Il gruppo di cyber spionaggio APT42, supportato dallo stato iraniano, è stato recentemente individuato mentre conduce una nuova e sofisticata campagna di spionaggio chiamata SpearSpecter. Questa operazione prende di mira funzionari governativi e della difesa, considerati di alto valore strategico. Secondo l’Agenzia Nazionale Digitale Israeliana, la campagna è stata rilevata a settembre 2025 e risulta ancora attiva, caratterizzandosi per l’uso sistematico di tecniche di social engineering molto personalizzate.
Gli attaccanti puntano non solo sui bersagli primari, ma anche sui loro familiari, ampliando così la superficie d’attacco e aumentando la pressione sulle vittime. I metodi di social engineering utilizzati comprendono inviti a conferenze prestigiose o proposte di incontri significativi, costruendo un rapporto di fiducia che può durare giorni o settimane. Spesso, i criminali si fingono colleghi o contatti noti per rendere più credibile la truffa, salvo poi inviare link malevoli o documenti infetti.
APT42, già noto per la sua sovrapposizione con altri gruppi come APT35 e Charming Kitten, si distingue per la capacità di adattare le sue strategie in base al profilo della vittima e agli obiettivi operativi. In alcuni casi, le vittime vengono indirizzate verso pagine di meeting fasulle per il furto delle credenziali; in altri, l’obiettivo è l’installazione di malware persistente per il controllo a lungo termine.
Il malware principale utilizzato è TAMECAT, un backdoor PowerShell modulare che permette l’esfiltrazione di dati, il controllo remoto e la raccolta di informazioni sensibili tramite diversi canali di comando e controllo (HTTPS, Discord e Telegram). Questo approccio multiplo garantisce la resilienza dell’accesso anche se uno dei canali viene individuato e bloccato.
TAMECAT implementa inoltre tecniche avanzate per l’evasione dei sistemi di sicurezza, tra cui l’uso di payload cifrati, l’offuscamento del codice, l’utilizzo di LOLBins e l’esecuzione quasi esclusivamente in memoria, minimizzando così le tracce lasciate sul disco. Il malware è anche in grado di raccogliere file, rubare dati dai browser, acquisire mailbox di Outlook e scattare screenshot a intervalli regolari.
L’infrastruttura della campagna SpearSpecter appare estremamente agile e stealth: sfrutta servizi cloud legittimi combinati con risorse sotto il controllo degli attaccanti, consentendo così accesso iniziale, comando e controllo persistente e un’esfiltrazione dei dati difficile da rilevare.