Le APT iraniane sono già presenti nella vostra rete ibrida?

10 luglio 2025

Responsabile della ricerca sulle minacce informatiche

Le APT iraniane sono già presenti nella vostra rete ibrida?

La recente escalation Iran-Israele ha dato il via a un'impennata di operazioni informatiche da parte di attori legati allo Stato che si concentrano su identità, cloud e reti aziendali. Questi gruppi, dotati di risorse adeguate, combinano intrusioni profonde nelle reti con l'abuso di identità per eludere le difese tradizionali.

Sfruttano le applicazioni rivolte al pubblico per l'accesso iniziale, raccolgono le credenziali tramite phishing o spruzzatura di password, quindi si spostano lateralmente con RDP, PsExec o servizi di accesso remoto. La persistenza avviene tramite attività pianificate, sideloading di DLL, finestre nascoste e tunneling di protocollo. I dati sono conservati, archiviati ed esfiltrati in modo silenzioso attraverso canali oscuri, spesso senza che si attivino gli avvisi tradizionali.

Contemporaneamente, lanciano campagne incentrate sull'identità all'interno di Microsoft 365, Azure e Google Workspace: abusano di OAuth, aggirano l'MFA e utilizzano Outlook, OneDrive e Teams per mantenere l'accesso e sottrarre dati. Queste tattiche prendono di mira le infrastrutture critiche, il governo, le imprese commerciali e le ONG in Medio Oriente e in Occidente, combinando spionaggio e attacchi distruttivi (wipers, crittografia forzata).

Affidarsi solo agli endpoint o ai controlli perimetrali rende ciechi di fronte all'intera catena di attacchi. Se utilizzate la collaborazione cloud , l'infrastruttura ibrida o l'accesso remoto, siete già nel loro mirino.

Chi c'è dietro gli attacchi: Profili di APT legate all'Iran

Nonostante i diversi obiettivi (che vanno dallo spionaggio a lungo termine al sabotaggio vero e proprio), ogni gruppo sfrutta i canali di rete e di identità per penetrare, persistere ed estrarre. Di seguito è riportata una panoramica di alto livello del loro accesso iniziale, dei TTP di rete e dei TTP di cloud .

Gruppo	Accesso iniziale	Tattiche di rete	Identità/Tattiche Cloud
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten)	Email di phishing con annunci di lavoro, campagne di social engineering e sfruttamento di vulnerabilità note.	Esecuzione di codice dannoso tramite PowerShell e attività pianificate. Spostamento laterale tramite RDP, WMI e credenziali rubate. Scarico delle credenziali per l'escalation e la persistenza. Archiviazione ed esfiltrazione di dati sensibili attraverso canali criptati o oscuri. Mantenere la segretezza utilizzando l'offuscamento, le chiavi di registro e il traffico codificato.	phishing che utilizza annunci di lavoro e social engineering per ottenere credenziali. Password-spraying per accedere agli account Office 365 e Azure. Una volta ottenute le credenziali, è possibile accedere agli account attraverso le VPN commerciali. Utilizzo di strumenti specifici per Azure per enumerare Entra ID (Azure AD) e raccogliere i dati di utenti e gruppi. Distribuzione di ZIP dannosi tramite messaggi di Microsoft Teams per estrarre informazioni di Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY)	Email di phishing e falsi annunci di lavoro rivolti a persone che ricoprono ruoli specifici.	Utilizzo di protocolli di desktop remoto e tunneling VPN per gli spostamenti. Dumping di credenziali ed escalation di privilegi tramite exploit noti. Esfiltrazione di dati tramite tunneling DNS, FTP ed e-mail compromesse. Eludere il rilevamento con masquerading, binari firmati e manipolazione del firewall.	Email di phishing e falsi annunci di lavoro per ottenere l'accesso a Exchange e ad altri account cloud . Sfruttare le funzionalità della posta elettronica cloud , come Exchange, per esfiltrare furtivamente i dati. Sfruttare i limiti di dimensione del trasferimento dei dati per evitare il rilevamento. Raccolta di credenziali e loro riutilizzo per spostamenti laterali in ambienti SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS)	Email di phishing , portali di login falsi che imitano servizi cloud e account compromessi.	Esecuzione di spostamenti laterali tramite RDP e attività pianificate. Il dump delle credenziali dai browser e dalla memoria per un accesso più approfondito. Trasferimento dei dati tramite canali criptati e piattaforme di condivisione cloud . Eludere la sicurezza disabilitando la registrazione e mescolando il traffico C2 con l'attività web.	Obiettivo delle credenziali attraverso falsi portali di login che imitano servizi cloud. Bypassare le protezioni MFA utilizzando l'ingegneria sociale e pagine di accesso false e convincenti. Sfruttare le vulnerabilità di Exchange cloud o di altre applicazioni SaaS per ottenere un accesso privilegiato. Utilizzo di account cloud per raccogliere file ed e-mail di interesse in modo silenzioso.
APT42 (alias Crooked Charms)	Ingegneria sociale prolungata e impersonificazione di contatti fidati per ottenere le credenziali.	Utilizzo di canali HTTPS crittografati per il trasferimento furtivo dei dati. Tunnel di accesso tramite VPN spoofed e sessioni remote mascherate. Esecuzione di script per il rilevamento, il keylogging e la raccolta di dati. Confondersi con il traffico legittimo per evitare di dare adito ad allarmi.	Esteso social engineering per ottenere l'accesso persistente a Microsoft 365 e a piattaforme simili. Sfruttare applicazioni client legittime per farle apparire come normali attività dell'utente. Scaricare i file di OneDrive e le e-mail di Outlook utilizzando l'account compromesso senza destare sospetti. Distribuzione di semplici script per estrarre dati sensibili.
Acqua Fangosa (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros)	phishing con allegati o link dannosi inviati tramite account compromessi.	Esecuzione di script e malware tramite PowerShell, VBScript e attività pianificate. Spostarsi lateralmente utilizzando gli strumenti di accesso remoto e WMI. Recupero delle credenziali dalla memoria, dai browser e dalle fonti memorizzate nella cache. Stabilire la persistenza utilizzando chiavi di registro e DLL sideloading. Esfiltrazione di dati compressi tramite canali C2 basati su HTTP.	phishing con allegati e link dannosi per rubare le credenziali delle applicazioni cloud . Utilizzando gli account compromessi per inviare internamente altre e-mail phishing , creando un effetto a cascata. Prendere di mira i processi di reimpostazione delle credenziali e i sistemi MFA per assumere il controllo degli account cloud .
Gattino rampante	Applicazioni Android dannose e phishing per rubare le credenziali e ottenere il controllo del dispositivo.	Consegna di payload attraverso documenti Word con template remoti ospitati su domini SharePoint spoofati. Mantenimento di C2 tramite SOAP su HTTPS con endpoint di fallback in stile OneDrive. Esfiltrazione dei token di Telegram, dei vault di KeePass e dei file sensibili tramite upload con codifica base64. Persiste sostituendo l'updater di Telegram e iniettando payload in explorer.exe. Espansione della raccolta attraverso backdoor Android e siti di phishing Telegram.	Phishing per ottenere le credenziali di Google imitando le pagine di login legittime sui dispositivi Android. Utilizzo delle credenziali acquisite per accedere a Gmail e ad altri servizi cloud di Google. Estrazione di dati attraverso le sessioni del browser e le funzioni integrate delle app cloud , evitando indicatori evidenti di malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten)	Distribuzione di webshell dopo il phishing o lo sfruttamento di server vulnerabili.	Ottenere l'accesso sfruttando app e configurazioni errate rivolte al pubblico. Esecuzione di ricognizioni interne e spostamenti laterali tramite tunneling del desktop remoto. Il dump delle credenziali per l'escalation dei privilegi e la persistenza. Stabilizzazione ed esfiltrazione dei dati utilizzando metodi di trasferimento comuni. compromettere gli strumenti di sicurezza e mascherare l'attività per eludere il rilevamento.	Distribuzione di script per estrarre le credenziali da account interni dopo un accesso phishing o social engineering. Pivoting laterale utilizzando credenziali valide e sessioni autorizzate nelle applicazioni cloud .

Cinque tecniche di identità e Cloud che i team SOC devono monitorare

Gli attori delle minacce affiliati all'Iran stanno andando oltre il malware e gli exploit tradizionali. Le loro campagne si basano ora sull'abuso dei sistemi di identità e sugli strumenti affidabili già utilizzati dall'organizzazione. Queste cinque tecniche sono fondamentali per eludere il rilevamento e mantenere la persistenza negli ambienti cloud . Ognuna di esse rappresenta una una lacuna di visibilità critica se il vostro team si affida solo a strumenti EDR o SIEM tradizionali.

Furto di credenziali tramite Spear Phishing
Falsi portali di login che imitano Office 365 o Gmail, spruzzatura di password e tecniche di MFA-bypass.
Hijack dell'accountCloud
Utilizzo di credenziali rubate per accedere a e-mail, OneDrive, SharePoint o applicazioni Azure.
Recon e Movimento laterale
Enumerazione di Entra ID (Azure AD), creazione di app o sottoscrizioni OAuth non autorizzate per la persistenza.
Esfiltrazione dei dati tramite strumenti legittimi
Spostamento dei dati attraverso OneDrive, Outlook o API basate sul Web per nascondersi all'interno del normale traffico.
Vivere alla giornata in SaaS e Cloud
Usare i client SaaS integrati come Outlook o strumenti di accesso remoto come AnyDesk/TeamViewer per controllare gli account cloud .

TA0001Accesso iniziale	TA0002Esecuzione	TA0003Persistenza	TA0004Escalation dei privilegi	TA0005DifesaEvasione	TA0006Accesso alle credenziali	TA0007Scoperta	TA0008Movimento laterale	TA0009Collezione	TA0011Command & Control	TA0010Efiltrazione	TA0040Impatto
T1566.001Allegatodi furto con scasso	T1047Strumentazionedi gestione di Windows	T1098.00Registrazione del dispositivo	T1068Sfruttamentoper l'escalation dei privilegi	T1564.004Finestra nascosta	T1110.001Spruzzaturadi parole chiave	T1012Registro delle interrogazioni	T1021.001RDP	T1560Archiviodei dati raccolti	T1071.001Protocolli web	T1048AltEsfiltrazione del protocollo	T1485Distruzione dei dati
T1566.002Collegamento di furto con scasso	T1053.005Attività/lavoro programmati	T1547Avvioautomatico dell'avvioo del logon	T1055Iniezionedi processo	T1036.005Masquerading	T1555Credenzialida archivi di password	T1082Rilevazionedi informazioni sul sistema	T1021.002SMBAzioni amministrative		T1102.001Risolutore di gocce morte		T1486Daticriptati per impatto
T1133Serviziremoti esterni	T1059.001PowerShell			T1562.001Disabilitareo modificare gli strumenti	T1555.003Credenzialidai browser Web	T1069.002Scopertadel gruppo di dominio
T1190Esplorazione di un'applicazione rivolta al pubblico				T1572Tunneling del protocollo	Dumping delle credenziali T1003OS	T1069.003Rilevazione gruppo Cloud
					T1556.006MFAGenerazione della richiesta	T1482Scopertadella fiducia nel dominio
					T1558.003Kerberoasting

MITRE Tecniche utilizzate dagli APT iraniani

Perché le minacce costanti evolutive iraniane prendono di mira il Cloud e l'identità

Per i gruppi di minaccia iraniani, il cloud e i sistemi di identità offrono scala, furtività e valore strategico. Questi aggressori non sono solo opportunisti, ma si stanno adattando al modo in cui le organizzazioni operano oggi. L'accesso remoto, l'identità federata e l'infrastruttura cloud hanno creato un'ampia superficie di attacco con visibilità limitata per molti team di sicurezza.

L'identità è il nuovo perimetro. Una volta che gli aggressori ottengono credenziali valide, in particolare quelle legate alle piattaforme SaaS o ai ruoli di amministratore cloud , spesso eludono completamente il rilevamento. Gli strumenti di sicurezza incentrati sugli endpoint o sui firewall raramente segnalano le chiamate API autenticate o i comportamenti di login anomali se la sessione appare legittima.
Gli ambientiCloud forniscono una copertura. Le APT iraniane spesso operano all'interno di applicazioni autorizzate come Microsoft 365, Azure e Google Workspace. Sfruttano politiche OAuth deboli, accessi condizionati mal configurati e privilegi di amministrazione eccessivi. Ciò consente loro di persistere in ambienti in cui i controlli tradizionali non sono stati progettati per ispezionare le anomalie comportamentali di utenti, ruoli e app.
Le reti ibride offrono punti di snodo. In molti casi, gli aggressori compromettono i sistemi on-prem e utilizzano questo punto di appoggio per accedere alle risorse cloud connesse. Microsoft ha documentato attacchi in cui attori iraniani hanno abusato di Entra Connect e Azure Arc per fare da ponte tra ambienti on-prem compromessi e risorse cloud , compreso lo spinning di nuove infrastrutture all'interno di tenant compromessi.
Gli strumentiCloud sono a doppio uso. PowerShell, Microsoft Graph API, la messaggistica di Teams e la delega delle caselle di posta elettronica hanno lo scopo di facilitare la collaborazione. Gli attori iraniani utilizzano queste stesse funzionalità per censire ambienti, condividere malware e spostare dati. Poiché introducono raramente nuovi binari o infrastrutture esterne, evitano di attivare i classici indicatori di compromissione.

In breve, gli attacchi cloud e all'identità consentono alle minacce costanti evolutive iraniane di muoversi in modo silenzioso ed efficace. Si confondono con il comportamento degli utenti, evitano le difese tradizionali e sfruttano lacune che la maggior parte delle organizzazioni non vede finché non è troppo tardi.

Controlli di sicurezza per interrompere l'attività delle APT iraniane

Per ridurre l'esposizione alle tecniche sopra descritte e rendere il vostro ambiente un bersaglio più difficile, vi consigliamo le seguenti azioni immediate:

Applicare l'autenticazione a più fattori per impedire il phishing e l'elusione dell'MFA.
Abilitare l'accesso condizionato e i criteri dei dispositivi sugli account cloud.
Monitorare l'attività di login per individuare IP sospetti, geografie insolite e login originati da VPN.
Bloccare le app e le autorizzazioni OAuth: rivedere tutti i consensi delle app e gli account di servizio in Microsoft 365/Azure.
Verificate regolarmente gli account privilegiati, in particolare quelli con ruoli di amministrazione in Exchange/Azure.
Implementare la formazione degli utenti: riconoscere i portali di login fasulli e le tattiche di social engineering.
Monitoraggio dell'esfiltrazione dei dati: impostare le regole DLP e i criteri del Cloud Access Security Broker (CASB).
Controllare il comportamento push dell'MFA: limitare le notifiche dopo ripetuti tentativi falliti o utilizzare opzioni MFA phishing come FIDO2.

Questi controlli rafforzano l'ambiente, ma per rilevare l'uso improprio delle credenziali e lo stealth della rete è necessaria una visibilità attiva e guidata dal comportamento.

Come la piattaforma Vectra AI di Vectra AI rileva ciò che gli altri non vedono

La maggior parte degli strumenti di sicurezza non riesce a rilevare le attività delle minacce costanti evolutive iraniane perché non sono progettati per monitorare il modo in cui gli aggressori operano negli ambienti cloud e di identità. La Vectra AI Platform è stata creata appositamente per colmare questa lacuna.

Invece di affidarsi a indicatori statici o a registri che possono essere manipolati, Vectra AI utilizza il rilevamento comportamentale guidato dall'intelligenza artificiale per identificare attività anomale in rete, Active Directory, Microsoft 365, Entra ID, Copilot per M365, AWS e Azure Cloud. Monitora continuamente il modo in cui gli utenti interagiscono con applicazioni, credenziali, token e dati, facendo emergere i segnali che indicano una compromissione senza richiedere agli attori delle minacce di far scattare allarmi evidenti.

Ma il rilevamento da solo non basta. La Vectra AI Platform fornisce anche chiarezza su quali avvisi sono veramente importanti, eliminando il rumore e consentendo ai team SOC di concentrarsi sui segnali che indicano minacce reali. Grazie alle azioni di risposta integrate, gli analisti possono prendere provvedimenti immediati per contenere un attacco - che si tratti di revocare le sessioni o bloccare gli account - prima che il danno si diffonda. Questa combinazione di rilevamento, chiarezza e controllo dà ai team di sicurezza la fiducia necessaria per rispondere con decisione agli attacchi moderni e sofisticati. Secondo IDC, le organizzazioni che utilizzano Vectra AI identificano il 52% di minacce in più in almeno il 50% di tempo in meno.

Ecco come Vectra AI rileva ciascuna delle cinque tecniche principali utilizzate dalle minacce costanti iraniane:

Tecnica	Copertura Vectra AI
Furto di credenziali	Rileva lo spraying delle password e i comportamenti di accesso sospetti, tra cui la geografia anomala, gli agenti utente e gli accessi originati da VPN.
Dirottamento dell'account Cloud	Segnala gli accessi non autorizzati alle caselle di posta, a OneDrive e ad altri servizi, in particolare quando il comportamento si discosta dalla normale linea di base dell'utente.
Ricognizione e movimento laterale	Identifica l'enumerazione di oggetti Entra ID, flussi di consenso OAuth non corretti e attività di sottoscrizione Azure sospette.
Esfiltrazione di dati tramite strumenti legittimi	Rileva i movimenti anomali di dati attraverso le applicazioni SaaS autorizzate, come i download di grandi dimensioni o i trasferimenti di file in massa tramite API.
Vivere fuori dalla terra	Rileva l'abuso di strumenti nativi come Outlook, PowerShell e software di accesso remoto che si integrano nei flussi di lavoro di routine.

La PiattaformaVectra AI non richiede agenti. Si integra in modo nativo con Microsoft e applica una logica di rilevamento in tempo reale, adattata agli attacchi basati sull'identità. Questo approccio offre avvisi precisi e ad alta fedeltà e funzionalità di risposta automatizzate che consentono ai team SOC di agire con decisione senza annegare nei falsi positivi.

Siete già clienti di Vectra AI NDR?

Per difendersi da questa nuova ondata di attacchi cloud'identità e sul cloud, consigliamo vivamente di ampliare l'implementazione esistente con la copertura di Identity and Cloud . Ciò garantisce una visibilità e una protezione unificate negli ambienti ibridi in cui prosperano questi attori delle minacce.

È il momento di vedere ciò che gli altri non possono vedere.

Guardate la demo autoguidata della Vectra AI Platform per vedere come aiutiamo i team SOC a rilevare le minacce che altri non riescono a individuare.
Leggete il commento del nostro vicepresidente di prodotto Mark Wojtasiak sul motivo per cui Vectra AI si trova al primo posto nel Magic Quadrant™ Gartner® 2025 per il rilevamento e la risposta di rete (NDR).
Per saperne di più sul motivo per cui Vectra AI è leader e superatore nel rapporto GigaOm Radar 2025 per il rilevamento e la risposta alle minacce all'identità (ITDR)

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci