Il Federal Bureau of Investigation has warned afferma che attori minacciosi legati all’Iran stanno utilizzando la piattaforma di messaggistica Telegram come parte di campagne malware rivolte a individui e organizzazioni. L’allarme identifica attività associate a gruppi, tra cui Handala, un gruppo hacktivista filo-Palestina, e Homeland Justice, che le autorità statunitensi avevano precedentemente collegato al Corpo delle Guardie della Rivoluzione Islamica iraniana.
Secondo l’FBI, gli aggressori stanno utilizzando Telegram come parte della loro infrastruttura di comando e controllo. Questo permette loro di comunicare con sistemi compromessi, emettere istruzioni e recuperare dati rubati senza dover dipendere da server tradizionali. Gli investigatori hanno affermato che questo approccio può rendere più difficile la rilevazione perché utilizza un servizio di messaggistica ampiamente disponibile invece di un’infrastruttura dannosa dedicata.
Le campagne si basano su tecniche di ingegneria sociale per fornire malware. I target ricevono file o link che sembrano software o documenti legittimi. Una volta aperti, questi file installano programmi dannosi sui dispositivi Windows. Il malware è progettato per raccogliere informazioni dai sistemi infetti, inclusi file, screenshot e dati di sistema, che possono poi essere trasmessi agli attaccanti.
L’FBI ha dichiarato che il malware opera in più fasi. I payload iniziali stabiliscono l’accesso al sistema, mentre i componenti successivi si collegano a canali o bot basati su Telegram per consentire la comunicazione continua. Questa configurazione permette agli attaccanti di mantenere la persistenza e continuare a interagire con il dispositivo compromesso nel tempo.
Le autorità hanno dichiarato che l’attività ha preso di mira una serie di individui, tra cui giornalisti, funzionari governativi, figure politiche e altri. In alcuni casi, le campagne sono state collegate a tentativi di raccogliere informazioni o di ottenere informazioni che potrebbero poi essere rese pubbliche.
L’avviso segue recenti azioni delle forze dell’ordine contro infrastrutture legate agli stessi gruppi, inclusa la sequestrazione di siti web utilizzati per distribuire dati rubati. L’FBI ha affermato che l’avviso è inteso a fornire dettagli tecnici che le organizzazioni possono utilizzare per identificare e mitigare minacce simili.
I funzionari raccomandavano che le organizzazioni monitorassero il traffico di rete per connessioni insolite con piattaforme di messaggistica e si assicurassero che i sistemi siano aggiornati e protetti contro vulnerabilità note. L’indagine sull’attività è ancora in corso.