli attaccanti di entrare, rubare dati o prendere il controllo.
- Webshell: Una webshell è un programma nascosto caricato dagli hacker su un sito compromesso, che concede loro controllo remoto e accesso non autorizzato come una backdoor segreta.
- Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
- Session Cookie: Un cookie di sessione è un file temporaneo nel browser che ti mantiene connesso a un sito; se rubato, può consentire ad altri di accedere al tuo account.




