Una campagna di cyber-spionaggio condotta da hacker iraniani sta sfruttando Telegram come strumento per controllare da remoto i dispositivi delle vittime. A lanciare l’allarme è stata l’FBI, che nelle scorse ore ha pubblicato un comunicato ufficiale in cui descrive nel dettaglio le tecniche utilizzate e i bersagli principali di questa operazione. Nel mirino finiscono dissidenti, giornalisti e gruppi di opposizione al regime di Teheran, e non si tratta necessariamente di persone che operano dall’interno dell’Iran.
Il punto interessante è che l’attacco, di per sé, non è tecnicamente rivoluzionario. Anzi, è radicato in qualcosa di molto più banale e per questo ancora più pericoloso: il cosiddetto social engineering. Nella prima fase, gli aggressori si presentano alle vittime fingendosi contatti fidati oppure operatori di supporto tecnico. L’obiettivo è convincerle a scaricare del malware camuffato da applicazioni del tutto normali, come WhatsApp o lo stesso Telegram. Una volta che il software malevolo viene installato, parte la seconda fase dell’operazione.
Telegram come centro di comando: ecco come funziona l’attacco
Il dispositivo compromesso viene collegato a dei bot Telegram che permettono agli attaccanti di eseguire comandi da remoto. Da quel momento, gli hacker iraniani possono fare praticamente qualsiasi cosa: rubare file, acquisire screenshot e persino registrare chiamate effettuate su piattaforme come Zoom. Telegram, in pratica, diventa un vero e proprio canale di comando e controllo.
E la scelta non è affatto casuale. Usare Telegram è una mossa particolarmente furba perché il traffico generato dalla piattaforma appare del tutto legittimo. Questo rende molto più complicata l’individuazione delle attività sospette da parte dei sistemi di sicurezza e dei software antivirus. Chi monitora la rete vede semplicemente del traffico Telegram normalissimo, senza campanelli d’allarme evidenti.
Chi c’è dietro: il coinvolgimento del regime iraniano
Secondo quanto riportato dall’FBI, dietro queste operazioni ci sarebbero attori direttamente legati al Ministry of Intelligence and Security (MOIS) iraniano, impegnati a sostenere gli interessi geopolitici del regime nel contesto del prolungarsi della guerra in Medio Oriente. Il report dell’agenzia americana cita anche il gruppo hacktivista Handala, considerato vicino all’Iran, anche se al momento non risulta confermato un coinvolgimento diretto di questo gruppo negli attacchi specifici descritti nel comunicato.
