Il gruppo di cybercriminali battezzato UNK_SmudgedSerpent è stato recentemente identificato come responsabile di una serie di attacchi informatici rivolti ad accademici ed esperti di politica estera negli Stati Uniti. Questi attacchi, avvenuti tra giugno e agosto 2025, si sono verificati in un contesto di forti tensioni geopolitiche tra Iran e Israele, sottolineando come la cyber espionage sia spesso collegata a scenari internazionali complessi.
UNK_SmudgedSerpent ha utilizzato tecniche di ingegneria sociale molto raffinate, sfruttando tematiche di attualità politica in Iran e l’interesse verso le attività dei Corpi della Guardia Rivoluzionaria Islamica. I ricercatori di Proofpoint hanno evidenziato come la campagna abbia mostrato numerose somiglianze tattiche con attività precedenti di gruppi APT iraniani noti come TA455 (Smoke Sandstorm), TA453 (Charming Kitten) e TA450 (MuddyWater).
I messaggi di posta elettronica utilizzati da SmudgedSerpent si distinguono per un approccio simile a Charming Kitten, con una prima fase di interazione apparentemente innocua, seguita dall’invio di link malevoli per il phishing. In alcuni casi, le email contenevano link a file MSI che si presentavano come aggiornamenti di Microsoft Teams, ma che in realtà installavano software legittimi di Remote Monitoring and Management (RMM) come PDQ Connect. Questa tecnica, già nota nelle campagne MuddyWater, permette agli attaccanti di ottenere accesso remoto ai dispositivi delle vittime.
Le email di SmudgedSerpent apparivano ancora più credibili grazie all’usurpazione di identità di noti esperti di politica estera statunitensi e di istituti di ricerca autorevoli come Brookings Institution e Washington Institute. Questo stratagemma incrementava la probabilità che l’obiettivo cadesse nella trappola e fornisse le proprie credenziali.
Le vittime principali sono state oltre 20 esperti di un think tank americano focalizzato sulle dinamiche iraniane. In alcune occasioni, gli attaccanti hanno richiesto una verifica dell’identità delle vittime prima di procedere con la collaborazione, aumentando così il livello di manipolazione sociale. Dopo aver ottenuto la fiducia della vittima, veniva inviato un link a presunti documenti per una riunione, che invece conduceva a una finta pagina di login Microsoft creata per sottrarre le credenziali.
Il gruppo ha anche fatto uso di domini tematici legati alla salute, utilizzando OnlyOffice come esca per ospitare archivi ZIP con installer malevoli. C’è evidenza che SmudgedSerpent abbia effettuato attività hands-on-keyboard, installando ulteriori strumenti RMM come ISL Online.
Questo scenario dimostra come le campagne di cyber spionaggio iraniane evolvano costantemente, combinando tecniche di phishing sofisticate, impersonificazione e strumenti di controllo remoto per colpire target di alto valore nel settore della politica internazionale.
