Il 20 marzo 2026, con il traffico Internet iraniano ancora ridotto a seguito degli attacchi fisici di Stati Uniti e Israele, il gruppo pro-iraniano tracciato come APT Iran pubblicava su Telegram la rivendicazione della sottrazione di dati da Lockheed Martin, il più grande contractor della difesa e dell'aerospazio americano, incluse le specifiche tecniche degli F-35. Nello stesso giorno, l'FBI ha emesso un avviso ufficiale di una campagna malware del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS) attiva dal 2023, mai interrotta, capace di colpire dissidenti e giornalisti in tutto il mondo usando Telegram come infrastruttura di comando e controllo. Due episodi simultanei, due vettori diversi, un unico messaggio: l’ecosistema cyber iraniano non ha bisogno di un centro di comando funzionante per operare.

A meritare particolare attenzione è il sopraccitato documento dell'FBI, perché descrive una campagna strutturata in due stadi di cui il primo utilizza malware mascherato da applicazioni comuni (Pictory, KeePass, Telegram stesso) per infettare sistemi Windows. Il secondo stadio connette il dispositivo compromesso a bot Telegram configurati come canali di comando e controllo, così da attuare una comunicazione bidirezionale per trafugare screenshot, contenuti audio, file compressi e altro. L'FBI specifica che la fase iniziale del malware era personalizzata in base al profilo comportamentale della vittima, il che implica una ricognizione preliminare sistematica prima di ogni contatto.

L'obiettivo dichiarato sono dissidenti iraniani, giornalisti che si oppongono al regime, membri di organizzazioni con posizioni contrarie alla narrativa di Teheran. Il documento stabilisce inoltre che il ben noto gruppo Handala Hack ha utilizzato materiale ottenuto attraverso la stessa campagna malware per condurre operazioni hack-and-leak nel 2025. Inoltre, l'FBI stima che Handala Hack sia collegato all'entità Homeland Justice, anch'essa attribuita a operatori MOIS.

Sei giorni dopo, il 26 marzo, Handala ha alzato il livello di escalation con quella che il gruppo ha definito Fase 2 dell'Operazione Lockheed Martin: la richiesta di riscatto di 400 milioni di dollari, indicata come "il costo di costruzione di quattro F-35", per non vendere i dati sottratti agli avversari degli Stati Uniti. Vale la pena segnalare che la quantità di dati rivendicata varia tra 375 gigabyte e 375 terabyte a seconda delle fonti, il che resta un punto da chiarire in assenza di conferme ufficiali. Lockheed Martin, in una nota del 25 marzo, ha dichiarato che non esistono prove dell'accuratezza delle rivendicazioni.

Un ulteriore dato interessante di questa fase è che Handala ha spostato il bersaglio sulle persone fisiche, poiché a seguito dell’attacco ha pubblicato online e sul dark web i dati personali di 28 ingegneri senior americani coinvolti nella manutenzione di F-35, F-22 e del sistema difensivo THAAD, e impiegati in Israele su progetti militari. La pubblicazione includeva nomi, documenti di identità, passaporti, luoghi di residenza e basi operative e tutti hanno ricevuto un ultimatum di 48 ore per lasciare Israele, con telefonate dirette alle loro abitazioni. Secondo quanto citato in un articolo di Cybernews il materiale pubblicato sarebbe stato giudicato attendibile da esperti di settori.

Un modello che regge sotto pressione

Questi due episodi devono essere letti in un più ampio contesto di threat intelligence. Unit 42 evidenzia che i raid USA-Israele hanno effettivamente degradato le infrastrutture iraniane, con la connettività Internet interna che è crollata al 4% il 28 febbraio ed è rimasta inferiore all'1% nei giorni immediatamente successivi. Inoltre, sono stati uccisi componenti della leadership di IRGC e MOIS e le basi operative sono state gravemente colpite. Tuttavia,  Unit 42 documenta che nei sei mesi precedenti i raid, i principali gruppi APT avevano già costruito infrastrutture operative di backup, con una Electronic Operations Room che è tornata operativa entro 24 ore dai raid del 28 febbraio, pronta a coordinare oltre 60 gruppi hacktivisti.

Un altro report firmato da Broadcom/Symantec nel frattempo ha documentato l'attività di MuddyWater/Seedworm in una campagna coordinata iniziata già a febbraio 2026, con intrusioni o tentativi di intrusione in una banca statunitense, un aeroporto USA, una organizzazione no-profit operante tra Stati Uniti e Canada, e una software company con presenza in Israele. In quest'ultimo caso è stata dispiegata Dindoor, una backdoor inedita che sfrutta il runtime JavaScript Deno per l'esecuzione e che tenta l'esfiltrazione dei dati tramite Rclone verso un bucket di storage Wasabi. Su alcuni sistemi è stata trovata anche una seconda backdoor, battezzata Fakeset, firmata con certificati digitali già associati ai malware Stagecomp e Darkcomp, entrambi precedentemente attribuiti a MuddyWater.

Check Point Research fotografa con precisione il meccanismo sottostante: l'Iran opera su tre livelli distinti ma coordinati. Il primo comprende le unità cyber direttamente dipendenti da IRGC e MOIS. Il secondo è costituito da operatori che agiscono per conto dello stato attraverso coperture che garantiscono a Teheran la possibilità di negare qualsiasi coinvolgimento. Il terzo è il layer hacktivista, costituito da gruppi che si presentano come collettivi indipendenti, ma che funzionano di fatto come proxy controllati.

Questo ecosistema supporta tre categorie di obiettivi in parallelo: spionaggio per acquisire intelligence e una presenza persistente nelle reti; attività distruttiva, inclusi DDoS, pseudo-ransomware e wiper per imporre costi operativi; operazioni di disinformazione che abbinano data leak ad amplificazione coordinata sui media. Rapid7 aggiunge che in situazioni di crisi, decine di incidenti simultanei a basso impatto consumano risorse difensive, complicano l'attribuzione e oscurano intrusioni più sofisticate che avvengono in parallelo.

La ragione per cui questo schema regge anche sotto pressione militare diretta è che l'ecosistema iraniano ha imparato a sopravvivere a ogni perturbazione strutturale diventando ogni volta più distribuito. Shieldworkz ricorda che, dopo Stuxnet, l'Iran è riemerso e ha messo offline Saudi Aramco, ha paralizzato il Sands Casino e ha colpito l'infrastruttura finanziaria USA con campagne DDoS prolungate. Dopo l'assassinio di Soleimani, i gruppi cyber si sono adattati, hanno ampliato il perimetro di targeting e hanno costruito relazioni con ecosistemi ransomware per fatturato aggiuntivo e deniability.

Augur Security stima verosimilmente che la fase più pericolosa sia quella in cui vengono ripristinati i canali di comunicazione e gli operatori decidono di attivare accessi pre-posizionati in infrastrutture energetiche e idriche. Check Point e Horizon3 convergono su questa valutazione: i target OT/ICS con credenziali di default su PLC e HMI restano il vettore a più alto rischio nel medio periodo, insieme alle campagne di spear-phishing di Charming Kitten/Educated Manticore su giornalisti, accademici e policy expert.