Netcrook Logo
👤 WHITEHAWK
🗓️ 19 Dec 2025   🌍 Middle-East

Telegram, Backdoor e la Guerra nell’Ombra: Come gli Hacker Iraniani Stanno Prendendo il Controllo delle Infrastrutture Globali

Un famigerato gruppo iraniano di cyber-spionaggio è tornato con malware più furtivi e nuove strategie, mettendo a rischio sistemi critici in tutto il mondo.

Nel mondo oscuro del cyber-spionaggio, i vecchi avversari raramente scompaiono: si adattano, si riorganizzano e colpiscono con rinnovata forza. È esattamente ciò che i ricercatori hanno scoperto nell’ultima ondata di attacchi attribuiti al gruppo APT iraniano “Prince of Persia”. Dopo una pausa silenziosa di tre anni, questa collettiva nell’ombra è riemersa nel 2025, armata di strumenti più sofisticati e puntando alle infrastrutture vitali in tutto il globo.

Il Ritorno: Gli APT Non Dormono Mai

Identificato per la prima volta nel 2016, il gruppo “Prince of Persia” - noto anche come “Infy” - è da tempo collegato agli interessi statali iraniani, specializzato nello spionaggio contro governi, dissidenti e infrastrutture essenziali. L’ultima indagine di SafeBreach Labs rivela che il gruppo è tornato, operando sotto una copertura ancora più profonda e con armi digitali potenziate.

Evoluzione del Malware: Foudre e Tonnerre

Il kit degli attaccanti ora include tre principali ceppi di malware. Foudre v34, l’ultima versione di una backdoor collaudata, penetra nei sistemi tramite file Microsoft Excel trappolati. Una volta aperti, questi file rilasciano un DLL loader - Conf8830.dll - e un archivio camuffato, annidandosi in profondità nella macchina della vittima.

Il malware utilizza avanzati Algoritmi di Generazione di Domini (DGA), che creano rapidamente nuovi indirizzi web per il traffico di comando e controllo (C2), rendendo difficile per i difensori bloccare o tracciare le comunicazioni. Ogni variante del malware esegue il proprio DGA, generando domini con schemi di caratteri e prefissi unici, offrendo agli attaccanti una serie rotante di rifugi digitali.

Telegram: Il Nuovo Centro di Comando Cibernetico

Il salto tattico più rilevante si osserva in Tonnerre v50. Per la prima volta, il gruppo utilizza bot Telegram - nello specifico “ttestro1bot” - per trasmettere dati rubati e ricevere comandi. Instradando il traffico attraverso Telegram, una popolare piattaforma di messaggistica criptata, gli hacker aggiungono un ulteriore livello di anonimato e resilienza, eludendo le difese di rete tradizionali.

I ricercatori hanno tracciato l’infrastruttura del gruppo fino a server europei, con prove che riconducono a operatori iraniani, incluso un utente di lingua persiana chiamato “Ehsan”. Nonostante i tentativi di cancellazione digitale, gli investigatori sono riusciti a recuperare file rubati e a mappare il vasto ecosistema di comando e controllo.

Cosa c’è in gioco?

La rinnovata attività di Prince of Persia è un chiaro promemoria: il campo di battaglia cibernetico è in continua evoluzione. Combinando consegna criptata, DGA complessi e piattaforme social, questi attori sponsorizzati dallo stato stanno affinando i propri strumenti - e alzando la posta in gioco per governi e industrie di tutto il mondo.

Riflessioni

Mentre i confini tra spionaggio tradizionale e guerra cibernetica si fanno sempre più sfumati, la vigilanza è essenziale. L’ultima campagna di Prince of Persia sottolinea una realtà inquietante: la prossima violazione delle infrastrutture critiche potrebbe già nascondersi dietro un innocuo foglio di calcolo o una chat apparentemente innocua.

WIKICROOK

  • APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da stati, con l’obiettivo di rubare dati o interrompere operazioni.
  • Backdoor: Una backdoor è un accesso nascosto a un computer o server, che aggira i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere il controllo segreto.
  • Domain Generation Algorithm (DGA): Un DGA crea numerosi domini che il malware può contattare per raggiungere i server di comando e controllo, aiutando gli attaccanti a eludere il rilevamento e le operazioni di blocco.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.
  • DLL Loader: Un DLL Loader carica le Dynamic Link Libraries in memoria, un processo spesso sfruttato dal malware per eseguire codice dannoso o eludere le misure di sicurezza.
Iranian Hackers Cyber Espionage Telegram Bots
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news