Le indagini del Cyber Intelligence Center di Kela rivelano che l’Iran sta adottando una strategia focalizzata nellossfruttamento di hacker criminali per colpire obiettivi USA e rendere difficile l’attribuzione degli attacchi.
Secondo il report di intelligence, Teheran starebbe integrando attori criminali nelle proprie operazioni offensive per colpire obiettivi USA.
Ecco cosa significa il ritorno della nuova versione di Pay2Key in versione “pseudo-ransomware” e cosa vuol dire l’ambiguità tra cybercrime e attività statali.
Indice degli argomenti
Iran, escalation nella guerra cyber
Una nuova dinamica sta emergendo nel panorama della sicurezza informatica globale, e rischia di ridefinire profondamente il modo in cui vengono interpretate le minacce cyber: l’Iran starebbe reclutando cyber criminali russi per condurre operazioni offensive mirate, con l’obiettivo dichiarato di confondere i confini tra attività statali e criminalità informatica.
A rivelarlo è un report del Cyber Intelligence Center della società KELA, che evidenzia come Teheran stia progressivamente adottando un modello operativo ibrido, integrando competenze e infrastrutture tipiche del cyber crime all’interno delle proprie campagne di attacco.
Il risultato è un sistema più opaco, più difficile da attribuire e, di conseguenza, più complesso da contrastare sul piano internazionale.
Attacchi cyber contro obiettivi Usa ad alto impatto
Secondo quanto emerso, gli attacchi sarebbero rivolti in particolare verso organizzazioni statunitensi ad alto impatto, confermando una dimensione strategica e geopolitica delle operazioni.
Tuttavia, ciò che rende questo sviluppo particolarmente rilevante non è tanto la scelta dei target, quanto il metodo utilizzato per colpirli.
Il coinvolgimento di cyber criminali russi rappresenta infatti un passaggio significativo.
Non si tratta semplicemente di cooperazione informale o di tolleranza implicita, ma di una vera e propria integrazione operativa, in cui attori tradizionalmente associati al cyber crime vengono impiegati come estensione delle capacità statali.
Questo approccio consente all’Iran di accedere rapidamente a competenze avanzate, in particolare nel campo del ransomware e delle tecniche di intrusione, senza dover sviluppare internamente tutte le capacità necessarie.
Allo stesso tempo, introduce un livello di ambiguità che rende più difficile distinguere tra attacchi sponsorizzati dallo Stato e operazioni criminali autonome.
La riattivazione di Pay2Key
Uno degli elementi centrali del report riguarda la riattivazione di Pay2Key, un’operazione ransomware già emersa negli anni passati e attribuita a gruppi legati all’Iran.
Tuttavia, la nuova versione di Pay2Key presenta caratteristiche differenti rispetto al modello tradizionale di ransomware. Gli analisti parlano esplicitamente di “pseudo-ransomware”, un termine che indica un utilizzo non convenzionale dello strumento.
In questo caso, il ransomware non sembra avere come obiettivo primario il pagamento di un riscatto, ma viene utilizzato come copertura o come componente di operazioni più ampie.
In pratica, il meccanismo di cifratura dei dati e la richiesta di riscatto possono essere presenti, ma non rappresentano necessariamente il fine ultimo dell’attacco. Invece, servono a mascherare attività di esfiltrazione dati, spionaggio o sabotaggio, rendendo l’operazione indistinguibile, almeno in una fase iniziale, da un attacco criminale tradizionale.
Questa evoluzione è particolarmente rilevante perché sfrutta una dinamica ormai consolidata: la difficoltà di attribuzione nel cyberspazio. Quando un attacco appare come un’operazione ransomware, la reazione tende a essere trattata come un problema di criminalità informatica, anche se dietro potrebbe esserci un attore statale.
L’utilizzo di cyber criminali russi rafforza ulteriormente questo meccanismo.
Per l’Iran l’uso del cybercrime russo è un passo verso l’escalation
Il cybercrime russo è noto per il suo alto livello di specializzazione e per la capacità di sviluppare strumenti sofisticati, spesso distribuiti attraverso modelli di malware-as-a-service.
Integrare questi attori in operazioni statali significa sfruttare un ecosistema già maturo, evitando di lasciare tracce riconducibili direttamente a strutture governative.
Dal punto di vista operativo, questo approccio introduce una serie di vantaggi. Gli attacchi possono essere lanciati utilizzando infrastrutture già esistenti nel mondo del cybercrime, riducendo la necessità di creare nuove catene di comando e controllo.
Inoltre, la varietà di tecniche e strumenti utilizzati aumenta lacomplessità delle analisi forensi, rendendo più difficile individuare pattern riconducibili a un singolo attore.
Allo stesso tempo, questa convergenza tra stato e criminalità introduce nuovi rischi.
La collaborazione con attori esterni implica una perdita parziale di controllo sulle operazioni, con possibili effetti collaterali. I cybercriminali, infatti, operano tipicamente secondo logiche opportunistiche e orientate al profitto, che potrebbero non essere sempre allineate con gli obiettivi strategici di uno Stato.
La dinamica iraniana ridefinisce il concetto stesso di minaccia cyber
Il report di KELA evidenzia come questa dinamica stia contribuendo a ridefinire il concetto stesso di minaccia cyber.
Non si tratta più di distinguere tra attacchi statali e criminali, ma di comprendere come queste due dimensioni possano sovrapporsi e integrarsi, creandoscenari sempre più complessi.
In particolare, l’uso del pseudo-ransomware rappresenta un punto di svolta. Questo modello consente di combinare l’efficacia operativa del ransomware con la flessibilità delle operazioni di intelligence.
Un attacco può iniziare come una campagna di estorsione, ma evolversi in un’operazione di raccolta dati o di sabotaggio, senza che la vittima sia in grado di comprendere immediatamente la reale natura della minaccia.
Le implicazioni di questo approccio sono significative anche sul piano della risposta internazionale. Se un attacco viene percepito come criminale, la reazione sarà limitata a strumenti di law enforcement.
Invece, se viene attribuito a uno Stato, potrebbe innescare risposte di natura politica o addirittura militare. La capacità di mantenere questa ambiguità rappresenta quindi un vantaggio strategico per l’attaccante.
L’evoluzione delle strategie offensive
Non è la prima volta che emergono segnali di collaborazione tra attori statali e cybercriminali, ma il caso iraniano appare particolarmente strutturato.
Lariattivazione di Pay2Key, combinata con il coinvolgimento di hacker russi, suggerisce un’evoluzione deliberata delle strategie offensive, orientata a massimizzare l’efficacia riducendo al minimo l’esposizione.
Le organizzazioni prese di mira, secondo il report, appartengono a settori ad alto valore strategico negli Stati Uniti.
Questo conferma che gli attacchi non sono casuali, ma fanno parte di una strategia più ampia, probabilmente legata a dinamiche geopolitiche in corso.
Nel contesto attuale, segnato da tensioni internazionali e da un crescente utilizzo del cyberspazio come dominio di confronto, queste operazioni assumono un significato che va oltre la semplice dimensione tecnica.
Si inseriscono in una logica di pressione continua, in cui gli attacchi informatici diventano uno strumento per influenzare equilibri economici e politici.
Le strategie difensive
Dal lato difensivo, questo scenario pone sfide significative. Le organizzazioni devono confrontarsi con minacce sempre più sofisticate, in cui le tecniche del cybercrime vengono utilizzate con finalità strategiche.
I tradizionali modelli di difesa, basati su firme e indicatori noti, rischiano di essere insufficienti di fronte a attacchi che cambiano rapidamente forma e modalità operative.
La difficoltà di attribuzione rappresenta uno degli ostacoli principali. Senza una chiara identificazione dell’attore responsabile, diventa difficile definire una risposta adeguata.
Questo vale sia per le organizzazioni private che per le istituzioni statali, che devono decidere come reagire a incidenti che potrebbero avere implicazioni molto più ampie.
La gestione della comunicazione
Un altro elemento critico riguarda la gestione della comunicazione. In caso di attacco, le organizzazioni devono decidere come descrivere l’incidente, senza avere una piena comprensione della sua natura.
Definire un attacco come ransomware quando in realtà si tratta di un’operazione di spionaggio può portare a sottovalutare il rischio e a adottare misure di risposta inadeguate.
In questo contesto, l’analisi di intelligence assume un ruolo centrale. Comprendere le dinamiche alla base degli attacchi, identificare pattern emergenti e correlare informazioni provenienti da fonti diverse diventa fondamentale per anticipare le mosse degli attaccanti.
Il caso di Venom Stealer, emerso recentemente in un contesto diverso, e quello di Pay2Key mostrano come il panorama delle minacce stia evolvendo verso modelli sempre più integrati e automatizzati.
Se nel primo caso si osserva una industrializzazione del cyber crime, nel secondo si assiste a una sua integrazione nelle strategie statali.
Queste due dinamiche, apparentemente separate, convergono in un punto comune: la trasformazione del cyberspazio in un ambiente in cui le distinzioni tradizionali perdono significato.
Un unico ecosistema
Criminalità e guerra, profitto e strategia, attori privati e statali diventano parte di un unico ecosistema.
La notizia del coinvolgimento iraniano di cybercriminali russi rappresenta quindi molto più di un episodio isolato.
È un segnale di una tendenza più ampia, che richiede un ripensamento delle categorie con cui analizziamo le minacce informatiche.
Per le organizzazioni, questo significa dover affrontare un livello di complessità crescente, in cui non è più sufficiente proteggersi da attori noti, ma è necessario prepararsi a scenari in cuile minacce possono assumere forme ibride e imprevedibili.
Per gli Stati, implica la necessità di sviluppare nuovi strumenti di risposta, in grado di operare in un contesto in cui l’attribuzione è incerta e le dinamiche sono fluide.
La cooperazione internazionale, già complessa, diventa ancora più difficile quando gli attori coinvolti operano in zone grigie.
In Iran un moltiplicatore di forza che prelude a un’escalation
In definitiva, la strategia attribuita all’Iran evidenzia come il cybercrime non sia più solo un problema di sicurezza informatica, ma un elemento integrante delle dinamiche geopolitiche globali.
La capacità di integrare attori criminali nelle operazioni statali rappresenta un moltiplicatore di forza che potrebbe essere adottato anche da altri paesi, contribuendo a un’ulteriore escalation.
La linea tra guerra e criminalità, già sottile, diventa sempre più difficile da tracciare. E proprio in questa ambiguità si gioca una parte significativa delle sfide future della cyber security.
