Un sofisticato attacco informatico ha preso di mira i dissidenti iraniani durante le proteste del gennaio 2026, sfruttando contenuti multimediali delle manifestazioni per installare malware sui dispositivi delle vittime. La scoperta, resa nota dai ricercatori della società di sicurezza Acronis, evidenzia come la combinazione di blackout di internet e tensioni politiche possa essere sfruttata per campagne di spionaggio mirate.
Malware nascosto nei video delle proteste
La campagna, ribattezzata Crescent Harvest (“Raccolto della mezzaluna”), utilizzava come esca file multimediali legati alle proteste, come video e immagini apparentemente innocui. All’interno di questi contenuti, gli aggressori nascondevano malware personalizzati in grado di sottrarre informazioni sensibili e aprire una backdoor nei dispositivi infettati. Secondo Eliad Kimhy, ricercatore di Acronis, si trattava di un infostealer e di un Trojan per accesso remoto, progettati per il furto di dati e lo spionaggio prolungato.
I file malevoli erano veicolati principalmente come scorciatoie Windows (.lnk), camuffate da contenuti video o immagini. Cliccando su di essi, gli utenti attivavano uno script nascosto che installava il malware, mostrando poi il contenuto “esca” per non destare sospetti. Questa tecnica, già osservata in campagne di spionaggio sponsorizzate da stati, privilegia l’invisibilità dell’attacco rispetto a un impatto immediato.
Un attacco mirato durante il blackout digitale
Il contesto in cui la campagna è stata lanciata ha aumentato la sua efficacia. Durante i blackout di internet imposti dalle autorità iraniane, la circolazione di informazioni affidabili diventava difficile e gli utenti cercavano fonti alternative, spesso attraverso file video o documenti condivisi informalmente. Secondo i ricercatori di Acronis riportati da Wired, la campagna ha sfruttato questa condizione per intercettare chi era interessato a seguire le manifestazioni, inclusi attivisti, giornalisti e membri della società civile.
La precisione dell’attacco suggerisce l’uso di tecniche di spear phishing, cioè forme di phishing mirate a vittime specifiche, spesso con alto valore strategico. Gli aggressori creavano rapporti di fiducia preliminari, inviando inizialmente file innocui, prima di introdurre il malware vero e proprio.
Modalità di diffusione e caratteristiche del malware
Oltre alla scelta dei contenuti come esca, i ricercatori hanno rilevato un sofisticato sistema di comando e controllo nel malware, capace di eseguire più comandi e adattarsi alla configurazione del dispositivo infettato. Tuttavia, alcune funzioni apparivano incomplete o mal configurate: endpoint inutilizzati e comandi che non producevano effetti concreti suggeriscono che gli autori abbiano operato con fretta, probabilmente per rispettare scadenze legate agli eventi in corso.
Un particolare interessante riguarda la stringa user agent: pensata per mimetizzare il traffico del malware come normale navigazione web, nella pratica lo rendeva più visibile agli analisti. Questo evidenzia un mix di competenza tecnica e urgenza nell’esecuzione dell’operazione.
Implicazioni per la privacy e la sicurezza
L’attacco ha avuto implicazioni serie per chi cercava informazioni sulle proteste, sia in Iran sia tra la diaspora. La compromissione di account all’estero poteva infatti mettere a rischio fonti locali e contatti affidabili. Secondo i ricercatori, la diffusione limitata e mirata del malware indica che non si trattava di una prova, ma di un’operazione strategica e intenzionale.
Questo episodio sottolinea come i contenuti digitali apparentemente innocui possano diventare strumenti di sorveglianza in contesti repressivi. La campagna dimostra l’evoluzione delle strategie di controllo digitale adottate nei regimi autoritari, che combinano ingegno tecnico e opportunismo politico.
Consigli per proteggersi da minacce simili
Gli esperti invitano a mantenere alto il livello di attenzione nella gestione dei file multimediali, soprattutto se provenienti da fonti non verificate. L’uso di chiavi di sicurezza, la verifica dei file prima del download e la cautela nel condividere contenuti emotivamente rilevanti o tempestivi sono fondamentali. Come sottolinea Acronis, ciò che appare come un semplice video o documento può nascondere strumenti sofisticati di spionaggio, con potenziali rischi per la privacy e la sicurezza personale.
