BEEPFREEZE: un nuovo wiper iraniano nei confronti dell’Albania

Il Google Threat Intelligence Group (GTIG) ha recentemente individuato un nuovo wiper denominato BEEPFREEZE, potenzialmente utilizzato in un’operazione distruttiva condotta contro obiettivi in Albania. L’analisi di questo strumento malevolo ne attribuisce lo sviluppo all’attore iraniano UNC6085, un gruppo già noto per operazioni cyber offensive in ambito geopolitico.

Il campione analizzato, identificato come display_10.exe (MD5: a691e976d2dbe3387cb95c1f2bfab5ab), è stato caricato su VirusTotal il 20 giugno 2025 da un utente con sede in Albania. La data di caricamento coincide con una rivendicazione di attacco da parte del gruppo hacktivista Homeland Justice sul sito ufficiale del Comune di Tirana, sollevando dubbi fondati su una connessione tra UNC6085 e le attività cyber iraniane mascherate da attivismo politico.

Un wiper distruttivo travestito da driver legittimo

BEEPFREEZE è uno strumento scritto in C++ che si avvale di un approccio relativamente semplice ma estremamente efficace: l’utilizzo di un driver con accesso raw al disco, derivato dal progetto open source SectorIo, per sovrascrivere settori fisici dell’hard disk con il contenuto del file legittimo beep.sys di Windows.

Il driver embedded, della dimensione di 11.656 byte (offset 0x63b90), viene scritto sul disco nella directory temporanea del sistema come:

%TEMP%\rawio.sys
SHA256: 06b7a3cd3266449294eeefb957965ea9f1354804696955e1eb1a7f9b515f5880

Il servizio di sistema associato al driver viene registrato come RAW_IO, consentendo a BEEPFREEZE di accedere a basso livello ai settori fisici del disco attraverso i device \DosDevices\sectorio o \Device\sectorio.

Target selezionati: file critici e componenti AV

Il comportamento del wiper è focalizzato sulla distruzione di file appartenenti a categorie ad alto impatto, come database (.sql, .db, .sqlite, .mdb, .ora, .mdf), documenti (.doc, .xls, .pdf, .pptx), file di configurazione e backup (.bak, .config, .backup), e addirittura binari eseguibili (.dll, .exe, .sys), segnalando una chiara volontà distruttiva indiscriminata.

Oltre ai formati estesi, BEEPFREEZE include una filename list contenente nomi eseguibili tipici di software antivirus ed EDR, come ad esempio:

• ccSvcHst.exe

• Smc.exe

• RtvscanUI.exe

• SymEFA.exe

Ciò suggerisce un tentativo deliberato di ostacolare i meccanismi di rilevamento e protezione installati sul sistema vittima, rafforzando l'efficacia distruttiva del malware.

Meccanismo di attacco: dal mapping alla cancellazione

Una volta installato il driver, BEEPFREEZE scansiona tutte le unità montate da A a Z, alla ricerca di file corrispondenti alla lista estensioni/nome. Ogni file individuato viene associato al proprio indirizzo logico tramite le API:

• IOCTL_FSCTL_GET_RETRIEVAL_POINTERS (0x90073)

• IOCTL_VOLUME_LOGICAL_TO_PHYSICAL (0x560020)

Questi vengono poi tradotti in indirizzi fisici e sovrascritti con il contenuto di C:\Windows\System32\drivers\beep.sys. Va evidenziato che il processo di sovrascrittura è a singolo passaggio, quindi file di dimensione superiore rispetto al driver beep.sys vengono solo parzialmente compromessi.

Al termine dell’attività, BEEPFREEZE invoca ExitWindowsEx per forzare lo shutdown del sistema, portando a un’interruzione repentina dell’operatività.

Artefatti e dettagli di sviluppo

Nel binario sono presenti riferimenti al percorso di compilazione:

C:\Users\Test\Desktop\curruntproject\unfreez\scr\main.cpp

e messaggi di logging hardcoded tipici di ambienti di debug:

%s:%d:%s(): [+] Starting RawIo disk driver service...\n
%s:%d:%s(): [+] Overwriting \"%s\"\n
%s:%d:%s(): [*] Can't create service, maybe service already created...\n

Questi elementi suggeriscono che il tool sia ancora in fase di sviluppo attivo o iterazione, o che provenga da una catena di montaggio poco formalizzata ma mirata all'efficacia operativa più che alla stealthiness.

Implicazioni strategiche

BEEPFREEZE si inserisce in una linea di strumenti distruttivi precedenti come BLUEWIPE e SEWERGOO, anch’essi riconducibili ad attori iraniani. L'utilizzo di strumenti come questo su obiettivi NATO come l'Albania, con finalità di destabilizzazione sotto la soglia del conflitto armato tradizionale, evidenzia un’evoluzione dell’arsenale iraniano verso operazioni a basso costo e ad alto impatto.

È plausibile che l'efficacia di tali tool venga testata su contesti regionali minori prima di un impiego su scala più ampia contro avversari come Stati Uniti o Israele. La strategia si conferma quindi ibrida: utilizzo di strumenti distruttivi semplici, sfruttamento di infrastrutture open source e rivendicazione tramite persona hacktiviste come Homeland Justice o Handala Hack, che coprono la matrice governativa reale.