Ed è proprio questa capacità di adattamento e questa frammentazione interna che rendono l’insieme tanto potente quanto difficile da interpretare: ogni attore ha un proprio ritmo, una propria logica, eppure tutti partecipano a un disegno strategico più ampio.
Quali sono i principali gruppi di minaccia
Non tutti i gruppi legati all’Iran operano allo stesso modo, né con gli stessi obiettivi. Alcuni lavorano alla luce del sole, altri nell’ombra. È questa coesistenza più che la forza del singolo attore a rendere l’ecosistema iraniano difficile da leggere e da contenere.
Tra gli attori più rilevanti spicca MuddyWater, affiliato al ministero dell’Intelligence iraniano (Mois), specializzato in spionaggio regionale e internazionale. Il gruppo ha colpito Israele, Arabia Saudita, Turchia, Emirati, Europa e Stati Uniti, muovendosi con pazienza e continuità. Utilizza strumenti sviluppati internamente e tecniche avanzate pensate non tanto per colpire in modo evidente, quanto per restare nascosto e mantenere accessi persistenti.
Accanto a MuddyWater opera Cotton Sandworm, legato alla Guardia Rivoluzionaria islamica (Irgc), con un profilo diverso. Qui l’attenzione si sposta dall’accesso silenzioso all’influenza: interferenze elettorali, manipolazione dell’informazione, contenuti generati con intelligenza artificiale per rendere la propaganda più credibile e difficile da individuare.
Un ruolo a parte è svolto da Handala. Gruppo hacktivista pro-iraniano, combina attacchi informatici e guerra psicologica, portando il conflitto nella vita quotidiana. Nel gennaio 2025 ha compromesso i sistemi di allarme di asili israeliani attivando sirene antiaeree e diffondendo messaggi intimidatori. Pochi mesi dopo, nel giugno 2025, ha inviato circa 150mila email con falsi avvisi di imminenti attacchi missilistici. Anche l’operazione Blackout dell’ottobre 2025 è stata descritta dallo stesso gruppo come un’azione di “guerra psicologica e strutturale”.
“L’obiettivo primario non è il danno tecnico, ma la destabilizzazione sociale e l’erosione della fiducia nelle istituzioni”, spiega Scozzari. È un approccio che distingue il modello iraniano da quello russo o cinese, pur in un contesto di crescente convergenza tra diversi attori.
Il gruppo proxy Cyber Fattah si muove invece sul sabotaggio industriale. Colpisce infrastrutture critiche nel settore idrico ed energetico, compromettendo i Plc, i sistemi che controllano fisicamente impianti e reti. In questi casi il rischio supera il piano digitale e tocca direttamente la sicurezza pubblica.
Secondo Scozzari, “MuddyWater ha colpito oltre 100 entità governative in Medio Oriente e Africa, UNC1549 ha violato fornitori taiwanesi per infiltrarsi in più di 1.000 domini, e APT42 ha preso di mira anche i familiari di funzionari governativi”. Numeri che mostrano un’attività diffusa, continua, raramente confinata a un singolo bersaglio. L’impatto complessivo di queste operazioni viene valutato da Hackmanac tramite l’Esix, un indice che valuta la gravità complessiva degli attacchi: valori superiori a 6 indicano attacchi con potenziale di danno significativo.
