APT35
APT35, noto anche come Charming Kitten, è un gruppo di spionaggio informatico iraniano sostenuto dallo Stato, attivo almeno dal 2013, noto per le sue sofisticate campagne di ingegneria sociale e per il costante targeting di avversari geopolitici nei settori governativo, accademico e privato.
L'origine di APT35
APT35, noto anche come Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 e PHOSPHORUS, è un gruppo di spionaggio informatico legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell’Iran. Attivo almeno dal 2013, il gruppo si concentra sulla raccolta di informazioni in linea con le priorità geopolitiche iraniane. La loro principale caratteristica operativa è l'uso dell'ingegneria sociale ephishing per prendere di mira individui e organizzazioni percepiti come avversari o di interesse strategico per l'Iran.
Le tattiche di APT35 sono meticolose: spesso il gruppo crea identità false e sfrutta piattaforme legittime (ad esempio LinkedIn e Google Drive) per raccogliere credenziali e malware . Il gruppo è noto per le sue campagne a lungo termine e persistenti contro una vasta gamma di obiettivi a livello globale.
Paesi presi di mira da APT35
L'APT35 prende di mira principalmente entità negli Stati Uniti, nel Regno Unito, in Israele e in Arabia Saudita, ma le sue campagne hanno raggiunto anche paesi come la Germania, l'Iraq, l'Australia, l'Iran (dissidenti interni) e l'Albania. Queste regioni rivestono un'importanza strategica per la loro posizione geopolitica, la presenza di comunità di espatriati o l'accoglienza di dissidenti e giornalisti critici nei confronti del regime iraniano.
Settori presi di mira da APT35
Le operazioni di APT35 interessano diversi settori. Tra gli obiettivi prioritari figurano i settori governativo, della difesa, militare e dell'intelligence, spesso con lo scopo di raccogliere informazioni strategiche o sottrarre dati sensibili. L'organizzazione è attiva anche nei confronti di istituzioni accademiche, mezzi di comunicazione, think tank e ONG, con l'obiettivo di monitorare le narrazioni dissidenti e le discussioni politiche. Anche settori quali quello petrolifero e del gas, farmaceutico, aerospaziale, tecnologico, sanitario, dei servizi finanziari e dell'energia sono spesso colpiti, il che indica un ampio raggio d'azione degli obiettivi di spionaggio economico e politico.
Le vittime dell'APT35
Tra le vittime più in vista figurano funzionari governativi statunitensi ed europei, istituzioni accademiche israeliane e organizzazioni come l’Organizzazione Mondiale della Sanità (OMS). Nel 2025, un’istituzione accademica israeliana è stata presa di mira in modo specifico con un file LNK dannoso ospitato su Google Drive, una tattica che riecheggia quelle utilizzate in precedenti attacchi contro think tank con sede negli Stati Uniti.
Il metodo di attacco di APT35
Si ottengono principalmente tramite phishing spear phishing e tecniche di ingegneria sociale su piattaforme come LinkedIn e WhatsApp. Per ingannare le vittime vengono utilizzati profili falsi e siti web dall'aspetto autentico.
Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, utilizzando strumenti come PowerShell o Mimikatz per elevare i privilegi.
Il gruppo disattiva gli antivirus, i registri degli eventi e la protezione LSA; inoltre, ricorre a tecniche di mascheramento e offuscamento per eludere il rilevamento.
Rubano le credenziali dai browser e dalle VPN, scaricano i dati dalla memoria LSASS e sfruttano Outlook Web Access (OWA) per ottenere un accesso più approfondito.
APT35 effettua un'analisi completa degli host, della rete e degli account utilizzando strumenti quali WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per spostarsi all'interno della rete.
Si concentra sulla raccolta di e-mail, sul keylogging, sull'acquisizione di screenshot e sulla raccolta di file .PST sensibili e dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento (LNK) dannosi.
Utilizza strumenti come gzip e RAR, nonché servizi come l'API di Telegram e Google Drive, per l'esfiltrazione dei dati.
Sebbene sia principalmente dedita allo spionaggio, l'APT35 ha dimostrato di poss edere capacità di crittografia dei dati tramite BitLocker e DiskCryptor, lasciando intravedere un potenziale utilizzo di ransomware in alcune operazioni.
Si ottengono principalmente tramite phishing spear phishing e tecniche di ingegneria sociale su piattaforme come LinkedIn e WhatsApp. Per ingannare le vittime vengono utilizzati profili falsi e siti web dall'aspetto autentico.
Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, utilizzando strumenti come PowerShell o Mimikatz per elevare i privilegi.
Il gruppo disattiva gli antivirus, i registri degli eventi e la protezione LSA; inoltre, ricorre a tecniche di mascheramento e offuscamento per eludere il rilevamento.
Rubano le credenziali dai browser e dalle VPN, scaricano i dati dalla memoria LSASS e sfruttano Outlook Web Access (OWA) per ottenere un accesso più approfondito.
APT35 effettua un'analisi completa degli host, della rete e degli account utilizzando strumenti quali WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per spostarsi all'interno della rete.
Si concentra sulla raccolta di e-mail, sul keylogging, sull'acquisizione di screenshot e sulla raccolta di file .PST sensibili e dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento (LNK) dannosi.
Utilizza strumenti come gzip e RAR, nonché servizi come l'API di Telegram e Google Drive, per l'esfiltrazione dei dati.
Sebbene sia principalmente dedita allo spionaggio, l'APT35 ha dimostrato di poss edere capacità di crittografia dei dati tramite BitLocker e DiskCryptor, lasciando intravedere un potenziale utilizzo di ransomware in alcune operazioni.
TTP utilizzati da APT35
Come individuare APT35 con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
A chi è affiliato l'APT35?
L'APT35 è collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) iraniano e opera sotto la sua direzione in materia di intelligence.
Cosa distingue l'APT35 dagli altri gruppi iraniani?
L'APT35 si distingue per le sue sofisticate tecniche di ingegneria sociale e per la creazione di identità online false, che spesso comportano un coinvolgimento in più fasi prima della diffusione di payload dannosi.
Quali sono le loro principali tattiche per ottenere l'accesso iniziale?
Ricorrono a phishing , allegati dannosi, download automatici e furti d'identità sui social media.
Quali malware utilizza APT35?
Tra gli strumenti più noti figurano PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL e malware Android personalizzati.
In che modo APT35 riesce a eludere i sistemi di rilevamento?
Ricorrono a tecniche di offuscamento, comunicazioni crittografate e mascheramento dell'identità, e spesso sfruttano cloud affidabili come Google Drive.
È noto che utilizzino vulnerabilità zero-day o CVE specifici?
Sì, comprese le vulnerabilità CVE-2022-30190 (Follina), ProxyShell, Log4Shell e quelle relative alla VPN SSL di Fortinet.
In che modo le organizzazioni possono individuare l'attività di APT35?
Cerca segnali quali esecuzioni anomale di PowerShell, accessi alla memoria LSASS, sessioni RDP su porte non standard e accessi sospetti al dominio.
Quali tecniche C2 utilizzano?
APT35 utilizza domini legittimi compromessi, servizi web, SOAP, IRC e proxy HTTP crittografati.
Comephishing contrastarephishing di APT35?
Implementare sistemi di filtraggio delle e-mail, scansione degli allegati e formazione degli utenti, oltre a soluzioni di riscrittura degli URL e sandboxing.
Quali strumenti di rilevamento possono aiutare a fermare APT35?
Le soluzioni di rilevamento e risposta di rete (NDR) sono estremamente efficaci contro le tattiche di APT35. Considerando che il gruppo si affida a sistemi di comando e controllo basati su protocolli web, all'uso di canali crittografati e all'esfiltrazione di dati tramite cloud , le piattaforme NDR offrono una visibilità approfondita sul traffico est-ovest e in uscita.