Durante una tregua dichiarata, le macchine di un impianto alimentare israeliano hanno cominciato a scaldarsi. Non era un guasto: era sabotaggio pianificato. Il gruppo Cyber Isnaad Front, una persona operativa dell’IRGC iraniano, aveva già compromesso sia la rete IT che i controllori OT industriali, preparandosi a distruggere compressori e cancellare dati con un singolo comando. Il rapporto Profero di maggio 2026 svela un’operazione che ridefinisce la minaccia ibrida IT/OT nel contesto del conflitto Iran-Israele.
La guerra tra le guerre
Il sistema strategico israeliano ha un nome per la competizione a bassa intensità che prosegue nelle pause tra i conflitti dichiarati: la campagna tra le guerre. Il cyber è diventato uno di questi domini. Dopo gli scambi cinetici tra Israele e Iran a metà 2025 e la pausa instabile che ne è seguita, il ritmo delle operazioni cyber non è calato. È aumentato. Gli operatori iraniani trattano un cessate il fuoco non come una pausa, ma come copertura: l’attenzione cala, i difensori abbassano la guardia, e il costo politico di un’intrusione nella rete è di gran lunga inferiore al costo di un missile.
Il primo segnale non fu un alert di sicurezza. Fu una lettura di temperatura anomala. Gli ingegneri di un impianto di produzione alimentare vennero chiamati perché le celle frigorifere si stavano riscaldando. Si aspettavano quello che trovano di solito: un compressore guasto, una valvola che perde, una protezione scattata. Arrivarono pronti a riparare una macchina. Trovarono invece che qualcuno era già stato dentro quella macchina, e l’aveva modificata di proposito.
Chi è Cyber Isnaad Front: una facciata per l’IRGC
Profero attribuisce questa attività a Cyber Isnaad Front, una persona cyber diretta dallo Stato iraniano emersa nel giugno 2025. Il nome, dall’arabo, si traduce come “Fronte di Supporto Cyber”, e la persona si presenta come un collettivo hacktivist arabo indipendente. Non è indipendente, e non è hacktivismo in nessun senso significativo.
Profero valuta con alta confidenza che Cyber Isnaad Front sia gestita da o insieme ad Aria Sepehr Ayandehsazan (ASA), il successore affiliato all’IRGC di Emennet Pasargad — l’entità sanzionata dal Tesoro americano per operazioni di influenza cyber contro le elezioni presidenziali USA del 2020. ASA gestisce un cast rotante di persone contro obiettivi israeliani: quando un marchio viene esposto, gli operatori lo ritirano e ne lanciano uno nuovo. La macchina non cambia. Il gruppo ha rivendicato appaltatori della difesa legati ai principali programmi d’arma israeliani, circa cinque terabyte da un fornitore nazionale di logistica carburante, e accessi che hanno colpito più di 160 clienti di data center telecom. Le rivendicazioni pubbliche sono spesso esagerate — fanno parte del prodotto. Ma gli accessi reali sono documentati.
GRAT: il malware che indossa il badge di Microsoft
Sul lato Windows dell’impianto, i responder di Profero hanno recuperato una famiglia di malware denominata GRAT (Go Remote Access Toolkit). Non sembra gran che: è un singolo eseguibile che lavora duramente per sembrare noioso. Nei campioni analizzati, si è trovato come SpellChecker.exe, Checker.exe.exe e WindowsUpdater.exe, in esecuzione da directory scrivibili dall’utente come C:\Users\[user]\AppData\Roaming\Microsoft\Spelling\. Persiste attraverso un task schedulato denominato “OneDrive Update” che lo riavvia ogni minuto e ad ogni boot, nascosto e al massimo privilegio.
Dietro quell’esterior banale si nasconde un binario singolo che raggruppa undici sottosistemi separati. GRAT può enumerare un host fino al suo stato antivirus e BitLocker, gestire processi, riscrivere il registro, manipolare i servizi Windows, eseguire un server VNC completo con iniezione sintetica di tasti, esfiltrare file verso cloud storage controllato dall’attaccante. Include un modulo di cifratura per il riscatto chiamato “BigBang”. E può cancellare completamente i dischi: con un singolo comando, GRAT sovrascrive il disco fisico e poi distrugge la partition table. Una variante multi-pass usa syscall dirette per un’operazione di zero, random e 0xFF. Un host che riceve quel comando non torna indietro — non resta nulla da cui recuperare.
Il C2 usa un’architettura dual-channel: i comandi arrivano tramite RabbitMQ incapsulato in TLS sulla porta 7878, e i risultati ritornano attraverso un canale Redis plain-text sulla porta 9988, entrambi diretti allo stesso server 84[.]201[.]6[.]131. Ogni parametro di connessione è cifrato AES-256 all’interno del binario, e la chiave ruota con ogni build — firma di un builder: un campione codificato per target, così che craccare uno non compromette gli altri.
L’attacco OT: sabotaggio calcolato ai sistemi di refrigerazione CO2
L’impianto operava due sistemi di refrigerazione industriale, uno vecchio e uno nuovo, entrambi costruiti su CO2 (R-744) come refrigerante. L’attaccante li ha trattati diversamente, e la differenza è istruttiva.
Sul sistema vecchio, l’attaccante ha modificato solo parametri: setpoint, soglie di protezione, limiti di allarme. Pericoloso, ma recuperabile nella stessa serata. Sul sistema nuovo è andato molto più in profondità: ha cancellato e ripristinato l’intera configurazione programmatica del controller — input digitali e analogici mappati ai sensori di temperatura e pressione, output digitali che avviano i compressori, output analogici per valvole motorizzate e ventole, input di fault. Tutto azzerato. Il recupero non era “reimposta un valore”: era re-ingegnerizzare il controller da zero, tracciando ogni cavo nel quadro elettrico contro lo schema, identificandolo nel programma, e ridefinendolo nel controller. Un lavoro di giorni.
La mossa finale ha trasformato una modifica di configurazione in distruzione fisica. Le valvole motorizzate che gestiscono la pressione del gas sono state impostate in modalità manuale e bloccate permanentemente aperte. L’intento era specifico: mantenere il refrigerante in movimento senza nulla per contenerlo. In un sistema CO2, il liquido che raggiunge i compressori causa danni catastrofici — il liquido non è comprimibile. Un pistone che tenta di comprimere una sacca di liquido si rompe. Il CO2 liquido poi, riscaldandosi, aumenta la pressione in modo esponenziale; le valvole di sicurezza si aprono e sfiatano il refrigerante nell’atmosfera, svuotando l’impianto.
Quando gli ingegneri hanno cercato di riavviare il sistema, tre compressori erano stati distrutti. Il recupero ha richiesto diversi giorni: sostituzione di compressori, valvole, filtri, pressostati e altri componenti, poi test di pressione, test di vuoto e ricarica con R-744. Un compressore sostitutivo era ancora in attesa dal produttore all’estero. Nessun malware aveva girato sui controllori OT — l’attaccante aveva bisogno solo di setpoint, modalità delle valvole, e una comprensione profonda della termodinamica del refrigerante. La distruzione era stata eseguita nel linguaggio nativo dell’impianto.
Indicatori di Compromissione (IoC)
## NETWORK INDICATORS
C2 command channel: 84[.]201[.]6[.]131:7878 (RabbitMQ over TLS)
C2 results channel: 84[.]201[.]6[.]131:9988 (Redis plain TCP)
Infrastruttura associata (confidenza minore):
146[.]103[.]40[.]190
193[.]29[.]104[.]5
45[.]82[.]66[.]163
84[.]201[.]6[.]128 / 84[.]201[.]6[.]129
85[.]137[.]56[.]9
85[.]17[.]55[.]232
## FILE HASHES (SHA-256)
Checker.exe.exe: 6f5f427d96656ae51405e6a5e65253759db45ea0a17da2d70f881404a4ed717b
WindowsUpdater.exe: 0ad128e813314e4562489478e6def8c6dfcc251e006d7f55b24273e93d3bc7fb
SpellChecker.exe: c4909b2d7a7f813b5a3d729fe64535033e716ae89dc39c402a6cb8ccbccaadca
WindowsUpdater.exe(2): 86194eb5c5abcfe763899aaad7eb64894c71e816dd7d27427c8bac4ab280533d
## PERSISTENCE
Scheduled Task: "OneDrive Update" (ogni minuto + boot)
File paths:
C:\Users\[user]\AppData\Roaming\Microsoft\Spelling\SpellChecker.exe
C:\ProgramData\WindowsUpdater.exe
Registry: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Update
## DETECTION
Microsoft detection name: DoS:Win32/GigaWiper.A!dha
File size: 10,416,128 bytes (tutti i campioni analizzati)
Topic-exchange prefix: topicArgs:1562578125Due righe per i difensori
Lato IT: Cercare task schedulati che eseguono binari non firmati da %APPDATA% o C:\ProgramData, specialmente task con nomi di prodotti Microsoft. Allertarsi su traffico verso 84[.]201[.]6[.]131 e su connessioni AMQPS o Redis verso le porte 7878 e 9988. Il canale Redis risultati è plain TCP: la cattura passiva di traffico RPush con chiavi task:{task_id} conferma un’infezione attiva. Bloccare gli hash indicati e trattare qualsiasi host con rilevamento DoS:Win32/GigaWiper.A!dha come compromesso: isolarlo e conservare un’immagine del disco prima della remediation. Applicare patch a sistemi VPN, edge e SharePoint esposti su Internet, vettori di accesso iniziale abituali per questo attore.
Lato OT: Segmentare le reti di controllo dall’IT. Rimuovere o mediare strettamente l’accesso remoto ai controller centrali, con credenziali univoche, monitorate e recuperabili attraverso un percorso che l’attaccante non possa bloccare. Allarmarsi su modifiche fuori banda a setpoint e modalità operative — non solo sui valori di processo — perché in questo incidente gli allarmi stessi erano stati resintonizzati. Conservare backup offline con controllo di versione dei programmi controller: il recupero da un controller cancellato deve essere un ripristino, non un esercizio di reverse-engineering. E fare drill: un esercizio tabletop che simuli un’intrusione IT-to-OT end-to-end vale più di qualsiasi singolo prodotto.
Fonte primaria: Profero Threat Intelligence — “The War Between Wars” (maggio 2026). La regola YARA completa e il mapping MITRE ATT&CK per ICS sono disponibili nel report originale su profero.io.