L’allarme non riguarda soltanto il furto di dati o la propaganda online. Secondo FBI e agenzie Usa, attori legati a Teheran usano Telegram come infrastruttura di comando contro dissidenti e oppositori e, nello stesso tempo, prendono di mira anche PLC e sistemi industriali esposti. Sullo sfondo c’è il caso russo dei router compromessi e del DNS hijacking: la guerra cyber passa sempre più dai punti ciechi della rete.
La parte più pericolosa della guerra, spesso, non è quella che fa più rumore. Non il grande blackout annunciato in diretta tv, non il mega-attacco raccontato come se fosse un film, ma l’erosione lenta di reti, dispositivi e abitudini digitali che quasi nessuno considera davvero centrali. È dentro questo schema che va letto l’ultimo allarme sugli hacker iraniani: non più solo propaganda, defacement o fuga di documenti, ma un salto più ambizioso che unisce sorveglianza mirata, malware, infrastrutture di comando nascoste e pressione crescente su sistemi critici.
Il primo fronte è quello meno visibile ma politicamente più rivelatore: la sorveglianza contro dissidenti, giornalisti e oppositori. In un alert del 20 marzo 2026, l’FBI ha scritto che attori cyber per conto del Ministero dell’Intelligence iraniano (MOIS) hanno usato Telegram come infrastruttura di comando e controllo per distribuire malware contro dissidenti iraniani, giornalisti critici verso il regime e altri gruppi di opposizione nel mondo. L’agenzia federale colloca l’attività almeno dall’autunno 2023 e spiega che la campagna ha prodotto raccolta informativa, fughe di dati e danni reputazionali contro le vittime.
Qui serve una precisazione importante, perché è proprio il tipo di dettaglio che nei titoli viene spesso raccontato male: non risulta un “hack di Telegram” come piattaforma. Telegram, in questo caso, è stato usato dagli attaccanti come canale operativo. L’FBI spiega che il malware arrivava attraverso social engineering e file travestiti da programmi comuni, per poi collegarsi a bot Telegram capaci di controllare da remoto il dispositivo infetto, esfiltrare file, catturare schermate e mantenere una comunicazione bidirezionale con gli operatori dell’attacco. Tra i file malevoli osservati compaiono perfino eseguibili che si fingono app note come Telegram, WhatsApp, KeePass o altri software comuni.
Questo dettaglio dice già molto sulla logica del fronte iraniano. Non serve violare frontalmente il gigante tecnologico se puoi sfruttare la fiducia che utenti e bersagli ripongono in strumenti quotidiani. L’FBI spiega che gli attaccanti spesso si spacciavano per persone conosciute o persino per supporto tecnico della piattaforma, convincendo il bersaglio ad accettare il file malevolo. In almeno un caso descritto nell’alert, un componente aggiuntivo era progettato per registrare schermo e audio durante sessioni Zoom. È un modello che mette insieme manipolazione psicologica, ricognizione preventiva sul bersaglio e controllo tecnico del dispositivo.
Ma il punto davvero nuovo è che il fronte iraniano non si ferma più alla repressione digitale di oppositori e attivisti. Il 7 aprile un advisory congiunto di agenzie Usa ha avvertito che attori cyber affiliati all’Iran stanno sfruttando PLC e dispositivi di tecnologia operativa esposti su internet, in particolare sistemi Rockwell Automation / Allen-Bradley, dentro settori critici come energia, acqua e servizi governativi. Reuters riferisce che le autorità statunitensi parlano apertamente di un’escalation dall’inizio della guerra e di attacchi con intento disruptive, con alcuni casi che hanno già provocato interruzioni operative e perdite economiche.
È qui che la vicenda smette di essere solo cyber-spionaggio e torna a toccare il mondo fisico. I PLC non sono semplici computer qualsiasi: governano processi industriali, impianti, flussi di controllo. Quando vengono esposti direttamente su internet o lasciati con configurazioni vulnerabili, possono diventare il varco per colpire reti che gestiscono funzioni essenziali. L’avviso delle agenzie Usa, ripreso anche da Wired, insiste proprio su questo: non si parla più solo di rubare dati o fare propaganda, ma di cercare effetti reali dentro infrastrutture che hanno a che fare con acqua, energia e servizi pubblici.
Questo sposta il baricentro del ragionamento anche sul piano politico. Per anni la minaccia iraniana nel cyberspazio è stata raccontata soprattutto come hacktivismo, campagne di leak o ritorsioni simboliche. Oggi, invece, il quadro che emerge dalle fonti ufficiali e dalle grandi agenzie internazionali è più pesante: Teheran o gruppi ad essa legati combinano repressione transnazionale contro oppositori, disinformazione e leak, e allo stesso tempo cercano spiragli per colpire o almeno disturbare infrastrutture critiche occidentali. È un salto di qualità che parla di pressione sistemica, non di semplice molestia digitale.
Nemmeno una tregua militare basta, da sola, a spegnere questo fronte. Associated Press riferisce che gruppi hacker legati all’orbita iraniana hanno lasciato intendere che una tregua fragile non significa la fine della guerra cyber, ma al massimo una pausa tattica. La sostanza è che il cyberspazio continua a essere considerato un prolungamento del conflitto con altri mezzi: meno visibile di un raid, ma spesso più persistente e più difficile da attribuire in tempo reale.
In secondo piano, ma non fuori scena, resta anche il fronte russo. Microsoft ha descritto una campagna attribuita a Forest Blizzard / APT28, il gruppo collegato all’intelligence militare russa, che sfruttava router domestici e SOHO vulnerabili per modificare il DNS, intercettare traffico e abilitare attacchi “adversary-in-the-middle”. L’azienda parla di oltre 200 organizzazioni e 5.000 dispositivi consumer coinvolti nella sua telemetria, ma precisa anche che non risultano compromessi asset o servizi di proprietà Microsoft. Reuters, da parte sua, ha riferito che il Dipartimento di Giustizia Usa ha poi interrotto una rete di DNS hijacking riconducibile alla GRU.
Il caso russo conta molto anche dentro un articolo centrato sull’Iran, perché aiuta a capire la forma reale della minaccia. Da una parte Teheran usa Telegram come canale di comando e punta anche su PLC e infrastrutture critiche; dall’altra Mosca sfrutta router vulnerabili e dirottamento DNS per spiare, intercettare credenziali e controllare il passaggio dei dati. Le tattiche non sono identiche, ma il principio sì: la cyberwar contemporanea passa sempre meno dall’assalto frontale al grande nome e sempre più dagli anelli periferici della rete, quelli che utenti, aziende e perfino istituzioni tendono a considerare secondari.
Ed è questo il punto più serio, anche per chi guarda la questione solo da fuori. Quando la minaccia passa da un file finto, da un bot Telegram, da un router dimenticato o da un PLC esposto su internet, il problema non è più confinato al “settore cyber” come se fosse una nicchia tecnica. Diventa una questione di sicurezza pubblica, di libertà politica e di resilienza delle infrastrutture. L’Iran, oggi, appare il fronte più aggressivo e più dinamico di questa escalation, perché unisce repressione digitale e rischio operativo. La Russia, intanto, conferma che lo spionaggio di Stato continua a trovare nei punti ciechi della rete uno dei suoi strumenti più efficaci.