L’intensificarsi delle ostilità registrate in Medio Oriente a partire dal febbraio 2026 ha determinato una riconfigurazione radicale della postura offensiva cibernetica della Repubblica Islamica dell’Iran. Le storiche operazioni di cyber espionage e le campagne di sabotaggio asimmetrico a bassa intensità, tipiche della fase di low-intensity cyber warfare, hanno ceduto il passo a una dottrina organica definita strategic kinetic-cyber convergence.
Tale evoluzione non rappresenta unicamente un incremento del volume degli attacchi, bensì una profonda maturazione dottrinale in cui le manovre nello spazio digitale vengono strategicamente allineate e sincronizzate con le operazioni cinetiche sul campo, fungendo da moltiplicatore di forza e da veicolo primario per le operazioni psicologiche.
L’analisi dei flussi operativi evidenzia che il Corpo delle Guardie della Rivoluzione Islamica e il Ministero dell’Intelligence e della Sicurezza perseguono obiettivi strategici focalizzati sulla massimizzazione dell’impatto psicologico, sul logoramento economico e sulla paralisi delle infrastrutture civili dei propri avversari.
L’instabilità interna seguita alle sommosse del dicembre 2025 ha ulteriormente spinto l’apparato di sicurezza iraniano ad adottare un modello a tripla minaccia: sorveglianza repressiva del dissenso interno, spionaggio industriale globale e attacchi distruttivi condotti sotto la copertura di gruppi proxy fittizi per mantenere una plausibile negabilità.
Gli attori statali non cercano più la semplice esfiltrazione silente di dati a lungo termine, ma mirano a dimostrare la capacità di colpire direttamente il tessuto economico e le infrastrutture critiche occidentali e dei partner regionali.
Indice degli argomenti
Sabotaggio industriale e wiper malware
Il ricorso a carichi distruttivi di tipo wiper costituisce il tratto distintivo più evidente delle operazioni iraniane nel corso del 2026. Gruppi associati al MOIS, in particolare operanti sotto il vessillo di Handala Hack (tracciato anche come Void Manticore, Red Sandstorm o Banished Kitten), hanno dimostrato un’elevata capacità di penetrazione e distruzione su scala globale. L’operazione più dirompente registrata ha preso di mira la multinazionale Stryker Corporation, un’azienda statunitense leader nella produzione di tecnologie mediche avanzate.
L’attacco a Stryker ha comportato la distruzione dei dati su oltre 200.000 dispositivi tra server, workstation e dispositivi mobili, impattando l’operatività in 79 paesi e compromettendo circa 50 terabyte di dati aziendali. Piuttosto che ricorrere a malware customizzati altamente complessi, gli attaccanti hanno sfruttato un approccio orientato all’abuso di strumenti legittimi. Dopo aver ottenuto credenziali di global administrator, probabilmente acquistate tramite initial access broker o sottratte mediante campagne di phishing e brute-force su VPN, gli operatori hanno utilizzato la piattaforma di gestione Microsoft Intune per inviare comandi di cancellazione remota (remote wipe) a tutti i dispositivi connessi all’infrastruttura aziendale. Questa metodologia ha esteso la distruzione persino ai dispositivi personali dei dipendenti iscritti alle policy di bring your own device, azzerando token di autenticazione e dati personali.
Parallelamente, sul fronte dei malware specializzati, è stata rilevata l’attività di CanisterWorm. Sebbene originato da un gruppo cybercriminale (TeamPCP), CanisterWorm è stato attivamente impiegato per colpire infrastrutture cloud all’interno dell’Iran e all’estero. Il verme si propaga autonomamente attraverso lo sfruttamento di API Docker esposte, cluster Kubernetes mal configurati e server Redis. CanisterWorm integra logiche di geofencing: esegue la routine distruttiva di wiping dei cluster Kubernetes soltanto se rileva che la macchina appartiene al fuso orario iraniano o ha impostata la lingua farsi. Questo dimostra l’emergere di armi cyber capaci di piegare i vettori di infezione globale a obiettivi geopolitici iper-mirati.
Le catene di attacco per penetrare i segmenti industriali e procedere al movimento laterale tra reti IT e segmenti OT/ICS fanno largo uso di tecniche living off the land. Gli operatori iraniani dimostrano di preferire la rapidità d’azione e il controllo manuale rispetto all’automazione sofisticata una volta violato il perimetro.
Tecniche operative e tattiche osservate
Nello specifico, l’analisi delle intrusioni evidenzia le seguenti tecniche e tattiche mappate secondo il framework MITRE ATT&CK:
- Accesso iniziale (T1133 – external remote services): sfruttamento massivo di account VPN compromessi attraverso brute-force e spray di password, spesso originati da nodi d’uscita VPN commerciali per mascherare la provenienza.
- Esecuzione (T1059.001 – PowerShell): uso di script PowerShell assistiti dall’intelligenza artificiale per l’orchestrazione delle routine di cancellazione e la disabilitazione dei sistemi difensivi locali.
- Movimento laterale (T1021.001 – remote desktop protocol): utilizzo pervasivo e quasi esclusivo di sessioni RDP autenticate per spostarsi manualmente tra i server di produzione e mappare la rete interna.
- Movimento laterale (T1021.002 – SMB/Windows admin shares): propagazione dei payload e dei file batch tramite condivisioni SMB e utilizzo di WinRM per l’esecuzione di comandi distribuiti.
- Impatto (T1485 – data destruction): impiego simultaneo di più metodi di cancellazione, inclusa la sovrascrittura del master boot record tramite Handala Wiper e la rimozione mirata di file system tramite Hatef Wiper.
I gruppi di facciata nell’offensiva cyber iraniana
Il modello operativo iraniano poggia in larga misura sulla creazione e sul foraggiamento di gruppi hacktivisti di facciata che fungono da intermediari sacrificabili per le agenzie governative. La catena di comando tra lo Stato e tali gruppi non è sempre lineare, ma gli analisti concordano nell’attribuire il coordinamento strategico direttamente al MOIS e all’IRGC. Gruppi come Handala Hack, Homeland Justice e Karma sono stati identificati come semplici personas o fronti mediatici gestiti dal raggruppamento Void Manticore.
Un esempio altrettanto significativo è costituito da UniT 313 (noto anche come 313 Team), un collettivo pro-Iran focalizzato principalmente su attacchi di tipo Distributed Denial of Service e defacement contro i paesi del Consiglio di Cooperazione del Golfo (GCC) e alleati occidentali. UniT 313 ha dimostrato la capacità di colpire siti web governativi in Kuwait, Bahrein ed Emirati Arabi Uniti, coordinando le proprie offensive attraverso canali Telegram dedicati e stringendo alleanze con altri gruppi cyber dell’asse della resistenza. Sebbene le loro capacità distruttive a livello di codice rimangano inferiori a quelle dei gruppi APT di punta, l’unità gestisce un repository GitHub con strumenti di audit web (come HackBar) sviluppati dalla sotto-branca Liwa Awli Aleazm, indicando una transizione verso attacchi applicativi più complessi oltre ai semplici attacchi volumetrici.
Hack-and-leak, influenza e supporto dell’intelligenza artificiale
L’efficacia delle operazioni di hack-and-leak si è rivelata una risorsa insostituibile per le Information Operations di Teheran. I dati rubati durante le intrusioni non vengono soltanto sottratti per scopi di intelligence classica, ma vengono manipolati, decontestualizzati e diffusi pubblicamente al fine di instillare paura, screditare i governi avversari ed esporre informazioni personali dei dipendenti delle aziende colpite. Questo naming and shaming digitale amplifica enormemente il riverbero mediatico di attacchi che, dal punto di vista puramente tecnico, potrebbero risultare di minore entità.
Nel corso del 2026, l’integrazione dell’intelligenza artificiale generativa ha rivoluzionato il ciclo di vita degli attacchi e il perfezionamento del social engineering. Gruppi avanzati quali MuddyWater e APT42 stanno impiegando modelli linguistici di grandi dimensioni per abbattere le barriere culturali e linguistiche, generando e-mail di spearphishing estremamente convincenti e impersonando con successo figure tecniche di supporto o dirigenti d’azienda. Inoltre, l’adozione dell’IA ha accelerato lo sviluppo del software malevolo: stringhe di debug contenenti emoji scoperte nella backdoor CHAR, scritta in Rust da MuddyWater, suggeriscono un massiccio impiego di copiloti di codice basati su IA per la rapida prototipazione ed evasione delle firme dei sistemi EDR.
Perché la supply chain è centrale nell’offensiva cyber iraniana
Il panorama degli obiettivi scelti dagli attaccanti iraniani ha registrato uno slittamento fondamentale: dal targeting diretto di istituzioni governative e militari si è passati a colpire attivamente le terze parti e la supply chain globale. I fornitori di servizi IT, gli sviluppatori di software, le aziende di logistica e le realtà operanti nell’indotto dell’energia e della difesa costituiscono ora i vettori d’attacco privilegiati. Violando un singolo fornitore di software o di servizi gestiti, gli aggressori acquisiscono un accesso privilegiato e fiduciario verso decine di organizzazioni a valle, massimizzando il ritorno sull’investimento operativo.
L’incidente di Stryker ne è la dimostrazione plastica, trattandosi di un fornitore critico per gli ospedali e per le stesse forze armate statunitensi, inserito dunque a pieno titolo nella catena di approvvigionamento della difesa nazionale. Un altro esempio rilevante è rappresentato dal gruppo UNC1549, che ha condotto massicce campagne di spionaggio industriale contro l’industria aerospaziale e della difesa in Medio Oriente ed Europa occidentale attraverso finti portali di reclutamento sviluppati in React, spingendo le vittime a scaricare archivi malevoli contenenti backdoor quali MiniJunk e MiniBrowse.
Per quanto riguarda l’infrastruttura di C2, l’offensiva iraniana sta attivamente capitalizzando sulle infrastrutture cloud globali e sulle piattaforme legittime per offuscare il traffico maligno. L’abuso dell’API di Telegram come canale di C2 rappresenta ormai uno standard per gli attori del MOIS. Poiché il traffico verso Telegram è generalmente consentito dai firewall aziendali e protetto da crittografia TLS, i beacon emessi dalle macchine compromesse risultano estremamente difficili da distinguere rispetto alle normali attività di navigazione degli utenti, superando agevolmente i tradizionali controlli di sicurezza perimetrale basati su regole rigide.
I malware più evoluti impiegano inoltre tecniche di reflective loading come osservato nell’impiego di GhostFetch da parte di MuddyWater. Tale tecnica consente di scaricare ed eseguire i payload secondari direttamente all’interno della memoria RAM del computer bersaglio, senza mai scrivere file fisici sul disco fisso. Questa mancanza di artefatti forensi su disco rende le indagini post-incidente straordinariamente complesse per i team di risposta.
Come mitigare l’offensiva cyber iraniana nelle reti aziendali
Le evidenze operative emerse nel teatro iraniano impongono ai difensori di passare da modelli puramente reattivi a strategie proattive basate sulla negazione dell’accesso e sulla compartimentazione degli asset critici. I difensori devono presupporre che gli attaccanti possano disporre di credenziali di accesso valide e agire di conseguenza per arginare il movimento laterale.
Controlli prioritari di actionable intelligence
I controlli critici di actionable intelligence che i responsabili della sicurezza devono implementare includono:
- Segmentazione rigida IT/OT: è fondamentale isolare fisicamente o logicamente i segmenti di rete aziendale standard da quelli adibiti al controllo industriale e alla produzione. Laddove le connessioni tra i due mondi siano necessarie per ragioni di business, esse devono essere intermediate da gateway sicuri ad accesso limitato e continuamente monitorate.
- Monitoraggio delle anomalie sui protocolli industriali: i sistemi di network detection and response devono essere calibrati per riconoscere comportamenti anomali nelle reti interne. Connessioni RDP insolite, trasferimenti massivi di dati verso l’esterno in orari non lavorativi o l’improvviso picco di autenticazioni fallite seguite da un successo devono innescare immediatamente procedure di isolamento dell’host.
- Protezione contro DLL sideloading: gli attori iraniani forzano regolarmente processi firmati e attendibili a caricare librerie malevole. I controlli a livello di endpoint devono monitorare la manipolazione dei percorsi di ricerca delle DLL e bloccare l’abuso di chiamate API non documentate come RtlCreateProcessParameters.
- Verifiche granulari e autenticazione continua: il mero inserimento di password e secondo fattore al login perimetrale non è più sufficiente. Le organizzazioni devono richiedere una ri-autenticazione MFA ogniqualvolta un utente cerchi di accedere a strumenti ad alto privilegio come RDP, shell amministrative o piattaforme di gestione centralizzata quali Microsoft Intune ed Entra ID.
- Hardening delle catene CI/CD: per sventare attacchi simili a quelli perpetrati da CanisterWorm, le aziende devono forzare il blocco e la revisione manuale dei pacchetti software appena pubblicati (package cooldown), impiegare token di pubblicazione a granularità fine e con scadenze brevi, e bloccare l’esposizione non necessaria di credenziali e variabili d’ambiente all’interno dei runner di automazione.
La comprensione approfondita di queste dinamiche e l’implementazione coordinata dei controlli menzionati rappresentano l’unica via percorribile per le imprese impegnate a salvaguardare la propria integrità operativa di fronte a una minaccia statale determinata, persistente e in costante evoluzione tecnologica.
Bibliografia
The Digital Front of Iranian Cyber Offensive and Defensive Response – ExtraHop, https://www.extrahop.com/blog/the-digital-front-of-iranian-cyber-offensive-and-defensive-response
SentinelOne Intelligence Brief: Iranian Cyber Activity Outlook, https://www.sentinelone.com/blog/sentinelone-intelligence-brief-iranian-cyber-activity-outlook/
How CISOs Can Stop Iranian Wiper Attacks in 5 Steps | Zero Networks, https://zeronetworks.com/blog/how-cisos-can-stop-iranian-wiper-attacks-in-5-steps
Iranian Cyber Actors Using Telegram for Malware Delivery, FBI FLASH Warns – Osint Advisory IBM X-Force Report,
https://exchange.xforce.ibmcloud.com/osint/guid:e3cfa6adebdf47969105456b76e01d84
Iran Cyber Threat Operations | NJCCIC – NJ.gov,
https://www.cyber.nj.gov/threat-landscape/nation-state-threat-analysis-reports/iran-cyber-threat-operations
Dark Web Profile: Handala Hack – SOCRadar,
https://socradar.io/blog/dark-web-profile-handala-hack/
Handala Hack Team: Iranian Cyber Threat Profile 2026 – Cyble,
https://cyble.com/threat-actor-profiles/handala-hack-team/
Shamoon To Stryker: Iran Wields Wiper Attacks – CEPA,
https://cepa.org/article/shamoon-strikes-stryker-iran-wields-wiper-attacks/
“Handala Hack” – Unveiling Group’s Modus Operandi – Check Point Research, https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
The Stryker breach doesn’t track with Handala’s historical TTPs. This shows just how quickly the default attacker toolkit is evolving, and is a wake-up call for defenders. – Push Security, https://pushsecurity.com/blog/stryker-handala-report
Medtech giant Stryker says it’s back up after Iranian cyberattack,
https://cyberscoop.com/medtech-giant-stryker-says-its-back-up-after-iranian-cyberattack/
Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker – Krebs on Security,
https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/
313 Team / Islamic Cyber Resistance — HawkEye Threat Advisory,
https://hawk-eye.io/wp-content/advisories/313team-threat-advisory.html
Iran Conflict Expands Across Region with Airstrikes, Cyberattacks, and Strait of Hormuz Disruptions – HSToday,
https://www.hstoday.us/subject-matter-areas/cybersecurity/cyber-campaign-evacuations-and-gps-spoofing-escalate-as-iran-conflict-expands-across-middle-east/
‘CanisterWorm’ Springs Wiper Attack Targeting Iran – Krebs on Security,
https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
New compromised versions detected in CanisterWorm attack – JFrog Security Research,
https://research.jfrog.com/post/canister-worm/
TeamPCP’s Checkmarx GitHub Actions Attack: What You Need to Know – SOCRadar,
https://socradar.io/blog/teampcp-checkmarx-github-actions-attack/
