Sommario
Le operazioni anti-cybercrime e gli abusi dell’intelligenza artificiale emergono come due vettori centrali nelle minacce alla sicurezza informatica globale. Interpol ha portato a termine l’operazione Serengeti 2.0, con oltre 1200 arresti in Africa e sequestri per quasi 100 milioni di euro, mentre negli Stati Uniti tribunali e forze dell’ordine hanno inflitto condanne a membri di Scattered Spider e sviluppatori di malware interni alle aziende. Parallelamente, la diffusione incontrollata di strumenti AI-as-a-service viene sfruttata per creare campagne di phishing e malware sempre più sofisticate, mentre nuove tecniche come i redirect ADFS permettono di aggirare i controlli Microsoft. La somma di questi eventi mostra un panorama in cui arresti, sequestri di botnet e processi giudiziari riducono la capacità di azione dei cybercriminali, ma non fermano la proliferazione di nuove tattiche supportate da automazione, social engineering e abusi AI.
Operazione Serengeti 2.0 e arresti in Africa
Interpol ha annunciato il successo dell’operazione Serengeti 2.0, condotta tra giugno e agosto 2025, che ha portato a 1209 arresti in 18 paesi africani e nel Regno Unito. L’operazione ha smantellato 11.432 infrastrutture malevole collegate a ransomware, frodi online e schemi di business email compromise, con un impatto diretto su oltre 87.000 vittime in tutto il mondo. Sono stati sequestrati beni e contanti per un valore di 97,4 milioni di euro, inclusi 25 centri illegali di mining crypto in Angola gestiti da cittadini cinesi. In Zambia le autorità hanno neutralizzato una truffa di investimento in criptovalute da 300 milioni di euro, arrestando 15 persone e sequestrando domini e conti correnti. L’operazione ha anche rivelato intrecci tra cybercrime e traffico di esseri umani, con centinaia di passaporti falsi confiscati. I risultati superano le precedenti operazioni Red Card e Serengeti, confermando il ruolo crescente dell’Africa come hub di minacce digitali.
Condanne per sabotaggio aziendale e kill-switch
Il caso di Davis Lu, ex-sviluppatore cinese residente in Texas, dimostra la pericolosità degli insider threats. Dopo essere stato retrocesso, Lu ha introdotto nel network del suo ex-datore di lavoro, Eaton Corporation, un kill-switch capace di bloccare gli accessi globali collegandosi ad Active Directory. Il 9 settembre 2019 il codice malevolo ha causato gravi interruzioni, con perdite per centinaia di migliaia di euro. Condannato a 4 anni di carcere, Lu dovrà anche scontare 3 anni di libertà vigilata. Dal punto di vista tecnico, il malware usava loop infiniti in Java per sovraccaricare i server, cancellava volumi criptati e cercava di eludere i controlli forensics. Il caso sottolinea la necessità di politiche di offboarding e monitoraggio più rigorose per ex-dipendenti con privilegi elevati.
Sentenza per hacker Scattered Spider
Il 20enne Noah Michael Urban, membro del gruppo Scattered Spider, è stato condannato a 10 anni di prigione per una campagna di SIM swapping che ha generato oltre 13 milioni di euro di perdite tra il 2022 e il 2023. Urban, arrestato a gennaio 2024, ha ammesso frode informatica e furto d’identità aggravato. I fondi rubati sono stati in gran parte spesi in attività di gambling. Scattered Spider, noto anche come 0ktapus o UNC3944, si è distinto per attacchi contro MGM Resorts, Twilio e Coinbase, combinando tecniche di vishing e MFA bombing. La condanna rappresenta un tentativo di deterrenza contro una generazione di cybercriminali giovanissimi, spesso legati a collettivi più ampi come ShinyHunters e Lapsus$.
Accuse per botnet RapperBot e DDoS
Il Dipartimento di Giustizia USA ha incriminato il 22enne Ethan Foltz, ritenuto responsabile della gestione del botnet RapperBot, derivato da Mirai. Tra aprile e agosto 2025, la botnet ha condotto oltre 370.000 attacchi DDoS in 80 paesi, con picchi di traffico fino a 6 Tbps. RapperBot, che infettava DVR e router tramite brute-force SSH/Telnet, era usato sia per campagne di estorsione sia per mining di criptovalute. Le autorità hanno sequestrato l’infrastruttura durante un raid il 6 agosto nell’ambito dell’operazione PowerOFF, sostenuta da provider come AWS e Cloudflare. Il caso dimostra come il fenomeno del DDoS-for-hire resti un mercato vivo, nonostante i sequestri periodici.
Abusi del builder AI Lovable per phishing
Il website builder AI Lovable è finito sotto osservazione dopo essere stato abusato per la creazione di siti di phishing e malware dropper. Proofpoint ha segnalato migliaia di URL generati con Lovable inseriti in campagne email malevole dal febbraio 2025. Tra queste, una truffa Tycoon ha colpito 5000 organizzazioni rubando credenziali Microsoft, mentre un falso tracking UPS ha esfiltrato dati di pagamento via Telegram. Anche il malware zgRAT è stato distribuito tramite siti creati con il builder AI. Lovable ha introdotto sistemi di detection in tempo reale e bloccato oltre 1000 progetti malevoli, ma le campagne dimostrano come la democratizzazione degli strumenti AI faciliti i criminali nello sviluppo di infrastrutture fraudolente.
Tecniche phishing con redirect ADFS Microsoft
Una nuova tecnica di phishing sfrutta i redirect legittimi ADFS (Active Directory Federation Services) per rubare credenziali Microsoft 365. Secondo Push Security, gli attacchi iniziano da annunci Google compromessi che portano a siti office.com manipolati. L’uso di ADFS configurati in tenant controllati dai criminali permette di eludere i sistemi di sicurezza, mostrando interfacce autentiche agli utenti target. Microsoft consiglia alle organizzazioni di monitorare con attenzione i log dei redirect e di limitare l’uso di ADFS, promuovendo invece Azure AD.
Impersonation as a service e social engineering
Il fenomeno dell’impersonation as a service cresce rapidamente, con forum underground che offrono “pacchetti” completi di tecniche, script e coaching per campagne di social engineering. ReliaQuest ha osservato nel 2025 un raddoppio delle richieste di cybercriminali anglofoni, con Scattered Spider e ShinyHunters tra i principali utilizzatori. L’uso dell’IA abbassa ulteriormente la barriera di ingresso, consentendo a gruppi meno esperti di replicare tattiche complesse tipiche degli APT, come reconnaissance mirata ed escalation di privilegi.
