Da Clawdbot a OpenClaw: l'automazione come backdoor digitale.
Leggi il blog

Da Clawdbot a OpenClaw: l'automazione come backdoor digitale. Leggi il blog →

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
  1. Blog
    >
  2. Attacco informatico

Gli APT iraniani sono già entrati nella tua rete ibrida?

Luglio 10, 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Gli APT iraniani sono già entrati nella tua rete ibrida?

La recente escalation tra Iran e Israele ha provocato un picco nelle operazioni informatiche da parte di attori legati allo Stato che prendono di mira identità, cloud e reti aziendali. Questi gruppi, dotati di risorse considerevoli , combinano intrusioni profonde nella rete con l'abuso di identità per eludere le difese tradizionali.

Sfruttano le app rivolte al pubblico per ottenere l'accesso iniziale, raccolgono le credenziali tramite phishing password spraying, quindi si spostano lateralmente con RDP, PsExec o servizi di accesso remoto. La persistenza è garantita da attività pianificate, sideloading di DLL, finestre nascoste e tunneling di protocollo. I dati vengono silenziosamente preparati, archiviati ed esfiltrati attraverso canali oscuri, spesso senza attivare gli avvisi legacy.

Contemporaneamente, lanciano campagne incentrate sull'identità all'interno di Microsoft 365, Azure e Google Workspace: abusando di OAuth, aggirando l'autenticazione a più fattori (MFA) e sfruttando Outlook, OneDrive e Teams per mantenere l'accesso e sottrarre dati. Queste tattiche prendono di mira infrastrutture critiche, governi, imprese commerciali e ONG in Medio Oriente e in Occidente, combinando spionaggio e attacchi distruttivi (wiper, crittografia forzata).

Affidarsi esclusivamente agli endpoint o ai controlli perimetrali significa non avere una visione completa della catena di attacco. Se utilizzi cloud , un'infrastruttura ibrida o l'accesso remoto, sei già nel mirino degli hacker.

Recent Activity from Iranian Threat Actors

Iranian threat groups continue to run sustained cyber operations against organizations across government, telecommunications, energy, and technology sectors. Recent campaigns show actors like MuddyWater expanding their use of identity abuse and cloud-native tooling while maintaining traditional PowerShell-based intrusion techniques. Rather than deploying obvious malware, these operators increasingly rely on scripts, legitimate administration tools, and compromised infrastructure to maintain stealth across hybrid environments.

Chi c'è dietro gli attacchi: profili APT collegati all'Iran

Nonostante gli obiettivi diversi (che vanno dallo spionaggio a lungo termine al sabotaggio vero e proprio), ogni gruppo sfrutta sia i canali di rete che quelli di identità per violare, persistere ed estrarre. Di seguito è riportata una panoramica di alto livello del loro accesso iniziale, delle TTP di rete ecloud .

Iranian threat groups frequently reuse tooling across campaigns, particularly PowerShell frameworks, script loaders, and open-source remote access tools. This reuse makes behavioral detection across identity and network telemetry especially effective.

Gruppo Accesso iniziale Tattiche di rete Cloud
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) phishing con annunci di lavoro, campagne di social engineering e sfruttamento di vulnerabilità note.
  • Esecuzione di codice dannoso tramite PowerShell e attività pianificate.
  • Spostamento laterale tramite RDP, WMI e credenziali rubate.
  • Dumping delle credenziali per l'escalation e la persistenza.
  • Archiviazione ed esfiltrazione di dati sensibili tramite canali crittografati o oscuri.
  • Mantenere la furtività utilizzando l'offuscamento, le chiavi di registro e il traffico codificato.
  • phishing annunci di lavoro e ingegneria sociale per ottenere credenziali.
  • Spraying delle password per accedere agli account Office 365 e Azure.
  • Una volta ottenute le credenziali, è possibile accedere agli account tramite VPN commerciali.
  • Utilizzo di strumenti specifici di Azure per enumerare Entra ID (Azure AD) e raccogliere dati relativi a utenti e gruppi.
  • Distribuzione di file ZIP dannosi tramite messaggi Microsoft Teams per estrarre informazioni da Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) phishing e annunci di lavoro falsi rivolti a persone che ricoprono ruoli specifici.
  • Utilizzo di protocolli desktop remoto e tunneling VPN per il trasferimento.
  • Dumping delle credenziali e escalation dei privilegi tramite exploit noti.
  • Esfiltrazione dei dati tramite tunneling DNS, FTP ed e-mail compromesse.
  • Evitare il rilevamento tramite mascheramento, file binari firmati e manipolazione del firewall.
  • phishing e annunci di lavoro falsi per ottenere l'accesso a Exchange e altri cloud .
  • Sfruttare le funzionalità cloud come Exchange per sottrarre dati in modo furtivo.
  • Sfruttare i limiti di dimensione del trasferimento dati per evitare il rilevamento.
  • Raccolta delle credenziali e loro riutilizzo per il movimento laterale negli ambienti SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) phishing , portali di accesso falsi che imitano cloud e account compromessi.
  • Esecuzione di movimenti laterali tramite RDP e attività pianificate.
  • Scaricare le credenziali dai browser e dalla memoria per un accesso più approfondito.
  • Trasferimento dei dati tramite canali crittografati e piattaforme cloud .
  • Eludere la sicurezza disabilitando la registrazione e mescolando il traffico C2 con l'attività web.
  • Ottenere credenziali di accesso tramite portali di login falsi che imitano servizi cloud.
  • Elusione delle protezioni MFA tramite tecniche di ingegneria sociale e pagine di accesso false convincenti.
  • Sfruttare le vulnerabilità di Exchange cloud o altre app SaaS per ottenere un accesso privilegiato.
  • Utilizzo cloud per raccogliere silenziosamente file ed e-mail di interesse.
APT42 (alias Crooked Charms) Ingegneria sociale prolungata e furto d'identità di contatti fidati per ottenere credenziali.
  • Utilizzo di canali HTTPS crittografati per il trasferimento discreto dei dati.
  • Accesso tramite tunneling attraverso VPN contraffatte e sessioni remote mascherate.
  • Esecuzione di script per il rilevamento, il keylogging e la raccolta di dati.
  • Mescolarsi al traffico legittimo per evitare di destare sospetti.
  • Ampia attività di social engineering per ottenere un accesso persistente a Microsoft 365 e piattaforme simili.
  • Sfruttare app client legittime per apparire come normali attività degli utenti.
  • Scaricare file OneDrive ed e-mail Outlook utilizzando l'account compromesso senza destare sospetti.
  • Implementazione di semplici script per estrarre dati sensibili.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) Spear-phishing and vulnerability exploitation.
  • Executing PowerShell-based loaders and scripting frameworks that deploy additional payloads from memory.
  • Using compromised web servers and legitimate hosting infrastructure for command-and-control traffic.
  • Moving laterally using remote administration tools, PowerShell remoting, and WMI.
  • Staging data for exfiltration through HTTP-based C2 channels while blending into normal network activity.
  • Targeting Microsoft 365 credentials through phishing and social engineering campaigns.
  • Abusing legitimate cloud services such as Outlook, OneDrive, and SharePoint to collect and move sensitive data.
  • Using compromised accounts to send internal phishing messages and expand access within the tenant.
  • Leveraging legitimate authentication sessions to maintain persistence without deploying obvious malware.
Gattino scatenato App Android dannose e phishing rubare credenziali e ottenere il controllo dei dispositivi.
  • Consegna di payload tramite documenti Word con modelli remoti ospitati su domini SharePoint contraffatti.
  • Mantenimento di C2 tramite SOAP su HTTPS con endpoint di fallback in stile OneDrive.
  • Esportazione di token Telegram, archivi KeePass e file sensibili tramite upload con codifica base64.
  • Persistente sostituendo l'aggiornamento di Telegram e iniettando payload in explorer.exe.
  • Espansione della raccolta tramite backdoor Android ephishing .
  • Phishing credenziali Google tramite la riproduzione di pagine di accesso legittime su dispositivi Android.
  • Utilizzo delle credenziali acquisite per accedere a Gmail e ad altri cloud di Google.
  • Estrazione dei dati tramite sessioni browser e funzionalità integrate cloud , evitando malware evidenti malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Distribuzione di webshell dopo phishing sfruttamento di server vulnerabili.
  • Ottenere l'accesso sfruttando app pubbliche e configurazioni errate.
  • Esecuzione di ricognizione interna e spostamento laterale tramite tunneling desktop remoto.
  • Dumping delle credenziali per l'escalation dei privilegi e la persistenza.
  • Staging ed esfiltrazione dei dati utilizzando metodi di trasferimento comuni.
  • Compromettere gli strumenti di sicurezza e mascherare le attività per eludere il rilevamento.
  • Distribuzione di script per estrarre credenziali da account interni dopo un attacco phishing social engineering.
  • Pivot laterale utilizzando credenziali valide e sessioni autorizzate nelle cloud .

Cinque Cloud relative all'identità e Cloud che i team SOC devono monitorare

Gli autori delle minacce affiliati all'Iran stanno andando oltre malware gli exploit tradizionali. Le loro campagne ora si basano sull'abuso dei sistemi di identità e sulla presenza all'interno degli strumenti affidabili già utilizzati dalla vostra organizzazione. Queste cinque tecniche sono fondamentali per eludere il rilevamento e mantenere la persistenza negli cloud . Ciascuna di esse rappresenta un lacuna critica nella visibilità se il vostro team si affida esclusivamente agli strumenti EDR o SIEM tradizionali.

  1. Furto di credenziali tramite spear Phishing
    Portali di accesso falsi che imitano Office 365 o Gmail, password spraying e tecniche di bypass MFA.
  2. DirottamentoCloud
    Utilizzo di credenziali rubate per accedere a e-mail, OneDrive, SharePoint o app Azure.
  3. Ricognizione e movimento laterale
    Enumerazione di Entra ID (Azure AD), creazione di app OAuth non autorizzate o sottoscrizioni per la persistenza.
  4. Esfiltrazione dei dati tramite strumenti legittimi
    Trasferimento dei dati tramite OneDrive, Outlook o API basate sul web per nasconderli nel traffico normale.
  5. Living-Off-the-Land Scripts and Cloud Tools
    Iranian threat actors increasingly rely on PowerShell loaders, administrative scripts, and legitimate cloud APIs instead of custom malware.
TA0001Accesso iniziale TA0002Esecuzione TA0003Perseveranza TA0004Escalation dei privilegi TA0005Evasione della difesa TA0006 Accesso alle credenziali TA0007Scoperta TA0008 Movimento laterale TA0009Collezione TA0011Command & Control TA0010Esfiltrazione TA0040Impatto
T1566.001Allegato di spearphishing T1047Strumentazione di gestione di Windows T1098.005Registrazione del dispositivo T1068 Sfruttamentoper l'escalation dei privilegi T1564.004Finestra nascosta T1110.001Diffusione delle password T1012QueryRegistro T1021.001RDP T1560Archiviodati raccolti T1071.001Protocolli web T1048Protocollo di esfiltrazione Alt T1485Distruzione dei dati
T1566.002Link di spearphishing T1053.005Attività/lavoro pianificato T1547 Avvio automatico all'avvioo all'accesso T1055 Processodi iniezione T1036.005Mascheramento T1555 Credenzialidagli archivi password T1082Rilevamento delle informazioni di sistema T1021.002SMBCondivisioni amministratore T1102.001Risolutore Dead Drop T1486 Daticrittografati per impatto
T1133 Servizi remoti esterni T1059.001 PowerShell T1562.001 Disattivareo modificare gli strumenti T1555.003 Credenzialidai browser Web T1069.002Rilevamento gruppo di domini
T1190ExploitApplicazione rivolta al pubblico T1572Tunneling del protocollo T1003OSDumping delle credenziali T1069.Cloud RilevamentoCloud
T1556.006MFAGenerazione richiesta T1482Rilevamento della fiducia nel dominio
T1558.003Kerberoasting

Tecniche MITRE utilizzate dagli APT iraniani

Perché gli APT iraniani prendono di mira Cloud l'identità

For Iranian threat groups, cloud platforms and identity systems offer scale, stealth, and strategic access. These attackers are adapting their operations to match how organizations actually work today. Remote access, federated identity, and cloud-first infrastructure have created a wide attack surface where traditional controls often lack visibility.

Key reasons these environments are attractive targets include:

  • Identity is the new perimeter. Once attackers obtain valid credentials tied to SaaS platforms or cloud admin roles, they often bypass traditional defenses entirely. Security tools focused on endpoints or firewalls rarely flag authenticated API calls or abnormal login behavior when the session appears legitimate.
  • Cloud environments provide operational cover. Iranian APT groups frequently operate within sanctioned applications such as Microsoft 365, Azure, and Google Workspace. They exploit weak OAuth policies, misconfigured conditional access rules, and excessive privileges to maintain persistence while blending into normal user activity.
  • Hybrid networks create pivot opportunities. Many organizations maintain links between on-prem systems and cloud environments. Iranian actors have abused identity synchronization services and hybrid management tools to pivot from compromised internal systems into cloud tenants, allowing them to expand access across environments.
  • Living-off-the-land scripting reduces malware visibility. Recent campaigns from groups such as MuddyWater show heavy reliance on PowerShell loaders and script-based frameworks that execute payloads directly in memory. Instead of deploying obvious malware, attackers retrieve tools dynamically and operate using native system capabilities.
  • Cloud-native tooling is dual-use.Tools like Microsoft Graph API, PowerShell, Outlook, Teams messaging, and remote administration software are designed to enable productivity. Iranian actors routinely use these same capabilities to enumerate environments, move laterally, and exfiltrate data while remaining difficult to distinguish from legitimate activity.

In short, cloud and identity attacks allow Iranian APT groups to operate quietly across hybrid environments. They blend into legitimate user behavior, avoid traditional defenses, and exploit visibility gaps that many organizations still struggle to monitor effectively.

Controlli di sicurezza per contrastare le tecniche APT iraniane

Per ridurre l'esposizione alle tecniche sopra descritte e rendere il tuo ambiente un bersaglio più difficile, ti consigliamo di adottare immediatamente le seguenti misure:

  1. Applica l'autenticazione a più fattori per impedire phishing l'aggiramento dell'autenticazione a più fattori.
  2. Abilita l'accesso condizionale e i criteri dei dispositivi sugli account cloud.
  3. Monitorare l'attività di accesso per individuare IP sospetti, posizioni geografiche insolite e accessi provenienti da VPN.
  4. Blocca le app e le autorizzazioni OAuth: controlla tutti i consensi delle app e gli account di servizio in Microsoft 365/Azure.
  5. Controllare regolarmente gli account con privilegi, in particolare quelli con ruoli amministrativi all'interno di Exchange/Azure.
  6. Implementare la formazione degli utenti: riconoscere i portali di accesso falsi e le tattiche di ingegneria sociale.
  7. Monitoraggio dell'esfiltrazione dei dati: impostazione delle regole DLP e delle politiche CASB (Cloud Security Broker).
  8. Controlla il comportamento della MFA push: limita le notifiche dopo ripetuti tentativi falliti o utilizza opzioni MFA phishing come FIDO2.

These controls harden your environment but detecting credential misuse and network stealth requires active, behavior-driven visibility.

Turn Iranian APT Intelligence Into Immediate Threat Hunting

Understanding how Iranian threat groups operate is only the first step. The next challenge is determining whether those same techniques are already happening inside your environment.

SOC teams don’t need another report explaining attacker tradecraft. What they need are concrete ways to test their environment for those behaviors.

To help security teams move from intelligence to investigation, we created a set of threat hunts tied directly to Iranian APT tradecraft observed in recent campaigns. These hunts surface early indicators across identity and network activity, including:

  • Suspicious Microsoft 365 device registrations linked to credential compromise
  • OilRig command-and-control infrastructure communication
  • SpyNote and QasarRAT DNS activity tied to attacker infrastructure
  • Failed device registrations that may indicate APT35 reconnaissance
  • Network sessions associated with Pupy malware infrastructure

Each hunt includes a ready-to-run query you can execute inside the Vectra AI Platform to quickly identify potential attacker activity.

Hunting for iranian APT related activities in the Vectra AI Platform

Running targeted hunts like these helps analysts move from passive monitoring to proactive detection. Instead of waiting for alerts, your team can directly search for the behaviors Iranian operators rely on once they gain access.

Because these actors blend identity abuse, SaaS activity, and network infrastructure, effective detection requires visibility across all three.

That’s exactly where the Vectra AI Platform provides an advantage.

How the Vectra AI Platform Exposes Iranian APT Activity

Traditional security tools tend to focus on isolated signals: endpoint alerts, firewall logs, or authentication events. Iranian threat actors operate across identity systems, SaaS platforms, and network infrastructure simultaneously, which makes those siloed approaches easy to evade.

The Vectra AI Platform continuously analyzes behavior across: Network traffic Active Directory and Entra ID Microsoft 365 identity activity Cloud platforms including AWS and Azure Instead of relying on static indicators, the platform identifies abnormal behavior that signals compromise even when attackers use legitimate credentials or sanctioned cloud tools.

This gives SOC teams the visibility needed to detect the exact techniques used by Iranian APT groups: credential abuse, identity manipulation, stealthy lateral movement, and covert command-and-control activity.

According to IDC, organizations using Vectra AI identify 52% more threats in at least 50% less time.

Ecco come Vectra AI ciascuna delle cinque tecniche principali utilizzate dagli APT iraniani:

Tecnica Vectra AI
Furto di credenziali Detects password spraying and suspicious sign-in behaviors, including anomalous geography, user agents, and VPN-originated logins
Dirottamento Cloud Segnala accessi non autorizzati alle caselle di posta, a OneDrive e ad altri servizi, in particolare quando il comportamento si discosta dalla normale linea di base dell'utente.
Ricognizione e movimento laterale Identifica l'enumerazione degli oggetti Entra ID, i flussi di consenso OAuth non autorizzati e le attività sospette relative agli abbonamenti Azure.
Esfiltrazione dei dati tramite strumenti legittimi Rileva movimenti anomali di dati attraverso app SaaS autorizzate, come download di grandi dimensioni o trasferimenti di file in blocco tramite API.
Vivere della terra Abuso delle superfici degli strumenti nativi come Outlook, PowerShell e software di accesso remoto che si integrano nei flussi di lavoro di routine

La Vectra AI non richiede agenti. Si integra in modo nativo con Microsoft e applica una logica di rilevamento in tempo reale su misura per gli attacchi basati sull'identità. Questo approccio fornisce avvisi precisi e altamente affidabili e capacità di risposta automatizzate che consentono ai team SOC di agire in modo deciso senza essere sommersi da falsi positivi.

Sei già cliente Vectra AI ?

Per difendersi da questa nuova ondata di attacchi cloud sull'identità e cloud, consigliamo vivamente di ampliare la vostra implementazione esistente con Cloud Identity and Cloud . Ciò garantisce visibilità e protezione unificate in tutti gli ambienti ibridi in cui prosperano questi autori di minacce.

Domande frequenti