Netcrook Logo
👤 CIPHERWARDEN
🗓️ 06 Nov 2025   🗂️ Threats    

Serpenti nella Posta: I Fantomatici Pescatori Iraniani Prendono di Mira le Élite della Politica USA

La misteriosa squadra cyber iraniana “SmudgedSerpent” lancia astuti attacchi di phishing contro le menti più brillanti della politica estera americana, mescolando vecchi trucchi con nuova confusione.

In Breve

  • Tra giugno e agosto 2025, hacker iraniani hanno preso di mira think tank statunitensi ed esperti di politica con email di phishing altamente personalizzate.
  • Il gruppo, temporaneamente soprannominato “UNK_SmudgedSerpent”, ha imitato accademici di spicco per indurre le vittime a cedere le proprie credenziali.
  • Gli aggressori hanno combinato tecniche e infrastrutture di diversi gruppi cyber iraniani noti, lasciando perplessi gli analisti.
  • Le email di phishing spesso rimandavano a false pagine di accesso Microsoft 365, con l’obiettivo di rubare informazioni sensibili.
  • Questa operazione si distingue per l’uso di software di monitoraggio remoto, una mossa rara tra gli hacker iraniani sostenuti dallo stato.

Una Nuova Generazione di Pescatori Persiani

Immaginate i corridoi digitali dei più influenti think tank di Washington - e poi immaginate un serpente mutaforma che striscia inosservato tra le loro caselle di posta. Questa è la minaccia rappresentata da “SmudgedSerpent”, l’ultimo gruppo iraniano di minaccia persistente avanzata (APT) a turbare i circoli della politica statunitense. Nell’estate del 2025, questa sfuggente squadra ha scatenato una serie di attacchi di phishing contro esperti di politica estera, sperando di raccogliere informazioni o forse persino di influenzare il dibattito nazionale.

L’operazione è stata tanto audace quanto confusa. SmudgedSerpent ha imitato figure di alto profilo come Suzanne Maloney della Brookings Institution e lo studioso del Medio Oriente Patrick Clawson. Utilizzando indirizzi Gmail quasi identici e firme email curate, gli hacker invitavano i bersagli a collaborare su progetti fittizi. Una volta che la vittima rispondeva, gli aggressori inviavano link camuffati da documenti ospitati su piattaforme familiari come OnlyOffice o Microsoft Teams. Ma cliccando su quei link si veniva reindirizzati a una convincente finta pagina di accesso Microsoft 365, completa dell’email e del logo dell’organizzazione della vittima - una vecchia esca con una nuova veste.

Chi - o Cosa - è SmudgedSerpent?

Ciò che rende questa campagna notevole non è solo il bersaglio o gli stratagemmi, ma il patchwork di metodi utilizzati. Gli analisti di Proofpoint si sono grattati la testa: SmudgedSerpent ha preso in prestito trucchi collaudati da Charming Kitten (TA453), ha usato infrastrutture simili a quelle di Smoke Sandstorm (TA455) e ha persino impiegato strumenti di monitoraggio remoto - una mossa finora associata solo a MuddyWater (TA450). È come se diversi team avessero unito i propri manuali operativi, o forse l’apparato cyber iraniano si stesse riorganizzando, con competenze e strumenti che si mescolano tra i vari gruppi.

Questa fusione di tattiche rende l’attribuzione più difficile, complicando il compito dei difensori nel capire chi sia effettivamente alla tastiera. Alcuni esperti ipotizzano che le forze cyber iraniane, divise tra i Guardiani della Rivoluzione Islamica (IRGC) e il Ministero dei Servizi di Intelligence (MOIS), possano collaborare più strettamente o attingere a accademie di formazione comuni. In ogni caso, il risultato è un avversario dalle molte teste, più difficile da identificare e quindi più pericoloso.

Geopolitica, Spionaggio e l’Arte della Malizia Informatica

Non è la prima incursione cyber dell’Iran. Da anni i suoi APT prendono di mira diplomatici, giornalisti e dissidenti in tutto il mondo - spesso con il phishing come arma preferita. La differenza oggi sta nella sofisticazione dell’ingegneria sociale e nella confusione delle identità di gruppo. Mentre le tensioni geopolitiche tra Washington e Teheran restano alte, la raccolta di informazioni contro chi influenza le politiche diventa sia uno strumento di influenza che una finestra sul pensiero dell’avversario.

Per le organizzazioni, la lezione è chiara: non si può difendere ciò che non si comprende. L’attribuzione non è solo una questione accademica - è essenziale per costruire difese credibili e giustificare investimenti in sicurezza. Nel mondo oscuro dello spionaggio informatico sostenuto dagli stati, anche un serpente sfocato può lasciare un morso velenoso.

Alla fine, la saga di SmudgedSerpent ci ricorda che le conversazioni più importanti del mondo non si svolgono solo in sale riunioni e summit - si sviluppano, e talvolta si sgretolano, nella semplice casella di posta.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
  • Minaccia Persistente Avanzata (APT): Una Minaccia Persistente Avanzata (APT) è un attacco informatico prolungato e mirato da parte di gruppi esperti, spesso sostenuti da stati, con l’obiettivo di rubare dati o interrompere operazioni.
  • Monitoraggio e Gestione Remota (RMM): Il Monitoraggio e la Gestione Remota (RMM) sono strumenti IT che permettono ai professionisti di controllare, monitorare e mantenere computer a distanza - utili per il supporto, ma rischiosi se usati impropriamente.
  • Furto di Credenziali: Il furto di credenziali è il sottrarre dati di accesso, come nomi utente e password, spesso tramite siti web falsi o email ingannevoli.
  • Attribuzione: L’attribuzione è il processo di determinare chi sia responsabile di un attacco informatico, utilizzando indizi tecnici e analisi per identificare il colpevole.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news