Iran nel cyberspazio: operazioni ibride tra Medio Oriente, infrastrutture OT e Cloud Microsoft 365

L’escalation cyber iraniana del primo trimestre 2026 rivela una strategia a doppio vettore: la compromissione degli ambienti cloud delle organizzazioni israeliane e il sabotaggio di sistemi industriali critici negli Stati Uniti. Un modello operativo che ridefinisce il confine tra guerra cinetica e conflitto digitale.

Quello che emerge dai report pubblicati tra la fine di marzo e i primi giorni di aprile 2026 non è un episodio isolato, ma un pattern operativo strutturato. Check Point Research ha tracciato una campagna di password spraying contro ambienti Microsoft 365 in Medio Oriente, condotta da un threat actor riconducibile all’Iran in tre ondate distinte il 3, il 13 e il 23 marzo 2026, colpendo oltre 300 organizzazioni in Israele e più di 25 negli Emirati Arabi Uniti.

Parallelamente, il joint advisory AA26-097A del 7 aprile 2026, firmato da CISA, FBI, NSA, EPA, Dipartimento dell’Energia e US Cyber Command, ha confermato che attori APT affiliati all’Iran stanno attivamente compromettendo PLC Rockwell Automation/Allen-Bradley esposti su internet nei settori Energy, Water and Wastewater Systems e Government Services negli Stati Uniti, con casi documentati di disruption operativa e perdite finanziarie.

Letti separatamente, i due filoni potrebbero sembrare incidenti scollegati. Analizzati insieme, configurano una strategia ibrida di rara coerenza tattica, coerente con quanto già documentato nei 30 giorni di cyber warfare iraniano seguito al 28 febbraio 2026.

Il vettore cloud: 300 organizzazioni israeliane nel mirino

Secondo l’analisi di Check Point Research, la campagna ha colpito oltre 300 organizzazioni israeliane e più di 25 negli EAU, con attività simile osservata contro target in USA, Europa, Regno Unito e Arabia Saudita. Tra i gruppi iraniani noti per questa tecnica figurano Peach Sandstorm e Gray Sandstorm, entrambi con un’ampia storia documentata di password spraying contro ambienti Microsoft 365.

Sul piano dell’attribuzione è importante mantenere la precisione: Microsoft ha valutato che Peach Sandstorm (APT33) opera per conto dell’Islamic Revolutionary Guard Corps (IRGC). Gray Sandstorm (già DEV-0343) è invece descritto come un cluster che agisce verosimilmente a supporto degli interessi iraniani, senza che nei documenti primari pubblici sia stata confermata un’affiliazione esplicita a una specifica agenzia governativa, distinzione rilevante per chi svolge threat intelligence operativa.

Il settore più colpito in Israele è quello municipale, seguito dalla tecnologia (63 tentativi), dalla logistica e trasporti (32), dalla sanità (28) e dal manifatturiero (28). Check Point valuta con moderata confidenza che il targeting delle municipalità israeliane sia correlato alle città colpite da attacchi missilistici iraniani nel corso di marzo, suggerendo che la campagna sia stata progettata per supportare la valutazione dei danni da bombardamento e le operazioni cinetiche in corso.

Sul piano tecnico, il modus operandi è caratterizzato da una sofisticazione deliberatamente contenuta. Durante la fase di scansione, l’attore ha usato nodi Tor exit con rotazione frequente, inviando richieste con un user agent costruito per simulare Internet Explorer 10 su Windows 7. Una volta ottenute credenziali valide, gli attaccanti si autenticano tramite range IP VPN commerciali di Windscribe (185.191.204.X) e NordVPN (169.150.227.X) geolocalizzati in Israele, aggirando le restrizioni geografiche e riducendo il rischio di alert legati ad accessi stranieri.

Il vettore OT: PLC industriali e sistemi SCADA

Secondo l’advisory CISA AA26-097A, almeno da marzo 2026 un gruppo APT affiliato all’Iran ha disrupted il funzionamento di PLC distribuiti in più settori critici statunitensi, tra cui Government Services and Facilities, Water and Wastewater Systems ed Energy. Alcune vittime hanno subito interruzioni operative e perdite finanziarie. Gli attori hanno usato indirizzi IP esteri per accedere a PLC Rockwell Automation/Allen-Bradley esposti su internet, sfruttando software di configurazione legittimi come Studio 5000 Logix Designer per creare connessioni accettate ai dispositivi target, tra cui CompactLogix e Micro850.

Il traffico malevolo è stato osservato sulle porte 44818, 2222, 102, 22 e 502, associate a protocolli OT di diversi vendor, con implicazioni che si estendono potenzialmente oltre i dispositivi Rockwell, inclusi i sistemi Siemens S7 diffusi in Europa e Asia.

Il metodo di accesso non richiede vulnerabilità zero-day: la debolezza sfruttata è di natura architetturale. Come analizzato da Picus Security in relazione all’advisory, i PLC erano esposti su internet senza adeguata segmentazione di rete, controlli di autenticazione o hardening. Le tre azioni difensive più efficaci non richiedono budget: rimuovere le interfacce ICS da internet, cambiare le credenziali di default e bloccare le porte dei protocolli industriali al perimetro.

In un precedente analogo, il gruppo CyberAv3ngers, affiliato all’IRGC Cyber Electronic Command, aveva già compromesso PLC Unitronics nei sistemi idrici statunitensi nel novembre 2023. La campagna attuale rappresenta un’evoluzione di quel playbook su scala maggiore, con dispositivi più diffusi nelle infrastrutture critiche nordamericane. Rockwell Automation aveva già pubblicato il proprio security advisory SD1771 il 20 marzo 2026, esortando i clienti a disconnettere i controller da internet: una linea guida che si allinea quasi perfettamente al messaggio del joint advisory CISA, suggerendo che la campagna fosse già nota al settore privato prima della divulgazione pubblica.

Il ransomware come arma ibrida

Un terzo livello di questa strategia riguarda l’integrazione del ransomware nelle operazioni statali iraniane. Nel marzo 2026, Halcyon ha rivelato che l’amministratore del ransomware Sicarii ha esortato gli operatori filo-iraniani a usare il Baqiyat 313 Locker (BQTlock), attivo con motivazioni pro-palestinesi contro EAU, USA e Israele dal luglio 2025. Secondo Check Point, “le campagne ransomware stanno sfumando il confine tra estorsione criminale e sabotaggio sponsorizzato dallo Stato.”

A fine febbraio 2026, un’organizzazione sanitaria statunitense è stata colpita da Pay2Key, gruppo ransomware iraniano con legami governativi riconducibile al cluster Fox Kitten (noto anche come Lemon Sandstorm, PARISITE, Pioneer Kitten e UNC757). La variante impiegata presenta capacità di evasione e anti-forensics migliorate rispetto alle campagne del luglio 2025. In questo caso non è stata rilevata esfiltrazione di dati, una deviazione dal classico schema del double extortion che suggerisce come l’obiettivo prioritario fosse la disruption operativa più che il guadagno economico.

La dimensione geopolitica: il cyberspazio come teatro del conflitto

Questa campagna non può essere letta al di fuori del suo contesto. Secondo Recorded Future Insikt Group, il targeting della campagna cloud è correlato alle città colpite da missili iraniani, con le operazioni cyber progettate per supportare la valutazione dei danni da bombardamento e le attività cinetiche in corso. Come abbiamo già documentato nell’analisi di Operation Epic Fury e Roaring Lion, il dominio cyber è diventato il secondo fronte attivo del conflitto sin dal 28 febbraio 2026.

Il dato europeo non è trascurabile. Sia la campagna cloud sia il profilo di targeting OT dell’advisory CISA indicano una superficie d’attacco che supera i confini del Medio Oriente. Il targeting di porte associate a protocolli Siemens, Rockwell e Modbus indica che la minaccia è potenzialmente estesa a qualsiasi sistema OT esposto su internet, inclusi quelli capillarmente diffusi nelle infrastrutture critiche europee.

Il quadro macro è confermato dal World Economic Forum: secondo il Global Cybersecurity Outlook 2026, il 64% delle organizzazioni globali tiene oggi conto degli attacchi cyber motivati geopoliticamente nelle proprie strategie di mitigazione del rischio, mentre il 91% delle organizzazioni di maggiori dimensioni ha modificato la propria strategia di cybersecurity in risposta alla volatilità geopolitica.

Implicazioni per le organizzazioni europee e italiane

Il primo livello di rischio riguarda le aziende che operano in settori esposti a tensioni geopolitiche regionali: energia, difesa, trasporti, finanza. Il pattern di targeting iraniano segue logiche di intelligence strategica, non solo di opportunismo, e le organizzazioni europee che hanno rapporti commerciali o tecnologici con i paesi nel mirino possono diventare vettori secondari di accesso.

Il secondo livello riguarda le infrastrutture OT. In Italia, come negli altri paesi europei, la superficie di attacco sui sistemi industriali rimane ampia. La resilienza IT/OT nell’ambito NIS2 impone requisiti di sicurezza più stringenti per i settori critici, ma il percorso di implementazione è ancora in corso per molte organizzazioni. Il Decreto Legislativo 138 del settembre 2024 ha recepito la direttiva in Italia: la semplicità del vettore OT documentato nell’advisory CISA, che non richiede zero-day ma solo PLC accessibili da internet, dovrebbe essere un campanello d’allarme immediato per qualsiasi responsabile della sicurezza operativa.

Il terzo livello riguarda l’identità cloud. Un attacco di password spraying non necessita di malware avanzato per causare danni: una sola password debole può garantire a un avversario un accesso duraturo a un workspace cloud che il personale utilizza quotidianamente. Il monitoraggio delle identità è diventato importante quanto il monitoraggio degli endpoint per le organizzazioni che dipendono da Microsoft 365.

Le contromisure prioritarie

Per gli ambienti cloud Microsoft 365, le misure raccomandate da Check Point Research includono: monitorare i log di accesso per identificare pattern di password spraying con molteplici tentativi falliti da un’unica sorgente; applicare conditional access con geo-fencing e blocco dei nodi Tor; abilitare l’MFA per tutti gli utenti con controlli più stringenti per i ruoli privilegiati; conservare i log di audit per le investigazioni post-compromissione. Il blocco dei range IP associati a Windscribe e NordVPN già noti in questa campagna rappresenta una misura di contenimento efficace nel breve termine.

Per gli ambienti OT, CISA raccomanda di rimuovere immediatamente i PLC dall’esposizione diretta su internet collocandoli dietro gateway sicuri e firewall; per i dispositivi Rockwell, impostare lo switch fisico del controller in modalità run; verificare nei log la presenza di traffico sospetto sulle porte OT, in particolare proveniente da hosting provider esteri; abilitare SSH Dropbear come indicatore di compromissione, dal momento che è stato impiegato dagli attaccanti per mantenere l’accesso remoto ai sistemi compromessi.

Conclusioni: la guerra ibrida è già presente

La campagna iraniana del primo trimestre 2026 è un caso di studio per l’intero settore. Il suo valore analitico non sta nella sofisticazione tecnica, ma nella coordinazione tra vettori multipli e simultanei (cloud M365, PLC/SCADA, ransomware), nella sua integrazione con operazioni cinetiche in corso e nella capacità di proiettare pressione geopolitica ben oltre il teatro di conflitto originario.

Per i professionisti della sicurezza, questo significa che il threat modeling non può più prescindere dalla dimensione geopolitica. Comprendere chi attacca, perché e in quale contesto internazionale è diventato parte integrante della valutazione del rischio, tanto quanto l’analisi delle vulnerabilità tecniche. Il confine tra IT security e national security non è mai stato così sottile.