APT35
APT35, noto anche come Charming Kitten, è un gruppo di cyber-spionaggio iraniano sponsorizzato dallo Stato, attivo almeno dal 2013, noto per le sue sofisticate campagne di ingegneria sociale e per i suoi attacchi persistenti contro avversari geopolitici nei settori governativo, accademico e privato.
L'origine di APT35
APT35, noto anche come Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 e PHOSPHORUS, è un gruppo di cyber-spionaggio legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) iraniano. Attivo almeno dal 2013, il gruppo si concentra sulla raccolta di informazioni di intelligence in linea con le priorità geopolitiche iraniane. La loro principale caratteristica operativa è l'uso dell'ingegneria sociale ephishing per prendere di mira individui e organizzazioni percepiti come avversari o di interesse strategico per l'Iran.
Le tattiche di APT35 sono meticolose: spesso creano identità false e sfruttano piattaforme legittime (ad esempio LinkedIn, Google Drive) per raccogliere credenziali e malware . Il gruppo è noto per le sue campagne a lungo termine e persistenti contro una vasta gamma di obiettivi globali.
Paesi presi di mira dall'APT35
APT35 prende di mira principalmente entità negli Stati Uniti, nel Regno Unito, in Israele e in Arabia Saudita, ma le sue campagne hanno raggiunto anche paesi come Germania, Iraq, Australia, Iran (dissidenti interni) e Albania. Queste regioni sono strategicamente importanti per la loro posizione geopolitica, le popolazioni della diaspora o l'accoglienza di dissidenti e giornalisti critici nei confronti del regime iraniano.
Settori presi di mira da APT35
Le operazioni dell'APT35 abbracciano diversi settori. Gli obiettivi prioritari includono i settori governativo, della difesa, militare e dell'intelligence, spesso per raccogliere informazioni strategiche o sottrarre dati sensibili. Sono attivi anche contro istituzioni accademiche, mezzi di comunicazione, think tank e ONG, con l'obiettivo di monitorare le narrazioni dissidenti e le discussioni politiche. Anche settori come quello petrolifero e del gas, farmaceutico, aerospaziale, tecnologico, sanitario, dei servizi finanziari e dell'energia sono spesso colpiti, il che indica un ampio spettro di obiettivi di spionaggio economico e politico.
Le vittime dell'APT35
Tra le vittime più importanti figurano funzionari governativi statunitensi ed europei, istituzioni accademiche israeliane e organizzazioni come l'Organizzazione Mondiale della Sanità (OMS). Nel 2025, un'istituzione accademica israeliana è stata specificamente presa di mira con un file LNK dannoso ospitato su Google Drive, riprendendo le tattiche utilizzate in precedenti intrusioni contro think tank con sede negli Stati Uniti.
Il metodo di attacco dell'APT35
Ottenute principalmente tramite phishing spear phishing e tecniche di social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare le vittime vengono utilizzati profili falsi e siti web dall'aspetto legittimo.
Comporta la creazione o l'abilitazione di account predefiniti o amministratori, utilizzando strumenti come PowerShell o Mimikatz per aumentare i privilegi.
Il gruppo disabilita antivirus, registri eventi e protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.
Rubare le credenziali dai browser e dalle VPN, scaricare la memoria LSASS e abusare di Outlook Web Access (OWA) per ottenere un accesso più approfondito.
APT35 esegue una ricerca completa di host, reti e account utilizzando strumenti quali WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.
Si concentra sulla raccolta di e-mail, keylogging, acquisizione di screenshot e raccolta di file .PST sensibili e dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).
Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.
Sebbene si concentri principalmente sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, suggerendo un potenziale ransomware in alcune operazioni.
Ottenute principalmente tramite phishing spear phishing e tecniche di social engineering su piattaforme come LinkedIn e WhatsApp. Per ingannare le vittime vengono utilizzati profili falsi e siti web dall'aspetto legittimo.
Comporta la creazione o l'abilitazione di account predefiniti o amministratori, utilizzando strumenti come PowerShell o Mimikatz per aumentare i privilegi.
Il gruppo disabilita antivirus, registri eventi e protezione LSA; utilizza inoltre tecniche di mascheramento e offuscamento per evitare il rilevamento.
Rubare le credenziali dai browser e dalle VPN, scaricare la memoria LSASS e abusare di Outlook Web Access (OWA) per ottenere un accesso più approfondito.
APT35 esegue una ricerca completa di host, reti e account utilizzando strumenti quali WMI, Ping e nltest.
Utilizza RDP, attività pianificate e strumenti copiati per muoversi all'interno della rete.
Si concentra sulla raccolta di e-mail, keylogging, acquisizione di screenshot e raccolta di file .PST sensibili e dump LSASS.
Esegue payload dannosi utilizzando PowerShell, VBS e file di collegamento dannosi (LNK).
Utilizza strumenti come gzip, RAR e servizi come Telegram API e Google Drive per l'esfiltrazione dei dati.
Sebbene si concentri principalmente sullo spionaggio, APT35 ha dimostrato capacità di crittografia dei dati utilizzando BitLocker e DiskCryptor, suggerendo un potenziale ransomware in alcune operazioni.
TTP utilizzati da APT35
Come rilevare APT35 con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
A chi è affiliato APT35?
APT35 è legato al Corpo delle Guardie Rivoluzionarie Islamiche iraniane (IRGC) e opera sotto il suo mandato di intelligence.
Cosa distingue APT35 dagli altri gruppi iraniani?
APT35 si distingue per il suo sofisticato social engineering e la creazione di identità online false, che spesso comportano un coinvolgimento in più fasi prima che vengano distribuiti payload dannosi.
Quali sono le loro tattiche principali per ottenere l'accesso iniziale?
Utilizzano phishing , allegati dannosi, download drive-by e furti di identità sui social media.
Quali malware vengono utilizzati da APT35?
Tra gli strumenti più importanti figurano PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL e malware Android personalizzati.
In che modo APT35 elude il rilevamento?
Utilizzano tecniche di offuscamento, comunicazioni crittografate, mascheramento e spesso sfruttano cloud affidabili come Google Drive.
È noto che utilizzano zero-day o CVE specifici?
Sì, comprese le vulnerabilità CVE-2022-30190 (Follina), ProxyShell, Log4Shell e Fortinet SSL VPN.
In che modo le organizzazioni possono rilevare l'attività di APT35?
Cerca segnali quali esecuzione insolita di PowerShell, accesso alla memoria LSASS, sessioni RDP tramite porte non standard e accesso sospetto al dominio.
Quali tecniche C2 utilizzano?
APT35 utilizza domini compromessi legittimi, servizi web, SOAP, IRC e proxy HTTP crittografati.
Come èphishing mitigarephishing di APT35?
Implementa il filtraggio delle e-mail, la scansione degli allegati e la formazione degli utenti, insieme a soluzioni di riscrittura degli URL/sandboxing.
Quali strumenti di rilevamento possono aiutare a fermare APT35?
Le soluzioni NDR (Network Detection and Response) sono molto efficaci contro le tattiche di APT35. Considerando che il gruppo si basa su protocolli web di comando e controllo, canali crittografati e sottrazione di dati tramite cloud , le piattaforme NDR offrono una visibilità approfondita sul traffico est-ovest e in uscita.