Milano, 25 marzo 2026 – L’FBI ha lanciato un allarme rivolto agli esperti di sicurezza informatica riguardo a una serie di operazioni malevole condotte da gruppi hacker affiliati al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS). Questi attori ostili stanno sfruttando la popolare piattaforma di messaggistica Telegram per diffondere malware e colpire attivisti, giornalisti critici e dissidenti iraniani, oltre a gruppi di opposizione in tutto il mondo.
Hacker iraniani e Telegram: una minaccia globale
Secondo il rapporto FBI, i gruppi hacker, tra cui il collettivo Handala Hack Team e l’entità statale Homeland Justice, legata al Corpo delle Guardie della Rivoluzione Islamica (IRGC), utilizzano Telegram come infrastruttura di comando e controllo (C2). In particolare, si avvalgono di un sofisticato sistema che permette di installare malware mascherati da applicazioni comuni come Pictory, KeePass e persino la stessa app di Telegram. Questi software malevoli consentono agli aggressori di ottenere accesso persistente ai dispositivi Windows infetti, rubando file e catturando screenshot.
L’FBI ha inoltre collegato al gruppo Handala un attacco significativo al colosso medico statunitense Stryker, che ha causato il blocco di circa 80.000 dispositivi aziendali e personali tramite la compromissione di account amministrativi.
Tecniche e strumenti utilizzati dagli hacker
Le operazioni informatiche sono suddivise in più fasi: inizialmente il malware si presenta come applicazioni legittime per ingannare gli utenti e favorire l’installazione. Successivamente viene attivato un impianto persistente che mantiene l’accesso continuo alle macchine compromesse. Un ulteriore livello di spionaggio è rappresentato da malware specifici come quello contenuto nel file “MicDriver.zip”, progettato per registrare schermo e audio durante le sessioni attive su piattaforme come Zoom, ampliando così la capacità di sorveglianza degli hacker.
Telegram, attraverso il portavoce Remi Vaughn, ha confermato che la piattaforma rimuove regolarmente gli account correlati alla diffusione di software dannosi, riconoscendo però che l’uso della messaggistica per il controllo dei malware è una dinamica purtroppo consolidata nel panorama del cybercrime.
L’avviso dell’FBI sottolinea come queste attività rappresentino una minaccia particolarmente rilevante nel contesto geopolitico attuale, con implicazioni dirette per la sicurezza di dissidenti, giornalisti e attivisti impegnati nel contrasto al regime iraniano.
