Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Un cluster di attività di minaccia mai visto prima, denominato UNK_SmudgedSerpent, è stato attribuito alla base di una serie di attacchi informatici che hanno preso di mira accademici ed esperti di politica estera tra giugno e agosto 2025, in concomitanza con l'acuirsi delle tensioni geopolitiche tra Iran e Israele.
"UNK_SmudgedSerpent ha sfruttato l'escalation politica interna, tra cui il cambiamento sociale in Iran e l'indagine sulla militarizzazione del Corpo delle Guardie della Rivoluzione Islamica (IRGC)", ha affermato Saher Naumaan, ricercatore di sicurezza di Proofpoint, in un nuovo rapporto condiviso con The Hacker News.
L'azienda di sicurezza aziendale ha affermato che la campagna presenta delle somiglianze tattiche con gli attacchi precedenti condotti da gruppi di spionaggio informatico iraniani come TA455 (noto anche come Smoke Sandstorm o UNC1549), TA453 (noto anche come Charming Kitten o Mint Sandstorm) e TA450 (noto anche come Mango Sandstorm o MuddyWater).
I messaggi di posta elettronica presentano tutti i tratti distintivi di un classico attacco Charming Kitten, con gli autori della minaccia che attirano potenziali bersagli impegnandosi con loro in conversazioni benigne prima di tentare di ottenere le loro credenziali tramite phishing.
In alcuni casi, si è scoperto che le e-mail contenevano URL dannosi per indurre le vittime a scaricare un programma di installazione MSI che, pur mascherandosi da Microsoft Teams, in realtà distribuisce un software legittimo di monitoraggio e gestione remota (RMM) come PDQ Connect, una tattica spesso adottata da MuddyWater.
Proofpoint ha affermato che i messaggi digitali hanno anche impersonato importanti figure della politica estera statunitense associate a think tank come la Brookings Institution e il Washington Institute, per conferire loro una parvenza di legittimità e aumentare la probabilità di successo dell'attacco.
I bersagli di queste iniziative sono oltre 20 esperti di un think tank statunitense specializzato in questioni politiche relative all'Iran. In almeno un caso, si dice che l'autore della minaccia, dopo aver ricevuto una risposta, abbia insistito nel verificare l'identità del bersaglio e l'autenticità dell'indirizzo email prima di procedere ulteriormente con qualsiasi collaborazione.
"Ti scrivo per confermare se una recente email in cui esprimi interesse per il progetto di ricerca del nostro istituto è stata effettivamente inviata da te", si leggeva nell'email. "Il messaggio è stato ricevuto da un indirizzo che non sembra essere il tuo indirizzo email principale e volevo verificarne l'autenticità prima di procedere ulteriormente."
Successivamente, gli aggressori hanno inviato un link ad alcuni documenti che, a loro dire, sarebbero stati discussi in una riunione successiva. Cliccando sul link, tuttavia, la vittima viene reindirizzata a una landing page fasulla, progettata per rubare le credenziali del suo account Microsoft.
In un'altra variante della catena di infezione, l'URL imita una pagina di accesso di Microsoft Teams con un pulsante "Partecipa ora". Tuttavia, le fasi successive attivate dopo aver cliccato sul presunto pulsante "Riunione" non sono chiare in questa fase.
Proofpoint ha osservato che l'avversario ha rimosso il requisito della password nella pagina di raccolta delle credenziali dopo che la vittima "ha comunicato i sospetti", indirizzandola invece direttamente a una pagina di accesso OnlyOffice contraffatta ospitata su "thebesthomehealth[.]com".
"Il riferimento di UNK_SmudgedSerpent agli URL di OnlyOffice e ai domini a tema sanitario ricorda l'attività di TA455", ha affermato Naumaan. "TA455 ha iniziato a registrare domini relativi alla salute almeno da ottobre 2024, seguendo un flusso costante di domini con interesse aerospaziale, con OnlyOffice che è diventato popolare per ospitare file più di recente, a giugno 2025."
Sul sito contraffatto OnlyOffice è ospitato un archivio ZIP contenente un programma di installazione MSI che, a sua volta, avvia PDQ Connect. Gli altri documenti, secondo l'azienda, sono considerati falsi.
Esistono prove che suggeriscono che UNK_SmudgedSerpent abbia utilizzato la tastiera per installare ulteriori strumenti RMM come ISL Online tramite PDQ Connect. Il motivo alla base dell'implementazione sequenziale di due distinti programmi RMM non è noto.
Altre e-mail di phishing inviate dall'autore della minaccia hanno preso di mira un accademico residente negli Stati Uniti, chiedendo assistenza nelle indagini sull'IRGC, nonché un altro individuo all'inizio di agosto 2025, sollecitando una potenziale collaborazione per la ricerca sul "ruolo crescente dell'Iran in America Latina e sulle implicazioni politiche degli Stati Uniti".
"Le campagne sono in linea con la raccolta di dati di intelligence iraniana, concentrandosi sull'analisi delle politiche occidentali, sulla ricerca accademica e sulla tecnologia strategica", ha affermato Proofpoint. "L'operazione preannuncia un'evoluzione della cooperazione tra le entità di intelligence iraniane e le unità informatiche, segnando un cambiamento nell'ecosistema dello spionaggio iraniano".
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube