Dentro la rete ombra dell’Iran: File trapelati svelano operatori cyber, pagamenti segreti e sorveglianza globale

Una rara fuga di informazioni solleva il velo su Charming Kitten, rivelando come vengono pagati gli hacker di APT35 dell’Iran, come vengono monitorati cittadini e diplomatici, e la letale fusione tra targeting cibernetico e cinetico.

Sembra la trama di un thriller geopolitico: buste paga segrete, sofisticati sistemi di sorveglianza e un piano decennale per colpire gli ispettori nucleari. Ma non è finzione. Documenti recentemente trapelati dal famigerato gruppo iraniano Charming Kitten, noto anche come APT35, offrono la visione più vivida mai avuta su come l’apparato cyber e d’intelligence della Repubblica Islamica conduce la sua guerra nell’ombra - sia in patria che all’estero.

In breve

Buste paga trapelate rivelano nomi, ruoli e stipendi mensili degli hacker di stato iraniani - alcuni guadagnano appena 5 dollari, altri fino a 330.
La piattaforma “Kashef” dell’Iran aggrega dati su cittadini, diplomatici e giornalisti - incluso il profiling religioso e il monitoraggio delle visite alle ambasciate.
Un memo segreto d’intelligence del 2004 collega il programma nucleare iraniano, lo spionaggio informatico e i piani di assassinio - anni prima che il mondo conoscesse i protagonisti.
La fuga di dati espone società di copertura e canali di pagamento usati dai Pasdaran (IRGC) per ricompensare gli operatori e riciclare fondi.
Note manoscritte collegano funzionari di alto livello, incluso un attuale ministro iraniano ricercato dall’Interpol, a operazioni mirate.

Il lato umano dell’hacking di stato

I registri salariali trapelati di Charming Kitten infrangono il mito degli hacker senza volto. I cosiddetti “Sisters Team” e “Brothers Team” sono composti da persone reali - come Leila Sharifi (220 dollari al mese) e Mohammad Hassan Hassanzadeh Vozhdeh (270 dollari al mese) - che formano una gerarchia dagli esperti senior ai nuovi reclutati. La presenza di due Nadafi, uno pagato 102 dollari e un altro appena 5, suggerisce un possibile reclutamento familiare nelle fila cyber del regime.

Le tracce finanziarie sono profonde: i documenti dettagliano non solo gli stipendi ma anche le società di copertura e i meccanismi di pagamento usati dai Pasdaran (IRGC) per occultare il flusso di denaro. Per gli investigatori, sono miniere d’oro - potenzialmente utili per applicare sanzioni e smascherare reti nascoste.

Sorveglianza su scala nazionale

La piattaforma di sorveglianza Kashef, come rivelato dalla fuga di dati, è inquietante per portata. Consolida dati da diverse unità d’intelligence dei Pasdaran, monitorando tutto: dai viaggi all’estero alle visite in ambasciata, dalle affiliazioni religiose ai legami familiari. Oltre 777 registrazioni di viaggi all’estero e quasi 500 visite in ambasciata sono visibili nel dataset esposto. La piattaforma incrocia persino i dati tra profili individuali - creando un dossier quasi totale su cittadini e contatti stranieri presi di mira. Notevole il fatto che Kashef etichetti esplicitamente gli individui come sciiti o sunniti, rivelando un approccio sistematico al profiling religioso e a potenziali discriminazioni.

Dallo spionaggio cyber all’assassinio

Forse la rivelazione più esplosiva è una lettera classificata del 2004 che dettaglia come l’intelligence iraniana abbia ottenuto documenti segreti di ispezione dell’AIEA - informazioni che hanno alimentato la lista dei bersagli per gli assassinii del Dipartimento 40. Il documento collega direttamente Olli Heinonen, allora ispettore nucleare di rilievo, alle liste di obiettivi iraniane. Annotazioni manoscritte di Ahmad Vahidi (oggi Ministro dell’Interno iraniano e ricercato dall’Interpol) e riferimenti all’istituto per le armi nucleari di Mohsen Fakhrizadeh collegano le operazioni cyber, d’intelligence e cinetiche del regime - anni prima che il mondo se ne accorgesse.