Dentro il manuale digitale dell’Iran: l’assedio furtivo di Seedworm alle infrastrutture critiche degli Stati Uniti
Una nuova ondata di intrusioni informatiche iraniane prende di mira le reti statunitensi della difesa e delle infrastrutture, rivelando tattiche inedite e un’escalation dei rischi digitali.
All’ombra delle crescenti tensioni militari tra Stati Uniti e Iran, una silenziosa guerra cibernetica si sta intensificando. Le recenti scoperte di Symantec hanno sollevato il velo su una vasta campagna di spionaggio del gruppo di minaccia iraniano Seedworm, che si è insinuato nelle vene digitali di banche, aeroporti, ONG e appaltatori della difesa americani. Mentre l’attenzione globale si fissa sul conflitto cinetico, nello spazio cibernetico infuria una battaglia più discreta-ma potenzialmente devastante.
Il rapporto di Symantec descrive come Seedworm, operando sotto il Ministero dell’Intelligence e della Sicurezza iraniano, abbia sfruttato una combinazione di malware personalizzato e strumenti software legittimi per violare organizzazioni in tutto il Nord America. La loro campagna, iniziata all’inizio del 2026, coincide con l’escalation delle ostilità regionali-alimentando l’allarme che le operazioni cyber vengano usate come estensioni occulte del conflitto geopolitico.
Gli attaccanti hanno distribuito una backdoor finora sconosciuta, Dindoor, nella filiale israeliana di un fornitore statunitense di software per la difesa, in una banca statunitense e in un’organizzazione non profit canadese. Dindoor, degna di nota per l’uso del runtime Deno, era firmata digitalmente con un certificato rilasciato a una fittizia “Amy Cherne”-un trucco classico per eludere il rilevamento. In parallelo, una backdoor basata su Python chiamata Fakeset, firmata con i certificati “Amy Cherne” e “Donald Gay”, è stata trovata nella rete di un aeroporto statunitense e di una non profit. Questi certificati hanno legami di lunga data con Seedworm, collegando gli incidenti al gruppo iraniano.
Oltre allo spionaggio, gli attaccanti hanno tentato di sottrarre dati verso servizi di archiviazione cloud come Wasabi e Backblaze usando lo strumento Rclone, anche se non è chiaro se l’esfiltrazione sia riuscita. La sofisticazione e la varietà di questi strumenti evidenziano l’arsenale in evoluzione di Seedworm e la loro capacità di mescolare codice personalizzato con utility legittime-una tattica nota come “living off the land”.
La campagna non avviene in isolamento. Altri gruppi allineati all’Iran, come il collettivo hacktivista Handala e Marshtreader, hanno contemporaneamente lanciato attacchi di phishing, ransomware e denial-of-service dirompenti contro obiettivi israeliani, statunitensi e occidentali. Questi sforzi, talvolta amplificati da siti di leak di dati e teatralità sui social media, servono a un duplice scopo: raccolta di informazioni e guerra psicologica.
Gli esperti di sicurezza avvertono che le infrastrutture critiche-in particolare le piattaforme di tecnologia operativa, i sistemi logistici e le reti dei contractor-affrontano un rischio elevato. Il consiglio è chiaro: le organizzazioni devono imporre una forte segmentazione di rete, limitare l’accesso remoto e monitorare attività anomale, soprattutto nei sistemi che controllano operazioni fisiche. Il riutilizzo di certificati digitali e la presenza persistente negli ambienti delle vittime suggeriscono che l’obiettivo finale di Seedworm non sia solo il furto di dati, ma la capacità di interrompere o manipolare servizi chiave nei momenti di tensione strategica.
Man mano che i fronti digitale e fisico del conflitto moderno si confondono, la campagna di Seedworm è un monito inquietante: la prossima grande escalation potrebbe iniziare non con missili, ma con un clic del mouse. Per i difensori, vigilanza e preparazione sono oggi più cruciali che mai.
WIKICROOK
- Advanced Persistent Threat (APT): Una Advanced Persistent Threat (APT) è un attacco informatico prolungato e mirato condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- Living off the land: Living Off the Land significa che gli attaccanti usano strumenti di sistema affidabili e integrati per scopi malevoli, rendendo le loro attività più difficili da rilevare.
- Rclone: Rclone è uno strumento da riga di comando per gestire file tra servizi cloud, ma viene anche sfruttato dai criminali informatici per il furto e l’esfiltrazione di dati.
- Certificato digitale: Un certificato digitale è un documento elettronico che verifica l’identità di siti web o programmi, contribuendo a garantire comunicazioni online sicure e affidabili.




