Fumo e specchi: come gli hacker di Stato iraniani stanno camuffando lo spionaggio da attacchi ransomware
Sottotitolo: Si accumulano le prove che il gruppo iraniano MuddyWater stia usando il ransomware Chaos per mascherare operazioni di spionaggio sostenute dal governo.
Quando una nota di ransomware lampeggia su uno schermo, la maggior parte delle vittime pensa ai soldi-richiesti, rubati, estorti. Ma a volte, il vero colpo è nascosto in piena vista. Recenti rivelazioni di ricercatori di cybersicurezza suggeriscono che alcuni dei più noti hacker governativi iraniani stiano sfruttando il caos del ransomware-non solo per fare cassa rapidamente, ma per coprire la loro vera missione: lo spionaggio.
Fatti rapidi
- Il gruppo APT iraniano MuddyWater, legato al Ministero dell’Intelligence iraniano, sta usando il ransomware Chaos per camuffare lo spionaggio informatico.
- Gli attaccanti hanno usato social engineering su Microsoft Teams e la condivisione dello schermo per rubare credenziali e file sensibili.
- I tentativi di estorsione erano maldestri; i dati rubati sono stati pubblicati, ma i file non sono stati cifrati-una mossa insolita per un ransomware.
- Le prove tecniche hanno collegato l’intrusione a MuddyWater, inclusi artefatti di malware e infrastrutture riutilizzate.
- Il ransomware è sempre più usato da attori statali a livello globale per sfumare i confini tra operazioni informatiche criminali e di spionaggio.
In un caso recente analizzato da Rapid7, quello che inizialmente sembrava un attacco ransomware lineare si è rivelato una manovra sofisticata di MuddyWater, un gruppo di hacking sostenuto dal governo iraniano. Gli attaccanti hanno infiltrato un’azienda usando una combinazione di social engineering-spacciandosi per contatti esterni su Microsoft Teams per indurre i dipendenti a rivelare le credenziali VPN. Una volta dentro, gli hacker hanno distribuito strumenti di gestione remota, raccogliendo silenziosamente dati sensibili.
Il colpo di scena? A differenza dei tipici attacchi ransomware, i file non sono stati cifrati. Invece, gli attaccanti hanno minacciato di divulgare i dati rubati, e in seguito lo hanno effettivamente fatto. Questo tentativo di estorsione maldestro ha sollevato sospetti. A un’analisi più approfondita, i ricercatori hanno trovato impronte digitali che puntavano al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS)-la stessa squadra nota per lo spionaggio informatico in Medio Oriente e oltre.
Questa tattica, nota come “false flag”, sta diventando uno strumento preferito dagli attori statali. Imitando il copione caotico e rumoroso dei cybercriminali, gli hacker governativi possono confondere l’attribuzione, rendendo più difficile per difensori e forze dell’ordine individuare i veri responsabili o le reali motivazioni. Il ransomware Chaos, a quanto pare sviluppato da ex membri di bande ransomware ormai sciolte, è ora diventato una nuova maschera per operazioni sostenute dallo Stato.
L’Iran non è l’unico a ricorrere a questo gioco di prestigio. I ricercatori hanno osservato strategie simili da parte di Cina, Corea del Nord e Russia, con hacker statali che adottano modelli di ransomware-as-a-service per nascondere lo spionaggio, destabilizzare avversari o persino fare “doppio lavoro” come criminali guidati dal profitto. I confini tra spionaggio e cybercrime si stanno sfumando, creando nuovi grattacapi per i difensori e nuovi rischi per le organizzazioni prese di mira.
Con l’escalation delle ostilità informatiche sulla scena globale, attacchi come questi sono un promemoria netto: la nota di riscatto potrebbe essere solo l’inizio della storia. Dietro le quinte, gli hacker statali stanno affinando i loro travestimenti, trasformando ogni violazione in un potenziale schermo di fumo per qualcosa di molto più grande del denaro sottratto.
TECHCROOK
Per ridurre il rischio di intrusioni che partono da social engineering su Microsoft Teams e furto di credenziali VPN, una soluzione concreta è YubiKey 5 NFC, chiave hardware per autenticazione forte (MFA) basata su standard FIDO2/WebAuthn e U2F. Si usa come secondo fattore resistente al phishing: anche se una password viene carpita durante una finta assistenza o una sessione di condivisione schermo, l’accesso resta bloccato senza la chiave fisica. Supporta USB-A e NFC per PC e dispositivi mobili, può proteggere account Microsoft/Entra ID, VPN e servizi cloud, e riduce l’impatto di compromissioni mirate tipiche degli APT. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Advanced Persistent Threat (APT): Una Advanced Persistent Threat (APT) è un attacco informatico prolungato e mirato condotto da gruppi esperti, spesso sostenuti da uno Stato, con l’obiettivo di rubare dati o interrompere le operazioni.
- Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
- False Flag Operation: Un’operazione false flag è quando gli attaccanti camuffano la propria identità piantando indizi fuorvianti, facendo sembrare che dietro un attacco informatico ci sia qualcun altro.
- Remote Management Tool: Uno strumento di gestione remota consente agli amministratori di controllare, monitorare e mantenere computer o server a distanza, migliorando efficienza e capacità di supporto.




