L’Iran sembrerebbe essere entrata nel novero dei Paesi, assieme a Cina e Russia, che mirano a creare confusione informativa, e di conseguenza cognitiva, nell’elettorato dei Paesi occidentali, in particolare, degli Stati Uniti. Secondo un rapporto di threat intelligence di Microsoft Threat Analysis Center (MTAC), pubblicato l’8 agosto, gruppi di hacker iraniani, sotto il coordinamento del Governo di Teheran, hanno progettato e avviato una campagna di misinformazione per influenzare l’opinione pubblica e potenzialmente i risultati delle prossime elezioni presidenziali negli Stati Uniti previste per novembre 2024.
Le azioni degli hacker iraniani
MTAC ha riportato che i gruppi hanno usato individualmente diverse combinazioni di tattiche e tecniche per condurre due tipi di attività: in primo luogo, hanno inquadrato le principali tematiche di interesse per l’opinione pubblica nonché centrali nei programmi politici dei repubblicani e dei democratici al fine di costruire una narrativa per le campagne di influenze, le quali sono state lanciate soprattutto nei cosiddetti “swing States” al fine di suscitare polemiche e opinioni contrastanti.
In secondo luogo, le informazioni ottenute dall’analisi dell’opinioni pubbliche sono finalizzate al futuro tentativo di ingerenza durante le elezioni di novembre tramite operazioni di manipolazione mirate. Inoltre, MTAC prevede che a ridosso delle elezioni gruppi hacker iraniani possano al contempo condurre attacchi cibernetici contro le istituzioni americane e i candidati stessi per aumentare la confusione e creare un senso di assediamento “cibernetico”.
I coinvolti
I gruppi analizzati da MTAC sono quattro: Sefid Flood, Mint Sandstorm, Peach Sandstorm (APT 33), Storm-2025. Il primo gruppo, Sefid Flood, ha iniziato a preparare le operazioni di influenza sulle elezioni americane del 2024 dopo il passaggio al nuovo anno iraniano a fine marzo. Il gruppo è specializzato nell’impersonare gruppi di attivisti sociali e politici per fomentare il caos, minare la fiducia nelle autorità e seminare dubbi sull’integrità delle elezioni, MTAC riporta che le operazioni di questo gruppo possono spingersi fino all’intimidazione, al doxing (la pratica di cercare e diffondere pubblicamente online informazioni personali e private o altri dati riguardanti una persona) o all’incitamento violento nei confronti di figure politiche o gruppi sociali/politici.
Il secondo gruppo, Mint Sandstorm, gestito dall’unità di intelligence del Corpo delle guardie rivoluzionarie islamiche (IRGC), nel giugno 2024 ha inviato un’e-mail di spear-phishing a un funzionario di alto livello facente parte della campagna presidenziale di un candidato da un account compromesso di un ex consulente di livello senior. L’e-mail di phishing conteneva un falso forward con un collegamento ipertestuale che indirizzava il traffico attraverso un dominio controllato dall’attore prima di reindirizzare al vero dominio. Sempre a giugno, MTAC ha rilevato che Mint Sandstorm sembra aver tentato, senza successo, di accedere a un account appartenente a un ex candidato presidenziale.
Il terzo gruppo, Peach Sandstorm, un altro gruppo con legami accertati con l’IRGC, a maggio ha compromesso un account di un utente con autorizzazioni di accesso minime presso il governo di una contea di uno swing State. Tale compromissione faceva parte di una più ampia operazione di password spraying da parte del gruppo, ma MTAC riporta di non aver osservato alcun movimento laterale o escalation dei privilegi, rendendo difficile determinare se fosse legata alle elezioni. Ciò che potrebbe rendere plausibile l’inserimento di questa attività come operazioni mirata a influenzare l’opinione pubblica secondo MTAC è la contea presa di mira aveva affrontato una controversia legata alla razza, la quale quest’anno aveva creato scalpore mediatico a livello nazionale.
Il quarto gruppo, Storm-2035, è una rete composta da quattro siti web mascherati da testate giornalistiche, il quale sta attivamente cercando di radicalizzare l’elettorato statunitensi verso gli estremi dello spettro politico con messaggi polarizzanti su temi quali i candidati presidenziali statunitensi, i diritti LGBTQ e il conflitto Israele-Hamas. Storm-235 risulta essere attivo da almeno il 2020 e comprende oltre una dozzina di siti di notizie di lingua francese, spagnola, araba e inglese.
Siti malevoli
A proposito, nel 2022, Mandiant, l’azienda sussidiaria di cybersecurity di Google, aveva già portato alla luce l’attività di influenza malevola del sito EvenPolitics, il quale aveva pubblicato articoli che riportavano tematiche inerenti alle elezioni di midterm degli Stati Uniti del 2022. Un sito di più recente creazione, Nio Thinker, ha cominciato a pubblicare una serie di articoli a fine ottobre 2023: le prime pubblicazioni del sito si sono concentrate sul conflitto tra Israele e Hamas, ma negli ultimi mesi si sono sempre più spostate sulle elezioni americane. In particolare, i contenuti di Nio Thinker si rivolgono a un pubblico liberal-progressista e includono articoli sarcastici sul candidato Donald Trump, il suo vice JD Vance e altre personalità del Partito Repubblicano. Un altro sito, Savannah Time, sostiene di essere una “fonte affidabile di notizie conservatrici nella vibrante città di Savannah”.
Il sito si concentra molto sulla politica repubblicana e sulle questioni LGBTQ. MTAC, tuttavia, non ha ancora osservato una significativa attività di amplificazione dei propri contenuti sui social media, anche ritiene plausibile che le operazioni potrebbero iniziare al progressivo avvicinamento delle elezioni. Il MTAC ha riportato, inoltre, che sono state trovate delle prove indicanti che i suddetti siti utilizzano servizi abilitati all’intelligenza artificiale. L’esame del codice sorgente delle pagine web assieme agli indicatori presenti negli articoli stessi suggeriscono che gli operatori dei siti stiano probabilmente utilizzando plugin SEO e altri strumenti generativi basati sull’intelligenza artificiale per creare titoli di articoli, parole chiave e per riformulare automaticamente i contenuti rubati in modo da indirizzare il traffico dei motori di ricerca verso i loro siti, occultando al contempo la fonte originale dei contenuti.
L’impiego di ChatGPT
Su quest’ultima attività, il 16 agosto, OpenAI ha annunciato di aver interrotto, grazie all’attività investigativa di MTAC, bloccato una serie di account ChatGPT collegati a Storm-2035 utilizzati per generare i contenuti di misinformazione di cui sopra. OpenAI ha riportato che questa operazione non sembra aver avuto un significativo impatto, in termini di coinvolgimento, degli utenti.
La maggior parte dei post sui social media che sono stati identificati ha ricevuto pochi o nessun like, condivisione o commento. Dall’investigazione di OpenAI è emerso che Storm-20235 ha utilizzato ChatGPT per due scopi: generare articoli con una durata di lettura piuttosto lunga e accompagnarli con commenti brevi sui social media. Un primo flusso di lavoro ha generato articoli sulla politica statunitense e sugli eventi globali, i quali sono stati pubblicati su cinque siti web che si spacciavano per organi di informazione sia progressisti sia conservatori.
Un secondo flusso di lavoro ha creato brevi commenti in inglese e spagnolo, che sono stati pubblicati sui social media. OpenAI ha identificato una dozzina di account su X, sia progressisti sia conservatori, e uno su Instagram coinvolti nell’attività. Ciò che veniva richiesto ai modelli di AI generativa era di riscrivere i commenti pubblicati da altri utenti dei social media generando contenuti su diversi argomenti: principalmente, sul conflitto a Gaza, sulla presenza di Israele ai Giochi Olimpici, sulle elezioni presidenziali statunitensi, sula situazione politica in Venezuela, sui diritti delle comunità latine negli Stati Uniti e sull’indipendenza della Scozia.
