Sommario
APT42, un gruppo di cyber-spionaggio sponsorizzato dallo stato iraniano, ha recentemente intensificato le sue operazioni mirate, colpendo organizzazioni non governative, media, accademie, servizi legali e attivisti prevalentemente in Occidente e Medio Oriente. Queste attività sono condotte sotto l’egida dell’Organizzazione di Intelligence del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC-IO), che mira a raccogliere informazioni strategiche per l’Iran.
Tattiche di Ingegneria Sociale
APT42 si è distinto per l’uso di sofisticate strategie di ingegneria sociale, spesso impersonando giornalisti o organizzatori di eventi per costruire un rapporto di fiducia con le vittime. Questo rapporto è sfruttato per inviare documenti legittimi o inviti a conferenze che in realtà sono veicoli per l’esfiltrazione delle credenziali. Queste credenziali sono poi utilizzate per accedere agli ambienti cloud delle vittime, permettendo al gruppo di esfiltrare dati senza destare sospetti.
Uso di malware personalizzato
Oltre alle operazioni nel cloud, APT42 impiega backdoor personalizzate come NICECURL e TAMECAT, distribuite tramite email di spear-phishing. Questi strumenti non solo forniscono un accesso iniziale ai sistemi target, ma funzionano anche come interfacce per l’esecuzione di comandi o per il dispiegamento di ulteriori malware. Le operazioni di APT42 si sovrappongono con quelle di altri attori noti collegati all’Iran, come CALANQUE e Charming Kitten, evidenziando una condivisione di tattiche e obiettivi.
Implicazioni per la Sicurezza Globale
Le operazioni di APT42 sono particolarmente preoccupanti per la sicurezza globale, poiché dimostrano la capacità dell’Iran di condurre raccolte di intelligence su vasta scala e di manipolare l’informazione. La capacità di APT42 di operare sotto il radar complica notevolmente gli sforzi di mitigazione e rilevazione da parte dei difensori delle reti.
APT42 rappresenta una minaccia significativa nell’arena del cyber-spionaggio mondiale, già nota a Matrice Digitale, con operazioni che riflettono un impegno continuo e sofisticato per sostenere gli interessi strategici iraniani. La loro capacità di adattare e mascherare le loro tattiche di attacco pone sfide significative per le organizzazioni mirate e sottolinea l’importanza di robuste misure di sicurezza e di una vigilanza costante.
