Un gruppo di hacker sponsorizzato dallo stato iraniano, noto come Lemon Sandstorm e precedentemente chiamato Rubidium, è stato recentemente attribuito a un’intrusione cibernetica di lunga durata contro una infrastruttura critica nazionale in Medio Oriente. L’attacco, secondo un rapporto di FortiGuard Incident Response, si è protratto per quasi due anni, dal maggio 2023 al febbraio 2025, ed è stato caratterizzato da attività di spionaggio esteso e da una sofisticata strategia di permanenza all’interno delle reti compromesse.

Gli hacker hanno sfruttato vulnerabilità note nelle VPN di Fortinet, Pulse Secure e Palo Alto Networks per ottenere l’accesso iniziale ai sistemi della vittima. Una volta all’interno, hanno utilizzato credenziali rubate per accedere a sistemi SSL VPN, installare web shell su server esposti e distribuire vari backdoor tra cui Havoc, HanifNet e HXLibrary, strumenti progettati per mantenere l’accesso a lungo termine. L’arsenale di malware impiegato si è evoluto nel tempo in risposta alle contromisure adottate dalla vittima, con l’introduzione di ulteriori web shell e backdoor come NeoExpressRAT, MeshCentral Agent e SystemBC.

Le quattro fasi della compromissione

La compromissione si è sviluppata in quattro fasi principali:

• Fase 1: gli attaccanti hanno consolidato la loro presenza sfruttando accessi VPN compromessi e impiantando web shell.
• Fase 2: sono riusciti a muoversi lateralmente nella rete, esfiltrando email e accedendo a infrastrutture di virtualizzazione.
• Fase 3: hanno aumentato la pressione con nuovi malware dopo tentativi di contenimento.
• Fase 4: dopo la rimozione degli accessi da parte della vittima, hanno tentato di rientrare sfruttando vulnerabilità Biotime (CVE-2023-38950, CVE-2023-38951, CVE-2023-38952) e campagne di spear phishing contro i dipendenti per carpire credenziali Microsoft 365.

Strumenti e tecniche impiegate

Tra gli strumenti malevoli utilizzati figurano anche tool open source come Havoc e MeshCentral, rispettivamente framework C2 e software di monitoraggio remoto, oltre a SystemBC, spesso precursore di attacchi ransomware. L’attacco ha visto anche l’uso di malware personalizzati come HanifNet, HXLibrary, CredInterceptor e DropShell, tutti con funzionalità di comando a distanza, esfiltrazione dati e persistenza.

Analisi successive hanno evidenziato che la rete OT della vittima era tra gli obiettivi principali, anche se non ci sono prove di compromissione diretta di questi sistemi. Gli hacker hanno mostrato notevole abilità nell’aggirare la segmentazione di rete, utilizzando catene di proxy e impianti personalizzati per muoversi inosservati tra i segmenti interni.

Questa campagna dimostra come le minacce iraniane sfruttino vulnerabilità VPN e malware avanzati per condurre operazioni di spionaggio e preparare futuri attacchi strategici alle infrastrutture critiche della regione.