Iran cyber warfare: 30 giorni di guerra digitale

Al trentesimo giorno di blackout Internet quasi totale, l’Iran cyber warfare continua a colpire infrastrutture critiche occidentali attraverso una rete di proxy fidati, nonostante la drastica degradazione della connettività interna. Il caso Handala, dal wiper attack su Stryker alla violazione dell’account email personale del direttore dell’FBI Kash Patel, rappresenta il punto di massima escalation di una cyber war che ha già documentato quasi 5.800 attacchi in un solo mese.

Il contesto: quando la guerra cinetica apre il fronte digitale

Il 28 febbraio 2026 alle 9:45 ora di Teheran (1:15 EST), gli Stati Uniti e Israele hanno dato il via alle operazioni militari congiunte denominate Operation Epic Fury (lato americano, CENTCOM) e Operation Roaring Lion (lato israeliano). Il presidente Trump aveva annunciato l’avvio delle operazioni attraverso un video di otto minuti su Truth Social alle 2:30 EST.

Gli obiettivi dichiarati includevano la distruzione dell’infrastruttura missilistica e nucleare iraniana, la degradazione delle reti proxy e l’eliminazione della leadership dell’IRGC. Nelle prime 24 ore, secondo le comunicazioni ufficiali del CENTCOM, vennero colpiti oltre 1.000 target; al 30 marzo 2026 il totale ha superato gli 11.000 target in Iran. L’IAF israeliana ha condotto la più grande operazione di combattimento della sua storia, con circa 200 caccia impegnati in strike su circa 500 target militari.

Nelle stesse ore, in modo silenzioso ma sistematico, il dominio cyber diventava il secondo fronte attivo del conflitto. La connettività iraniana crollava al 4% dei livelli normali secondo NetBlocks, un valore che nel corso di marzo si sarebbe assestato all’1%.

Il 28 marzo, a un mese esatto dall’inizio del conflitto, anche gli Houthi yemeniti sono entrati attivamente nella guerra lanciando missili balistici verso Israele, ampliando ulteriormente il perimetro del conflitto.

Iran cyber warfare: anatomia del blackout

La caduta della connettività iraniana è il risultato di una convergenza tra azioni governative, disruption esterna e distruzione fisica.

1. Internet kill switch di stato. Il governo iraniano ha attivato il suo sistema di controllo della connettività, sviluppato in partnership con Huawei e la Cina negli ultimi anni, per impedire la comunicazione tra la popolazione e limitare il flusso di intelligence verso il nemico. Il sistema whitelist garantisce accesso filtrato solo a soggetti fidati del regime. Come dichiarato da Alp Toker di NetBlocks: “Chi può permetterselo ha avuto più possibilità di restare online pagando servizi contrabbandati rischiosi, non accessibili al cittadino medio.”
2. Cyber disruption esterna. Fonti d’intelligence occidentali hanno indicato che le operazioni cyber USA-israeliane hanno deliberatamente colpito l’infrastruttura di telecomunicazione dell’IRGC per interrompere le reti C2 (command and control) durante gli strike cinetici. Flashpoint descrive la causa del blackout come “quasi certamente una combinazione di shutdown imposto dallo Stato e disruption cyber esterna”.
3. Distruzione fisica dei data center. Droni iraniani hanno colpito le strutture AWS negli Emirati Arabi Uniti e in Bahrain, causando, secondo la dichiarazione ufficiale di Amazon Web Services, “danni strutturali, interruzione dell’alimentazione elettrica e attività antincendio con acqua”. Questo episodio illustra concretamente la convergenza cyber-cinetica: la distruzione fisica di infrastruttura digitale produce effetti equivalenti a un cyberattacco su larga scala.

Il costo economico del blackout per l’Iran è stimato in 35,7 milioni di dollari al giorno: le vendite online sono crollate dell’80%, la Borsa di Teheran ha perso 450.000 punti in quattro giorni e le transazioni finanziarie in gennaio erano diminuite di 185 milioni di unità (fonte: dichiarazione del ministro delle Comunicazioni iraniano Sattar Hashemi).

Il paradosso operativo: offline ma attivo

La premessa iniziale di alcuni analisti, secondo cui il blackout avrebbe neutralizzato le capacità cyber iraniane, si è rivelata errata. I dati disponibili al 30 marzo 2026 confermano una situazione più complessa.

Come osservato da Nathaniel Jones di Darktrace, i principali gruppi offensivi iraniani “continuano a operare da infrastrutture esterne con accessi pre-posizionati”: Seedworm, Homeland Justice e Handala non dipendono dalla connettività interna per le loro operazioni.

L’analisi di Krypt3ia del 16 marzo sintetizza efficacemente il quadro: il blackout ha ridotto l’efficienza operativa e imposto limiti di scala e tempo, ma non ha eliminato la capacità di condurre campagne cyber oltre confine. L’Iran mantiene un backbone telecomunicativo funzionante. La valutazione corretta è quella di una capacità degradata ma operativa.

Questo spiega il dato più significativo del mese: investigatori della società di cybersicurezza DigiCert (Utah) hanno tracciato quasi 5.800 cyberattacchi condotti da circa 50 gruppi legati all’Iran dall’inizio del conflitto, colpendo USA, Israele, Bahrain, Kuwait, Qatar e altri paesi della regione. “Ci sono molti più attacchi di quanti non vengano segnalati”, ha dichiarato Michael Smith, field CTO di DigiCert.

L’ecosistema degli attori: 60 gruppi, una sola “Electronic Operations Room”

Dal 28 febbraio 2026 è stata costituita una struttura di coordinamento denominata “Electronic Operations Room”, che raggruppa le principali entità cyber filo-iraniane. Al 2 marzo si stimavano attivi oltre 60 gruppi, di cui 53 sul fronte pro-iraniano (fonte: Unit 42, Palo Alto Networks), includendo attori filo-russi come NoName057(16) e KillNet.

I principali attori da monitorare:

Handala Hack Team. Il gruppo più prominente. Il 21 marzo 2026 il DOJ americano ha formalmente attribuito il gruppo al MOIS (ministero dell’intelligence iraniano), confermando anni di attribuzioni da parte di ricercatori israeliani e occidentali. Handala opera secondo un modello che mescola data exfiltration, wiper attack e operazioni psicologiche. I dettagli operativi sono approfonditi nella sezione dedicata.

MuddyWater APT (Seedworm). Halcyon ha identificato questo gruppo nell’esecuzione di Operation Olalampo, un’operazione offensiva strutturata che prende di mira la regione META (Middle East, Turkey, Africa) con TTP che si sovrappongono a una campagna separata tracciata come RedKitten, indicando un’infrastruttura coordinata tra attori allineati all’Iran.

Hydro Kitten. Legato all’IRGC, ha indicato piani specifici per colpire il settore finanziario globale (fonte: CrowdStrike, dichiarazione di Adam Meyers, SVP Counter Adversary Operations).

Sicarii. Gruppo ransomware emerso a dicembre 2025 con una caratteristica operativa critica: un difetto nel processo di gestione delle chiavi di cifratura rende i dati irrecuperabili indipendentemente dal pagamento del riscatto. Il gruppo ha recentemente annunciato l’intenzione di espandere il volume dei target, prevalentemente nel META con un’estensione agli USA (fonte: Halcyon RRC).

Gruppi di supporto esterno. Il 2 marzo, NoName057(16) ha collaborato con hacktivist iraniani per colpire organizzazioni di difesa israeliane, inclusa Elbit Systems (fonte: Flashpoint).

Handala: storia di un’escalation in cinque atti

Il percorso operativo di Handala nel mese di marzo 2026 è l’illustrazione più nitida della strategia cyber iraniana.

Atto I, 2-9 marzo: energia, infrastrutture e PsyOps. I primi target post-conflitto includono una società israeliana di esplorazione energetica, i sistemi di carburante della Giordania e strutture sanitarie civili israeliane. Tra il 6 e il 9 marzo, il gruppo pubblica i dati personali (PII) di circa 190 individui associati alle IDF e contractor della difesa israeliana, con minacce di violenza fisica. Vengono inviati messaggi di morte a dissidenti iraniani negli USA e Canada, citando come “partner” il cartello messicano CJNG (fonte: justice.gov/.)

Atto II, 11 marzo: il wiper attack su Stryker. Handala colpisce Stryker Corporation (sede: Portage, Michigan), produttore di dispositivi medici con un fatturato 2025 di 25,1 miliardi di dollari e un market cap di circa 135 miliardi prima dell’attacco. L’attacco non è stato un ransomware classico, ma un wiper attack puro: compromesso un singolo account Global Administrator attraverso spear-phishing, il gruppo ha usato Microsoft Intune, lo strumento di gestione MDM aziendale, per cancellare da remoto decine di migliaia di dispositivi aziendali. Stryker ha confermato la disruption dell’ambiente Microsoft. Un datacenter in Maryland ha dovuto sospendere le connessioni a strumenti di analisi dei dati vitali dei pazienti (fonte: FBI affidavit).

Handala ha dichiarato che l’attacco era in risposta a un bombardamento statunitense su una scuola in Iran. Il Pentagono ha dichiarato di stare indagando sull’incidente.

Atto III, 19 marzo: il DOJ colpisce. Il Dipartimento di Giustizia ha sequestrato quattro domini legati al MOIS e al gruppo Handala (tra cui handala-hack[.]to e handala-redwanted[.]to) e altri due legati alla persona “Justice Homeland”. Contestualmente il DOJ ha formalmente dichiarato Handala una “falsa persona attivista” operata dal MOIS per condurre “operazioni psicologiche” contro i nemici del regime. Il direttore dell’FBI Kash Patel ha dichiarato: “Abbiamo abbattuto quattro pilastri delle loro operazioni e non abbiamo finito.” DomainTools ha tuttavia già identificato nuovi domini Handala non ancora sequestrati.

Atto IV, 25-26 marzo: Lockheed Martin e l’annuncio. Il 25 marzo Handala rivendica la compromissione di Lockheed Martin, pubblicando i dati personali di dipendenti della società con basi in Medio Oriente. Lockheed Martin ha dichiarato di essere a conoscenza delle segnalazioni e di avere procedure in atto per mitigare le minacce, senza confermare o smentire la violazione. Il 26 marzo Handala annuncia su Telegram:

“FBI breach coming soon. Soon you will realise that the FBI’s security was nothing more than a joke.”

Atto V, 27 marzo: la violazione dell’email di Kash Patel. Il 27 marzo Handala ha violato l’account Gmail personale del direttore dell’FBI Kash Patel, pubblicando fotografie e oltre 300 email estratte dall’account. Il materiale copre il periodo 2010-2019 e include corrispondenza personale, ricevute di viaggio, dichiarazioni fiscali e comunicazioni con agenti immobiliari. L’indirizzo Gmail corrisponde a quello di Patel in precedenti breach tracciati da District 4 Labs. TechCrunch ha verificato l’autenticità dell’header delle email; un funzionario DOJ ha confermato a Reuters l’autenticità del materiale.

L’FBI ha dichiarato: “Le informazioni in questione sono di natura storica e non coinvolgono informazioni governative.” L’account compromesso era Gmail personale, non la casella ufficiale FBI (fonte: Axios). L’amministrazione ha offerto una ricompensa fino a 10 milioni di dollari per informazioni sull’identità dei membri di Handala.

Gil Messing di Check Point ha analizzato l’operazione: Handala sta eseguendo una strategia per “imbarazzare i funzionari americani e farli sentire vulnerabili”. L’Iran, ha osservato, sta “sparando tutto quello che ha”.

Evoluzione tattica: tre vettori da monitorare nel Q2 2026

1. Identity abuse come nuovo wiper. Unit 42 documenta un cambiamento tattico critico: il passaggio dal malware wiper personalizzato all’abuso nativo degli strumenti di amministrazione (Active Directory, account Global Administrator, Microsoft Intune per MDM). Il caso Stryker ne è la dimostrazione operativa: nessun malware custom è stato rilevato, ma Microsoft Intune è stato usato per cancellare migliaia di dispositivi. Questo shift elimina la firma del malware come guardia di rilevamento. La detection richiede ora analisi comportamentale su identità privilegiate.
2. AI-enhanced phishing. Google Threat Analysis Group ha documentato che hacker iraniani hanno usato Gemini per costruire campagne di spear-phishing più convincenti, raccogliere informazioni sui target e sviluppare strumenti di attacco. Unit 42 ha identificato una tecnica specifica: embedding di brand trusted (es. Microsoft) come sottodomini di domini malevoli con brand locali mediorientali, sfruttando il pattern di lettura sinistra-destra dell’utente. Bob Kolasky (Exiger) ha osservato che l’Iran non ha bisogno di accedere ai modelli AI occidentali per condurre attacchi AI-assisted: “Ha oltre 10 anni di storia negli attacchi alle infrastrutture critiche USA e presumibilmente utilizzerebbe le proprie armi più recenti.”
3. Supply chain come vettore prioritario. I settori prioritari per gli APT iraniani includono: contractor difesa e aerospazio, cloud provider e operatori TLC, managed service provider (MSP) come vettore per attacchi downstream, porti, impianti idrici e infrastrutture ferroviarie. Darktrace prevede che nelle prossime settimane emergeranno attacchi supply chain più sofisticati, dopo la fase iniziale di disruption diretta.

Il fattore vulnerabilità USA: CISA a ranghi ridotti

Un elemento di rischio sistemico: a causa del parziale shutdown del DHS in atto da tre settimane al momento delle prime dichiarazioni di guerra, la CISA opera con capacità ridotta. Il Rep. Matt Van Epps (R-TN) ha dichiarato su X che “la CISA opera con circa il 38% del personale” (dichiarazione parlamentare non verificata ufficialmente). CNBC riporta che la segretaria DHS Kristi Noem ha ammesso che “la divisione di cybersecurity ha perso centinaia di lavoratori in congedo forzato”. Fonti separate documentano che l’agenzia ha perso circa un terzo del personale dall’inizio dell’amministrazione Trump.

James Turgal (già FBI, ora Optiv) ha osservato:

“Si parla ormai di guerra totale. Gli USA hanno eliminato il leader supremo. Le infrastrutture critiche, impianti idrici e dighe, restano i target primari delle capacità cyber iraniane.”

Per i CISO europei e italiani, questo dato ha implicazioni pratiche: una capacità di risposta ridotta lato americano aumenta il tempo medio di attribuzione e condivisione degli IOC.

Implicazioni per le organizzazioni europee e italiane

Contrariamente a quanto potrebbe sembrare, il perimetro di rischio non è limitato a USA e Israele. L’analisi di Kennedys Law (basata su dati di inizio marzo) documenta che organizzazioni senza connessione diretta al conflitto vengono colpite opportunisticamente. DigiCert ha documentato attacchi in Bahrain, Kuwait, Qatar e altri paesi della regione.

I vettori di rischio specifici per il contesto europeo:

Sanzioni OFAC. Il pagamento di un riscatto a gruppi iraniani, anche qualora l’organizzazione sia vittima, può costituire violazione delle sanzioni USA (IEEPA, TWEA). Le organizzazioni europee con operazioni negli USA devono effettuare screening prima di qualsiasi pagamento.

Obblighi NIS2. Un wiper attack che distrugga record contenenti dati personali attiva simultaneamente obblighi di notifica NIS2 e GDPR. La molteplicità di notifiche cross-giurisdizionale richiede piani di incident response predefiniti.

Dipendenze cloud. Le interruzioni AWS in UAE e Bahrain hanno avuto effetti a cascata su provider cloud europei con dipendenze regionali. L’attacco fisico ai data center dimostra che la resilienza cloud va pianificata anche rispetto a scenari di disruption cinetica.

Conclusioni: un mese che ha ridefinito le regole

Trenta giorni di conflitto hanno prodotto alcune certezze operative che dovranno guidare la pianificazione della sicurezza per i prossimi mesi.

Il blackout non neutralizza. Gruppi sufficientemente dotati operano su infrastruttura pre-posizionata indipendente dalla connettività del paese di origine.

La convergenza cyber-cinetica è reale. Droni che distruggono data center e cyberattacchi su sistemi aziendali non sono più categorie separate. AWS ne ha avuto prova diretta in UAE e Bahrain.

Identity abuse ha sostituito il malware custom. Il caso Stryker con Microsoft Intune è il proof-of-concept più nitido: nessuna firma malware rilevabile, impatto devastante. Il rilevamento richiede strumenti comportamentali, non solo signature-based.

Le operazioni di hacking hanno una valenza psicologica primaria. La violazione dell’email di Kash Patel non ha prodotto intelligence operativa significativa, il materiale è del 2010-2019, ma ha prodotto un effetto mediatico globale. La comunicazione della compromissione è parte integrante dell’attacco.

Il gap difensivo USA è strutturale e temporaneo. CISA a ranghi ridotti non resterà tale a lungo, ma crea una finestra che gli attori avversari stanno razionalmente sfruttando.

Il conflitto in corso è il più significativo test in tempo reale delle dottrine di cyber warfare degli ultimi vent’anni. Le sue lezioni non riguardano solo i contendenti diretti.