Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Scritto da
Alessandro Mascellino
Un cybercriminale precedentemente sconosciuto che ha preso di mira accademici ed esperti di politica estera tra giugno e agosto 2025 è stato identificato come UNK_SmudgedSerpent dai ricercatori di sicurezza informatica.
Secondo un avviso pubblicato oggi da Proofpoint, il gruppo ha preso di mira individui interessati all'Iran e agli sviluppi politici globali, avviando il contatto attraverso conversazioni apparentemente innocue prima di tentare di rubare credenziali e diffondere malware.
Questa attività combinava tecniche tipicamente osservate in diversi gruppi di minaccia legati all'Iran, ma non si allineava in modo netto con nessuno di essi. Proofpoint ha affermato che il cluster condivide tratti con TA453, TA455 e TA450, ma le sovrapposizioni non sono sufficientemente forti per un'attribuzione definitiva.
Catena di esca e consegna multistadio
Gli investigatori hanno individuato per la prima volta a giugno un'e-mail in cui si discuteva di tensioni economiche e disordini in Iran, inviata a più di 20 esperti di think tank negli Stati Uniti.
Dopo le risposte, gli aggressori hanno intensificato la conversazione e introdotto materiali di collaborazione falsificati tramite un link in stile OnlyOffice. L'URL conduceva infine a domini a tema sanitario che raccoglievano credenziali e fornivano un file ZIP contenente un MSI utilizzato per caricare strumenti di monitoraggio e gestione remota (RMM).
Tra questi strumenti figuravano PDQConnect e, in seguito, ISL Online, una sequenza che i ricercatori hanno trovato insolita nelle operazioni degli stati nazionali.
Per saperne di più sulle operazioni informatiche iraniane: il gruppo di hacker iraniano Nimbus Manticore espande il targeting europeo
I primi messaggi si spacciavano per Suzanne Maloney, vicepresidente della Brookings Institution, utilizzando un account Gmail con un leggero errore di ortografia. Le ondate successive hanno preso di mira l'esperto di politica economica Patrick Clawson, prendendo di mira un accademico ritenuto israeliano, per poi tornare ad agosto con esche legate alle attività dell'Iran in America Latina.
Le tattiche chiave utilizzate da UNK_SmudgedSerpent includevano:
Think tank e impersonificazione a tema politico
Attività sospesa ma persistono preoccupazioni
Sebbene la tempistica dell'azione del gruppo coincidesse con l'acuirsi delle tensioni tra Iran e Israele, Proofpoint non ha trovato alcun collegamento diretto con quegli eventi.
I ricercatori hanno invece suggerito possibili spiegazioni per la sovrapposizione tattica, che vanno dall'approvvigionamento di infrastrutture condivise allo spostamento di personale tra le organizzazioni appaltatrici iraniane. La combinazione di stili di esca, infrastrutture e malware tra cluster noti complica ulteriormente l'attribuzione.
"La comparsa di un nuovo attore con tecniche prese in prestito suggerisce che potrebbe esserci mobilità del personale o scambio tra i team, ma con un mandato coerente; tuttavia, non esiste alcuna attribuzione confermata per UNK_SmudgedSerpent al momento della stesura di questo articolo", ha affermato Proofpoint.
"I TTP e le infrastrutture sono un'estensione del comportamento precedentemente osservato da parte dei gruppi di minaccia iraniani, e il fatto di prendere di mira gli esperti di politica estera iraniani continua a riflettere le priorità del governo iraniano nella raccolta di informazioni di intelligence".
L'attività di UNK_SmudgedSerpent ha smesso di essere rilevata nella telemetria delle email all'inizio di agosto. Tuttavia, in seguito è emersa un'infrastruttura collegata al gruppo, che ospitava malware collegato a TA455, a indicare una sovrapposizione persistente e la possibilità di operazioni in corso.
Potrebbe anche piacerti
Stati Uniti: l'Iran era dietro la campagna email dei Proud Boys
Gli Stati Uniti valutano un'azione preventiva per impedire il "Cyber Pearl Harbor"
Arbor Networks mostra come l'Iran filtra e blocca il traffico Internet
Un gruppo di hacker affiliato all'Iran prende di mira i governi del Medio Oriente
Il malware Rhadamanthys distribuito da TA547 contro obiettivi tedeschi
Cosa c'è di nuovo su Infosecurity Magazine?
CISA e NSA delineano le migliori pratiche per proteggere i server Exchange
Nuove falle GDI potrebbero consentire l'esecuzione di codice remoto in Windows
Il bilanciatore del protocollo DeFi perde oltre 120 milioni di dollari in un furto informatico
Gli hacker aiutano i gruppi della criminalità organizzata nei furti di merci, scoprono i ricercatori
L'identità è ora la principale fonte di rischio nel cloud
La polizia francese sequestra 1,6 milioni di euro durante la repressione della rete di truffe basate su criptovalute
Le vittime del ransomware Leak Site aumentano del 13% in un anno
Europol avverte della crescente minaccia degli attacchi di spoofing dell'ID chiamante
Un gruppo di hacker legato al Pakistan prende di mira il governo indiano
Gli hacker aiutano i gruppi della criminalità organizzata nei furti di merci, scoprono i ricercatori
Il sospettato di Conti in tribunale dopo l'estradizione dall'Irlanda
Difetti critici trovati nei componenti aggiuntivi di Elementor King interessano 10.000 siti
Conformità IT basata sul rischio: il caso della quantificazione del rischio informatico guidata dal business
Padroneggiare l'identità e l'accesso per entità cloud non umane
Prevedere e dare priorità agli attacchi informatici utilizzando l'intelligence sulle minacce
Padroneggiare le normative emergenti: conformità alle leggi DORA, NIS2 e AI
Difesa informatica nell'era dell'intelligenza artificiale: anticipare le minacce senza compromettere la sicurezza
Ecosistema di sicurezza OT per la riduzione mirata dei rischi e la segnalazione
Perché l'intelligenza artificiale ombra è la prossima grande sfida di governance per i CISO
Come le aziende di medie dimensioni possono sfruttare la sicurezza Microsoft per difese proattive
Il CISO di ING spiega come le tecnologie e le normative emergenti stanno rimodellando la sicurezza informatica nella finanza
Come i team di sicurezza possono gestire i rischi dell'intelligenza artificiale agentica
NCSC: correggi subito il bug critico di Oracle EBS
Le app VPN gratuite sono piene di falle di sicurezza
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube