Negli ultimi anni il cyberspazio si è affermato come uno dei principali domini della competizione strategica tra Stati.
Non si tratta più soltanto di un ambiente tecnologico nel quale si svolgono attività di hacking o di spionaggio informatico, ma di un vero e proprio teatro operativo della geopolitica contemporanea, nel quale convergono intelligence, guerra psicologica, manipolazione informativa e attacchi contro infrastrutture critiche.
In questo contesto, l’Iran rappresenta uno degli attori più dinamici e attivi nel panorama della cyber-warfare globale.
Secondo la recente analisi riportata dal Jerusalem Post, gruppi hacker collegati alla Repubblica islamica stanno intensificando campagne di spear-phishing altamente mirate, sfruttando enormi quantità di dati personali raccolti negli anni per colpire obiettivi strategici in modo sempre più preciso.
L’elemento più significativo non è soltanto la crescita quantitativa degli attacchi, ma il cambiamento qualitativo delle tecniche utilizzate: i gruppi iraniani stanno evolvendo verso modelli operativi basati su raccolta massiva di dati, automazione tramite intelligenza artificiale e targeting personalizzato. Questa trasformazione rende le operazioni cyber non solo più efficaci, ma anche più difficili da individuare e contrastare.
Indice degli argomenti
Cyber-strategia iraniana: evoluzione e postura operativa
Per comprendere l’attuale “postura cyber” iraniana è necessario analizzare l’evoluzione della strategia di Teheran negli ultimi quindici anni. L’Iran ha iniziato a investire in modo significativo nelle capacità cyber offensive dopo il celebre attacco Stuxnet del 2010, che colpì il programma nucleare iraniano sabotando le centrifughe dell’impianto di Natanz. Questo episodio dimostrò come un’operazione digitale potesse provocare effetti strategici simili a quelli di un attacco militare.
Da allora, la leadership iraniana ha progressivamente integrato il cyberspazio nella propria dottrina di guerra asimmetrica. La strategia si basa su tre pilastri principali: cyber-spionaggio strategico, operazioni di influenza e guerra informativa, attacchi contro infrastrutture critiche. Il cyberspazio consente infatti all’Iran di compensare alcune limitazioni nel campo militare convenzionale, permettendo di colpire avversari tecnologicamente superiori attraverso strumenti relativamente economici e difficili da attribuire con certezza.
Uno degli elementi più importanti della strategia iraniana riguarda la raccolta sistematica di dati personali su scala globale. Secondo diversi analisti, negli ultimi anni gruppi hacker legati a Teheran hanno condotto campagne di data harvesting, accumulando enormi quantità di informazioni provenienti da data breach di piattaforme digitali, database pubblici, social network, forum e marketplace del dark web, oltre a precedenti operazioni di phishing.
Questo patrimonio informativo rappresenta una risorsa strategica di enorme valore, poiché, secondo gli esperti citati dal Jerusalem Post, proprio l’utilizzo di questi archivi di dati consente agli hacker iraniani di costruire campagne di spear-phishing estremamente mirate, che possono evolvere fino a operazioni contro infrastrutture critiche. In altri termini, i dati personali diventano una vera e propria materia prima dell’intelligence digitale.
Spear-phishing: tecniche, personalizzazione e finalità operative
Tra le tecniche citate, lo spear-phishing rappresenta oggi uno degli strumenti più utilizzati nelle operazioni cyber iraniane. A differenza del phishing tradizionale, che utilizza messaggi generici inviati a migliaia di utenti, lo spear-phishing mira a colpire specifiche vittime attraverso comunicazioni personalizzate.
Gli attaccanti costruiscono messaggi credibili sfruttando informazioni dettagliate sulla vittima: ruolo professionale, rete di contatti, attività accademiche o lavorative, interessi personali. In molti casi le email simulano comunicazioni provenienti da colleghi, università, istituzioni o organizzazioni con cui la vittima collabora realmente.
Le campagne possono avere diversi obiettivi, che vanno dal furto di credenziali, alle installazioni di malware, all’accesso a sistemi aziendali o governativi, e finanche alle esfiltrazione di dati sensibili. In diversi casi documentati, queste operazioni hanno preso di mira funzionari governativi, giornalisti, ricercatori e accademici, dimostrando come il cyberspazio sia diventato un terreno privilegiato per le attività di intelligence.
Cyber-strategia iraniana e gruppi APT: mappa degli attori
Le operazioni cyber iraniane non possono essere comprese senza considerare il contesto geopolitico regionale e il costante confronto tra Iran, Israele e Stati Uniti, che si è progressivamente esteso al cyberspazio. Negli ultimi anni sono state registrate campagne di cyber-spionaggio reciproco, attacchi contro infrastrutture critiche, operazioni di disinformazione, attività di hack-and-leak.
Sulla base di queste evidenze, risulta comprensibile come l’ecosistema cyber iraniano si sia sviluppato sulla creazione di diversi gruppi di Advanced Persistent Threat (APT), collegati direttamente o indirettamente alle strutture di sicurezza dello Stato. Tra i più noti vi sono:
APT33: spionaggio, energia e difesa
APT33. Uno dei gruppi più noti è APT33, noto anche come Elfin o Refined Kitten. Attivo almeno dal 2013, questo gruppo è reso protagonista di numerose campagne di cyber-spionaggio contro aziende operanti nel settore aerospaziale, energetico, petrolchimico, e della difesa.
Secondo diverse analisi di threat intelligence, APT33 ha utilizzato campagne di spear-phishing per compromettere aziende occidentali e ottenere informazioni sensibili su tecnologie militari e industriali. Tra le operazioni più rilevanti attribuite al gruppo figurano le campagne di spionaggio contro aziende aerospaziali, attacchi contro infrastrutture energetiche nel Golfo, operazioni di ricognizione contro aziende occidentali della difesa.
APT33 è inoltre stato collegato anche a delle campagne di sabotaggio informatico contro infrastrutture petrolifere saudite. Negli ultimi anni il gruppo ha evoluto le proprie tecniche passando da attacchi distruttivi a operazioni di spionaggio a lungo termine, che restano le più difficili da individuare.
APT34: OilRig e accessi persistenti
APT34 (OilRig). Un altro gruppo particolarmente attivo è APT34, noto anche come OilRig. Ritenuto collegato al Ministero dell’Intelligence iraniano (MOIS), il gruppo è attivo almeno dal 2014. Le sue campagne hanno preso di mira i governi del Medio Oriente, con particolare riferimento alle istituzioni finanziarie, alle aziende energetiche, e alle telecomunicazioni.
APT34 utilizza frequentemente tecniche di spear-phishing e malware personalizzati per ottenere accesso alle reti delle vittime. Tra gli strumenti utilizzati figurano: backdoor personalizzate, DNS tunneling, malware modulari, attacchi PowerShell. Il gruppo è noto per la sua particolare capacità di mantenere accessi persistenti nelle reti compromesse per lunghi periodi, raccogliendo informazioni di tipo strategico.
APT35: Charming Kitten e identità false
APT35 (Charming Kitten). È uno dei gruppi più noti per le operazioni di cyber-spionaggio mirate. Il gruppo è stato coinvolto in numerose campagne di phishing contro giornalisti, attivisti, accademici, ricercatori e diplomatici.
Le operazioni spesso prevedono la creazione di identità false online per entrare in contatto con le vittime e convincerle ad aprire link o documenti malevoli. Secondo diversi report di sicurezza, il gruppo ha sviluppato strumenti specifici per rubare dati da servizi email come Google, Microsoft e Yahoo. Queste operazioni dimostrano come il cyberspazio venga utilizzato non solo per lo spionaggio militare o industriale, ma anche per il controllo dell’informazione e la repressione del dissenso.
MuddyWater: strumenti open source e social engineering
MuddyWater utilizza spesso strumenti open source e tecniche di social engineering per infiltrarsi nei sistemi delle vittime.
AI e automazione nella cyber-strategia iraniana
Va evidenziato che questi gruppi operano con finalità e modalità differenti, ma condividono spesso tecniche, strumenti e obiettivi. Va considerato che l’intelligenza artificiale, sempre più utilizzata per la conduzione di attacchi cyber, rappresenta un moltiplicatore di capacità nelle operazioni condotte nel cyberspazio.
Ad esempio, i gruppi statali stanno iniziando a utilizzare sistemi AI per analizzare grandi dataset rubati, generare messaggi di phishing realistici, individuare vulnerabilità nei sistemi informatici e automatizzare campagne di attacco. In particolare, i modelli di linguaggio avanzati consentono di generare email perfettamente coerenti con il contesto professionale delle vittime e ciò può consentire, ad esempio, di scalare lo spear-phishing può essere su larga scala mantenendo un elevato livello di personalizzazione.
Cyber-strategia iraniana e obiettivi: università, ricerca, Europa e Italia
Le università rappresentano da sempre degli obiettivi particolarmente interessanti per le operazioni di cyber-spionaggio, poiché custodiscono soprattutto dati scientifici avanzati, proprietà intellettuale, collaborazioni internazionali e progetti di ricerca strategici. Non è un caso che diverse campagne di APT iraniane abbiano preso di mira istituzioni accademiche negli Stati Uniti e in Europa.
In alcuni casi l’obiettivo era l’acquisizione di informazioni utili allo sviluppo tecnologico o militare. Ma se l’Europa rappresenta uno dei principali obiettivi delle operazioni cyber iraniane, le ragioni vanno ricercate su una molteplicità di motivi, ovvero la presenza di centri di ricerca avanzati, infrastrutture energetiche strategiche, industrie tecnologiche di alto livello ed in particolare le peculiari relazioni diplomatiche con il Medio Oriente.
In questo contesto, le operazioni cyber possono essere utilizzate per raccogliere informazioni strategiche, influenzare il dibattito politico, colpire infrastrutture critiche. Anche l’Italia non è immune da queste dinamiche. Il nostro Paese possiede asset strategici di grande interesse geopolitico, che vanno dalle infrastrutture energetiche, all’industria aerospaziale, al settore della difesa e alle università e centri di ricerca.
Anche la crescente digitalizzazione di queste infrastrutture, pur essendo auspicabili e previste, rappresentano un potenziale pericolo per la vulnerabilità delle stesse. Anche per questo motivo negli ultimi anni è stato rafforzato il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), che ha il compito di coordinare le politiche di sicurezza digitale del Paese.
La crescente centralità del cyberspazio nella competizione geopolitica impone un ripensamento del concetto stesso di sicurezza nazionale. La protezione dei dati, delle infrastrutture digitali e delle reti informatiche non riguarda più soltanto la dimensione tecnologica, ma assume una valenza strategica.
Sulla base di questo contesto risulta fondamentale sviluppare costantemente capacità avanzate di cyber-intelligence, di cooperazione internazionale tra le agenzie di sicurezza, la formazione di competenze specialistiche e le strategie di resilienza delle infrastrutture critiche.
Conclusioni
L’evoluzione delle operazioni cyber iraniane dimostra come il cyberspazio stia diventando uno dei principali domini della competizione strategica tra Stati. L’uso combinato di big data, spear-phishing e intelligenza artificiale consente di condurre operazioni di spionaggio sempre più sofisticate e difficili da individuare.
Per Europa e l’Italia questo scenario impone una riflessione profonda sulla necessità di rafforzare la sicurezza delle infrastrutture digitali e sviluppare capacità avanzate di cyber-intelligence. Il cyberspazio è ormai un campo di battaglia invisibile, nel quale dati, algoritmi e informazione rappresentano nuove forme di potere.
Comprendere queste dinamiche significa comprendere una delle trasformazioni più profonde della geopolitica contemporanea.
