Sei campagne documentate in dieci giorni: APT allineati a Cina, Bielorussia, Pakistan e Hamas sfruttano il conflitto come esca per colpire governi e diplomatici mediorientali.
Autore: Redazione SecurityOpenLab
Il conflitto tra Stati Uniti, Israele e Iran ha innescato un'ondata di attività cyber da parte di APT che nelle prime due settimane di guerra hanno preso di mira organizzazioni governative e diplomatiche del Medio Oriente con campagne di spionaggio, phishing e raccolta di credenziali. A documentarlo è il team di Threat Research di Proofpoint, che ha rilevato nell’area mediorientale un intensificarsi di operazioni riconducibili a gruppi allineati a Cina, Bielorussia, Pakistan e Hamas, oltre alle attività condotte dagli stessi threat actor iraniani. Il denominatore comune è l'opportunismo: il conflitto si è affermato velocemente come un'esca tematica per operazioni di ingegneria sociale, ma, in alcuni casi, ha anche ridefinito le priorità di raccolta intelligence di APT che storicamente non avevano interesse verso i governi mediorientali. Come già sottolineato, la dimensione cyber del conflitto non ha sorpreso, l’ha fatto la velocità con cui si è concretizzata.
La storia ci ha ormai abituato al fatto che ogni scenario bellico funziona simultaneamente su due livelli: quello opportunistico, in cui il conflitto fornisce un'esca tematica ad alta credibilità per le operazioni di routine già pianificate, e quello strategico, in cui gli APT modificano i propri obiettivi per raccogliere intelligence sull'evoluzione e sulle implicazioni geopolitiche del conflitto. La conclusione degli analisti è che il conflitto abbia accelerato i tempi degli attacchi, ma senza abbassare la qualità tecnica delle operazioni.
Nonostante il governo iraniano abbia disposto l'interruzione di Internet subito dopo i primi attacchi, i gruppi di threat actor iraniani focalizzati sullo spionaggio hanno mantenuto un certo livello di operatività. Al tempo stesso, diversi gruppi hacktivisti e singoli attori iraniani hanno rivendicato la responsabilità di operazioni destabilizzanti. La ricerca di Proofpoint si concentra su sei campagne documentate tra il 28 febbraio e l'8 marzo 2026.
La prima è stata UNK_InnerAmbush, sospettato di allineamento con il Governo cinese, che ha preso il via a sole 24 ore dall'avvio del conflitto. Si tratta di una campagna di phishing contro organizzazioni governative e diplomatiche mediorientali. Le email sono state inviate da un account verosimilmente compromesso e contenevano un link a Google Drive che ospitava un archivio ZIP o RAR protetto da password denominato Photos from the scene.rar oppure Strike at Gulf oil and gas facilities.zip.
Le esche tematiche utilizzate nella prima ondata attiravano l’attenzione per riferimenti alla morte dell'Ayatollah Khamenei e a presunte immagini riservate provenienti da un fantomatico Department of Foreign Affairs che negli USA non ha questa denominazione. Le ondate successive hanno invece puntato su un imminente attacco israeliano alle infrastrutture petrolifere e del gas nel Golfo, da attribuire all'Iran. In questo caso gli allegati contenevano file LNK camuffati da immagini JPG (una tecnica già usata da altri APT in passato), che all'apertura eseguivano un loader nascosto.
Quest’ultimo sfruttava una tecnica di DLL sideloading su un eseguibile legittimo firmato per caricare in memoria un payload Cobalt Strike, che a sua volta comunicava con il server di comando e controllo gestito dagli attaccanti. Le email contenevano anche pixel di tracciamento ospitati su un sito compromesso, per monitorare il coinvolgimento dei destinatari.
Il 2 marzo, un secondo threat actor inedito ha inviato delle email malevole a un ministero governativo mediorientale. Due gli apparenti mittenti: un account compromesso riconducibile al Ministero della Gestione delle Emergenze e dei Disastri siriano, e un account freemail associato a una fittizia organizzazione denominata War Analyse. L'esca tematica era l'escalation del conflitto in Medio Oriente; le email contenevano un link che, pur utilizzando un dominio simile a Microsoft OneDrive, reindirizzava a una pagina di credential harvesting strutturata come una schermata di login di Outlook Web Application. L'URL era target-specific: includeva un client ID che simulava un errore di sessione scaduta per indurre l'utente a reinserire le credenziali. Una volta fatto, la vittima veniva reindirizzata a una piattaforma legittima di aggiornamenti in tempo reale sul conflitto mediorientale. Proofpoint attribuisce questa campagna a un nuovo cluster perché l'attività osservata non si sovrappone ad alcun attore già tracciato.
Sempre il 2 marzo, TA402, un threat actor noto e associato ad Hamas, con una lunga storia di operazioni contro obiettivi diplomatici regionali, ha colpito un'entità governativa mediorientale con una campagna di phishing di credenziali. Ha utilizzato un account compromesso del Ministero degli Affari Esteri iracheno e un secondo account Gmail non meglio precisato, per inviare email con oggetti riferiti a una potenziale operazione di terra statunitense in Iran e a un'alleanza militare del Golfo contro le minacce iraniane. I messaggi contenevano un URL che, in base alla geolocalizzazione IP del destinatario, servivano selettivamente un PDF decoy oppure una pagina di raccolta credenziali che imitava l'interfaccia di Microsoft Outlook Web Application.
Tra il 3 e il 5 marzo, il gruppo bielorusso TA473 (Winter Vivern) ha inviato email a organizzazioni governative in Europa e Medio Oriente, impersonando un portavoce della presidenza del Consiglio europeo. Gli esperti di Proofpoint sottolineano che non avevano mai visto TA473 prendere di mira organizzazioni governative mediorientali in precedenza: siamo di fronte a un ampliamento significativo del perimetro operativo del gruppo, verosimilmente motivato dall'interesse nella raccolta di intelligence sulla posizione dei paesi della regione rispetto al conflitto. Le email, inviate da una infrastruttura probabilmente compromessa, contenevano un allegato HTML che, se aperto, mostrava un'immagine decoy ed effettuava una richiesta HTTP a un URL di tracciamento per monitorare i destinatari. Proofpoint non è riuscita a recuperare i payload di secondo stadio al momento dell'analisi.
Il 5 marzo, un threat actor probabilmente allineato con il Pakistan ha inviato email di spear phishing agli uffici indiani di organizzazioni governative mediorientali. L'email proveniva da un indirizzo Outlook che si spacciava per il Ministero degli Affari Esteri indiano e utilizzava come oggetto Gulf Security Alert: Iran Retaliation Impacts. L'allegato era un PDF con contenuto volutamente sfocato e un pulsante Adobe Reader contraffatto; cliccandolo, la vittima veniva reindirizzata a un URL controllato dall'attaccante che, tramite geofencing, serviva un PDF decoy agli utenti fuori area e un eseguibile .NET ai target intenzionali. Il loader recuperava poi una backdoor che a sua volta eseguiva un fingerprinting del sistema e comunicava con il server di comando e controllo attraverso la stessa infrastruttura. Proofpoint segnala una sovrapposizione con attività documentate pubblicamente da Bitdefender in relazione ad APT36, pur non attribuendo formalmente la campagna a quel gruppo.
L'8 marzo, il gruppo iraniano TA453 (Charming Kitten, Mint Sandstorm o APT42) ha tentato un attacco di phishing di credenziali contro un think tank statunitense. L'elemento di rilievo è la continuità: la corrispondenza email era iniziata a febbraio, prima del conflitto, nell'ambito di una tipica attività di spionaggio. Il gruppo aveva impersonato Michael McManus, responsabile della ricerca della Henry Jackson Society, usando un account Hotmail contraffatto, e aveva invitato il target a partecipare a un roundtable sulla difesa aerea in Medio Oriente, condividendo un PDF legittimo ospitato su OneDrive come esca credibile. Solo dopo aver stabilito un rapporto con la potenziale vittima, la successiva email ha incluso un URL malevolo camuffato da link, che reindirizzava a una pagina di phishing di credenziali su Netlify precompilata con l'indirizzo email del destinatario. Il fatto che la campagna fosse stata avviata prima del conflitto indica che TA453 abbia mantenuto le proprie priorità di intelligence senza discontinuità operativa nonostante l'interruzione di Internet disposta dal governo iraniano.