Analisi

APT35 e la Cyber Guerra Parallela: come l’Iran aveva già compromesso ogni paese colpito nell’Operazione Epic Fury

Dario Fadda 14 Aprile 2026

Prima che i missili iraniani illuminassero il cielo di sette nazioni, un’altra guerra era già in corso nelle reti digitali di quei paesi. L’analisi della campagna condotta da APT35 rivela come il gruppo legato all’IRGC avesse sistematicamente compromesso le infrastrutture critiche di ogni paese successivamente colpito dall’Operazione Epic Fury, trasformando la cyber intelligence in un componente integrale della dottrina militare iraniana.

La notte del 28 Febbraio: quando la guerra digitale diventa fisica

Il 28 febbraio 2026, Stati Uniti e Israele hanno lanciato l’Operazione Epic Fury (denominata “Operazione Roaring Lion” dalla parte israeliana): oltre 1.250 obiettivi colpiti nelle prime 48 ore, infrastrutture nucleari iraniane distrutte, connettività internet dell’Iran ridotta all’1-4% dei livelli normali in quello che è stato definito il più grande cyberattacco della storia. Ma ciò che i rapporti di intelligence successivi hanno rivelato è ancora più preoccupante: l’Iran non si trovava impreparato. Per mesi, forse anni, i suoi gruppi APT affiliati all’IRGC e al MOIS avevano già mappato, compromesso e pre-posizionato capacità offensive nelle reti digitali di ogni paese che avrebbe poi colpito.

APT35 e la dottrina della Pre-Posizione

APT35 — conosciuto anche come Charming Kitten, Phosphorus, Magic Hound e Mint Sandstorm — è il gruppo cyber più rappresentativo dell’IRGC Intelligence Organisation (Unit 1500, Department 40), attivo almeno dal 2014. La sua caratteristica distintiva non è la sofisticazione tecnica delle singole operazioni, ma la pazienza strategica: operazioni di ricognizione prolungate, accesso silenzioso mantenuto per mesi o anni prima di un’attivazione.

Secondo le analisi di CloudSek e dei ricercatori di IT Nerd, APT35 aveva documentabilmente compromesso infrastrutture nei seguenti paesi prima dei bombardamenti:

  • Giordania: accesso ai dati dell’aviazione civile e al Ministero della Giustizia
  • Emirati Arabi Uniti: sistemi di aviazione e asset governativi a Dubai
  • Arabia Saudita: documenti governativi e infrastrutture energetiche; il malware Shamoon ha distrutto circa 15.000 workstation nel settore energetico saudita prima delle operazioni cinetiche
  • Kuwait, Bahrain, Qatar: attività di ricognizione e targeting operativo
  • Israele: sistemi industriali e infrastrutture civili

Il modello di conflitto a tre fasi

L’analisi degli eventi suggerisce un modello di conflitto ibrido strutturato in tre fasi sequenziali, ormai consolidato nella dottrina iraniana:

  • Fase 1 — Ricognizione estesa e silenziosa: compromissione di sistemi internet-facing (Exchange Server, VPN, Fortinet FortiOS), installazione di webshell, tunneling nascosto, raccolta di intelligence su reti, persone e infrastrutture critiche
  • Fase 2 — Degradazione pre-cinetica: attivazione di malware wiper (come Shamoon) per distruggere workstation, esfiltrazione di documenti strategici, interruzione di servizi prima degli attacchi fisici
  • Fase 3 — Coordinamento post-attacco: entro 24 ore dall’avvio delle operazioni militari, creazione di un “Electronic Operations Room” che ha coordinato oltre 60 gruppi hacktivist per colpire contemporaneamente infrastrutture governative, finanziarie e critiche

L’ecosistema APT iraniano: non solo APT35

APT35 non ha operato in isolamento. Il Tenable Research ha identificato 12 gruppi APT iraniani attivi nelle settimane e mesi precedenti l’Operazione Epic Fury, coordinati attraverso strutture parallele:

Gruppi IRGC-affiliati: Pioneer Kitten (Fox Kitten, UNC757), Imperial Kitten (Tortoiseshell, TA456), CyberAv3ngers — quest’ultimo specializzato nel targeting di sistemi OT e PLC nei sistemi idrici. Gruppi MOIS-affiliati: APT34/OilRig (nuova infrastruttura per attacchi ed esfiltrazione), MuddyWater/Mango Sandstorm (picco di attività nella rete nel settembre 2025, con server distribuiti in Russia, Estonia e UK), Banished Kitten/Void Manticore (usa la persona Handala, wiper-focused). Gruppi IRGC-IO: APT42 (credential harvesting tramite social engineering). Gruppi IRGC-CEC: Cotton Sandstorm (revival della persona Altoufan Team).

Infrastruttura di attacco: offuscamento multi-livello

Particolarmente sofisticata è stata l’architettura di infrastruttura impiegata per mascherare l’attribuzione. Netcrook ha documentato uno schema di offuscamento a tre livelli:

  • Livello base: ISP iraniani (Sefroyek Pardaz Engineering) come punto di origine
  • Bulletproof hosting: ALEXHOST in Moldova e RouterHosting LLC nel Wyoming (USA) come nodi intermedi
  • Shell company layer: società fittizie come Cloudblast (registrata negli USA, operativa a Dubai) e UltaHost (registrazioni UK/USA) per la gestione dell’infrastruttura front-end

Questa architettura ha reso estremamente complessa l’attribuzione rapida e le azioni legali di takedown durante le operazioni.

Vulnerabilità sfruttate: un catalogo di CVE note

Il documento Tenable elenca 67 CVE sfruttate dai gruppi iraniani, incluse vulnerabilità ben note mai patchate da molte organizzazioni. Tra le più critiche:

# CVE sfruttate dai gruppi APT iraniani (selezione)
CVE-2021-26855  # Microsoft Exchange Server - ProxyLogon SSRF
CVE-2021-26858  # Microsoft Exchange - post-auth arbitrary file write
CVE-2021-26857  # Microsoft Exchange - insecure deserialization
CVE-2021-27065  # Microsoft Exchange - post-auth arbitrary file write
CVE-2021-44228  # Apache Log4j2 - Log4Shell RCE
CVE-2022-40684  # Fortinet FortiOS/FortiProxy - authentication bypass
CVE-2020-3153   # Cisco ASA - path traversal
# Malware famiglie associate
BellaCiao        # RAT/implant IRGC (codice sorgente esposto in leak)
Sagheb RAT       # Remote Access Trojan IRGC
Shamoon          # Wiper distruttivo (energia, Arabia Saudita)
# Malware ICS/OT
Custom PLC malware targeting Rockwell Automation (CyberAv3ngers)

Il significato strategico: un nuovo standard di conflitto ibrido

La vicenda dell’Operazione Epic Fury e della sua dimensione cyber non è semplicemente la cronaca di un conflitto mediorientale. È la dimostrazione concreta di come le operazioni cyber siano diventate componenti integrali — non accessorie — della dottrina militare degli stati autoritari. Il pre-posizionamento di APT35 nelle reti dei paesi bersaglio anni prima delle operazioni fisiche stabilisce un precedente: in futuri conflitti, qualsiasi attore statale disporrà presumibilmente di “porte di accesso” già aperte nelle infrastrutture avversarie.

Per i difensori occidentali, la lezione è chiara: la minaccia non inizia il giorno in cui i missili vengono lanciati. Inizia quando un webshell silenzioso viene installato su un server Exchange non patchato da sei mesi.

Indicazioni per i difensori

  • Patch immediata dei sistemi internet-facing: Exchange, FortiOS, Cisco ASA, Log4j sono ancora vettori attivi
  • Audit degli accessi amministrativi: verificare account privilegiati, in particolare su sistemi OT/ICS
  • Webshell hunting: scansione proattiva per webshell su server web esposti, soprattutto su CMS e sistemi legacy
  • Validazione della copertura di detection: testare le soluzioni EDR/XDR contro BellaCiao, Sagheb RAT e le tecniche di tunneling documentate
  • Monitoraggio per nuova infrastruttura hacktivist: i gruppi come Handala e CyberAv3ngers si riorganizzano rapidamente dopo le operazioni

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su APT35 e la Cyber Guerra Parallela: come l’Iran aveva già compromesso ogni paese colpito nell’Operazione Epic Fury, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ NINAsec - la newsletter ]]