Sommario
Il mercato darknet occidentale continua a vacillare sotto i colpi delle instabilità interne e delle pressioni dell’enforcement globale. A luglio 2025, Abacus Market scompare improvvisamente con i fondi degli utenti, confermando i timori di un exit scam dopo settimane di prelievi bloccati e anomalie sistemiche. Parallelamente, il panorama del cybercrime assiste all’emergere di Global Group, una piattaforma ransomware-as-a-service avanzata che integra negoziazione automatizzata tramite intelligenza artificiale e un pannello affiliati completo, promettendo guadagni elevati per gli attori malevoli.
Questi eventi non sono scollegati, ma rappresentano due facce della stessa tendenza: consolidamento degli attori criminali, aumento della sofisticazione e migrazione verso modelli più flessibili e decentralizzati. Le autorità, dal canto loro, cambiano approccio, preferendo operazioni silenziose per ottenere intelligence approfondita, piuttosto che sequestri pubblici. In questo contesto, le aziende diventano il bersaglio privilegiato, e i rischi crescono.
Il probabile exit scam di Abacus Market
Abacus Market, uno dei marketplace più noti della darknet occidentale, ha cessato ogni attività all’inizio di luglio 2025. Secondo TRM Labs, gli operatori hanno deliberatamente disattivato le infrastrutture visibili online, compiendo un exit scam ben orchestrato. I primi segnali risalgono alla fine di giugno, quando numerosi utenti iniziano a segnalare problemi nei prelievi. L’amministratore, noto con lo pseudonimo Vito, attribuisce i ritardi a un afflusso anomalo di utenti provenienti dal defunto Archetyp Market e ad attacchi DDoS sul forum Dread.
I numeri evidenziano un crollo verticale della fiducia. Tra il 1° e il 27 giugno 2025, i depositi giornalieri raggiungevano in media 211.000 euro distribuiti su 1.400 transazioni. Dopo il 28 giugno, questi valori precipitano a 11.900 euro su appena 100 depositi. Nato nel 2021 come Alphabet Market, e successivamente ribattezzato, Abacus si era posizionato come punto di riferimento per il traffico di droghe in Australia, in particolare stimolanti e oppioidi, supportando transazioni sia in Bitcoin che in Monero.
Il volume stimato delle vendite su base Bitcoin sfiora i 91,7 milioni di euro, mentre con Monero si stima un totale tra 275 e 367 milioni di euro. Dopo la chiusura di ASAP e Incognito, la quota di mercato occidentale di Abacus era salita dal 10% del 2022 al 70% nel 2024, con un picco di vendite mensili pari a 5,78 milioni di euro registrato proprio a giugno, all’indomani del sequestro di Archetyp.
Il collasso di Abacus segue uno schema consolidato: sfruttare l’instabilità e il panico del settore per massimizzare i profitti prima della scomparsa definitiva. TRM Labs sta attualmente monitorando i wallet collegati agli amministratori per tracciare eventuali movimenti di criptovaluta, ma il danno agli utenti è già compiuto. La perdita dei fondi escrow, spesso irreversibile, amplifica il trauma economico e mina ulteriormente la fiducia nei confronti dell’intero ecosistema darknet occidentale.
L’instabilità crescente nei marketplace darknet occidentali
Il sequestro di Archetyp Market il 16 giugno 2025 da parte delle autorità ha generato una crisi a catena. Secondo TRM Labs, solo il 42% dei nuovi marketplace previsti nel 2024 è effettivamente andato online, a fronte di una saturazione e sfiducia crescente. Gli utenti, spinti dall’insicurezza, si riversano su canali più diretti come Telegram, mentre i venditori preferiscono spostarsi su shop indipendenti, meno esposti ai takedown.
In parallelo, l’adozione di Monero come criptovaluta esclusiva è cresciuta: nel 2024, la metà dei nuovi mercati ha scelto Monero-only, rendendo ancora più difficile la tracciabilità delle transazioni. La strategia delle forze dell’ordine si adatta, puntando meno sui sequestri plateali e più su operazioni silenziose, come quella che ha colpito Abacus.
Il mercato occidentale appare sempre più fragile e vulnerabile agli scam interni. Con la migrazione verso canali alternativi e con la crescente enfasi sulla privacy, gli investigatori si affidano a blockchain analysis e cooperazione internazionale per mantenere il controllo. Eppure, la resilienza dei mercati russi, che assorbono il 97% dei ricavi globali dal traffico di droga dopo la chiusura di Hydra nel 2022, dimostra che la geografia del cybercrime si sta spostando a est.
L’emergere di Global Group come RaaS
In questo contesto, Global Group rappresenta il volto più avanzato e strutturato del cybercrime organizzato. Identificato da EclecticIQ come una nuova piattaforma ransomware-as-a-service, il gruppo opera con altissima sofisticazione ed è collegato con alta confidenza al gruppo Mamona RIP, precedentemente attivo nella stessa arena.
Il gruppo offre ai propri affiliati un pannello interattivo, la possibilità di costruire payload personalizzati, funzioni di crittografia selettiva, e un sistema di negoziazione AI-driven per gestire automaticamente le comunicazioni con le vittime. Il modello di affiliazione è estremamente incentivante: gli attori guadagnano fino all’85% dei riscatti, rendendo la piattaforma molto attraente per cybercriminali di medio livello.
Il modus operandi è preciso. L’attore conosciuto come $$$ acquista accessi remoti da broker, utilizzando RDP, webshell, VPN compromise o exploit su Fortinet, Cisco e Palo Alto. Una volta penetrata la rete, esegue esfiltrazione di dati sensibili e procede alla crittografia dei file per estorcere denaro in due fasi: data leak e blocco operativo.
Tra i bersagli più frequenti ci sono studi legali, aziende dotate di SAP NetWeaver su Linux, e organizzazioni con AV tradizionali e difese insufficienti. EclecticIQ ha identificato mutex condivisi tra Mamona RIP e Global Group, confermando la continuità operativa e la riutilizzazione di codice malevolo.
Le implicazioni per la cybersecurity globale
Il caso Abacus Market e l’ascesa di Global Group rivelano un cambiamento profondo nel panorama del cybercrime globale. Da una parte, la darknet occidentale si sgretola sotto il peso di exit scam ripetuti, con un impatto devastante su decine di migliaia di utenti e centinaia di milioni di euro in fondi perduti. Dall’altra, le piattaforme RaaS come Global Group segnano una nuova era: quella degli attacchi automatizzati, scalabili, e sostenuti da intelligenza artificiale.
TRM Labs e EclecticIQ prevedono che queste tendenze si intensificheranno nel 2025. Le aziende dovranno rafforzare le proprie difese perimetrali, adottare sistemi AV avanzati e aggiornare in modo sistematico le patch sui dispositivi edge come Fortinet, per prevenire exploit zero-day. Nel frattempo, l’enforcement globale intensifica l’uso di blockchain intelligence e modelli AML/KYC per tracciare fondi e collaborare a livello transnazionale.
Il quadro che emerge è quello di un cybercrimine sempre più ibrido, distribuito e intelligente, dove il confine tra darknet, Telegram, RaaS e crimine opportunistico si fa sempre più sottile. I rischi sono alti, ma anche le possibilità di difesa stanno evolvendo. La sfida ora è anticipare, non solo reagire.
