Netcrook Logo
👤 CIPHERWARDEN
🗓️ 23 Oct 2025   🗂️ Threats    

Ombra sulla sabbia: hacker iraniani prendono di mira Medio Oriente e Nord Africa con una sofisticata ondata di phishing

Una vasta campagna di cyber-spionaggio collegata al gruppo MuddyWater dell’Iran ha coinvolto oltre 100 organizzazioni in tutto il Medio Oriente e il Nord Africa.

Dati Rapidi

  • Oltre 100 enti governativi e internazionali in Medio Oriente e Nord Africa sono stati presi di mira.
  • Il gruppo MuddyWater, sostenuto dallo stato iraniano, ha utilizzato email di phishing per diffondere il malware backdoor Phoenix.
  • Gli aggressori hanno ottenuto l’accesso tramite un account email compromesso e hanno abusato di servizi VPN per mascherare la loro posizione.
  • MuddyWater è collegato al Ministero dell’Intelligence iraniano ed è attivo almeno dal 2017.
  • Tra gli obiettivi della campagna figuravano organizzazioni umanitarie e internazionali, suggerendo motivazioni geopolitiche.

Il miraggio digitale: come si è svolto l’attacco

Immagina di aprire la tua casella di posta e trovare un messaggio dall’aspetto ufficiale - urgente, apparentemente autentico, e con il timbro dell’autorità. Ma dietro questo miraggio digitale si nasconde un predatore paziente. Questa è la realtà per decine di organizzazioni recentemente travolte da una delle più grandi campagne di phishing che abbiano colpito il Medio Oriente e il Nord Africa negli ultimi anni, orchestrata dal gruppo MuddyWater legato allo stato iraniano.

Gli aggressori hanno iniziato con un account email compromesso, sfruttando la fiducia inviando messaggi che sembravano provenire da fonti conosciute. Queste email contenevano allegati Microsoft Word che, una volta aperti e abilitati, invitavano silenziosamente il backdoor Phoenix - un malware progettato per eludere le difese e fornire il controllo remoto agli operatori. Gli hacker hanno utilizzato servizi VPN popolari come NordVPN per mascherare le proprie tracce digitali, rendendo più difficile rintracciare le loro attività e oscurare le loro origini.

MuddyWater: vecchie tattiche, nuovi trucchi

MuddyWater - conosciuto anche come TA450 e Seedworm - è una presenza costante nel mondo del cyber-spionaggio almeno dal 2017. Collegato al Ministero dell’Intelligence iraniano, il gruppo è noto per prendere di mira governi, infrastrutture energetiche e telecomunicazioni in Medio Oriente, Asia meridionale e, occasionalmente, anche paesi della NATO. Il loro obiettivo principale non è il guadagno rapido, ma l’intelligence a lungo termine: quel tipo di segreti che possono influenzare la diplomazia o spostare gli equilibri nei conflitti regionali.

Questa ultima campagna mostra un’evoluzione nel loro approccio. Combinando indirizzi email ufficiali governativi con account personali di Yahoo e Gmail, MuddyWater ha dimostrato una profonda conoscenza delle reti dei propri obiettivi - segno di un’attenta ricognizione. Il backdoor Phoenix, attivo da aprile, è abile nel raccogliere di tutto, dai nomi dei computer alle versioni di Windows fino alle credenziali utente, permettendo agli aggressori di rimanere inosservati per mesi.

Perché ora? Le correnti sotterranee geopolitiche

Gli analisti suggeriscono che il tempismo non sia casuale. Con le tensioni regionali in aumento e le organizzazioni globali sempre più coinvolte in attività umanitarie, il valore informativo di tali obiettivi non è mai stato così alto. Infiltrandosi in queste reti, MuddyWater pesca non solo segreti, ma anche leve da utilizzare sulla scacchiera in continuo mutamento della geopolitica mediorientale. Le campagne precedenti del gruppo hanno rispecchiato questo schema, come gli attacchi del 2021 ai settori governativi ed energetici in Turchia e nel Golfo, che hanno anch’essi utilizzato phishing e malware personalizzati per stabilire basi per lo spionaggio.

Group-IB, la società di cybersecurity che ha descritto questa ultima operazione, avverte che le tecniche in evoluzione di MuddyWater - che mescolano ingegneria sociale e furtività tecnica - fanno presagire ulteriori attività in futuro. Finché la fiducia potrà essere falsificata e le porte digitali lasciate socchiuse, le sabbie del cyberspazio resteranno insidiose.

Questa campagna è un chiaro promemoria: nel deserto digitale, il vero pericolo spesso si nasconde dietro un volto familiare. La vigilanza, non solo la tecnologia, è la prima linea di difesa contro avversari che prosperano su inganno e pazienza.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usato dagli aggressori per ottenere il controllo segreto.
  • VPN (Virtual Private Network): Una VPN cripta la tua connessione internet e nasconde il tuo indirizzo IP, offrendo maggiore privacy e sicurezza durante la navigazione online o l’uso di Wi-Fi pubblici.
  • Macro: Le macro sono piccoli script nei documenti che automatizzano compiti. Se abilitate, possono essere usate dagli aggressori per diffondere malware o compromettere la sicurezza.
  • Spionaggio: Lo spionaggio è la raccolta segreta di informazioni sensibili, spesso da parte di governi o organizzazioni, per ottenere vantaggi politici, economici o strategici.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news