Si vede già la crescita di attacchi cyber da gruppi filoiraniani e pro-russi in risposta alla guerra, anche se – diciamolo subito – il rumore di fondo è notevole.
A quanto emerge da analisi di diverse agenzie e aziende di sicurezza, l’Iran stia usando entrambi i registri della guerra cibernetica.
- Il primo è pubblico e propagandistico: ddos, defacement, leak claim, reclutamento di hacktivist, coordinamento con collettivi ideologicamente allineati.
- Il secondo è più vicino alla prassi delle operazioni statali iraniane degli ultimi anni: spear phishing, sfruttamento di vulnerabilità note ai danni di infrastrutture critiche (anche oil and gas) di Usa-Israele-Paesi arabi, persistenza nelle reti, uso di proxy e di gruppi criminali per rendere più ambigua l’attribuzione e più flessibile l’escalation.
Da notare, per inciso, che Usa e Israele sembrano essersi mossi in anticipo sull’Iran anche sul fronte cyber. A conferma che l’iniziativa di guerra procede ora di pari passo nel dominio cyber e in quello militare tradizionale.
Indice degli argomenti
Cyber attacchi iraniani, non è una reazione improvvisata: è una dottrina di coercizione graduata
Il recente rapporto canadese sulla minaccia cyber 2025-2026 descrive l’Iran come un attore che usa il cyber per “coercire, molestare e reprimere” gli avversari, cercando al tempo stesso di gestire il rischio di escalation.
Nello stesso documento Ottawa scrive che l’Iran ha sviluppato una rete di personas hacktivist e canali social per intimidire gli avversari, orientare il dibattito pubblico e mantenere ambigua la responsabilità ufficiale di Teheran. Non è un dettaglio tecnico. È la chiave per leggere quello che stiamo vedendo in questi giorni: il ricorso a collettivi di facciata non è un ripiego, è parte del modello operativo iraniano.
Questo aiuta a capire perché la prima ondata osservata dopo i raid Usa non abbia assunto, almeno finora, la forma di un attacco distruttivo massivo e attribuibile con facilità.
Per Teheran, o per gli attori allineati ai suoi interessi, il vantaggio di una risposta “ibrida” è evidente: costo contenuto, velocità di esecuzione, forte visibilità mediatica, possibilità di saturare l’attenzione di governi e aziende, e spazio sufficiente per fermarsi un gradino prima di una soglia che imporrebbe una risposta politica o militare più dura. Questa è un’inferenza, ma poggia su una continuità osservabile tra campagne recenti e precedenti operazioni coercitive attribuite all’Iran.
La prima ondata serve a farsi vedere, non necessariamente a fare danni irreversibili: hacktivism iraniano
Unit 42 ha scritto il 2 marzo di aver osservato un picco di attività hacktivist, con stime che parlano di circa 60 gruppi attivi, inclusi gruppi pro-russi, e con la nascita il 28 febbraio di una “Electronic Operations Room” attorno a cui si sono aggregate varie rivendicazioni.
Intel 471 colloca fra il 27 febbraio e il 6 marzo Israele come area più colpita, seguita da Kuwait e Giordania, e indica come tre settori più esposti governo nazionale, aerospazio-difesa e tecnologia.
Questi dati mostrano bene la direzione della pressione, ma dicono meno sull’impatto reale. Il bollettino canadese del 2 marzo osserva che gli hacktivist filoiraniani tendono spesso a sopravvalutare i risultati delle proprie azioni. Questo passaggio conta molto, perché nel ciclo attuale una parte della battaglia si gioca sulla percezione: moltiplicare i claim, gonfiare i numeri, costringere i bersagli a reagire in fretta, indurre i media a trattare ogni rivendicazione come compromissione confermata. In altre parole, il volume del rumore è già parte dell’operazione.
Non vuol dire che la minaccia sia modesta. Vuol dire che la visibilità della minaccia non coincide automaticamente con la sua gravità. Ddos e defacement sono coerenti con la prima fase di una rappresaglia graduata: colpiscono la disponibilità, danno un segnale politico, producono copertura mediatica immediata e richiedono meno preparazione di un wiper ben eseguito o di una manipolazione in ambienti ot. Anche per questo il Canadian Centre, nello stesso documento, invita a non fermarsi al disturbo temporaneo: ricorda che gli attori iraniani sanno passare da ddos e defacement a ransomware, wiper e hack-and-leak.
Il secondo livello è più pericoloso: accessi già presenti, phishing, persistenza. Il sabotaggio cyber iraniano
La parte più interessante, per chi deve difendere reti e servizi, è quella che si vede meno. Broadcom/Symantec ha scritto il 5 marzo che Seedworm, alias MuddyWater, era attivo da inizio febbraio nelle reti di una banca statunitense, di un aeroporto, di ong operative tra Usa e Canada e della branch israeliana di un fornitore software americano per difesa e aerospazio.
Group-IB, il 20 febbraio, aveva già descritto “Operation Olalampo”, una campagna attribuita con alta confidenza a MuddyWater, osservata dal 26 gennaio 2026 e caratterizzata da nuovi malware, riuso di infrastrutture e uso di bot Telegram come canale di comando e controllo.
Qui la sequenza temporale è più importante del dettaglio tecnico. Se attività di accesso e post-exploitation erano in corso settimane prima dei raid del 28 febbraio, la rappresaglia cyber non va letta come una reazione costruita da zero dopo l’attacco americano. Va letta come la possibile attivazione di opzioni già preparate. È una distinzione cruciale: chi possiede già credenziali, persistenza o visibilità sulla rete non ha bisogno di alzare il livello subito. Può scegliere tempi, bersagli e forma dell’impatto.
Una dinamica di pre-posizionamento che usano tutti gli attori cyber nazione (dagli Usa alla Cina), beninteso.
Unit 42 aggiunge un altro tassello: una campagna di phishing con una falsa applicazione RedAlert, che imitava il sistema israeliano di allerta, per distribuire malware mobile orientato a sorveglianza ed esfiltrazione.
Intel 471 riporta anche rivendicazioni, da verificare: il gruppo iraniano Handala ha sostenuto di aver compromesso organizzazioni oil and gas in Israele, Giordania e Arabia Saudita e di aver violato un istituto di ricerca israeliano. Il dato va trattato come claim, non come compromissione indipendentemente confermata, ma indica con chiarezza quali settori e quali paesi i gruppi filoiraniani stanno cercando di mettere sotto pressione,
Il Canadian Centre segnala infine che i gruppi iraniani sono particolarmente sofisticati nella combinazione di ingegneria sociale e spear phishing contro funzionari pubblici e organizzazioni private, soprattutto in aerospazio, energia, difesa, sicurezza e telecomunicazioni.
Cyber attacchi dell’Iran, il bersaglio non è soltanto Israele o gli Stati Uniti
Il messaggio delle agenzie occidentali è abbastanza coerente. Il NCSC britannico ha scritto il 2 marzo che non vede “al momento” un cambiamento significativo della minaccia cyber diretta dall’Iran verso il Regno Unito, ma segnala “quasi certamente” un rischio più alto di minaccia indiretta per organizzazioni con presenza o supply chain in Medio Oriente.
Europol, il 5 marzo, ha avvertito che la crisi con l’Iran avrà ripercussioni immediate sulla sicurezza europea, con un aumento del rischio di cyberattacchi insieme a terrorismo, estremismo violento e criminalità organizzata.
Per l’Europa, e quindi anche per l’Italia, sono note da tenere bene a mente.
Non serve essere un bersaglio politico di primo livello per finire nel perimetro della crisi. Basta essere fornitore di un soggetto esposto, avere presenza nel Golfo, gestire servizi cloud o connettività per organizzazioni nell’area, lavorare in energia, trasporti, manifattura industriale, difesa o software.
La supply chain diventa la superficie d’impatto più plausibile quando gli attori vogliono allargare la pressione senza colpire in modo frontale il territorio europeo. È una deduzione che si appoggia sulle valutazioni del NCSC e sui settori indicati da Intel 471.
Ot e infrastrutture critiche restano il nervo scoperto
Il bollettino canadese del 2 marzo ricorda che gli attori iraniani colpiscono reti di infrastrutture critiche poco protette e dispositivi esposti su Internet, compresi acqua ed energia. La valutazione non arriva dal nulla. La stessa amministrazione canadese, nella National Cyber Threat Assessment 2025-2026, scrive che gli attori iraniani hanno già tentato di manipolare sistemi industriali, hanno effettuato attacchi di denial of service e hanno avuto accesso a reti per cifrare, cancellare e diffondere dati; aggiunge anche che è probabile che abbiano accesso a reti canadesi, comprese infrastrutture critiche.
Negli Stati Uniti, Cisa ha documentato nel dicembre 2024 l’attività di CyberAv3ngers contro plc Unitronics impiegati anche in impianti idrici. Nell’agosto 2024 Cisa, Fbi e partner hanno poi avvertito che il cluster noto come Pioneer Kitten facilitava attacchi ransomware contro organizzazioni Usa. A giugno 2025, Nsa, Cisa, Fbi e Dc3 hanno scritto che attori iraniani e gruppi allineati avrebbero potuto aumentare in modo significativo campagne ddos e arrivare anche al ransomware contro reti statunitensi vulnerabili. Questi precedenti non provano che un attacco distruttivo sia imminente. Dimostrano però che l’Iran dispone già del repertorio tecnico e organizzativo necessario per passare, se lo ritiene utile, dalla molestia digitale al danno operativo.
Cyber attacchi da Iran: dove finiscono i fatti e dove comincia l’ipotesi
Su un tema come questo conviene distinguere con rigore. I fatti verificati, al momento, sono l’aumento delle rivendicazioni, la mobilitazione di gruppi filoiraniani e pro-russi, la presenza di campagne di phishing e l’emersione o la conferma di accessi in reti di interesse. Più incerto è il quadro sui danni realmente prodotti da ciascuna rivendicazione e sulla scala dell’eventuale salto verso operazioni distruttive. Halcyon, per esempio, sostiene che Teheran stia valutando operazioni distruttive e parla di attacchi già osservati a data center aws negli Emirati e in Bahrain. È un’indicazione da seguire, ma in assenza di conferme pubbliche indipendenti va trattata come valutazione di un vendor, non come fatto consolidato.
La lettura analitica più solida, quindi, non è “l’Iran ha già lanciato la sua grande offensiva cyber”, perché le evidenze pubbliche non bastano per affermarlo.
È un’altra: l’Iran sta usando il cyber come strumento elastico di rappresaglia, con una prima fascia visibile a bassa soglia e una seconda fascia meno rumorosa che riguarda accessi, persistenza, raccolta informativa e possibilità di colpire più avanti. Se questa valutazione è corretta, il rischio per aziende e operatori essenziali va gestito subito: verificando quanto siano esposti edge device, credenziali privilegiate, vpn, tenant cloud, relazioni di terza parte e collegamenti tra it e ot.
