APT35
APT35, noto anche come Charming Kitten, è un gruppo di cyberspionaggio iraniano sponsorizzato dallo Stato e attivo almeno dal 2013, noto per le sue sofisticate campagne di social engineering e per aver preso di mira in modo persistente avversari geopolitici nei settori governativo, accademico e privato.
L'origine di APT35
APT35, noto anche come Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 e PHOSPHORUS, è un gruppo di spionaggio informatico legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran. Attivo almeno dal 2013, il gruppo si concentra sulla raccolta di informazioni che si allineano alle priorità geopolitiche iraniane. Il loro principale tratto distintivo operativo è l'uso dell'ingegneria sociale e dello phishing per colpire individui e organizzazioni percepiti come avversari o di interesse strategico per l'Iran.
Le tattiche di APT35 sono meticolose, spesso creano personaggi falsi e sfruttano piattaforme legittime (ad esempio, LinkedIn, Google Drive) per effettuare la raccolta di credenziali e la distribuzione di malware . Il gruppo è noto per le sue campagne a lungo termine e persistenti contro un'ampia gamma di obiettivi globali.
Paesi presi di mira dall'APT35
L'APT35 prende di mira principalmente entità negli Stati Uniti, nel Regno Unito, in Israele e in Arabia Saudita, ma le sue campagne hanno raggiunto anche Paesi come Germania, Iraq, Australia, Iran (dissidenti interni) e Albania. Queste regioni sono strategicamente importanti a causa delle loro posizioni geopolitiche, delle popolazioni della diaspora o dell'ospitalità di dissidenti e giornalisti critici nei confronti del regime iraniano.
Settori presi di mira dall'APT35
Le operazioni di APT35 abbracciano diversi settori. Tra gli obiettivi prioritari vi sono i settori governativo, della difesa, militare e dell'intelligence, spesso per raccogliere informazioni strategiche o esfiltrare dati sensibili. Sono attivi anche contro istituzioni accademiche, media, think tank e ONG, con l'obiettivo di monitorare le narrazioni dissidenti e le discussioni politiche. Anche settori come quello petrolifero e del gas, farmaceutico, aerospaziale, tecnologico, sanitario, dei servizi finanziari e dell'energia sono frequentemente colpiti, il che indica un'ampia gamma di obiettivi di spionaggio economico e politico.
Vittime dell'APT35
Tra le vittime principali figurano personale governativo statunitense ed europeo, istituzioni accademiche israeliane e organizzazioni come l'Organizzazione Mondiale della Sanità (OMS). Nel 2025, un'istituzione accademica israeliana è stata specificamente presa di mira con un file LNK dannoso ospitato su Google Drive, riecheggiando le tattiche utilizzate in precedenti intrusioni contro think tank con sede negli Stati Uniti.
Il metodo di attacco di APT35
Ottenuto principalmente attraverso email di spear phishing e social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare gli obiettivi vengono utilizzati personaggi falsi e siti web dall'aspetto legittimo.
Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, l'utilizzo di strumenti come PowerShell o Mimikatz per aumentare i privilegi.
Il gruppo disattiva l'antivirus, i registri degli eventi e la protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.
Ruba le credenziali da browser e VPN, scarica la memoria LSASS e abusa di Outlook Web Access (OWA) per ottenere un accesso più profondo.
APT35 esegue il rilevamento completo di host, rete e account utilizzando strumenti come WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.
Si concentra sulla raccolta di e-mail, sul keylogging, sulla cattura di screenshot e sulla raccolta di file .PST sensibili e di dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).
Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.
Pur essendo principalmente focalizzato sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, lasciando intendere un potenziale ransomware in alcune operazioni.
Ottenuto principalmente attraverso email di spear phishing e social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare gli obiettivi vengono utilizzati personaggi falsi e siti web dall'aspetto legittimo.
Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, l'utilizzo di strumenti come PowerShell o Mimikatz per aumentare i privilegi.
Il gruppo disattiva l'antivirus, i registri degli eventi e la protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.
Ruba le credenziali da browser e VPN, scarica la memoria LSASS e abusa di Outlook Web Access (OWA) per ottenere un accesso più profondo.
APT35 esegue il rilevamento completo di host, rete e account utilizzando strumenti come WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.
Si concentra sulla raccolta di e-mail, sul keylogging, sulla cattura di screenshot e sulla raccolta di file .PST sensibili e di dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).
Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.
Pur essendo principalmente focalizzato sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, lasciando intendere un potenziale ransomware in alcune operazioni.
TTP utilizzati dall'APT35
Come rilevare APT35 con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco APT.
DOMANDE FREQUENTI
Con chi è affiliato l'APT35?
L'APT35 è legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran e opera sotto il suo mandato di intelligence.
Cosa rende l'APT35 diverso dagli altri gruppi iraniani?
APT35 si distingue per il suo profondo social engineering e per la creazione di false personalità online, che spesso comportano un coinvolgimento in più fasi prima di consegnare i payload dannosi.
Quali sono le loro tattiche principali per l'accesso iniziale?
Utilizzano link di phishing , allegati dannosi, download drive-by e impersonificazione dei social media.
Quali strumenti malware vengono utilizzati da APT35?
Tra gli strumenti degni di nota figurano PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL e malware Android personalizzato.
Come fa APT35 a eludere il rilevamento?
Utilizzano l 'offuscamento, la comunicazione criptata, il mascheramento e spesso sfruttano servizi cloud affidabili come Google Drive.
Sono noti per l'utilizzo di zero-days o di CVE specifiche?
Sì, comprese le vulnerabilità CVE-2022-30190 (Follina), ProxyShell, Log4Shell e Fortinet SSL VPN.
Come possono le organizzazioni rilevare l'attività di APT35?
Cercate segnali come l'esecuzione insolita di PowerShell, l'accesso alla memoria LSASS, le sessioni RDP tramite porte non standard e l'accesso al dominio sospetto.
Quali tecniche C2 utilizzano?
APT35 utilizza domini legittimi compromessi, servizi Web, SOAP, IRC e proxy HTTP crittografati.
Come si può mitigare lo phishing di APT35?
Implementare il filtraggio delle e-mail, la scansione degli allegati e la formazione degli utenti, oltre a soluzioni di riscrittura degli URL/sandboxing.
Quali strumenti di rilevamento possono aiutare a fermare APT35?
Le soluzioni di Network Detection and Response (NDR) sono molto efficaci contro le tattiche di APT35. Dato che il gruppo si affida al comando e al controllo attraverso i protocolli web, all'uso di canali criptati e all'esfiltrazione dei dati attraverso i servizi cloud , le piattaforme NDR forniscono una visibilità profonda del traffico est-ovest e in uscita.