Cyber-guerra Iran-USA-Israele operazione Epic Fury e Roaring Lion, il più grande attacco informatico della storia

Cyber-guerra Iran-USA-Israele: operazione Epic Fury e Roaring Lion, il più grande attacco informatico della storia

A cura di:Redazione Ore

La cyber-guerra Iran-USA-Israele che si è aperta il 28 febbraio 2026 non è un’escalation come le altre. È il primo conflitto su larga scala in cui le operazioni cibernetiche hanno preceduto, accompagnato e amplificato quelle cinetiche in modo strutturale e documentato. L’Operazione Epic Fury (denominazione statunitense) e l’Operazione Roaring Lion (denominazione israeliana) hanno colpito oltre 1.250 obiettivi militari iraniani nelle prime 48 ore. Ma prima che un singolo missile lasciasse il tubo di lancio, lo U.S. Cyber Command era già il first mover: le operazioni cyber hanno aperto la strada a tutto il resto.

Il risultato è stato la dimostrazione più eclatante nella storia della cybersecurity di cosa significhi cyber dominance, e di quanto sia fragile il confine tra pace e guerra nel dominio digitale.

Un’operazione cyber senza precedenti

Le quattro ore che hanno cambiato la dottrina militare

Secondo l’analisi pubblicata da Lawfare, il nucleo dell’offensiva cyber si è consumato in circa quattro ore, prima che il regime iraniano imponesse il blackout totale di internet. In quella finestra temporale, la coalizione ha ottenuto risultati straordinari.

Il generale Dan Caine, presidente dei Joint Chiefs of Staff, ha dichiarato in conferenza stampa che le operazioni spaziali e cyber coordinate hanno effettivamente interrotto le comunicazioni e le reti sensoriali iraniane, privando l’avversario della capacità di osservare, coordinare e rispondere. L’obiettivo dichiarato era disorientare e confondere il nemico.

Ciò che emerge dal reporting di fonti multiple – Financial Times, Unit 42, CSIS – è un’operazione a strati multipli che ha colpito simultaneamente diversi livelli dell’infrastruttura iraniana.

Livello 1 – Infrastruttura di rete. La connettività internet iraniana è crollata tra l’1 e il 4% dei livelli normali la mattina del 28 febbraio 2026, secondo le rilevazioni di Unit 42. L’attacco ha interessato routing BGP, infrastruttura DNS e sistemi SCADA/ICS, come documentato da AttackIQ. Non si è trattato di un semplice DDoS: è stata un’operazione multi-vettore progettata per isolare il Paese dal resto del mondo digitale.

Livello 2 – Intelligence e sorveglianza. Il Financial Times ha rivelato che l’intelligence israeliana monitorava da anni la rete di telecamere stradali di Teheran, utilizzandola per tracciare i movimenti delle guardie del corpo di Khamenei e di altri alti funzionari. Un’operazione cyber parallela ha interrotto il sistema di telefonia mobile nell’area del compound di Khamenei, impedendo al suo staff di sicurezza di ricevere avvertimenti sull’attacco imminente. Questa capacità, come ha sottolineato l’analisi di Lawfare, è il risultato di anni di costruzione di un’architettura di intelligence comprensiva focalizzata su Teheran, basata su SIGINT, cyber espionage e HUMINT.

Livello 3 – Operazioni informative. L’app religiosa iraniana BadeSaba, con oltre 5 milioni di download, è stata compromessa per inviare messaggi di propaganda direttamente ai cittadini e al personale militare. Il primo messaggio recitava: “L’aiuto è arrivato.” Un secondo era indirizzato specificamente al personale delle forze armate, invitandolo a deporre le armi o unirsi alle forze di liberazione. Come ha osservato su X lo specialista iraniano Hamid Kashfi, l’app è estremamente popolare e richiede l’accesso alla geolocalizzazione dell’utente per fornire orari di preghiera accurati. La compromissione aveva quindi un doppio valore: intelligence sulla posizione di milioni di utenti e operazione psicologica in tempo reale.

Livello 4 – Disruption dei media e del C2. L’agenzia di stampa statale iraniana IRNA e diversi siti governativi sono stati compromessi tramite hijacking. Le comunicazioni di comando e controllo dell’IRGC sono state interrotte durante le ore critiche di apertura dell’operazione, secondo il reporting di AttackIQ.

Il paradosso della finestra temporale

L’analisi di Lawfare evidenzia un paradosso fondamentale: più l’operazione cyber è efficace, più breve è la sua finestra di utilità. Circa quattro ore dopo l’inizio degli attacchi, il regime iraniano ha imposto un blackout internet a livello nazionale – una risposta che l’Iran adotta abitualmente anche durante il dissenso interno. Il blackout ha eliminato simultaneamente sia le capacità offensive della coalizione nel cyberspazio sia quelle degli stessi apparati statali iraniani.

Questo produce una lezione dottrinale di enorme importanza per i pianificatori militari e i professionisti della cybersecurity: la cyber dominance è un asset a tempo determinato. Una volta impiegata, il suo effetto si consuma rapidamente – ma nei conflitti moderni, quelle prime ore possono determinare l’esito dell’intera campagna.

Il confronto con il precedente ucraino

Il parallelo più immediato è con l’invasione russa dell’Ucraina nel febbraio 2022, quando l’attacco al sistema satellitare Viasat e i wiper malware (HermeticWiper, IsaacWiper, CaddyWiper) accompagnarono le prime ore dell’offensiva cinetica. Tuttavia, la scala dell’operazione contro l’Iran segna un salto qualitativo significativo.

In Ucraina, le operazioni cyber russe ebbero un impatto limitato sulla connettività complessiva del Paese e non impedirono alla leadership ucraina di comunicare e coordinare la difesa.

In Iran, la connettività nazionale è stata ridotta all’1-4% in poche ore – un livello di disruption che non ha precedenti in conflitti tra Stati. Inoltre, la compromissione di app consumer (BadeSaba), reti di telecamere urbane e sistemi di telefonia mobile in un’unica operazione integrata dimostra un livello di preparazione e di penetrazione dell’infrastruttura avversaria che va ben oltre quanto osservato nel teatro ucraino.

La risposta: 60 gruppi hacktivisti, il fronte cyber si allarga

L’Electronic Operations Room e la coalizione delle sigle

La reazione nel dominio cyber non si è fatta attendere. Secondo Unit 42, al 2 marzo 2026 erano attivi circa 60 gruppi hacktivisti, inclusi collettivi pro-russi che si sono uniti al fronte. Il 28 febbraio stesso è stata costituita una struttura di coordinamento denominata Electronic Operations Room.

Un’analisi di Rescana ha documentato, tra il 28 febbraio e il 2 marzo 2026, ben 149 attacchi DDoS hacktivisti che hanno colpito 110 organizzazioni in 16 Paesi. La maggioranza degli attacchi si è concentrata in Kuwait (28%), Israele (27,1%) e Giordania (21,5%), con il settore governativo che ha rappresentato quasi il 48% degli obiettivi.

Tra i gruppi più attivi identificati da Unit 42, SOCRadar e CloudSEK:

  • Handala Hack – collegato al Ministero dell’Intelligence iraniano (MOIS), è la persona più prominente nel panorama hacktivista iraniano. Ha rivendicato compromissioni di aziende energetiche israeliane, dei sistemi di distribuzione carburante giordani, e ha minacciato funzionari israeliani con doxxing e minacce di morte, segnalando uno sconfinamento verso l’intimidazione psicologica e fisica.
  • FAD Team (Fatimiyoun Cyber Team) – ha rivendicato l’accesso non autorizzato a sistemi SCADA/PLC in Israele e in altri Paesi, inclusi sistemi di controllo di oltre 24 dispositivi appartenenti a una società di servizi di sicurezza israeliana. Il gruppo si concentra su wiper malware e distruzione permanente dei dati.
  • Dark Storm Team – collettivo pro-palestiniano e pro-iraniano specializzato in DDoS su larga scala, che ha colpito istituzioni finanziarie e siti web israeliani.
  • Keymous+ e DieNet – responsabili di quasi il 70% dell’intera attività di attacco DDoS documentata nei primi giorni del conflitto, secondo i dati di Radware.
  • Gruppi pro-russi come NoName057(16) e Z-Pentest – quest’ultimo ha rivendicato, tra il 28 febbraio e il 2 marzo, la compromissione di diverse entità statunitensi, inclusi sistemi ICS/SCADA e reti CCTV.

Una nota di cautela è doverosa: molte di queste rivendicazioni vanno valutate con scetticismo critico. L’analisi di Symantec ha riscontrato che alcune rivendicazioni di alto profilo – come il presunto attacco di Handala a Saudi Aramco – si basavano su documenti già in circolazione, suggerendo operazioni informative o psicologiche più che compromissioni reali. Anche Sophos ha sottolineato che i gruppi iraniani hanno talvolta sovrastimato le proprie capacità, pur rimanendo attori capaci. La distinzione tra DDoS temporaneo, defacement, esfiltrazione reale di dati e compromissione profonda di infrastrutture è fondamentale per calibrare correttamente la risposta difensiva.

Oltre il DDoS: wiper, ransomware e targeting ICS/OT

La cyber-guerra Iran-USA-Israele non si limita ai DDoS. Flashpoint ha identificato una massiccia campagna #OpIsrael che coinvolge attori pro-russi e pro-iraniani nella quale i sistemi di controllo industriale israeliani sono stati presi di mira direttamente. Il Fatimiyoun Electronic Team, secondo il Washington Institute, starebbe conducendo attacchi contro aziende energetiche e finanziarie occidentali con l’obiettivo di dispiegare wiper malware.

Una campagna di phishing particolarmente insidiosa ha distribuito l’APK malevolo RedAlert, mascherato da applicazione ufficiale di allerta emergenza, progettato per la sorveglianza e l’esfiltrazione di dati dai dispositivi mobili.

La pre-posizione: MuddyWater era già dentro

Seedworm nelle reti statunitensi

Uno degli sviluppi più significativi per comprendere la dimensione strategica di questa cyber-guerra è la scoperta, pubblicata il 5 marzo 2026 dal team Symantec e Carbon Black Threat Hunter di Broadcom, che il gruppo APT iraniano MuddyWater (noto anche come Seedworm) era attivo nelle reti di diverse organizzazioni statunitensi sin dall’inizio di febbraio 2026 – settimane prima dell’inizio delle operazioni cinetiche.

Le vittime includono una banca statunitense, un aeroporto, organizzazioni non governative negli USA e in Canada, e le operazioni israeliane di una società software fornitrice dell’industria della difesa e aerospaziale. I ricercatori hanno identificato un backdoor fino ad allora sconosciuto, denominato Dindoor, basato sul runtime Deno per l’esecuzione di codice JavaScript e TypeScript, firmato digitalmente con un certificato intestato a “Amy Cherne”. Un secondo backdoor Python, Fakeset, è stato trovato sulle reti dell’aeroporto e dell’ONG, firmato con certificati legati a Seedworm.

Come ha commentato Denis Calderone, CTO di Suzu Labs, all’outlet SC Media: la guerra cyber non è iniziata quando le bombe hanno cominciato a cadere. Era già in corso a febbraio. Il fatto che MuddyWater disponesse di tooling nuovo e operativo prima dell’inizio del conflitto cinetico rivela il livello di preparazione del gruppo.

Ulteriore conferma è arrivata dal collettivo di threat intelligence indipendente Ctrl-Alt-Intel, che ha ottenuto accesso a un’infrastruttura di MuddyWater ospitata nei Paesi Bassi, scoprendo un vasto arsenale di framework C2 personalizzati, script, log e dati delle vittime, con l’exploitation di oltre una dozzina di CVE, incluse vulnerabilità SQL injection precedentemente sconosciute, come riportato da Help Net Security.

Pyroxene, Bauxite, Parisite: la pipeline verso l’OT

L’analisi di HSToday mette in evidenza tre gruppi iraniani che operano lungo una kill chain strutturata verso gli ambienti di Operational Technology (OT):

  • Pyroxene (allineato all’IRGC, sovrapposizione con UNC1549 secondo Mandiant) – sta conducendo operazioni di mapping nella kill chain ICS di Stage 2 all’interno delle reti di fornitori e contractor nei settori difesa, aviazione ed energia, utilizzando tenant Microsoft Azure vittima-specifici come infrastruttura C2.
  • Bauxite (operante sotto la persona CyberAv3ngers) – ha già superato la fase dell’accesso per raggiungere gli effetti: avrebbe compromesso oltre 400 dispositivi OT tramite il malware IOControl, secondo fonti di settore, manipolando PLC Unitronics presso impianti idrici statunitensi. Il CISA aveva già emesso un advisory dedicato alle attività di CyberAv3ngers contro dispositivi Unitronics nel dicembre 2023, confermando il pattern di targeting ICS da parte di questo gruppo.
  • Parisite (noto come Pioneer Kitten/Fox Kitten) – funziona come Initial Access Broker per questo ecosistema, sfruttando VPN esposte e dispositivi edge per compromettere ambienti IT di operatori di infrastrutture critiche, per poi vendere o trasferire l’accesso ad attori statali e affiliati ransomware. Dragos ha osservato direttamente Parisite fornire accessi successivamente utilizzati in operazioni dirette verso ambienti OT.

Il punto cruciale: il seam IT-to-OT non è una vulnerabilità teorica. È un percorso di exploitation attivo e documentato.

Le TTP iraniane nel framework MITRE ATT&CK

Per i SOC analyst e i threat hunter, è utile mappare le tecniche osservate nel conflitto corrente sul framework MITRE ATT&CK. Le TTP dominanti degli APT iraniani attivi in questa fase includono:

  • T1566 – Phishing e T1566.001 – Spearphishing Attachment: vettore iniziale privilegiato da MuddyWater (campagna Dindoor) e APT42, con documenti Office armati e campagne RedAlert APK.
  • T1078 – Valid Accounts: sfruttamento di credenziali legittime rubate, tecnica cardine per Parisite/Fox Kitten nell’accesso iniziale a reti di infrastrutture critiche.
  • T1190 – Exploit Public-Facing Application: exploitation di VPN, dispositivi edge e applicazioni esposte, documentata sia per Parisite che per MuddyWater.
  • T1059.007 – Command and Scripting Interpreter: JavaScript: il backdoor Dindoor utilizza il runtime Deno per eseguire comandi, una scelta tecnica insolita che indica evoluzione del tooling.
  • T1071.001 – Application Layer Protocol: Web Protocols: utilizzo di servizi cloud legittimi (Azure, Wasabi, Backblaze) come infrastruttura C2, rendendo il traffico malevolo indistinguibile da quello aziendale.
  • T1567 – Exfiltration Over Web Service: tentativo di esfiltrazione verso bucket Wasabi Technologies tramite Rclone, osservato nella campagna contro la società software.
  • T0831 – Manipulation of Control (ICS): la manipolazione dei PLC Unitronics da parte di Bauxite/CyberAv3ngers rappresenta un’operazione ICS di Stage 2 nella kill chain Dragos/SANS.

Questo mapping non è esaustivo, ma fornisce ai team difensivi un riferimento immediato per verificare la copertura delle proprie detection rule rispetto alle tecniche più attive in questo specifico contesto di minaccia.

Le lezioni operative per i CISO

Sei azioni immediate

La combinazione delle raccomandazioni di Unit 42, HSToday, eSentire e delle analisi di settore converge su sei azioni prioritarie.

  1. Isolare i dispositivi OT esposti a internet. In particolare PLC Unitronics e qualsiasi dispositivo ICS accessibile dall’esterno. La campagna di Bauxite/CyberAv3ngers ha dimostrato che gli attaccanti iraniani hanno già la capacità e la volontà di manipolare sistemi di controllo industriale.
  2. Auditare e terminare le sessioni VPN di contractor inutilizzate. Parisite/Fox Kitten opera esattamente come un Initial Access Broker, sfruttando VPN e dispositivi edge di fornitori nei settori difesa, aviazione ed energia. Ogni sessione VPN non terminata di un contractor è una porta aperta.
  3. Abilitare alerting sulle anomalie nelle API cloud. Pyroxene utilizza tenant Azure vittima-specifici come C2. Il monitoraggio delle chiamate API verso servizi cloud come Azure, AWS e GCP, in particolare quelle che attraversano il confine IT-OT, è fondamentale.
  4. Conservare almeno una copia dei dati critici in modalità air-gapped. Il wiper malware è lo strumento privilegiato delle operazioni distruttive iraniane – dalla campagna contro l’Albania nel 2022 alle attuali minacce del FAD Team.
  5. Implementare il blocco geografico degli IP dove possibile. Questo non è sufficiente di per sé – gli attaccanti utilizzano proxy e VPN – ma riduce la superficie d’attacco per gli strumenti automatizzati a bassa sofisticazione che rappresentano la maggioranza del volume.
  6. Preparare un piano di comunicazione per la gestione delle rivendicazioni. Come sottolinea Unit 42, i gruppi hacktivisti spesso esagerano la portata dei loro attacchi. Avere una procedura per validare e rispondere alle rivendicazioni – distinguendo tra accesso effettivo e compromissione di sistema – è fondamentale per evitare il panico e il danno reputazionale.

La domanda scomoda sull’OT

La lezione più profonda di questa cyber-guerra Iran-USA-Israele riguarda la sicurezza OT. Dragos ha documentato che il percorso dall’accesso IT alla compromissione OT è un pathway attivo e verificato, non un rischio ipotetico. Per i CISO europei e italiani – in particolare nei settori energia, trasporti e manifatturiero – questo significa porsi tre domande urgenti, come suggerisce l’analisi di HSToday:

  • Chi ha l’autorità di disconnettere da internet i nostri asset OT più critici con brevissimo preavviso?
  • Quanto velocemente possiamo terminare tutti gli accessi di terze parti nel nostro ambiente?
  • Abbiamo visibilità sui servizi cloud che i nostri fornitori utilizzano per gestire i nostri sistemi?

Se la risposta a una di queste domande è “non lo so”, il livello di esposizione è significativo.

Il quadro strategico: cyber come strumento asimmetrico

La dottrina iraniana dopo il blackout

L’analisi di Halcyon evidenzia un aspetto strutturale della cyber capability iraniana che questo conflitto rende ancora più rilevante: la convergenza tra operazioni statali e attività criminale. Il modello iraniano prevede che operatori statali monetizzino gli accessi ottenuti attraverso campagne governative tramite estorsione, mantenendo una plausible deniability.

Questo è particolarmente rilevante perché, come valutato dal CSIS, con le capacità convenzionali gravemente degradate dalle operazioni cinetiche, il cyber rappresenta ora lo strumento asimmetrico più accessibile per la ritorsione iraniana. La degradazione della connettività internet ha temporaneamente ostacolato la capacità di coordinamento degli APT operanti dall’interno dell’Iran, ma Unit 42 avverte che la degradazione dei comandi potrebbe anche portare ad autonomia tattica per le cellule operative al di fuori dei confini iraniani, con potenziali deviazioni dai pattern precedentemente stabiliti.

CISA sotto stress

Un fattore aggravante, documentato da CNBC, è che la principale agenzia cyber statunitense – CISA – si trova in condizioni operative ridotte. Al momento della pubblicazione, il sito web dell’agenzia riportava un ultimo aggiornamento al 17 febbraio a causa di un lapse in federal funding, con la cancellazione di valutazioni di sicurezza, formazione e altri impegni. Secondo CNBC, l’agenzia avrebbe perso circa un terzo dei suoi dipendenti dal cambio di amministrazione, e il suo direttore temporaneo sarebbe stato riassegnato ad altra divisione del DHS. Se confermato, questo scenario crea un vuoto di coordinamento proprio nel momento in cui la minaccia è più elevata.

Lo spettro della ritorsione a lungo termine

Il precedente storico è chiaro. Dopo l’uccisione del generale Soleimani nel 2020, i gruppi iraniani hanno lanciato ondate di wiper attack, campagne di credential harvesting e operazioni di spionaggio contro infrastrutture critiche occidentali. Come sottolinea AttackIQ, lo stesso playbook si sta dispiegando ora, ma con strumenti significativamente più capaci. Gruppi come MuddyWater, APT35/Charming Kitten, OilRig/APT34 e Agrius hanno trascorso anni a perfezionare il loro tradecraft.

La scoperta da parte di ESET nel dicembre 2025 del nuovo backdoor MuddyViper di MuddyWater, indirizzato verso infrastrutture critiche israeliane ed egiziane, e la campagna Operazione Olalampo di febbraio 2026 che ha dispiegato backdoor AI-assisted contro i settori energia e marittimo nell’area MENA, confermano che questi gruppi rimangono operativamente attivi e in evoluzione.

Prospettive: la nuova normalità della guerra ibrida

Questa cyber-guerra Iran-USA-Israele ha reso concreta una serie di scenari che la comunità di cybersecurity discuteva in termini teorici. Non è più una questione di se le operazioni cyber accompagneranno i conflitti cinetici, ma di come difendersi in un contesto dove la guerra nel cyberspazio precede, accompagna e sopravvive a quella sul campo.

Per l’Europa – e per l’Italia in particolare, con la sua esposizione sia come hub energetico mediterraneo sia come Paese con basi NATO e rappresentanze diplomatiche dei Paesi coinvolti – il messaggio è chiaro: la sicurezza delle infrastrutture critiche non è più un esercizio di compliance, ma una questione di resilienza nazionale.

Come ha osservato Scott McKinnon, CSO di Palo Alto Networks per UK e Irlanda, al Mobile World Congress di Barcellona: ogni volta che c’è un conflitto, c’è sempre una risposta. Non vengono usati solo i sistemi di difesa e di attacco fisici, ma anche armamenti collaterali nel cyberspazio.

La cyber-guerra Iran-USA-Israele è il primo banco di prova della guerra ibrida su scala globale. Non sarà l’ultimo.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi