Attacco hacker a Nobitex, il principale exchange iraniano: un gruppo israeliano rivendica l’operazione e minaccia la pubblicazione di dati sensibili

Un attacco informatico di matrice geopolitica ha colpito Nobitex, il principale exchange di criptovalute dell’Iran, scatenando una nuova ondata di tensioni tra Teheran e ambienti legati a Israele. L’azione è stata rivendicata da “Predatory Sparrow”, un gruppo di hacker israeliani che nelle scorse ore ha pubblicato un comunicato in cui accusa apertamente la piattaforma iraniana di essere parte integrante della rete di finanziamento del terrorismo sostenuto dallo Stato, in particolare dai Guardiani della Rivoluzione (IRGC).

Secondo quanto riportato da più fonti internazionali, tra cui anche portali specializzati in cybersicurezza e criptovalute, gli hacker avrebbero sottratto dati sensibili riguardanti utenti, operazioni finanziarie, transazioni sospette e strutture interne di Nobitex. In un messaggio diffuso attraverso i propri canali, il gruppo ha dichiarato di avere “pieno accesso” ai sistemi dell’exchange e ha dato 24 ore di tempo prima di iniziare a diffondere i dati raccolti, a meno che non venga soddisfatta una non specificata richiesta.

Nobitex, fondato nel 2017 e con sede a Teheran, è attualmente la più grande piattaforma di trading di criptovalute in Iran, con oltre 6 milioni di utenti registrati e un volume di scambio che supera regolarmente centinaia di milioni di dollari. In un contesto economico segnato da sanzioni internazionali, inflazione e limitazioni nell’accesso ai circuiti bancari globali, la piattaforma rappresenta uno strumento fondamentale per cittadini e aziende iraniane, ma secondo alcuni osservatori è anche uno dei principali canali usati da Teheran per aggirare le restrizioni finanziarie imposte da Stati Uniti e Unione europea.

Il governo iraniano, che per il momento non ha rilasciato commenti ufficiali, è da tempo al centro di accuse per l’utilizzo delle criptovalute come strumento di elusione delle sanzioni e per la presunta triangolazione di fondi destinati a sostenere gruppi armati attivi in Medio Oriente, tra cui Hezbollah in Libano, milizie sciite in Iraq e i ribelli Houthi nello Yemen. Le autorità statunitensi, in particolare il Dipartimento del Tesoro, hanno più volte evidenziato il ruolo delle piattaforme di asset digitali nell’ecosistema finanziario alternativo iraniano, definendole “strutture ad alto rischio”.

Il gruppo “Predatory Sparrow” non è nuovo a operazioni di cybersabotaggio legate al mondo iraniano. In passato ha rivendicato diversi attacchi contro infrastrutture critiche, come centrali elettriche, linee ferroviarie e persino l’autorità aeroportuale di Teheran. Il gruppo ha una comunicazione molto curata e rivendica apertamente la volontà di colpire obiettivi militari, governativi ed economici della Repubblica islamica. Il loro stile operativo è caratterizzato da azioni tecnicamente sofisticate, comunicazioni trasversali in inglese, persiano ed ebraico, e una modalità di diffusione dei contenuti molto simile a quella delle operazioni psy-op (psychological operations).

Il contenuto dei dati sottratti a Nobitex non è stato ancora divulgato, ma secondo alcune anticipazioni si tratterebbe di centinaia di migliaia di righe di log contenenti indirizzi IP, chiavi pubbliche e hash di transazioni riconducibili ad account crittografici collegati a esponenti del regime o a soggetti terzi usati come intermediari. Si parla anche di operazioni di cambio crypto-fiat effettuate tramite circuiti anonimi o exchange esteri compiacenti. Gli hacker sostengono inoltre di aver scoperto una rete interna di conti “ombra” utilizzati per il riciclo di fondi in stablecoin e bitcoin attraverso intermediari situati tra Dubai, Mosca e Caracas.

Nobitex, in un primo comunicato ufficiale diffuso nella tarda serata di lunedì, ha riconosciuto di aver subito “una violazione temporanea dei sistemi” ma ha escluso la compromissione dei wallet e l’accesso agli asset dei clienti. L’azienda ha dichiarato di aver già attivato tutte le misure di emergenza e di aver isolato i server interessati, promettendo la piena collaborazione con le autorità competenti e con esperti di cybersicurezza per analizzare la natura dell’attacco. La società ha anche chiesto agli utenti di aggiornare le proprie credenziali e attivare la doppia autenticazione.

Il fatto che l’azione sia stata rivendicata da un gruppo legato all’intelligence israeliana e abbia colpito una struttura critica per la sopravvivenza finanziaria iraniana lascia intendere una dimensione geopolitica chiara. È l’ennesimo episodio di una guerra cibernetica non dichiarata ma ormai consolidata tra Iran e Israele, in cui attacchi ai sistemi digitali, fuga di dati e sabotaggi tecnologici sostituiscono sempre più spesso i conflitti convenzionali.

Anche l’aspetto delle criptovalute si conferma centrale nella nuova geografia dei conflitti globali. Se da un lato i crypto asset rappresentano un’opportunità di autonomia economica per paesi sottoposti a sanzioni, dall’altro diventano un canale vulnerabile, capace di attrarre le attenzioni di hacker, agenzie di intelligence e attori ostili. L’attacco a Nobitex potrebbe inoltre avere ripercussioni sul mercato interno iraniano delle criptovalute, alimentando sfiducia tra gli utenti e aumentando la pressione sulle autorità per regolamentare un settore in piena espansione ma ancora privo di standard di sicurezza adeguati.