Cyber Proxies: capacità cibernetiche degli attori non statali filo-iraniani
ICT Security Magazine rende disponibile in accesso libero e gratuito il white paper “Cyber Proxies: Capacità Cibernetiche degli Attori Non Statali Filo-Iraniani”, un’analisi approfondita e sistematica dell’ecosistema cyber costruito dalla Repubblica Islamica dell’Iran attraverso la rete di attori non statali che compongono il cosiddetto Asse della Resistenza.
L’autore, Ivano Chiumarulo, offre una ricostruzione dettagliata delle strutture, delle strategie e delle capacità operative che caratterizzano le unità cyber affiliate a Hezbollah, Hamas e al movimento Houthi, inquadrandole nel più ampio contesto della trasformazione dei conflitti nell’era della globalizzazione.
Il contesto: guerra ibrida e attori non statali
Il white paper prende avvio da una riflessione teorica sulla trasformazione della natura dei conflitti nel contesto internazionale contemporaneo. Richiamando il pensiero di Mary Kaldor sulle “nuove guerre” e la celebre definizione clausewitziana della guerra come prosecuzione della politica con altri mezzi, l’autore analizza come la progressiva erosione della sovranità statale abbia favorito l’emergere di una molteplicità di attori non statali capaci di esercitare forme organizzate di violenza.
La globalizzazione, la frammentazione del quadro strategico post-Guerra Fredda e la rivoluzione digitale hanno contribuito a ridefinire i rapporti di forza nel sistema internazionale, consentendo a organizzazioni paramilitari, movimenti religiosi, gruppi terroristici e reti criminali transnazionali di assumere un ruolo sempre più rilevante. In questo scenario, il cyberspazio si configura come un nuovo dominio di conflitto in cui i tradizionali concetti di superiorità militare ed economica perdono parte della loro efficacia, aprendo spazi operativi per attori tecnologicamente meno dotati ma capaci di sfruttare l’asimmetria intrinseca del dominio digitale.
L’architettura cyber iraniana
Una sezione centrale del white paper è dedicata alla ricostruzione dell’architettura istituzionale iraniana preposta alle operazioni nel cyberspazio. L’autore illustra il ruolo del Consiglio Supremo del Cyberspazio, istituito nel 2012 sotto la diretta supervisione della Guida Suprema Ali Khamenei, e delle principali strutture operative che ne discendono: il Centro Nazionale per il Cyberspazio (NCC), l’Organizzazione Nazionale di Difesa Passiva (NPDO) e il Comando di Difesa Cyber dell’esercito iraniano.
Particolare attenzione viene riservata al ruolo delle Guardie della Rivoluzione Islamica (IRGC) e del Ministero dell’Intelligence e della Sicurezza (MOIS), i due pilastri attorno ai quali ruotano le più importanti divisioni cyber e gli threat actor sponsorizzati dallo Stato. L’analisi evidenzia come l’Iran abbia sviluppato un sofisticato sistema misto di appalti e collaborazioni tra attori di minaccia, organizzazioni statali e parastatali, aziende private e istituti accademici, creando un ecosistema flessibile e resiliente in grado di condurre operazioni offensive di spionaggio, sabotaggio e information operations su scala nazionale e internazionale.
Tra gli threat actor direttamente associati agli apparati di sicurezza iraniani, il white paper esamina gruppi come APT35, APT42, MuddyWater, OilRig (APT34), Nemesis Kitten, Cotton Sandstorm e Agrius, ricostruendone le principali campagne, le tecniche, tattiche e procedure (TTP) e le sovrapposizioni operative che ne testimoniano il coordinamento strategico.
L’Asse della Resistenza e i cyber proxies
Il cuore del white paper è costituito dall’analisi dei cyber proxies dell’Asse della Resistenza, la rete di attori non statali che l’Iran ha costruito e sostenuto nel corso di oltre quattro decenni per proiettare la propria influenza regionale e perseguire i propri obiettivi strategici: l’espulsione degli Stati Uniti dal Medio Oriente, l’eliminazione dello Stato di Israele e l’affermazione dell’egemonia iraniana nell’area.
L’autore ricostruisce la genesi e l’evoluzione di questa rete, dal primo esperimento di proiezione extra-statale rappresentato da Hezbollah negli anni Ottanta, all’integrazione progressiva di Hamas, delle milizie sciite irachene e del movimento Houthi in Yemen. Il white paper evidenzia come le Forze Quds dell’IRGC abbiano svolto un ruolo centrale nel fornire a questi attori non solo finanziamenti, armamenti e addestramento militare, ma anche le competenze e le infrastrutture necessarie per sviluppare capacità cyber offensive autonome.
Lebanese Cedar: l’unità cyber di Hezbollah
Il white paper dedica un’analisi approfondita a Lebanese Cedar, l’threat actor riconducibile all’unità cyber di Hezbollah e attivo almeno dal 2012. Si tratta del gruppo più sofisticato tra quelli esaminati, caratterizzato da campagne di spionaggio di lunga durata condotte con un profilo operativo estremamente basso, che gli ha consentito di esfiltrare dati per mesi o anni restando pressoché invisibile.
L’autore ricostruisce l’evoluzione delle catene di attacco impiegate dal gruppo: dalle prime campagne basate su documenti malevoli e tecniche di social engineering, all’adozione di metodologie più sofisticate fondate sullo sfruttamento di vulnerabilità in server web pubblicamente accessibili (Atlassian Confluence, Oracle Web Application) e sull’impiego di web shell custom come Caterpillar e del malware Explosive RAT.
Particolare interesse riveste la campagna del 2017, in cui Lebanese Cedar ha adottato tecniche di adescamento tramite falsi profili Facebook tipiche degli attori affiliati ad Hamas, suggerendo forme di collaborazione e scambio di metodologie all’interno dell’ecosistema filo-iraniano. Il white paper segnala inoltre come, secondo la National Cyber Directorate israeliana, Lebanese Cedar abbia fornito supporto all’attore iraniano Agrius nell’attacco condotto nel novembre 2023 contro il Ziv Medical Center di Safed, confermando l’operatività del gruppo anche nel contesto del conflitto in corso.
Gaza Cybergang: l’ecosistema cyber di Hamas
Una sezione estesa del white paper è dedicata a Gaza Cybergang, l’insieme di threat actor riconducibili ad Hamas e alla sua Forza di Sicurezza Interna (ISF). L’autore evidenzia come questo gruppo non costituisca un’entità monolitica, ma un ecosistema complesso e fluido in cui molteplici attori condividono metodologie, strumenti, segmenti di codice e talvolta infrastrutture, alimentando una significativa complessità di attribuzione.
Il white paper analizza in dettaglio i tre principali sottogruppi che compongono Gaza Cybergang:
MoleRATs, attivo almeno dal 2012, rappresenta il cluster storicamente più longevo, caratterizzato da un livello di sofisticazione relativamente basso ma da una notevole persistenza e capacità di adattamento. L’autore ricostruisce oltre un decennio di campagne di spionaggio, evidenziando come le tematiche dei documenti esca siano state costantemente adattate all’agenda geopolitica mediorientale: dai raid dell’IDF su Gaza agli accordi di cessate il fuoco mediati dall’Egitto, dalle tensioni tra Hamas e Fatah fino agli sviluppi più recenti del conflitto israelo-palestinese.
Arid Viper (noto anche come APT-C-23 o Desert Falcons), attivo anch’esso dal 2012, si distingue per un livello di sofisticazione superiore e per l’impiego di tecniche di adescamento particolarmente elaborate, incluse operazioni di tipo honey trap condotte attraverso falsi profili social che simulano giovani donne attraenti. Il white paper analizza le campagne condotte su piattaforme Windows e Android, evidenziando l’uso di malware custom come Micropsia, Kasperagent e le diverse varianti di spyware mobile (Vamp, GnatSpy, AridSpy).
WIRTE, l’attore più recente del gruppo (attivo dal 2018), si distingue per aver integrato alle tradizionali campagne di spionaggio anche operazioni distruttive mirate specificamente contro obiettivi israeliani. L’autore analizza la campagna di sabotaggio avviata nel febbraio 2024, in cui il gruppo ha distribuito un wiper accompagnato da contenuti di propaganda relativi all’attacco del 7 ottobre, evidenziando la crescente integrazione tra capacità cyber offensive e obiettivi di guerra psicologica.
OilAlpha: le capacità cyber degli Houthi
Il white paper esamina infine OilAlpha, l’threat actor più recente tra quelli analizzati, attivo almeno da maggio 2023 e riconducibile al movimento Houthi in Yemen. L’autore evidenzia come le attività di questo gruppo siano prevalentemente focalizzate sul dominio Android e orientate alla raccolta di intelligence sui negoziati di pace e sulle organizzazioni umanitarie operanti nello scenario yemenita.
Le catene di infezione si basano sulla creazione di falsi account WhatsApp e Telegram utilizzati per distribuire link malevoli che conducono al download di applicazioni contraffatte, camuffate da strumenti ufficiali di enti umanitari come UNICEF, King Salman Humanitarian Aid & Relief Centre ed Emirates Red Crescent. Un elemento di particolare interesse riguarda l’infrastruttura di comando e controllo, che fa largo uso di domini Dynamic DNS che puntano alla Public Telecommunication Corporation (PTC), l’ente di telecomunicazioni yemenita ritenuto sotto il controllo delle autorità Houthi.
Implicazioni strategiche e conclusioni
Nelle conclusioni, l’autore riflette sulle implicazioni strategiche della proliferazione dei cyber proxies filo-iraniani, evidenziando come questi attori operino in una zona grigia in cui risulta estremamente difficile distinguere i confini tra azione statale e comportamento criminale, ponendo sfide inedite al diritto internazionale nell’attribuzione delle responsabilità.
Il white paper sottolinea come il fenomeno dei cyber proxies ridisegni la dialettica della deterrenza, allineando le capacità operative di attori non statali a quelle degli eserciti regolari, ma senza i vincoli giuridici cui sono formalmente sottoposti gli Stati. La forte penetrazione territoriale di questi attori nei rispettivi contesti di riferimento consente inoltre un ulteriore strumento di controllo interno e repressione del dissenso, amplificando la loro rilevanza strategica.
L’autore conclude evidenziando come la competizione globale intorno alla digitalizzazione delle infrastrutture critiche costringa gli Stati a fronteggiare una forma di minaccia inedita e asimmetrica, in cui attori non statali relativamente piccoli ma adeguatamente sponsorizzati possono incidere significativamente sulla sicurezza nazionale di Paesi tecnologicamente avanzati.
Il white paper si rivolge a professionisti della cybersecurity (CISO, analisti SOC, specialisti di threat intelligence), decisori politici e funzionari governativi impegnati nella definizione di strategie di sicurezza nazionale, ricercatori accademici nel campo delle relazioni internazionali e degli studi strategici, nonché a giornalisti e analisti interessati a comprendere le dinamiche che legano Stati, proxy e attori di minaccia nel contesto geopolitico contemporaneo. La ricostruzione sistematica delle capacità operative, delle tecniche di attacco e delle strutture organizzative dei cyber proxies filo-iraniani offre un contributo utile sia per l’analisi del rischio sia per l’elaborazione di contromisure efficaci in un panorama delle minacce in costante evoluzione.
