L’Origine: Stuxnet e Operation Olympic Games
Tutto inizia nel 2009-2010 con Stuxnet, un worm informatico sofisticato scoperto pubblicamente nel 2010 ma presumibilmente dispiegato due anni prima.
Questa operazione congiunta USA-Israele, codenominata “Operation Olympic Games”, rappresenta il primo attacco cibernetico conosciuto che ha causato danni fisici reali: ha danneggiato le centrifughe di arricchimento dell’uranio a Natanz, in Iran.
Sebbene Stuxnet non abbia un singolo CVE pubblico (essendo un’arma zero-day scoperta solo dopo il danno), ha stabilito il modello per un decennio di conflitto cibernetico reciproco, aprendo la strada a una nuova forma di guerra asimmetrica.
La Risposta Iraniana: L’Evoluzione delle Unità Hacker e le Vulnerabilità Sfruttate
Il programma offensivo cibernetico iraniano si è evoluto attraverso diverse unità statali sponsorizzate, che hanno spesso sfruttato vulnerabilità note per anni prima che venissero patchate:
APT33 (Elfin) e APT34 (OilRig) si sono concentrati sui settori aerospaziale ed energetico. Questi gruppi sono noti per aver sfruttato sistematicamente vulnerabilità in appliance di rete per ottenere l’accesso iniziale.
Un esempio emblematico è l’uso della vulnerabilità CVE-2018-13379 nelle appliance Fortinet FortiGate VPN, una falla di autenticazione remota che permetteva l’accesso non autorizzato e che è stata sfruttata attivamente da questi gruppi per anni per infiltrarsi nelle reti energetiche.
APT35 (Charming Kitten / Phosphorous) ha perseguito spionaggio a lungo termine contro funzionari governativi USA, la campagna elettorale Trump del 2019 e personale navale statunitense.
Nel luglio 2020, il gruppo ha violato con successo l’account Google di un ufficiale della Marina USA e ha preso di mira dipendenti del Dipartimento di Stato con attacchi di phishing. Questo gruppo è spesso associato all’uso di tecniche di ingegneria sociale avanzate e all’abuso di servizi cloud legittimi.
MuddyWater (Newscaster) e il gruppo dietro gli attacchi Shamoon del 2012-2013 hanno preso di mira telecomunicazioni, istituzioni finanziarie e infrastrutture critiche.
MuddyWater è stato recentemente collegato all’uso della vulnerabilità CVE-2021-26855 (nota come ProxyLogon) nei server Microsoft Exchange.
Questa falla permetteva l’esecuzione di codice remoto e il furto di email, ed è stata utilizzata per campagne di spionaggio e movimento laterale all’interno delle reti compromesse.
Le Escalation Chiave e le Vulnerabilità Correlate (2019-2026)
Settembre 2019: Gli Stati Uniti hanno lanciato un attacco cibernetico contro “hardware fisico” iraniano non specificato, utilizzato per la propaganda statale, in risposta agli attacchi di Teheran contro le strutture petrolifere saudite.
Aprile 2020: Attori iraniani sospetti hanno avviato una campagna senza precedenti contro i sistemi di controllo delle utility idriche israeliane.
In questo periodo, gruppi legati all’Iran hanno iniziato a sfruttare massicciamente vulnerabilità in server web e appliance di sicurezza.
Oltre a ProxyLogon, è stato osservato l’uso della vulnerabilità CVE-2024-4577 in PHP-CGI su Windows, una falla che permetteva l’esecuzione di codice remoto e che è stata sfruttata in pochi giorni dalla sua divulgazione.
2021-2022: Gli attori iraniani hanno preso di mira i fornitori sanitari e dei trasporti negli Stati Uniti. Durante questo periodo, è emerso l’uso della vulnerabilità CVE-2024-5910 in Palo Alto Expedition, uno strumento di gestione delle policy firewall.
Questa falla permetteva il furto di credenziali e l’esfiltrazione delle policy di sicurezza, indebolendo le difese perimetrali.
2022-2023: Gli hacker iraniani legati a MuddyWater hanno condotto intrusioni di tipo ransomware contro aziende biotecnologiche USA come Gilead e il produttore di dispositivi medici Stryker.
In particolare, l’attacco a Stryker nel 2023 ha visto l’uso di tecniche “living off the land” per compromettere le credenziali amministrative e utilizzare il servizio di gestione endpoint Microsoft Intune per cancellare remotamente oltre 200.000 dispositivi.
2023-2024: Gli Stati Uniti hanno risposto con accuse formali, sanzioni e interruzione cibernetica covert dei server di comando di MuddyWater.
Parallelamente, gruppi iraniani hanno iniziato a sfruttare la vulnerabilità CVE-2023-48795 (nota come Terrapin) nel protocollo SSH. Questa falla permetteva attacchi Man-in-the-Middle (MITM) per bypassare la crittografia e manipolare le sessioni SSH, un vettore critico per l’accesso remoto sicuro.
La Risposta Americana e le Vulnerabilità Reciproche
Il Comando Cibernetico USA e la NSA hanno ripetutamente preso di mira le reti di comando e controllo iraniane. Oltre agli attacchi offensivi, gli USA hanno dovuto difendersi da una serie di vulnerabilità sfruttate da gruppi iraniani e da altri attori statali.
Nel 2021, una campagna covert ha interrotto la telemetria dei missili balistici iraniani. Attraverso il 2024, gli Stati Uniti hanno continuato a monitorare e colpire le strutture cibernetiche iraniane.
Tuttavia, la difesa americana è stata messa alla prova anche da vulnerabilità interne, come quelle scoperte nel 2026 che hanno colpito i sistemi di gestione delle identità e i server di database, evidenziando come la guerra cibernetica sia un ciclo continuo di attacco e difesa.
Thanks for reading Intelligenza Etica! Subscribe for free to receive new posts and support my work.
Il Contesto Attuale (2026)
La guerra cibernetica tra USA e Iran non è un fenomeno nuovo del 2026, ma piuttosto l’escalation di un conflitto che dura da oltre un decennio.
Gli attacchi fisici ai datacenter AWS negli Emirati Arabi Uniti e in Bahrein rappresentano una nuova frontiera: la convergenza di guerra cinetica tradizionale e operazioni cibernetiche in un unico teatro operativo.
Fonti:
- United Against Nuclear Iran: History of Cyber Attacks
- USIP: The Invisible U.S.-Iran Cyber War
- Yahoo News: Iran-linked hackers on Stryker
- Palo Alto Unit 42: Iranian Cyberattacks 2026
- DSCI: Cyber Threat Advisory on Middle East Conflict
⚠️ Nota di Trasparenza: Questo articolo è stato redatto sulla base di informazioni disponibili al 15 marzo 2026 con l’aiuto della Intelligenza Artificiale Lumo.