Il Conflitto Iraniano Spinge un Aumento dell’Attività di Spionaggio sui Bersagli del Medio Oriente

Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime

Segui

Il Conflitto Iraniano Spinge un Aumento dell’Attività di Spionaggio sui Bersagli del Medio Oriente

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Proofpoint ha segnalato un aumento dell’attività di spionaggio e phishing legata a attori minacciosi allineati allo stato iraniano, cinese, pakistano, bielorusso e altri dopo gli attacchi di febbraio 2026 in Iran. Gli avversari hanno utilizzato esche a tema conflitto per colpire ministeri governativi, organizzazioni diplomatiche e think tank in tutto il Medio Oriente e gli Stati Uniti. Queste operazioni si basavano su phishing per rubare credenziali, file LNK malevoli, caricamento laterale di DLL e carichi utili di Cobalt Strike consegnati tramite account email compromessi e infrastrutture ospitate su cloud. Gli sforzi di rilevazione dovrebbero dare priorità a scorciatoie di Office malevole, pagine di accesso false in stile OneDrive e uso sospetto di caricamenti di malware noti.

Indagine

Proofpoint ha monitorato sei campagne separate — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 e TA453 — che utilizzavano compromissione email, archivi armati e link malevoli per consegnare loader che alla fine lanciavano Cobalt Strike. I ricercatori hanno catalogato indicatori tra cui indirizzi email, domini, URL, nomi file e hash di file. Quando possibile, il rapporto ha anche mappato l’infrastruttura osservata rispetto ai rapporti pubblicamente documentati precedentemente.

Mitigazione

Le organizzazioni dovrebbero richiedere l’autenticazione multifattore per email e piattaforme cloud, bloccare domini e URL noti come malevoli e monitorare l’esecuzione di LNK e l’attività di caricamento DLL imprevista. I controlli di sicurezza email dovrebbero ispezionare gli allegati per la consegna basata su LNK e archivi, mentre la caccia alle minacce dovrebbe concentrarsi sul comportamento dei beacon di Cobalt Strike e sull’esecuzione insolita di PowerShell.

Risposta

Se viene identificato un LNK sospetto, un archivio malevolo o un beacon di Cobalt Strike, isolare l’host, raccogliere prove volatili e avviare immediatamente la risposta all’incidente. Bloccare i domini di comando e controllo correlati e gli indirizzi IP, reimpostare gli account compromessi e condurre un’investigazione forense completa per identificare eventuali meccanismi di persistenza.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["Action – T1566.001 Phishing: Spearphishing Attachment Description: Send emails with malicious ZIP or LNK attachments that execute code when opened. Confidence: High"] class action_phishing_spear action action_execution_ps["Action – T1059.001 PowerShell Description: Use PowerShell to download and execute additional payloads. Confidence: High"] class action_execution_ps action action_defense_proxy["Action – T1218 System Binary Proxy Execution Description: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe). Confidence: High"] class action_defense_proxy action action_c2_web["Action – T1102.002 Web Service: Bidirectional Communication Description: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive. Confidence: High"] class action_c2_web action action_persistence_account["Action – T1098 Account Manipulation & T1078 Valid Accounts Description: Use compromised email accounts to maintain foothold and send further phishing. Confidence: High"] class action_persistence_account action action_phishing_additional["Action – T1566 Phishing (Additional) Description: Host fake OWA/OneDrive credential pages to harvest credentials. Confidence: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["Artifact – Malicious ZIP attachment Content: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["Artifact – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["Artifact – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["Artifact – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["Process – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["Process – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["Service – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["Service – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["Service – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[“Azione – T1566.001 Phishing: Spearphishing con Allegato Descrizione: Invia email con allegati ZIP o LNK malevoli che eseguono codice quando aperti. Confidenza: Alta”] class action_phishing_spear action action_execution_ps[“Azione – T1059.001 PowerShell Descrizione: Utilizzare PowerShell per scaricare ed eseguire ulteriori carichi utili. Confidenza: Alta”] class action_execution_ps action action_defense_proxy[“Azione – T1218 Esecuzione Proxy di Binari di Sistema Descrizione: Caricare DLL malevoli tramite binario firmato (nvdaHelperRemoteLoader.exe). Confidenza: Alta”] class action_defense_proxy action action_c2_web[“Azione – T1102.002 Servizio Web: Comunicazione Bidirezionale Descrizione: Comunicare con host C2 utilizzando servizi web come Azure Front Door e OneDrive. Confidenza: Alta”] class action_c2_web action action_persistence_account[“Azione – T1098 Manipolazione Account & T1078 Account Validi Descrizione: Utilizzare account email compromessi per mantenere l’accesso e inviare ulteriori tentativi di phishing. Confidenza: Alta”] class action_persistence_account action action_phishing_additional[“Azione – T1566 Phishing (Aggiuntivo) Descrizione: Ospitare pagine di credenziali false di OWA/OneDrive per raccogliere credenziali. Confidenza: Alta”] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[“Artefatto – Allegato ZIP malevolo Contenuto: File LNK e PDF con carichi utili incorporati”] class artifact_zip artifact artifact_lnk[“Artefatto – File LNK (nvdaHelperRemoteLoader.exe)”] class artifact_lnk artifact artifact_ps_script[“Artefatto – Script PowerShell utilizzato per il download”] class artifact_ps_script artifact artifact_dll[“Artefatto – DLL malevola (nvdaHelperRemote.dll)”] class artifact_dll malware %% Nodes – Processes / Tools process_loader[“Processo – nvdaHelperRemoteLoader.exe (binario firmato)”] class process_loader process process_powershell[“Processo – PowerShell.exe che esegue lo script di download”] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[“Servizio – support.almersalstore.com (dominio C2)”] class service_c2_almer service service_c2_azure[“Servizio – Host di Azure Front Door”] class service_c2_azure service service_c2_onedrive[“Servizio – Link file OneDrive (C2)”] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[“Credential – Account email governativo compromesso”] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|consegna| artifact_zip artifact_zip –>|contiene| artifact_lnk artifact_lnk –>|esegue| process_loader process_loader –>|utilizza| action_defense_proxy action_defense_proxy –>|carica| artifact_dll artifact_dll –>|abilita| action_execution_ps action_execution_ps –>|esegue| process_powershell process_powershell –>|scarica carico utile tramite| artifact_ps_script process_powershell –>|comunica con| service_c2_almer process_powershell –>|comunica con| service_c2_azure process_powershell –>|comunica con| service_c2_onedrive service_c2_almer –>|supporta| action_persistence_account service_c2_azure –>|supporta| action_persistence_account service_c2_onedrive –>|supporta| action_persistence_account action_persistence_account –>|utilizza| credential_email credential_email –>|invia| action_phishing_additional action_phishing_additional –>|ospita| artifact_zip

Flusso d’Attacco

Narrazione e Comandi d’Attacco:
Un avversario ha ottenuto una copia compromessa di nvdaHelperRemoteLoader.exe inserita con una DLL malevola (evil.dll). Posizionano il binario in C:Temp e creano un collegamento che punta ad esso, avviando l’esecuzione tramite un’attività programmata (T1546.009). Contemporaneamente, abusano del binario firmato VLCMediaPlayer.exe (T1218) per avviare un carico utile di PowerShell che esegue un’impronta digitale dell’host. Entrambi i binari vengono lanciati direttamente per garantire che l’evento di creazione del processo contenga il nome esatto del file eseguibile richiesto dalla regola.

Script di Test di Regressione:

# -------------------------------------------------
# Script di simulazione – attiva entrambi i rilevamenti
# -------------------------------------------------
# Imposta la cartella di esecuzione
$binPath = "C:Temp"

# 1. Distribuire nvdaHelperRemoteLoader.exe malevolo (copia segnaposto)
$nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- sostituire con campione reale
Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force

# 2. Distribuire VLCMediaPlayer.exe malevolo (copia segnaposto)
$vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- sostituire con campione reale
Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force

# 3. Eseguire nvdaHelperRemoteLoader.exe (simulando caricamento laterale DLL)
Write-Host "Avviando nvdaHelperRemoteLoader.exe ..."
Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden

# 4. Eseguire VLCMediaPlayer.exe per eseguire un'impronta digitale PowerShell one-liner
$psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
Write-Host "Avviando VLCMediaPlayer.exe con carico utile PowerShell ..."
Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
    -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
    -WindowStyle Hidden

Write-Host "Simulazione completata. Verifica gli avvisi nel tuo SIEM."

Comandi di Pulizia:

# Fermare eventuali processi di test rimanenti
Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
    Stop-Process -Force

# Rimuovere i binari di test
Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue

Write-Host "Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis