RedVDS è stato smantellato dopo un’azione legale coordinata guidata da Microsoft che ha coinvolto, per la prima volta insieme, Stati Uniti e Regno Unito, con il supporto di autorità europee e di Europol, interrompendo un servizio cybercrime-as-a-service che ha generato oltre 36 milioni di euro di perdite per frodi solo negli Stati Uniti dal 2025.
L’operazione ha portato al sequestro dei domini principali e dell’infrastruttura che alimentava RedVDS, un marketplace globale in abbonamento che per circa 22 euro al mese forniva ai criminali informatici accesso a computer virtuali usa e getta, utilizzati per phishing su larga scala, frodi BEC e truffe immobiliari sempre più sofisticate, spesso potenziate dall’uso di intelligenza artificiale generativa.
Cosa leggere
Cos’è RedVDS e perché rappresentava una minaccia sistemica
RedVDS non era un semplice servizio di hosting, ma un tassello centrale dell’ecosistema cybercrime-as-a-service, un modello industriale in cui le infrastrutture criminali vengono vendute come abbonamenti, abbassando drasticamente la barriera di ingresso per aspiranti truffatori. Microsoft lo descrive come un servizio online che offriva macchine virtuali economiche, anonime e facilmente sostituibili, spesso basate su software Windows non licenziato, progettate per operare oltre i confini nazionali e sfuggire rapidamente alle attività di contrasto.
Queste macchine venivano impiegate per l’invio massivo di email di phishing, per l’hosting di siti malevoli e per la gestione di campagne fraudolente complesse. In un solo mese, oltre 2.600 macchine virtuali RedVDS sono state osservate mentre inviavano circa un milione di messaggi di phishing al giorno diretti esclusivamente a clienti Microsoft. Anche se la maggior parte veniva intercettata dai sistemi di sicurezza, il volume elevatissimo garantiva comunque un numero sufficiente di messaggi capaci di raggiungere le vittime.
Dal settembre 2025, attività riconducibili a RedVDS hanno contribuito alla compromissione o all’accesso fraudolento di oltre 191.000 organizzazioni nel mondo. I paesi più colpiti, in termini di account email compromessi, includono Stati Uniti, Canada, Regno Unito, Francia e India, a dimostrazione di una diffusione realmente globale.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
L’integrazione dell’intelligenza artificiale nelle frodi
Uno degli aspetti più allarmanti di RedVDS è stato il suo ruolo nell’accelerare l’adozione dell’IA generativa all’interno delle frodi. Microsoft ha documentato centinaia di casi in cui i criminali utilizzavano strumenti di intelligenza artificiale per identificare rapidamente target ad alto valore, analizzando dati pubblici e informazioni contestuali, e per generare email multimediali estremamente realistiche, capaci di imitare lo stile di comunicazione di persone reali.
In molte campagne, le email generate dall’IA non erano isolate, ma inserite in thread credibili che riproducevano conversazioni autentiche. In altri casi, gli attaccanti hanno sfruttato tecniche di face-swapping, manipolazione video e clonazione vocale, inviando contenuti falsificati che raffiguravano dirigenti, agenti immobiliari o referenti aziendali riconoscibili. Questo approccio ha aumentato in modo significativo i tassi di successo delle truffe, rendendo più difficile per le vittime distinguere il falso dal reale.
RedVDS forniva anche una vera e propria dashboard per i criminali, con programmi fedeltà, bonus referral e strumenti di gestione delle campagne, incentivando l’engagement e la crescita della rete. Questo modello ha trasformato la frode in un’attività scalabile e ripetibile, con dinamiche simili a quelle di una piattaforma commerciale legittima.
Come RedVDS alimentava le frodi BEC e le truffe immobiliari
La modalità di attacco più distruttiva associata a RedVDS è stata la business email compromise (BEC), una delle forme di frode più costose a livello globale. In questi schemi, gli attaccanti ottenevano accesso non autorizzato a un account email, spesso tramite phishing, e monitoravano silenziosamente le conversazioni fino a individuare un momento critico, come un pagamento imminente o un trasferimento bancario.
A quel punto, impersonavano una parte fidata e inviavano istruzioni di pagamento fraudolente, reindirizzando fondi che potevano essere spostati in pochi secondi. RedVDS rendeva queste operazioni particolarmente efficienti grazie alla disponibilità immediata di macchine virtuali anonime, che permettevano ai criminali di pivotare rapidamente verso nuove istanze una volta individuati.
Un settore duramente colpito è stato quello immobiliare. Microsoft ha osservato attività RedVDS che hanno impattato oltre 9.000 clienti del comparto immobiliare, con un impatto particolarmente severo in paesi come Canada e Australia. In questi casi, i criminali compromettevano account di agenti immobiliari o società di escrow e inviavano email tempisticamente perfette con istruzioni di pagamento false, deviando fondi destinati a chiusure, depositi e pagamenti escrow. Per molte famiglie, soprattutto acquirenti alla prima casa, le perdite sono state devastanti.
Casi reali e impatto sulle vittime
I 36 milioni di euro di perdite attribuite a RedVDS rappresentano solo la punta dell’iceberg. Tra i casi documentati figura H2-Pharma, azienda farmaceutica con sede in Alabama, che ha perso oltre 6 milioni di euro destinati a trattamenti salvavita contro il cancro, farmaci per la salute mentale e medicinali pediatrici per allergie. In un altro episodio, la Gatehouse Dock Condominium Association in Florida è stata vittima di una truffa da circa 460.000 euro, fondi raccolti dai residenti per riparazioni essenziali.
Entrambe le organizzazioni hanno scelto di affiancare Microsoft come co-querelanti nell’azione civile, un passo significativo che ha rafforzato l’azione legale e fornito elementi concreti per collegare l’infrastruttura RedVDS ai danni subiti. Microsoft sottolinea che molte frodi non vengono nemmeno denunciate, per timore di stigma o per la difficoltà di ricostruire gli eventi, il che rende l’impatto reale di RedVDS di gran lunga superiore ai dati ufficiali.
L’azione globale di smantellamento
L’operazione contro RedVDS rappresenta un caso emblematico di risposta transnazionale al cybercrime. Oltre alle azioni legali negli Stati Uniti e nel Regno Unito, Microsoft ha collaborato con autorità tedesche, tra cui l’Ufficio del Procuratore Pubblico di Francoforte sul Meno e l’Ufficio di Polizia Criminale del Brandeburgo, e con il Centro Europeo Cybercrime di Europol (EC3) per interrompere la rete più ampia di server e sistemi di pagamento che supportavano i clienti RedVDS.
Il sequestro dei domini principali del marketplace e del portale clienti ha permesso di mettere offline l’intero servizio, creando le condizioni per identificare i soggetti coinvolti e per prevenire una rapida riemersione sotto altri nomi. Microsoft ha evidenziato come questa operazione sia parte di una strategia più ampia: si tratta infatti della 35ª azione civile intrapresa dalla sua Unità Crimini Digitali contro infrastrutture cybercrime, con l’obiettivo di colpire i servizi di base e non solo i singoli attori.
Perché lo smantellamento di RedVDS conta davvero
La chiusura di RedVDS non elimina il cybercrime, ma colpisce uno dei suoi moltiplicatori di scala. Servizi di questo tipo rendono le frodi economiche, ripetibili e accessibili anche a chi non possiede competenze tecniche avanzate. Smantellarli significa aumentare i costi operativi per i criminali, ridurre la velocità di esecuzione degli attacchi e guadagnare tempo prezioso per le difese.
Microsoft sottolinea che la lotta alle frodi non può basarsi solo sulla tecnologia. Verificare richieste di pagamento attraverso canali indipendenti, rallentare di fronte a urgenze sospette, abilitare l’autenticazione multifattore e mantenere i sistemi aggiornati restano misure fondamentali. Ogni segnalazione contribuisce a interrompere reti come RedVDS e a proteggere potenziali vittime future.
Domande frequenti su RedVDS
Cos’era RedVDS e come funzionava?
RedVDS era un servizio cybercrime-as-a-service che offriva, tramite abbonamento, computer virtuali anonimi e usa e getta utilizzati per phishing, frodi BEC e truffe immobiliari su scala globale.
Perché RedVDS era così pericoloso rispetto ad altri servizi simili?
Perché combinava infrastrutture a basso costo, anonimato, software non licenziato e integrazione con strumenti di intelligenza artificiale, rendendo le frodi più rapide, credibili e difficili da tracciare.
Che ruolo ha avuto l’intelligenza artificiale nelle frodi RedVDS?
L’IA generativa è stata usata per creare email personalizzate, imitare stili di scrittura reali, manipolare video e clonare voci, aumentando significativamente il successo delle truffe.
Lo smantellamento di RedVDS risolve il problema delle frodi online?
No, ma colpisce una delle infrastrutture chiave che rendevano le frodi scalabili. Riduce l’impatto immediato e aumenta i costi per i criminali, migliorando l’efficacia delle difese nel breve e medio periodo.
