Il 1 luglio 2025 il canale Telegram “APT IRGC” ha pubblicato l’archivio Pegasus-prv.zip (390 MB) rivendicando una fuga di materiale sullo spyware Pegasus di NSO Group. APT IRGC (Advanced Persistent Threat – Islamic Revolutionary Guard Corps) è un acronimo per identificare gruppi di cyber-spionaggio legati all’Iran, ritenuti affiliati o controllati direttamente dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Questi gruppi operano principalmente con finalità politiche, militari e di sorveglianza interna/esterna, e sono responsabili di campagne offensive contro infrastrutture critiche, oppositori politici, e governi stranieri.

Nota: Il nome “APT IRGC” non si riferisce a un singolo gruppo tecnico ma a una famiglia di operatori con affiliazione comune al settore cyber militare iraniano.

Nel giro di poche ore vx-underground – archivio di riferimento per i ricercatori di malware – ha esaminato il dump, liquidandolo come «FAKE AS ALWAYS» x.com.

L’obiettivo di questo report è mostrare, con dati alla mano, perché il pacchetto non contiene Pegasus ma soltanto malware generico e documentazione commerciale già nota.

2 File three

2.1 Contenuto di Pegasus-prv.zip

Nota Il PDF “NSO-Pegasus” è un brochure di prodotto già trapelata anni fa (versione Pegasus Product Description Oct-2013).

2.2 Focus su Pegasus_malware.zip

Dallo zip secondario abbiamo estratto cinque campioni nominati come hash (nessuna estensione):

Nessuno di questi file è correlato allo spyware NSO; sono semplici payload/loader mainstream usati in campagne Android o Java RAT.

3 Analisi tecnica dettagliata

4 Debunking di vx-underground

• Verifica firma: i campioni non coincidono con SHA-256 noti nei report Citizen Lab su Pegasus.
• Composizione del dump: miscela di RAT Windows, APK Android, README di un ricercatore indipendente (Jonathan Scott) già fonte di controversie.
• Conclusione: il leak è una “franken-collezione” di materiale pubblico usata per propaganda anti-israeliana. x.com

5 Rischio per la community

il file APK: 144778790d4a43a1d93dff6b660a6acb3a6d37a19e6a6f0a6bf1ef47e919648e

risulta malevolo su varie sandbox:

virustotal.com/gui/file/144778…

bazaar.abuse.ch/sample/1447787…

La data di prima sottomissione risulta piuttosto datata, elemento che rafforza l’ipotesi di una manipolazione e riutilizzo di un malware preesistente.

6 Conclusioni

Il pacchetto Pegasus-prv.zip non contiene né exploit zero-click né codice proprietario NSO.
È un collage di:

1. Vecchio materiale marketing (privo di valore operativo).
2. Malware commodity (APK/JAR/RAT) rinominato per sembrare sofisticato.

La narrativa di “APT IRGC” è quindi da classificare come operazione di disinformazione a sfondo politico, con un potenziale rischio di infezione per chi analizza il dump senza sandbox.

L'articolo Falso leak Pegasus: nessun codice NSO, solo RAT e propaganda proviene da il blog della sicurezza informatica.