Porta sul retro del Dindoor
Le ricerche di threat intelligence hanno portato alla luce prove di un'operazione informatica orchestrata dallo Stato iraniano, che si è infiltrata con successo nelle reti di diverse organizzazioni in Nord America. Tra le entità coinvolte figurano banche, aeroporti, organizzazioni no-profit e la filiale israeliana di un'azienda di software attiva nei settori della difesa e dell'aerospaziale.
La campagna è stata attribuita a MuddyWater, noto anche come Seedworm, un gruppo criminale associato al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Gli investigatori stimano che l'operazione sia iniziata all'inizio di febbraio 2026. L'attività di rete collegata alla campagna è emersa poco dopo gli attacchi militari condotti da Stati Uniti e Israele contro l'Iran, suggerendo un potenziale fattore geopolitico scatenante l'attività informatica.
Particolare attenzione sembra essere stata rivolta alla divisione israeliana del fornitore di software preso di mira. L'azienda fornisce soluzioni a diversi settori, tra cui difesa e aerospaziale, il che la rende un obiettivo strategicamente prezioso per la raccolta di informazioni e potenziali disagi.
Sommario
Dindoor: una backdoor appena identificata che sfrutta Deno
Gli analisti della sicurezza che hanno esaminato le intrusioni hanno identificato l'implementazione di una backdoor precedentemente non documentata chiamata Dindoor. Il malware utilizza il runtime JavaScript Deno come parte del suo ambiente di esecuzione, una tecnica relativamente rara che potrebbe aiutare il malware a eludere il rilevamento nei tradizionali sistemi di monitoraggio della sicurezza.
Gli attacchi che hanno coinvolto il fornitore del software, un istituto bancario statunitense e un'organizzazione no-profit canadese sembrano essere serviti come punti di ingresso per l'installazione di questa backdoor.
Sono state identificate anche prove di un tentativo di esfiltrazione dei dati. Gli investigatori hanno osservato l'utilizzo dell'utility Rclone per trasferire informazioni dall'ambiente dell'azienda di software compromessa a un bucket di archiviazione cloud ospitato su Wasabi. Al momento dell'analisi, non era ancora chiaro se il tentativo di esfiltrazione dei dati avesse avuto successo.
La backdoor Fakeset appare in ulteriori reti compromesse
Un componente malware separato, noto come Fakeset, scritto in Python, è stato rilevato nelle reti di un aeroporto statunitense e di un'altra organizzazione no-profit. Questa backdoor è stata recuperata dall'infrastruttura associata a Backblaze, un fornitore di servizi di backup e archiviazione cloud con sede negli Stati Uniti.
Il payload dannoso è stato firmato digitalmente utilizzando un certificato che in precedenza era stato collegato ad altre due famiglie di malware, Stagecomp e Darkcomp, entrambe storicamente associate alle operazioni di MuddyWater.
I ricercatori specializzati in minacce hanno identificato campioni di malware che presentano le seguenti firme legate all'ecosistema MuddyWater:
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Sebbene Stagecomp e Darkcomp non siano stati scoperti sulle reti compromesse esaminate in questa indagine, il riutilizzo dello stesso certificato digitale suggerisce fortemente il coinvolgimento dello stesso autore della minaccia, rafforzando l'attribuzione a Seedworm.
Espansione delle capacità informatiche iraniane e tattiche di ingegneria sociale
Negli ultimi anni, gli autori di minacce informatiche iraniane hanno notevolmente migliorato le loro capacità operative. Lo sviluppo e gli strumenti utilizzati per il malware sono diventati più sofisticati, consentendo una persistenza più furtiva e un movimento laterale più efficace all'interno delle reti delle vittime.
Altrettanto degna di nota è l'espansione delle loro strategie di attacco incentrate sull'uomo. Gli operatori iraniani hanno dimostrato metodi di ingegneria sociale sempre più avanzati, tra cui campagne di spear-phishing altamente mirate e operazioni "trappole" a lungo termine progettate per creare fiducia con individui di interesse. Queste tattiche sono spesso utilizzate per ottenere l'accesso agli account o estrarre informazioni sensibili.
Sorveglianza tramite telecamere vulnerabili
Indagini parallele hanno rivelato che altri gruppi terroristici legati all'Iran stanno attivamente esaminando i dispositivi di sorveglianza connessi a Internet. Uno di questi gruppi, Agrius, noto anche con gli alias Agonizing Serpens, Marshtreader e Pink Sandstorm, è stato osservato mentre scansionava infrastrutture di videosorveglianza vulnerabili.
I ricercatori hanno documentato tentativi di sfruttamento di telecamere e sistemi di videocitofonia Hikvision sfruttando vulnerabilità note. Queste attività si sono intensificate nel contesto del conflitto in corso in Medio Oriente, in particolare in Israele e in diversi stati del Golfo.
La campagna si è concentrata sullo sfruttamento delle vulnerabilità che interessano le apparecchiature di sorveglianza di Dahua e Hikvision, tra cui:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Gli analisti della sicurezza ritengono che tali compromessi possano supportare la raccolta di informazioni di intelligence militare, inclusa la sorveglianza operativa e la valutazione dei danni da combattimento (BDA) relativi alle operazioni missilistiche. In alcuni casi, le intrusioni nelle telecamere possono verificarsi prima del lancio dei missili per facilitare la selezione del bersaglio o il monitoraggio dei risultati.
L’attività informatica come precursore delle operazioni cinetiche
L'individuazione coordinata delle infrastrutture di sorveglianza è in linea con le consolidate valutazioni secondo cui la dottrina informatica iraniana integra la ricognizione digitale in una più ampia pianificazione militare. Le telecamere compromesse possono fornire intelligence visiva in tempo reale e consapevolezza della situazione.
Di conseguenza, il monitoraggio delle attività di scansione e dei tentativi di sfruttamento delle infrastrutture di telecamere collegate a risorse informatiche iraniane note può fungere da segnale di allarme precoce per potenziali operazioni cinetiche successive.
Crescenti rischi di ritorsioni informatiche
L'escalation del conflitto tra Stati Uniti, Israele e Iran ha aumentato il rischio di ritorsioni informatiche. In risposta al crescente panorama delle minacce, il Centro canadese per la sicurezza informatica (CCCS) ha emesso un avviso in cui si avverte che l'Iran potrebbe sfruttare le sue capacità informatiche contro infrastrutture critiche e condurre operazioni di influenza o di informazione per promuovere interessi strategici.
Questi sviluppi evidenziano il ruolo crescente del cyberspazio come campo di battaglia parallelo durante i conflitti geopolitici, in cui spionaggio, disordini e raccolta di informazioni accompagnano sempre più le azioni militari tradizionali.
