Cybercrime globale tra shutdown, arresti e breach sistemici: cosa sta cambiando davvero

0

Tudou Guarantee è al centro di una fase di transizione critica del cybercrime globale, segnata dallo shutdown del marketplace illecito, dall’arresto di un access broker giordano, dall’attacco ransomware a Ingram Micro e dalla breach dati che ha colpito CIRO, con un filo conduttore chiaro: le infrastrutture criminali vengono colpite, ma l’ecosistema resta resiliente e pronto a riconfigurarsi.

Shutdown di Tudou Guarantee e riorganizzazione dell’economia scam

Lo shutdown operativo di Tudou Guarantee, rilevato dagli analisti blockchain di Elliptic, rappresenta uno dei colpi più rilevanti inferti all’economia scam basata su criptovalute degli ultimi anni. Tudou Guarantee ha cessato le transazioni sui canali Telegram pubblici dopo aver processato oltre 11 miliardi di euro in operazioni illecite, posizionandosi storicamente come terzo marketplace criminale per volume.

La piattaforma operava come servizio di “guarantee marketplace”, un’infrastruttura di escrow e intermediazione che consentiva la compravendita di dati personali rubati, accessi compromessi, servizi di riciclaggio e strumenti avanzati per frodi digitali, inclusi tool per face swapping e voice cloning utilizzati in campagne di impersonation e deepfake. L’ecosistema Tudou era strettamente connesso ad altri marketplace come HuiOne Guarantee e Xinbi Guarantee, che complessivamente hanno processato oltre 32 miliardi di euro in USDT.

Il rafforzamento di Tudou è stato accelerato dalla migrazione di mercanti dopo la chiusura massiva di canali HuiOne su Telegram, seguita all’acquisizione di circa il 30% di Tudou Guarantee nel dicembre 2024. Secondo Chainalysis, nel solo 2024 i vendor legati a infrastrutture scam hanno ricevuto circa 344,7 milioni di euro, con una crescita impressionante dei servizi AI-based, aumentati di oltre il 1.900% dal 2021.

Il blocco delle attività di Tudou appare direttamente collegato alle azioni di law enforcement contro il Prince Group e all’arresto del suo CEO Chen Zhi, estradato in Cina con accuse legate a schemi di investimento fraudolenti su larga scala e a reti di forced labour nel Sud-est asiatico, spesso associate a truffe di tipo romance baiting o pig butchering. Dopo l’arresto, Elliptic ha osservato un crollo netto delle transazioni sui wallet amministrativi di Tudou, segnale di una disruption reale, anche se probabilmente temporanea.

Access broker giordano arrestato: colpito un nodo chiave della supply chain criminale

In parallelo, il Dipartimento di Giustizia statunitense ha annunciato la colpevolezza di Feras Khalil Ahmad Albashiti, cittadino giordano estradato dalla Georgia, che ha ammesso di aver venduto accessi iniziali a oltre 50 reti aziendali. Operando con alias come r1z, Albashiti rappresentava una figura chiave dell’ecosistema cybercrime: l’access broker.

Questi intermediari forniscono credenziali e punti di ingresso già compromessi a gruppi ransomware e attori di spionaggio, abbattendo drasticamente i costi e i tempi degli attacchi. Albashiti è stato identificato nel maggio 2023 su forum underground e arrestato dopo aver venduto accessi a un agente undercover in cambio di criptovalute. La sentenza, prevista per maggio 2026, prevede fino a 10 anni di carcere e sanzioni economiche significative.

Colpire gli access broker significa interrompere la catena di approvvigionamento del ransomware, una strategia che le autorità stanno adottando sempre più spesso, come dimostrato anche da casi analoghi legati a gruppi come Yanluowang e Storm-0249.

Ransomware Ingram Micro: 42.000 persone colpite e 3,5 TB sottratti

Il settore enterprise resta però estremamente vulnerabile, come dimostra il caso Ingram Micro. Il colosso della distribuzione IT ha confermato un attacco ransomware avvenuto nel luglio 2025 che ha esposto i dati personali di oltre 42.000 individui, tra dipendenti e candidati.

L’incidente, notificato alle autorità statunitensi, ha comportato il furto di documenti contenenti nomi, contatti, date di nascita, numeri di Social Security, documenti di identità e informazioni occupazionali. L’attacco ha causato anche un outage massivo dei sistemi interni, costringendo parte del personale a operare in modalità remota.

Secondo fonti di settore, il gruppo ransomware SafePay ha rivendicato l’operazione, dichiarando di aver sottratto 3,5 TB di dati e inserendo Ingram Micro nel proprio portale di leak sul dark web. SafePay, attivo dal 2024, è rapidamente emerso come uno dei gruppi più aggressivi del 2025, riempiendo il vuoto lasciato da operazioni smantellate come LockBit e BlackCat, con tattiche di double extortion sempre più raffinate.

Breach CIRO: esposti i dati di 750.000 investitori canadesi

Sul fronte istituzionale, la breach che ha colpito CIRO segna uno dei peggiori incidenti di sicurezza mai registrati nel settore finanziario canadese. L’organizzazione, nata nel 2023 come pilastro della regolamentazione degli investimenti, ha confermato l’esposizione dei dati di circa 750.000 investitori.

L’incidente, rilevato nell’agosto 2025 e chiuso forensicamente solo nel gennaio 2026 dopo oltre 9.000 ore di indagine, ha comportato l’esfiltrazione di informazioni altamente sensibili, tra cui date di nascita, numeri di telefono, reddito annuale, numeri di assicurazione sociale, documenti governativi e dettagli su account di investimento. CIRO ha precisato che non sono state compromesse credenziali di accesso, ma ha comunque attivato servizi gratuiti di monitoraggio del credito e protezione dell’identità per due anni.

L’assenza di evidenze di misuse immediato non riduce la gravità dell’impatto: l’esposizione di dati finanziari e identificativi a lungo termine aumenta il rischio di frodi future e mina la fiducia in un ente regolatorio centrale.

Un ecosistema sotto pressione, ma tutt’altro che sconfitto

Questi eventi delineano un quadro complesso. Da un lato, le autorità colpiscono nodi strategici del cybercrime, come Tudou Guarantee e gli access broker, e ottengono risultati concreti, inclusi sequestri per oltre 367 milioni di euro legati a schemi di pig butchering negli Stati Uniti. Dall’altro, la rapidità con cui marketplace alternativi riemergono e gruppi ransomware si riorganizzano dimostra una resilienza strutturale dell’ecosistema criminale.

La mancanza di interventi sistemici da parte di piattaforme come Telegram, la persistenza di vulnerabilità nelle supply chain tecnologiche e l’enorme valore dei dati finanziari continuano ad alimentare un mercato che si adatta più velocemente delle contromisure.

Il cybercrime globale non è in ritirata, ma in fase di riallineamento, e i professionisti della sicurezza si trovano di fronte a una sfida sempre più ibrida, dove blockchain, ransomware, frodi finanziarie e infrastrutture legittime si intrecciano in modo inseparabile.

Domande frequenti su Tudou Guarantee e il cybercrime globale