Una nuova ondata di attacchi informatici attribuita al gruppo iraniano MuddyWater sta colpendo reti negli Stati Uniti, con intrusioni rilevate in organizzazioni di settori diversi come banche, aeroporti, enti non profit e la filiale israeliana di una software house con legami nella supply chain di difesa e aerospazio. Le analisi indicano una permanenza prolungata nelle infrastrutture compromesse e un interesse concreto per l’accesso persistente, la raccolta di informazioni e la possibile esfiltrazione di dati. La campagna risulta attiva da inizio febbraio e mostra una intensificazione in un contesto di tensione geopolitica, dove le operazioni cyber vengono spesso usate come leva asimmetrica.

Tra gli elementi più rilevanti emerge Dindoor, una backdoor inedita che sfrutta Deno, un runtime JavaScript, per eseguire componenti malevoli e mantenere il controllo sui sistemi. L’uso di Deno rappresenta un segnale di evoluzione del tooling, perché consente di muoversi in ambienti dove JavaScript è già presente e può aiutare a confondersi con attività lecite. In almeno un caso è stato osservato anche un tentativo di esfiltrazione tramite Rclone verso un bucket di cloud storage Wasabi, tecnica frequente negli scenari di data theft per la sua semplicità operativa e la capacità di trasferire grandi volumi.

In parallelo, in reti di un aeroporto statunitense e di un ente non profit è stata individuata un’altra backdoor chiamata Fakeset, sviluppata in Python e distribuita da server associati a un provider di cloud storage e backup. Un dettaglio importante riguarda il certificato digitale usato per firmare il malware, collegato anche ad altre famiglie già note nello stesso ecosistema, un indicatore che rafforza l’attribuzione e suggerisce continuità tra campagne differenti.

Il quadro più ampio mostra attori iraniani sempre più efficaci non solo sul piano tecnico, ma anche sul fronte del social engineering, con spear phishing mirato e approcci relazionali per ottenere credenziali e accessi. In questo scenario, la superficie di attacco si concentra spesso su identità e servizi cloud, con tecniche ripetibili come furto credenziali, password spraying e persistenza su servizi enterprise diffusi.

Per ridurre il rischio, le organizzazioni dovrebbero aumentare il monitoraggio, limitare l’esposizione di servizi internet facing, segmentare la rete, applicare MFA resistente al phishing, mantenere aggiornati VPN gateway ed edge device e predisporre backup offline, con particolare attenzione agli ambienti OT e alle infrastrutture critiche.