Iran: attacchi informatici nel contesto del conflitto

Nel contesto dell’escalation tra Stati Uniti, Israele e Iran, il dominio cyber continua a rappresentare uno spazio operativo rilevante, con attività malevole e operazioni hacktiviste osservate in parallelo agli sviluppi sul piano geopolitico e militare.

Le principali attività cyber associabili ad avversari noti ed emergenti riguardano rivendicazioni di attacchi DDoS da parte di hacktivisti filoiraniani, filorussi, filopalestinesi e sud-asiatici, complessivamente, contro realtà di molteplici settori in Israele, USA, Qatar, Kuwait, Giordania, Arabia Saudita, UK, Belgio, Egitto, Cipro, UAE, Oman e Bahrain. Fra gli hacktivisti noti sono risultati attivi Handala, Conquerors Electronic Army, NoName057(16), DieNet, Fatimiyoun Cyber Team, Server Killers, RipperSec, NetStrike, Islamic Cyber Resistance – 313 Team, BD Anonymous, Hider_Nex, TEAM FEARLESS, FAD Team, Nation of Saviors, The Garuda Eye, Keymous Plus e RuskiNet.

Si segnalano anche offensive ransomware, tra cui una di INC RANSOM Team in Turchia e due di Cyber Islamic Resistance rivolte a Bangladesh e USA. All’iraniano MuddyWater è stata attribuita con alta confidenza una campagna offensiva denominata Operation Olalampo, attiva dal 26 gennaio 2026 contro organizzazioni e individui prevalentemente nella regione MENA, in linea con le tensioni geopolitiche in corso.

Oltre a ciò, già nelle prime settimane del conflitto, ricercatori hanno osservato un’ondata di campagne di spionaggio informatico e furto di credenziali contro organizzazioni governative e diplomatiche mediorientali, condotte da avversari quali: il cinese UNK_InnerAmbush; il palestinese Molerats; un avversario presumibilmente pakistano denominato UNK_RobotDreams; un attaccante sconosciuto chiamato UNK_NightOwl; il filorusso Winter Vivern; e l’iraniano Charming Kitten.

Infine, è stata tracciata una campagna di smishing denominata Operation False Siren e rivolta contro la popolazione civile israeliana, in particolare verso gli utenti dell’app Red Alert (צבע אדום), lo strumento ufficiale del Comando del Fronte Interno israeliano (Pikud HaOref) per la ricezione di allerte missilistiche in tempo reale.

Non risulta un’attribuzione ufficiale per questa operazione, è noto unicamente che l’avversario dispone di competenze avanzate di sviluppo Android, padronanza dell’ebraico nativo e conoscenza approfondita del contesto operativo israeliano.

Italia: nuove rivendicazioni ransomware e operazioni di phishing

Durante l’ultima settimana sono stati tracciati diversi attacchi ransomware verso target italiani. LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di SIA – Conserviera Adriatica, di Commerfrutta Di Stancari e di F.A.C. S.r.l.; DragonForce Team di Tazzetti S.p.A.; NightSpire di Giaroli S.A.S.; e Qilin Team la presunta compromissione di GA.MA. S.r.l.

Sul fronte phishing, è stata rilevata una campagna via WhatsApp che, sfruttando il tema della Festa della Donna, mira a sottrarre i dati delle carte di credito delle vittime. Il meccanismo si articola in quattro fasi: la vittima riceve un link con un falso omaggio, viene invitata a compilare un modulo per “riscuotere il premio”, viene spinta a condividere il messaggio con i propri contatti (amplificando così la truffa), e infine viene reindirizzata a una pagina di pagamento fraudolenta dove inserire i dati della carta.

APT: rilevate offensive riconducibili alla Cina

Nel corso del 2024, è stato osservato un avversario cinese nominato UAT-9244, prendere di mira provider di telecomunicazioni sudamericani tramite tre malware inediti chiamati TernDoor, PeerTime e BruteEntry.

Nel dettaglio, TernDoor può eseguire comandi tramite shell remota; avviare processi arbitrari; leggere e scrivere file; raccogliere informazioni di sistema e autodisinstallarsi. PeerTime è una backdoor ELF Linux che mira a più architetture (ARM, AARCH, PPC, MIPS), suggerendo che sia stata progettata per compromettere un’ampia gamma di sistemi embedded e dispositivi di rete utilizzati negli ambienti telecomunicazioni. Infine, c’è BruteEntry, che consiste in un binario strumentale basato su Go e una componente di brute force.

Il suo ruolo è trasformare dispositivi compromessi in nodi di scansione, noti come Operational Relay Boxes (ORB). Sempre sul fronte asiatico, il 1° marzo 2026, ricercatori di sicurezza hanno osservato due campagne di phishing volte al rilascio di malware orchestrate da APT riconducibili alla Cina e mirate a entità istituzionali e strategiche con sede in Qatar. La prima operazione mira al dispiegamento della backdoor PlugX, mentre la seconda del payload Cobalt Strike.

L’attenzione quasi immediata sul Qatar di APT affiliati alla Cina potrebbe riflettere non solo una raccolta di intelligence opportunistica legata alla crisi regionale, ma anche un più ampio cambiamento nelle priorità di ricognizione verso uno Stato che si trova all’incrocio di diverse potenze e interessi regionali e globali in competizione.

🔺 Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.