Martedi 07 Luglio 2026 07:36:40 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Dentro l’arsenale digitale dell’Iran: MuddyWater schiera la backdoor Dindoor nell’assedio cyber agli Stati Uniti

Pubblicato: 06 Marzo 2026 13:39Categoria: Cyber Warfare & Nation-State OperationsArea: Middle EastAutore: AGONY

Sottotitolo: Una nuova ondata di attacchi informatici iraniani prende di mira reti legate a Stati Uniti e Israele con malware avanzato, intensificando il fronte digitale delle tensioni in Medio Oriente.

Nel mondo oscuro della guerra cibernetica sponsorizzata dagli Stati, il collettivo di hacker iraniano noto come MuddyWater torna ancora una volta a far parlare di sé. Mentre in Medio Oriente volano i missili, una silenziosa guerra digitale si sta dispiegando nel cyberspazio americano e israeliano. L’ultima salva: una sofisticata campagna cyber che si è insinuata in banche statunitensi, aeroporti, organizzazioni non profit e in un’azienda software legata alla difesa, il tutto mentre rilasciava una backdoor mai vista prima chiamata Dindoor.

Fatti in breve

  • Backdoor Dindoor: Nuovo malware che utilizza il runtime JavaScript Deno, scoperto in attacchi contro organizzazioni statunitensi e legate a Israele.
  • La firma di MuddyWater: Il gruppo, collegato al Ministero dell’Intelligence iraniano, ha anche distribuito il malware Fakeset basato su Python utilizzando infrastrutture cloud americane.
  • Campagna più ampia: Tra i bersagli figurano banche, aeroporti, non profit e un fornitore software dell’industria della difesa.
  • Contesto geopolitico: Gli attacchi sono aumentati dopo i raid di Stati Uniti e Israele sull’Iran, con operazioni cyber estese agli Stati del Golfo e alle infrastrutture energetiche israeliane.
  • Sfruttamento di cloud e telecamere: Attori iraniani e alleati trasformano in armi lo storage cloud e le vulnerabilità delle telecamere IP per intelligence e supporto operativo.

Ricercatori di Symantec (Broadcom) e del Carbon Black Threat Hunter Team hanno recentemente scoperto prove che MuddyWater, un gruppo da tempo associato al Ministero dell’Intelligence e della Sicurezza iraniano, si è annidato in profondità nelle reti di diverse organizzazioni occidentali di alto profilo. La campagna, che si ritiene sia iniziata a febbraio, arriva sulla scia dell’escalation del conflitto cinetico nella regione-suggerendo una risposta cyber coordinata agli eventi militari.

Al centro di queste intrusioni c’è Dindoor, una backdoor finora sconosciuta che sfrutta il runtime JavaScript Deno. Il suo impiego è stato ricondotto a un’azienda software con legami israeliani che rifornisce i settori della difesa e dell’aerospazio. Gli investigatori hanno inoltre rilevato tentativi di sottrarre dati tramite Rclone, un popolare strumento di migrazione verso il cloud, prendendo di mira lo storage cloud di Wasabi. Non è chiaro se qualche dato sia stato effettivamente esfiltrato.

Altrove, un malware basato su Python soprannominato Fakeset è stato individuato nelle reti di un aeroporto statunitense e di un’organizzazione non profit, scaricato da server Backblaze. I certificati digitali usati per firmare Fakeset corrispondono a quelli riscontrati in altre minacce collegate a MuddyWater, confermando il coinvolgimento del gruppo. Gli analisti osservano che le APT iraniane sono diventate sempre più abili-non solo negli exploit tecnici, ma anche nel social engineering, nello spear-phishing e persino in operazioni di “honeytrap” progettate per adescare e compromettere bersagli umani.

Queste offensive cyber non avvengono in isolamento. Altri gruppi allineati all’Iran, come Agrius e hacktivisti pro-palestinesi, stanno sfruttando vulnerabilità in telecamere ampiamente diffuse (in particolare Hikvision e Dahua) in Israele e nel Golfo, puntando alla raccolta di intelligence e al supporto operativo. Recenti campagne di wiper malware prendono di mira i settori energetico, finanziario e governativo israeliani, mentre attori pro-russi e iraniani coordinano attacchi su larga scala contro sistemi di controllo industriale nella regione.

Gli esperti avvertono che la dottrina cyber dell’Iran ora privilegia un accesso persistente e ripetibile-utilizzando furto di credenziali e social engineering più che rari exploit zero-day. La loro attenzione verso infrastrutture cloud e di identità rende ogni account esposto un potenziale punto d’ingresso. Con le linee del fronte digitale che si confondono, le organizzazioni sono invitate a rafforzare le difese, imporre l’autenticazione multi-fattore resistente al phishing e mantenere i sistemi critici isolati e aggiornati.

Con l’intensificarsi del conflitto in Medio Oriente, aumenta anche il fuoco incrociato nel cyberspazio. La campagna Dindoor di MuddyWater segnala non solo un’evoluzione tecnica, ma anche un avvertimento: sulla scacchiera geopolitica di oggi, il prossimo attacco potrebbe non arrivare dal cielo, ma dal cloud.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
  • Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Furto di credenziali: Il furto di credenziali si verifica quando gli hacker sottraggono nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.
  • Wiper Malware: Il wiper malware è un software malevolo che elimina o corrompe in modo permanente i file, rendendo impossibile il recupero e causando gravi perdite di dati o interruzioni dei sistemi.