APT35

APT35, noto anche come Charming Kitten, è un gruppo di cyberspionaggio iraniano sponsorizzato dallo Stato e attivo almeno dal 2013, noto per le sue sofisticate campagne di social engineering e per aver preso di mira in modo persistente avversari geopolitici nei settori governativo, accademico e privato.

La vostra organizzazione è al sicuro dagli attacchi di APT35?

L'origine di APT35

APT35, noto anche come Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 e PHOSPHORUS, è un gruppo di spionaggio informatico legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran. Attivo almeno dal 2013, il gruppo si concentra sulla raccolta di informazioni che si allineano alle priorità geopolitiche iraniane. Il loro principale tratto distintivo operativo è l'uso dell'ingegneria sociale e dello phishing per colpire individui e organizzazioni percepiti come avversari o di interesse strategico per l'Iran.

Le tattiche di APT35 sono meticolose, spesso creano personaggi falsi e sfruttano piattaforme legittime (ad esempio, LinkedIn, Google Drive) per effettuare la raccolta di credenziali e la distribuzione di malware . Il gruppo è noto per le sue campagne a lungo termine e persistenti contro un'ampia gamma di obiettivi globali.

Paesi presi di mira dall'APT35

L'APT35 prende di mira principalmente entità negli Stati Uniti, nel Regno Unito, in Israele e in Arabia Saudita, ma le sue campagne hanno raggiunto anche Paesi come Germania, Iraq, Australia, Iran (dissidenti interni) e Albania. Queste regioni sono strategicamente importanti a causa delle loro posizioni geopolitiche, delle popolazioni della diaspora o dell'ospitalità di dissidenti e giornalisti critici nei confronti del regime iraniano.

Settori presi di mira dall'APT35

Le operazioni di APT35 abbracciano diversi settori. Tra gli obiettivi prioritari vi sono i settori governativo, della difesa, militare e dell'intelligence, spesso per raccogliere informazioni strategiche o esfiltrare dati sensibili. Sono attivi anche contro istituzioni accademiche, media, think tank e ONG, con l'obiettivo di monitorare le narrazioni dissidenti e le discussioni politiche. Anche settori come quello petrolifero e del gas, farmaceutico, aerospaziale, tecnologico, sanitario, dei servizi finanziari e dell'energia sono frequentemente colpiti, il che indica un'ampia gamma di obiettivi di spionaggio economico e politico.

Vittime dell'APT35

Tra le vittime principali figurano personale governativo statunitense ed europeo, istituzioni accademiche israeliane e organizzazioni come l'Organizzazione Mondiale della Sanità (OMS). Nel 2025, un'istituzione accademica israeliana è stata specificamente presa di mira con un file LNK dannoso ospitato su Google Drive, riecheggiando le tattiche utilizzate in precedenti intrusioni contro think tank con sede negli Stati Uniti.

Metodo di attacco

Il metodo di attacco di APT35

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Ottenuto principalmente attraverso email di spear phishing e social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare gli obiettivi vengono utilizzati personaggi falsi e siti web dall'aspetto legittimo.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, l'utilizzo di strumenti come PowerShell o Mimikatz per aumentare i privilegi.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disattiva l'antivirus, i registri degli eventi e la protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Ruba le credenziali da browser e VPN, scarica la memoria LSASS e abusa di Outlook Web Access (OWA) per ottenere un accesso più profondo.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

APT35 esegue il rilevamento completo di host, rete e account utilizzando strumenti come WMI, Ping e nltest.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Si concentra sulla raccolta di e-mail, sul keylogging, sulla cattura di screenshot e sulla raccolta di file .PST sensibili e di dump LSASS.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Pur essendo principalmente focalizzato sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, lasciando intendere un potenziale ransomware in alcune operazioni.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Ottenuto principalmente attraverso email di spear phishing e social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare gli obiettivi vengono utilizzati personaggi falsi e siti web dall'aspetto legittimo.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Comporta la creazione o l'abilitazione di account predefiniti o di amministratore, l'utilizzo di strumenti come PowerShell o Mimikatz per aumentare i privilegi.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Il gruppo disattiva l'antivirus, i registri degli eventi e la protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Ruba le credenziali da browser e VPN, scarica la memoria LSASS e abusa di Outlook Web Access (OWA) per ottenere un accesso più profondo.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

APT35 esegue il rilevamento completo di host, rete e account utilizzando strumenti come WMI, Ping e nltest.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Si concentra sulla raccolta di e-mail, sul keylogging, sulla cattura di screenshot e sulla raccolta di file .PST sensibili e di dump LSASS.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Pur essendo principalmente focalizzato sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, lasciando intendere un potenziale ransomware in alcune operazioni.

MITRE ATT&CK Mappatura

TTP utilizzati dall'APT35

TA0001: Initial Access
T1566
Phishing
T1189
Drive-by Compromise
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1221
Template Injection
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1125
Video Capture
T1123
Audio Capture
T1119
Automated Collection
T1114
Email Collection
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1572
Protocol Tunneling
T1571
Non-Standard Port
T1219
Remote Access Software
T1132
Data Encoding
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare APT35 con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco APT.

DOMANDE FREQUENTI

Con chi è affiliato l'APT35?

Cosa rende l'APT35 diverso dagli altri gruppi iraniani?

Quali sono le loro tattiche principali per l'accesso iniziale?

Quali strumenti malware vengono utilizzati da APT35?

Come fa APT35 a eludere il rilevamento?

Sono noti per l'utilizzo di zero-days o di CVE specifiche?

Come possono le organizzazioni rilevare l'attività di APT35?

Quali tecniche C2 utilizzano?

Come si può mitigare lo phishing di APT35?

Quali strumenti di rilevamento possono aiutare a fermare APT35?