Durante le proteste in Iran, il blocco digitale, la censura e la propaganda filo-governativa diffusa dal regime della Repubblica islamica hanno reso difficile l’accesso alle informazioni. Tutte queste restrizioni hanno impedito di contattare direttamente le persone in Iran, mentre alle organizzazioni dei diritti umani e ai giornalisti è stato reso difficile indagare su quanto stava/sta avvenendo all’interno del Paese. A tal proposito va anche ricordato che in Iran attualmente non ci sono reporter e giornalisti internazionali indipendenti e questo ha reso ancora più complicato informarsi sul massacro in corso.

Per questi motivi molte persone si sono rivolte a Internet e ai social media come principale fonte per sapere cosa succedeva nel Paese. Tuttavia, proprio in questo spazio virtuale, chi cercava informazioni sulle proteste è diventato bersaglio di hacker e cybercriminali, tanto che, a Gennaio, gli esperti di cybersicurezza hanno individuato due campagne malevoli, chiamate Crescent Harvest e Redkitten, mirate a colpire chi cercava notizie sugli eventi in Iran.

La campagna Crescent Harvest che colpisce chi cerca informazioni sulle proteste

La campagna malware “Crescent Harvest” è stata individuata per la prima volta all’inizio di Gennaio da Acronis Threat Research Unit (TRU), azienda specializzata nella sicurezza informatica e protezione dei dati. A partire dal 9 dello stesso mese, gli esperti hanno iniziato a monitorarne l’attività, un periodo che coincide con l’espansione delle manifestazioni in tutto l’Iran.

“Il malware” si legge nel recente rapporto pubblicato da Acronis “sfrutta i recenti sviluppi geopolitici in Iran, e sembra rivolto ai sostenitori delle proteste iraniane all’estero o ai dissidenti iraniani in esilio. Sebbene la telemetria disponibile non sia sufficiente per determinare con certezza l’obiettivo finale della campagna malevola, essa si allinea, in termini di vittimologia, con le recenti attività di spionaggio rivolte ai cittadini iraniani e, metodologicamente, con campagne precedentemente associate a gruppi di attori minacciosi iraniani. In risposta alle proteste diffuse e ai crescenti disordini interni, il Corpo delle Guardie della Rivoluzione Islamica (IRGC) avrebbe intensificato gli sforzi per monitorare e reprimere il dissenso tra i cittadini iraniani, sia a livello nazionale che all’estero. Storicamente, tali attività hanno incluso operazioni di sorveglianza coordinata e campagne di intimidazione rivolte ad attivisti, giornalisti e oppositori politici. In diversi casi documentati, queste operazioni si sono estese ben oltre il semplice monitoraggio digitale”.

È molto probabile, dunque, che questi file dannosi siano indirizzati a persone che parlano farsi e che sono in cerca di informazioni sulle proteste. In alternativa, l’uso della lingua farsi potrebbe essere impiegata per dare maggiore autorevolezza ai documenti allegati.

L’obiettivo dei criminali informatici era quello di esfiltrare dati sensibili, raccogliere credenziali e ottenere l’accesso remoto ai sistemi. Questo malware infatti agisce sia come un tool per il furto di informazioni, sia come un trojan per l’accesso remoto, consentendo anche di captare ciò che viene digitato sulla tastiera (keylogging). Va precisato che lo scopo di questo attaco non era quello di impossessarsi dei dati sensibili per estorcere denaro e quindi per ricavarne un beneficio economico; i cybercriminali in questo caso miravano a spiare e controllare le ricerche web e i contatti delle vittime.

Per diffondere il malware e infettare i computer delle vittime, gli aggressori sembravano cercare di entrare in contatto con individui al di fuori dell’Iran interessati alle manifestazioni anti-regime. Dopo che era stato instaurato un rapporto di fiducia e confidenza con i propri interlocutori, i cybercriminali agivano inviando file dannosi apparentemente innocui. L’attacco potrebbe quindi essere stato attuato tramite lunghe campagne di social engineering o attraverso spear phishing. La sistematicità e la perseveranza degli aggressori sono tra le caratteristiche che distinguono questa campagna.

Lo spear phishing è una forma avanzata e mirata di phishing, in cui gli attaccanti, dopo aver studiato attentamente una vittima specifica (un individuo, un gruppo o un’intera organizzazione) creano un messaggio personalizzato e molto credibile. A differenza del phishing tradizionale, che mira a colpire un grande numero di persone senza distinzione, lo spear phishing si focalizza su di un bersaglio preciso per aumentare le probabilità di successo.

L’ingegneria sociale (o social engineering) è l’arte di manipolare le persone per indurle a rivelare informazioni sensibili, sfruttando le vulnerabilità psicologiche anziché le tecniche informatiche. Viene definita “human hacking“, poiché l’obiettivo è ingannare l’individuo e non compromettere direttamente un sistema o un software. Gli attaccanti spesso sviluppano nel tempo relazioni con i loro bersagli, creando connessioni emotive forti attraverso contenuti coinvolgenti, spesso legati a temi geopolitici attuali o eventi traumatici, per abbassare le difese e ottenere informazioni o azioni desiderate. Esempi: 1) Marcella Flores. Un attore iraniano di minacce informatiche ha usato per anni una falsa identità per fingersi istruttrice di aerobica e personal trainer di nome Marcella Flores. La falsa identità ha stabilito un rapporto durato mesi con l’impiegato di un appaltatore della difesa aerospaziale. “Marcella Flores” ha alimentato la relazione digitale su molteplici piattaforme di comunicazione per poi rilasciare malware alla macchina del bersaglio tramite un foglio Excel malevolo che sembrava un documento innocuo di “Dietary Survey”. 2) Mia Ash. Falsa identità creata da attori iraniani per colpire organizzazioni in Medio Oriente tra il 2016 e il 2017. Fingendosi un fotografo britannico, Ash utilizzava foto rubate da Instagram e aveva profili su LinkedIn, Facebook e Blogger. Anche in questo caso, come nel precedente, il file dannoso è stato inviato ai bersagli tramite un documento Excel fingendo che si trattasse di un sondaggio fotografico. Nonostante il tentativo di phishing, la campagna non ha avuto successo.

La vittima viene colpita attraverso quello che sembra un fascicolo di materiali di protesta: fotografie, video e un rapporto scritto in farsi chiamato گزارش.docx (report.docx) che offre aggiornamenti sulle “città ribelli dell’Iran”. L’invio di tali documenti avviene o singolarmente e nel tempo, o tramite un archivio (file .RAR) composto da varie cartelle. In realtà, due dei file contenuti in questo archivio sono dannosi, con scorciatoie link camuffate da contenuti mediatici innocui e usate come principale richiamo di qualità.

Un’altra caratteristica di questi documenti e che, potrebbe far venire qualche dubbio circa l’autenticità almeno agli osservatori più attenti, è che il report è scritto sì in un tono neutrale ma, a volte, stranamente vivace. Ad esempio nel testo sono presenti emoji sorridenti, e considerata la gravità dell’argomento non s’addice proprio alla tematica trattata. Il dossier descrive favorevolmente le azioni dei manifestanti in tutto l’Iran, e contiene informazioni circa gli scioperi dei lavoratori e le proteste studentesche; mentre sono assenti riferimenti a vittime o civili. Nonostante ciò al suo interno non c’è nulla di veramente compromettente per l’IRGC, e ciò vale anche per le immagini e i video forniti che, pur raffigurando scene di proteste, nessuna mostra qualcosa di insidioso per le autorità, riporta Acronis.

Per concludere gli esperti asseriscono che la campagna Crescent Harvest rappresenta l’ultimo capitolo in un modello decennale di presunte operazioni di cyberspionaggio statale iraniano rivolto a giornalisti, attivisti, ricercatori e comunità della diaspora a livello globale.

Redkitten la campagna malevola contro chi indaga sulle vittime del massacro

Sempre a Gennaio HarfangLab, azienda di cybersecurity con sede a Parigi, ha notato un’attività malevola atta a colpire individui che cercavano informazioni sulle persone morte durante le proteste in Iran. A questa campagna è stato dato il nome di RedKitten.

“Sebbene non potessimo attribuire con certezza questa attività a un attore minaccioso identificato, abbiamo osservato l’uso di tecniche note per essere state precedentemente utilizzate da aggressori sponsorizzati dallo Stato iraniano insieme a indicatori linguistici, e siamo certi che l’attività abbia origine da un attore minaccioso allineato agli interessi di sicurezza del governo iraniano” riferiscono gli esperti. I cybercriminali hanno sfruttato il clima di urgenza e allarme che prevaleva in quei giorni, in particolare tra gli iraniani all’estero, per lanciare attacchi e innescare la catena infezionale tramite della documentazione falsa relativa alle vittime delle proteste.

Ad essere presi di mira sono stati soprattutto individui coinvolti nella documentazione di recenti violazioni dei diritti umani, tra cui potrebbero figurare anche organizzazioni non governative e/o dissidenti, o giornalisti che conoscono il farsi.

Nella campagna Redkitten il malware sfrutta piattaforme legittime (in questo caso GitHub e Google Drive) per nascondere e distribuire il proprio codice dannoso, evitando quindi di inviarlo direttamente tramite email o siti sospetti, mentre utilizza Telegram come canale di comunicazione per il controllo remoto. Il canale Telegram viene così utilizzato dai cybercriminali per controllare a distanza il malware. Dopo che il malware è stato installato su un computer, si connette a un canale Telegram (un bot o un gruppo). L’attaccante invia quindi i comandi attraverso questo canale sostanzialmente per rubare dati, scaricare nuovi file dannosi ed eseguire da remoto azioni sul computer infetto.

L’esca è composta da 5 fogli scritti in farsi contenuti in un archivio 7z denominato فایل های پزشکی قانونی تهران(1).7zTehran Forensic Medical Files, caricato il 23 Gennaio 2026 su un multiscanner online, e che presenta un database presumibilmente confidenziale di 200 persone uccise durante le proteste tra il 22 Dicembre 2025 e il 20 Gennaio 2026.

Il file 7z è così suddiviso:

– Identificazione. Il primo foglio elenca i dati personali delle vittime insieme alle forze di sicurezza coinvolte, tra cui il Corpo delle Guardie della Rivoluzione Islamica (IRGC), la milizia Basij e il Ministero dell’Intelligence, e i nomi degli ufficiali responsabili.

– Autopsia. Questo documento fornisce dettagli sull’orario e la causa della morte, il medico responsabile ed eventuali osservazioni particolari. Gli esperti riferiscono che il contenuto di questo documento è esplicito e disturbante.

– Laboratorio. Il foglio contiene i risultati dei test tossicologici e narcotici e i referti autoptici grafici.

– Restituzione della salma. Questa parte contiene le date in cui le salme sono state consegnate ai familiari.

– Aiuto. Questo foglio invita l’utente a cliccare sul pulsante “Abilita contenuto” o “Abilita modifica” per permettere l’esecuzione delle macro, ossia della sequenza automatizzata di comandi e istruzioni che in questo caso nascondeva il codice dannoso.

Anche in questa campagna, come già rilevato per Crescent Harvest, all’interno dei documenti compaiono incongruenze che confermano come queste informazioni siano false. Gli analisti hanno rilevato discrepanze tra le date di nascita e le età indicate. Inoltre il documento descrive un carico di lavoro irrealistico per un ristretto gruppo di medici in un lasso di tempo molto breve. Sebbene manchino informazioni cruciali, come gli indirizzi dei familiari, il fascicolo fornisce informazioni troppo dettagliate.

Questi casi confermano ancora una volta come il regime della Repubblica islamica abbia le mani lunghe e oltre a silenziare le voci all’interno del Paese, provi in tutti i modi, attraverso la propaganda e lo spionaggio, a controllare anche il dissenso e i dissidenti all’estero.

Immagine di copertina di Trevor Vannoy via Unsplash