BladedFeline utilizza strumenti malevoli sofisticati, tra cui backdoor e moduli IIS. ESET ha rilevato legami tecnici con il gruppo OilRig, con cui condivide codice e tattiche. L’operazione conferma l’evoluzione del gruppo e i suoi obiettivi di cyberspionaggio in Medio Oriente
Milano, 10 giugno 2025 – ESET, leader europeo globale nel mercato della cybersecurity, ha scoperto le più recenti attività del gruppo cybercriminale BladedFeline, affiliato all’Iran, che ha preso di mira funzionari governativi iracheni e curdi nell’ambito di una campagna di cyberspionaggio. Il gruppo ha impiegato un’ampia gamma di strumenti malevoli rinvenuti nei sistemi compromessi, segno di un’attività volta a mantenere e potenziare l’accesso ai sistemi di alti funzionari e organizzazioni governative in Iraq e nella regione curda. La campagna più recente evidenzia l’evoluzione delle capacità di BladedFeline, che includono due strumenti di tunneling (Laret e Pinar), vari tool supplementari e, soprattutto, la backdoor personalizzata Whisper e il modulo malevolo per Internet Information Services (IIS) denominato PrimeCache, entrambi identificati e classificati da ESET.
Whisper accede a un account webmail compromesso su un server Microsoft Exchange e lo utilizza per comunicare con gli attaccanti tramite allegati email. PrimeCache funge anch’esso da backdoor: si tratta di un modulo malevolo per IIS che presenta similitudini con la backdoor RDAT, già utilizzata dal gruppo APT OilRig.
Sulla base di analogie nel codice e di altri elementi di cui è disponibile un approfondimento nell’articolo pubblicato su WeLiveSecurity, ESET ritiene con ragionevole certezza che BladedFeline sia un sottogruppo di OilRig, gruppo APT affiliato all’Iran noto per colpire governi e aziende in Medio Oriente. Le componenti iniziali impiegate nella campagna più recente risultano riconducibili a OilRig. Gli strumenti impiegati riflettono l’orientamento strategico del gruppo verso la persistenza e la furtività all’interno dei network presi di mira.
BladedFeline continua a operare con l’obiettivo di mantenere un accesso stabile ai sistemi informatici di funzionari diplomatici curdi. Contestualmente, ha compromesso un provider di telecomunicazioni in Uzbekistan e prosegue le attività di intrusione verso rappresentanti del governo iracheno.
Secondo ESET Research, BladedFeline punta a colpire i governi curdo e iracheno per finalità di cyberspionaggio, con l’obiettivo di mantenere un accesso strategico ai sistemi informatici di funzionari di alto livello in entrambe le amministrazioni. I rapporti diplomatici tra il Kurdistan e i paesi occidentali, insieme alle riserve petrolifere della regione, rendono l’area un obiettivo particolarmente interessante per gruppi affiliati all’Iran, intenzionati a spiare e potenzialmente manipolare questi rapporti. In Iraq, questi attori operano molto probabilmente per contrastare l’influenza occidentale seguita all’invasione e all’occupazione statunitense.
Nel 2023, ESET aveva già scoperto che BladedFeline aveva colpito funzionari diplomatici curdi con la backdoor Shahmaran, e ne aveva riportato le attività negli APT Activity Report. Il gruppo è attivo almeno dal 2017, anno in cui aveva compromesso funzionari del Governo Regionale del Kurdistan. Non è l’unico sottogruppo di OilRig monitorato da ESET: tra gli altri, anche Lyceum — noto anche come HEXANE o Storm-0133 — è sotto osservazione. Lyceum si concentra su diversi obiettivi israeliani, tra cui enti governativi locali e organizzazioni sanitarie.
Secondo ESET, BladedFeline continuerà a sviluppare i propri tool al fine di mantenere e ampliare l’accesso agli ambienti già infiltrati a fini di cyberspionaggio.
Per un’analisi tecnica approfondita degli strumenti usati da BladedFeline nell’ambito dell’Operazione RoundPress, si rimanda al blogpost di ESET Research “Whispering in the dark”, disponibile su WeLiveSecurity.com. Per rimanere aggiornati sulle ultime novità è possibile seguire ESET Research su X (precedentemente noto come Twitter), BlueSky e Mastodon.
