Chi sono Gonjeshke Darande? Gli hacker dietro il più grande furto di criptovalute in Iran

La guerra tra Israele e Iran si è spostata sulla blockchain questa settimana, dopo che un gruppo di hacker filo-israeliano chiamato Gonjeshke Darande ha sfruttato il più grande exchange di criptovalute dell'Iran, Nobitex, per rubare quasi 90 milioni di dollari.

Il gruppo ha poi bruciato tutti i fondi, inquadrando l'attacco come un tentativo politicamente motivato di ostacolare la capacità dell'Iran di eludere le sanzioni tramite criptovalute. Ma chi è Gonjeshke Darande?

Tutto quello che c'è da sapere sul misterioso "passero predatore"

Gonjeshke Darande , o Predatory Sparrow , è un gruppo di cyberattacchi altamente sofisticato e motivato politicamente. Analisti della sicurezza e funzionari governativi ritengono che abbiano forti legami con Israele.

I loro attacchi prendono di solito di mira le infrastrutture iraniane, i sistemi finanziari e le entità legate al governo .

Sebbene Israele non abbia rivendicato ufficialmente la responsabilità delle operazioni di Gonjeshke Darande, le società di sicurezza e le comunità di intelligence ritengono generalmente che il gruppo sia affiliato a Israele.

Ciò è dovuto ai loro obiettivi, ai loro metodi e ai loro messaggi apertamente politici .

Significato del nome "Gonjeshke Darande"

• In persiano , "Gonjeshke Darande" si traduce letteralmente in " Passero predatore ".
• Il termine simboleggia un uccello piccolo ma feroce, capace di sferrare attacchi a sorpresa, una metafora appropriata per un gruppo di hacker che conduce attacchi informatici improvvisi e mirati.
• La scelta di un nome prettamente iraniano serve probabilmente sia a prendere in giro le difese di sicurezza informatica iraniane, sia a inviare un messaggio simbolico direttamente al regime iraniano.

Storia degli attacchi informatici legati a Gonjeshke Darande

Gonjeshke Darande ha una storia relativamente breve ma significativa di operazioni informatiche di impatto, principalmente contro le infrastrutture e i sistemi finanziari iraniani:

Giugno 2025: attacco all'exchange di criptovalute Nobitex

Come riportato da BeInCrypto, il gruppo ha hackerato il principale exchange di criptovalute dell'Iran , Nobitex.

I fondi sono stati trasferiti su portafogli virtuali con messaggi contro le Guardie della Rivoluzione Islamica (IRGC), rendendo le criptovalute permanentemente inaccessibili.

Inoltre, l'Occidente sospettava che Nobitex fosse coinvolta in attività di riciclaggio di denaro e di elusione delle sanzioni .

Maggio 2025: attacco alla banca Sepah

Poco prima dell'attacco Nobitex, Gonjeshke Darande ha compromesso i sistemi della Bank Sepah , una banca statale iraniana.

In particolare, hanno interrotto i servizi bancari e diffuso dati finanziari sensibili online. L'obiettivo era quello di rivelare le transazioni finanziarie del governo iraniano e interrompere le attività economiche sostenute dallo Stato.

Ottobre 2022: attacchi alle acciaierie iraniane

• Gonjeshke Darande aveva già attirato notevole attenzione internazionale dopo aver attaccato tre importanti acciaierie iraniane: Khuzestan Steel Company, Mobarakeh Steel Company e Hormozgan Steel Company.
• Hanno rivendicato pubblicamente la responsabilità, diffondendo un filmato che mostrava le acciaierie in fiamme, causando danni fisici ed economici e imbarazzo per l'Iran.

Luglio 2021: attacco alle ferrovie iraniane

• Il gruppo ha hackerato i sistemi informatici digitali delle ferrovie iraniane, causando ritardi e disagi ai treni e affiggendo messaggi beffardi sui tabelloni pubblicitari in tutto il Paese.
• Questo attacco ha umiliato i responsabili della sicurezza informatica iraniani e ha dimostrato la volontà del gruppo di prendere di mira infrastrutture civili critiche.

Impronte e tattiche digitali

Il gruppo mantiene un basso profilo pubblico, ma in particolare pubblica video, siti web e messaggi online di alta qualità in cui rivendica la responsabilità. Le loro impronte digitali includono spesso:

• Portafogli virtuali e deturpazione : gli aggressori utilizzano indirizzi virtuali crittografici contenenti messaggi politici contro il regime iraniano.
• Social media e messaggistica Telegram : pubblicano spesso annunci, video e documenti trapelati tramite canali Telegram anonimi, condividendo la prova delle operazioni riuscite.
• Pubblicazioni video di qualità professionale : a differenza dei tipici gruppi di hacker anonimi, Gonjeshke Darande pubblica video montati professionalmente che mostrano i risultati degli attacchi informatici, alludendo a un notevole sostegno finanziario e a una sofisticatezza operativa.

Attribuzione e collegamenti al governo statale

L'azienda di sicurezza informatica SentinelOne e gruppi di analisi come Check Point Research hanno suggerito che Israele potrebbe essere il probabile sponsor statale dietro Gonjeshke Darande.

Tuttavia, Israele non ha né confermato né smentito queste affermazioni.

L'Iran accusa ufficialmente Israele e il Mossad, l'agenzia di intelligence israeliana, di aver orchestrato questi attacchi informatici. Ma, ancora una volta, non ci sono prove tangibili di queste accuse.

Gli esperti di sicurezza informatica prevedono che Gonjeshke Darande continuerà a lanciare attacchi informatici di grande impatto contro obiettivi iraniani, soprattutto se le tensioni geopolitiche continueranno ad aumentare.

È preoccupante che gli exchange di criptovalute e le banche collegate allo Stato iraniano continuino a essere i principali potenziali obiettivi.

Grazie alle capacità e alle risorse avanzate del gruppo, gli analisti della sicurezza informatica ne monitorano attentamente le attività a livello globale.

Nel complesso, se l' attuale conflitto dovesse durare più a lungo , potrebbe avere implicazioni più ampie sulla guerra informatica e sui conflitti digitali sponsorizzati dagli Stati.

L'articolo "Chi sono Gonjeshke Darande? Gli hacker dietro il più grande furto di criptovalute in Iran" è apparso per la prima volta su BeInCrypto .