Dopo i raid su Teheran, il rischio cyber legato all’Iran si fa più concreto e articolato: Unit 42, Tenable e NCSC UK delineano limiti attuali, proxy attivi e possibili ritorsioni su aziende e infrastrutture.
Autore: Redazione SecurityOpenLab
L’offensiva congiunta USA–Israele del 28 febbraio entra inevitabilmente in una fase in cui il rischio cyber legato all’Iran si fa più concreto, ma anche più sfaccettato. La novità principale rispetto a ieri è il contenuto del threat brief di Unit 42 di Palo Alto Networks, che offre il primo quadro strutturato su come sta evolvendo la minaccia e su cosa devono aspettarsi, nel breve periodo, aziende e istituzioni europee e italiane.
Secondo gli esperti della Unit 42, nelle ore successive all’inizio del conflitto l’Iran ha avviato una campagna di rappresaglia multi‑vettore che ha rapidamente travalicato i confini regionali, ma che è stata contenuta dalla connettività Internet interna (scesa tra l’1% e il 4% già dalla mattina del 28 febbraio), limitando la capacità di coordinare operazioni complesse dai centri di comando e controllo di Teheran. Questo vincolo, unito al degrado fisico delle infrastrutture, rende improbabile, nel brevissimo periodo, una grande offensiva informatica centralizzata e altamente sofisticata, pur lasciando spazio a iniziative più autonome da parte di singole unità o cellule all’estero.
Il vuoto lasciato dagli apparati ufficiali viene in parte colmato dai proxy: Unit 42 segnala un’impennata dell’attività di gruppi hacktivisti allineati all’Iran, spesso geograficamente distribuiti e attivi fuori dal Paese, mediante operazioni di interruzione del servizio di livello medio‑basso, come campagne DDoS e iniziative di hack‑and‑leak contro governi, aziende e infrastrutture nei Paesi che ospitano basi militari statunitensi. In parallelo, altri attori statuali senza legami diretti con Teheran stanno cercando di sfruttare il caos per condurre attacchi opportunistici, mascherandosi dietro la narrativa della rappresaglia iraniana.
Il quadro tracciato dalla Unit 42 si integra con l’analisi di Tenable, che sposta il focus dal “se” al “come” si manifesterà la risposta cyber iraniana. Il vendor ricorda che, negli ultimi anni, i gruppi legati ai Guardiani della Rivoluzione e al Ministero dell’Intelligence hanno progressivamente abbandonato il solo spionaggio per abbracciare tecniche distruttive e wiper‑like contro energy, telco, logistica e infrastrutture critiche occidentali. L’aspettativa, come abbiamo segnalato ieri, è un aumento di attività contro questi settori, con un mix di targeting mirato e attacchi opportunistici che sfruttano vulnerabilità note nei sistemi esposti su Internet, supportati da botnet e ondate di DDoS.
Nel dettaglio, Tenable elenca una costellazione di gruppi e fronti allineati con Teheran: Banished Kitten/HomeLand Justice, Cotton Sandstorm/Altoufan Team, CyberAv3ngers, APT34/OilRig, MuddyWater, APT35 e altri. Insieme, questi threat actor coprono l’intero spettro delle operazioni: sabotaggio OT e PLC in impianti idrici e industriali, campagne di hack‑and‑leak e disinformazione mirata, spear‑phishing contro governi e difesa, sfruttamento di appliance e dispositivi edge per aprire varchi ai gruppi ransomware. È un ecosistema che conosce bene le vulnerabilità dei sistemi industriali europei e che ha già dimostrato di saper colpire infrastrutture occidentali ben oltre il perimetro mediorientale.
Sul fronte difensivo, il Regno Unito ha scelto la trasparenza controllata. Il National Cyber Security Centre ha pubblicato un advisory in cui afferma che, al momento, non si rileva un cambiamento significativo nella minaccia diretta dall’Iran verso il Regno Unito, ma invita con fermezza le organizzazioni a rivedere la propria postura di sicurezza, soprattutto quelle con asset, filiali o supply chain nell’area del conflitto. La valutazione è chiara: gli attori statali e para‑statali iraniani “mantengono quasi certamente almeno una parte della capacità di condurre operazioni cyber” e la situazione può evolvere con poco preavviso, mentre il rischio di spillover indiretto verso chi ha legami con la regione è giudicato “quasi certo”.
Le raccomandazioni operative che emergono dai report insistono sulla necessità di alzare la soglia di vigilanza, accelerare patching e hardening di sistemi Internet‑facing, rafforzare le difese contro DDoS e campagne di phishing a tema geopolitico, e mantenere un monitoraggio costante delle minacce e delle vulnerabilità specificamente associate ai gruppi iraniani.