In questo estratto da Guerra profonda. Hacker, bugie e l’architettura segreta dei nuovi conflitti, Arturo Di Corinto racconta la dimensione invisibile della guerra contemporanea: quella combattuta attraverso reti, dati, piattaforme digitali, propaganda e attacchi informatici. Il volume, pubblicato da Luiss University Press (pp. 220, euro 22), con prefazione di Roberto Baldoni, fondatore e primo direttore generale dell’Agenzia per la cybersicurezza nazionale, analizza il modo in cui cybersicurezza, intelligenza artificiale e disinformazione stanno trasformando i conflitti internazionali.
Il 12 giugno 2025 Israele lancia un attacco aereo verso l’Iran che, secondo l’Agenzia internazionale per l’energia atomica, Aiea, sta velocemente giungendo a una piena capacità nucleare. L’operazione, denominata “Rising Lion”, il “Risveglio del leone”, è accompagnata da una serie di attacchi informatici per tutta la prima fase del conflitto: attacchi Ddos, defacciamenti, esfiltrazione di dati sensibili e di informazioni riservate. Si creano due fronti hacktivisti: 94 a favore dell’Iran, 10 a favore di Israele e 15 anti-iraniani, per un totale di 119 gruppi, secondo le stime di CyberKnow (2025), l’azienda australiana specializzata in Osint e cyber threat intelligence.
Anche in occasione di questo conflitto, condotto con armi convenzionali e omicidi mirati che uccidono alti funzionari iraniani, compreso il capo dell’intelligence, il comandante della forza Quds, Saeed Izadi, lo schema si ripete: gli attacchi cinetici prima, e cioè i bombardamenti israeliani su siti sensibili iraniani e i lanci di missili balistici dall’Iran verso Israele, sono accompagnati dagli attacchi cibernetici e dalla disinformazione. Quello che pare un dominio separato, il mondo cyber, anche in questo caso ha una prosecuzione nel mondo fisico.
La propaganda viene subito attivata sui due fronti del conflitto. I media riportano un attacco alla banca iraniana Sepah, ma l’agenzia di stampa statale Irna sosterrà che le transazioni nella Repubblica Islamica non ne hanno sofferto. Poi sarà diffusa la notizia di un attacco informatico al cryptoexchange iraniano Nobitex con l’effetto di sottrargli circa 90 milioni di dollari di cryptovalute. L’exchange dirama una comunicazione in cui informa la clientela che ogni asset sarà rimborsato.
Le autorità della Repubblica Islamica dell’Iran sin dal 13 giugno decidono massicce restrizioni dell’accesso a Internet, il traffico si riduce all’80%. Ai funzionari del regime viene raccomandato di interrompere l’utilizzo di qualsiasi dispositivo connesso, anche di WhatsApp, per evitare di essere geolocalizzati e diventare un target degli israeliani, tecnica usata dagli stessi cybersoldati iraniani per identificare e colpire una base militare israeliana.
Dall’inizio del conflitto si registrano diversi tentativi di interruzione del funzionamento di infrastrutture critiche nei settori energetico e delle telecomunicazioni, con attacchi a centrali elettriche, raffinerie e impianti petrolchimici. I gruppi statuali e degli attivisti cercano infatti di infiltrarsi in dighe, aeroporti e centrali energetiche sfruttando vulnerabilità nei sistemi di controllo industriale (Industrial Control Systems, Ics, e Supervisory Control and Data Acquisition, Scada) per causare blackout o disservizi, intercettare dati e compromettere la sicurezza delle comunicazioni militari e civili.
Gli iraniani, per i quali la cyberwarfare è parte della dottrina militare della soft war, vedono schierate al proprio fianco alcune cybergang. Una di queste è nota come Handala, da sempre impegnata in attacchi ransomware, che stavolta però non appare interessata all’ottenimento di riscatti monetari ma a creare caos e incertezza nel cyberspace israeliano assumendo un profilo hacktivista.
Durante gli attacchi missilistici contro le città di Tel Aviv, Haifa, Be’er Sheva, vengono inoltre condotti attacchi Ddos mirati ai siti web delle stazioni radio israeliane per creare confusione e ostacolare la diffusione degli alert di allarme. In seguito, vengono divulgate notizie di attacchi contro centri di ricerca nucleare e militare, con diffusione di malware per il furto di informazioni. A farne le spese, il centro di ricerca Weizmann, come parte di una campagna di phishing avente come obiettivo istituzioni accademiche e del settore israeliano della difesa, azione motivata dal coinvolgimento delle università israeliane nel sistema militare e di sicurezza del Paese. Ed è infatti proprio il gruppo pro-pal Handala Hack che il 18 giugno 2025 annuncia una fuga di dati di 425 GB dall’azienda israeliana Mor Logistics e l’ottenimento dell’accesso a 4 TB di documenti classificati del Weizmann Institute of Science, colpito da un attacco missilistico iraniano il giorno prima (Daily DarkWeb, 2025).
Nel canale Telegram AptIran i gestori rivendicano gli attacchi contro Israele come ritorsione per i bombardamenti subiti. In aggiunta, il gruppo diffonde una serie di informazioni circa gli attacchi a servizi e infrastrutture iraniane e, in un post significativo, fornisce consigli ai potenziali target iraniani ricordando che, in un “teatro di guerra digitale”, “l’utilizzo di tecnologie non prodotte da vendor affidabili rappresenta un rischio diretto per le infrastrutture critiche del Paese (…) in quanto ogni componente importata o sviluppata da soggetti esterni può diventare uno strumento di intrusione, controllo o sabotaggio da parte del nemico” (Red Hot Cyber, 2025). Il gruppo mette in guardia i connazionali dalla possibile presenza di backdoor nella tecnologia in uso nel Paese, illustrando bene uno dei rischi centrali alla sovranità digitale.
Terminata la “guerra dei dodici giorni” gli attacchi cibernetici e le operazioni di influenza non smettono. L’azienda israeliana Check Point Software individua una campagna di phishing potenziata con l’intelligenza artificiale da parte di attori iraniani, gli Apt35 (Lakshmanan, 2025), che, a partire da metà giugno 2025, ha preso di mira cittadini israeliani utilizzando false e-mail e messaggi WhatsApp personalizzati, redatti con strumenti di intelligenza artificiale, come suggeriscono il layout strutturato e l’assenza di errori grammaticali. Al target della campagna, esperti israeliani di intelligenza artificiale, veniva paradossalmente chiesto supporto per un sistema di rilevamento delle minacce basato sull’AI, proprio per contrastare l’ondata di attacchi informatici che aveva preso di mira il loro Paese, Israele, a partire dal 12 giugno.
Successivamente, alla fine della guerra (quella che in seguito si rivelerà solo la prima campagna militare contro l’Iran), nei primi di agosto 2025, la società Security Scorecard decide di rilasciare pubblicamente un rapporto in cui viene chiarito come hanno operato gli attori filoiraniani delle minacce, noti e meno noti, durante il conflitto dei dodici giorni. Strike, il gruppo di threat intelligence di Security Scorecard, ha analizzato infatti oltre 250mila messaggi provenienti da 178 gruppi attivi, e ha potuto in tal modo rilevare una campagna digitale altamente coordinata che rispecchiava le azioni militari sul campo. L’analisi condotta ha individuato tre principali categorie di attori:
hacktivisti vagamente affiliati che operano senza supervisione diretta ma allineati con le priorità del corpo delle Guardie della rivoluzione islamica (Irgc);
cluster strutturati allineati all’Irgc che eseguono campagne mirate;
gruppi interamente sponsorizzati dallo Stato come Imperial Kitten (noto anche come Tortoiseshell, Cuboid Sandstorm o Yellow Liderc).
Queste entità, concentrate su settori ad alto valore, tra cui istituzioni finanziarie, agenzie governative e organi di informazione, utilizzano attacchi di Sql injection, Ddos e metodi di esfiltrazione dei dati per la raccolta di informazioni e l’interruzione delle comunicazioni per danneggiare gli avversari. Operazioni che prevedono anche tecniche di ricognizione, analisi delle vulnerabilità per exploit zero-day e distribuzione di script malware personalizzati, il tutto programmato per coincidere con attacchi aerei e incursioni al confine (Security Scorecard, 2025).
In base alle analisi della società SOCRadar (2025), il conflitto Iran-Israele del 2025 ha portato a un’impennata dell’attività informatica, con oltre 600 segnalazioni di attacchi informatici su oltre cento canali Telegram tra il 12 e il 27 giugno 2025. Gli hacker filoiraniani non avrebbero colpito solo Israele, il Paese maggiormente preso di mira con 441 segnalazioni di attacchi, ma anche Stati Uniti (69), India (34) e nazioni mediorientali come Giordania (33) e Arabia Saudita (13).
Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: lastampa.it
