Gli hacker del governo iraniano stanno usando Telegram come un modo per rubare dati a dissidenti, gruppi di opposizione e giornalisti hackerati che si oppongono al regime in tutto il mondo. secondo un avviso dell’FBI pubblicato venerdì.
Nella prima fase dell’attacco, gli hacker contattano i loro obiettivi fingendo di essere un contatto noto o un supporto tecnico e vengono indotti advert accettare un collegamento a un file dannoso mascherato da app legittime, come Telegram e WhatsApp. Una volta che la vittima ha installato il malware, la seconda fase dell’attacco connette la vittima infetta ai bot di Telegram che consentono agli hacker di comandare e controllare da remoto il laptop della vittima. Ciò consente agli hacker di ottenere il controllo remoto dei dispositivi delle vittime per rubare file, acquisire screenshot e registrare chiamate Zoom, secondo l’FBI.
Usare Telegram come metodo per controllare da remoto il dispositivo di una vittima è una tecnica comune utilizzata dagli hacker per nascondere attività dannose tra il traffico di rete legittimo, il che rende più difficile l’identificazione da parte dei difensori della sicurezza informatica e dei prodotti anti-malware.
Secondo l’FBI, gli hacker responsabili di questi attacchi avrebbero lavorato per il Ministero dell’Intelligence e della Sicurezza iraniano (MOIS). L’FBI ha affermato che questi attacchi sono un esempio dei tentativi degli hacker del governo iraniano di promuovere “l’agenda geopolitica” del regime.
Contattaci
Hai maggiori informazioni su Handala o su altre operazioni di hacking legate all’Iran? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e mail.
Nell’allerta, l’FBI ha menzionato il gruppo di falsi attivisti informatici filo-iraniano e filo-palestinese Handala, anche se non è chiaro se gli attacchi a cui si fa riferimento nell’allerta siano stati effettuati da questo gruppo.
All’inizio di questo mese, Handala ha rivendicato la responsabilità di un attacco al colosso della tecnologia medica Stryker, che ha comportato la cancellazione di decine di migliaia di dispositivi dei dipendenti.
In un deposito 8-K lunedì, con la Securities and Change Fee degli Stati Uniti, Stryker ha affermato che si sta ancora riprendendo dall’hacking.
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
La settimana scorsa, il Dipartimento di Giustizia degli Stati Uniti ha accusato Handala di essere una copertura per il governo iraniano, in particolare il MOIS, e di essere dietro l’hacking di Stryker. Allo stesso tempo, l’FBI ha rimosso e sequestrato due siti internet collegati a Handala e altri due siti collegati a un altro gruppo di hacktivisti iraniani chiamato “Homeland Justice”. Nel recente allarme dell’FBI, l’FBI ha affermato che i due gruppi sono collegati e controllati dal MOIS.
Un portavoce dell’FBI ha detto in una e-mail che l’ufficio “non ha altro da aggiungere”.
Il portavoce di Telegram, Remi Vaughn, ha affermato che “i moderatori della piattaforma rimuovono regolarmente tutti gli account trovati coinvolti con malware”.
Aggiornato per includere la risposta dell’FBI e di Telegram.
