Un gruppo di cybercriminali legato all’Iran, identificato come Nasir Security, ha rivendicato attacchi contro Dubai Petroleum, CC Energy Development in Oman e una società irachena del settore oil & gas. Secondo Resecurity, azienda specializzata in threat intelligence, i dati pubblicati come prove non provengono direttamente dalle organizzazioni citate, ma da fornitori e appaltatori terzi. Il gruppo ha dichiarato di aver sottratto oltre 827 GB di dati complessivi, una cifra che gli analisti giudicano sovrastimata. Le rivendicazioni sono state pubblicate il 13 marzo 2026, dopo oltre cinque mesi di silenzio dall’ultima attività documentata.
Attacchi alla filiera, non alle aziende bersaglio
Nasir Security ha adottato una tattica ricorrente nel panorama dello spionaggio industriale collegato a Tehran: anziché colpire direttamente le grandi compagnie energetiche, compromette i loro fornitori — aziende di ingegneria, sicurezza e costruzioni — per poi presentare i documenti sottratti come prove di un’intrusione nelle organizzazioni principali. Questa impostazione consente al gruppo di amplificare l’impatto percepito delle proprie azioni senza doverne sostenere i costi tecnici.
I metodi operativi documentati da Resecurity includono spear phishing, compromissione della posta elettronica aziendale (BEC), impersonificazione e accesso non autorizzato ad applicazioni pubbliche. I dati vengono poi esfiltrati da servizi cloud con configurazioni di sicurezza insufficienti. Nel caso di Al-Safi Oil Company in Arabia Saudita — aggiunta alla lista delle vittime il 21 marzo 2026 — la fonte effettiva della violazione sarebbe un fornitore di sistemi antincendio e attrezzature di sicurezza.
I documenti acquisiti, pur provenendo da terze parti, sono autentici: includono schemi tecnici, contratti, rapporti di valutazione del rischio. Per gli analisti, questo materiale può essere utilizzato per pianificare attacchi fisici a infrastrutture critiche, identificare componenti difficili da sostituire e individuare vulnerabilità nella catena di fornitura globale. I file trafugati possono essere anche reimpiegati come allegati contenenti codice malevolo in attacchi successivi.
Identità multiple e propaganda
Nasir Security ha cambiato denominazione più volte in pochi mesi. Al debutto, nell’ottobre 2025, si era autoproclamato “Sons of Hezbollah Lebanon”. In seguito ha adottato il nome “Sons of Al-Nusayr”, dichiarando come obiettivi “bersagli americani, israeliani e sionisti in tutta la regione”. Nell’annuncio più recente ha usato la denominazione “Al-Nasir Resistance”. La retorica antisemita è costante nei comunicati e viene utilizzata, secondo Resecurity, anche per alimentare polarizzazione sociale attraverso i canali digitali.
L’attribuzione diretta al governo iraniano rimane non confermata. Resecurity indica la presenza di membri provenienti da più regioni con ideologia filoiraniana, non necessariamente affiliati direttamente a Hezbollah. Il gruppo potrebbe includere mercenari reclutati per operazioni offensive. Il primo attacco documentato — nell’ottobre 2025 contro Taldor, importante azienda IT israeliana — ha prodotto effetti contenuti: l’accesso è stato rilevato e bloccato nelle fasi iniziali, senza impatti confermati su terze parti.
Il sito di pubblicazione dei dati (Data Leak Site) è raggiungibile sia su rete clearnet che tramite TOR. Il dominio nasir.cc è stato registrato il 4 ottobre 2025 tramite Namecheap, registrar che accetta pagamenti in criptovaluta.
Il contesto geopolitico e i rischi residui
L’attività di Nasir Security si inserisce in un quadro più ampio di operazioni cyber attribuite all’Iran o ai suoi proxy nel corso del conflitto in corso. Resecurity monitora diversi access broker e cybercriminali ingaggiati da Tehran per acquisire accessi e potenziare le capacità offensive nel cyberspazio. L’obiettivo dichiarato è colpire il settore energetico del Golfo — già sotto pressione per via delle tensioni nello Stretto di Hormuz e degli attacchi a infrastrutture fisiche nei Paesi del GCC.
Nonostante le affermazioni esagerate sulle quantità di dati sottratti, il rischio non è trascurabile. Documenti tecnici autentici nelle mani di attori ostili rappresentano un vantaggio informativo che può essere sfruttato per pianificare azioni future. Resecurity prevede un aumento di operazioni di influenza, false flag e campagne psicologiche legate all’escalation del conflitto con l’Iran.
