La Cisa avverte che spyware commerciali altamente sofisticati consentono a cyber threat actors di infiltrarsi nelle comunicazioni di utenti che utilizzano applicazioni di messaggistica come WhatsApp e Signal, sfruttando tecniche di compromissione che includono phishing, codici QR malevoli, exploit zero-click e impersonificazione delle piattaforme ufficiali. L’alert del 24 novembre 2025 definisce un quadro allarmante in cui strumenti come Landfall e ClayRat colpiscono dispositivi Android e iOS con capacità di controllo remoto, estrazione delle comunicazioni cifrate e accesso persistente ai dati sensibili. Le minacce interessano attivisti, giornalisti e organizzazioni esposte alla repressione digitale transnazionale, mentre gruppi legati a Russia, Cina, Iran e Corea del Nord intensificano campagne di sorveglianza clandestina. La proliferazione dello spyware commerciale e la sua accessibilità amplificano i rischi per individui e comunità vulnerabili, in un contesto in cui la sicurezza delle comunicazioni non dipende più soltanto dalla cifratura end-to-end, ma dalla resistenza dei dispositivi e dalle pratiche di protezione degli utenti.
Cosa leggere
Tecniche di compromissione e accesso clandestino
I threat actors combinano tecniche che permettono di superare la fiducia nelle piattaforme di messaggistica più diffuse. La Cisa spiega che molte campagne impiegano phishing altamente personalizzato, in cui gli aggressori inviano messaggi che imitano aggiornamenti ufficiali di WhatsApp o Signal. Le vittime vengono convinte a cliccare link o a scansionare codici QR falsi, apparentemente legati a operazioni di sicurezza, che collegano gli account a dispositivi controllati dagli attori malevoli. Questa dinamica consente un accesso immediato alla cronologia delle conversazioni, ai contatti e alle sessioni attive. La compromissione viene amplificata dall’uso di exploit zero-click, che non richiedono alcuna azione da parte dell’utente e che sfruttano vulnerabilità non patchate nei sistemi operativi. In molti casi gli attori statali e semi-statali sfruttano ricerche open-source sui social network per personalizzare le loro campagne, selezionando le vittime in base a ruoli, reti di contatto e contesti geopolitici. La capacità di costruire scenari credibili e messaggi accurati aumenta la percentuale di compromissioni andate a segno, creando un ciclo di infiltrazione difficilmente rilevabile in tempo utile.
Capacità operative dello spyware commerciale
Gli spyware descritti nell’alert possiedono capacità che superano lo spettro della semplice intercettazione. La Cisa sottolinea come varianti come Landfall permettano agli attori di ottenere controllo totale del dispositivo, incluse funzioni di geolocalizzazione, attivazione del microfono, apertura della fotocamera, lettura dei messaggi cifrati e raccolta di file privati memorizzati localmente. Lo spyware può anche decifrare dati end-to-end sul dispositivo compromesso, trasformando la cifratura applicativa in una difesa inefficace. Alcune varianti dispongono di moduli per keylogging, screen capture, estrazione delle credenziali e accesso al portachiavi dei sistemi operativi. Le campagne osservate mostrano come gli attori combinino queste capacità con continui aggiornamenti remoti del malware, consentendo una rapida evoluzione delle funzioni in base agli obiettivi. La persistenza è garantita da vulnerabilità zero-day, configurazioni di sicurezza deboli e meccanismi che sfruttano permessi concessi alle app infette. La capacità dello spyware di evadere rilevamenti antivirus e analisi forense rappresenta un ulteriore livello di protezione per gli aggressori.
Piattaforme e app prese di mira
Le campagne documentate colpiscono soprattutto Android, dove la frammentazione degli aggiornamenti facilita la persistenza dello spyware e l’utilizzo di exploit specifici per determinati modelli. La variante Landfall prende di mira dispositivi Samsung, sfruttando vulnerabilità non ancora patchate in alcune versioni del sistema. Tuttavia, anche l’ecosistema iOS risulta vulnerabile agli exploit zero-click, che possono infettare senza alcuna interazione dell’utente. MacOS viene coinvolto indirettamente attraverso applicazioni di messaggistica sincronizzate. App come WhatsApp, Signal, Telegram e ToTok sono costantemente imitate, sfruttate o ingannate per veicolare l’installazione dello spyware. La Cisa osserva che la protezione offerta dalla cifratura end-to-end fallisce completamente nel momento in cui il dispositivo è compromesso, poiché lo spyware accede ai contenuti prima che vengano cifrati o dopo che sono stati decifrati. Ecosistemi con store non ufficiali, aggiornamenti irregolari e autenticazioni deboli risultano particolarmente esposti. L’assenza di un ciclo di patch costante rende i dispositivi bersagli ideali per attori in grado di mantenere exploit efficaci nel tempo.
Minacce alla società civile e repressione transnazionale
Le analisi della Cisa mettono in evidenza che gli spyware commerciali sono strumenti utilizzati per sorveglianza politica, repressione dissidente e spionaggio mirato. Attivisti, giornalisti, ONG e membri di comunità in contesti a rischio vengono selezionati come bersagli in campagne coordinate da attori statali. La raccolta di informazioni personali attraverso social media e database aperti consente agli aggressori di costruire profili dettagliati, facilitando tecniche di manipolazione e controllo. L’accesso persistente alle comunicazioni private amplifica i rischi di intimidazione, estorsione o monitoraggio delle reti di contatto. Le vulnerabilità nelle infrastrutture di sicurezza delle organizzazioni civili, spesso caratterizzate da risorse limitate, amplificano gli impatti della sorveglianza digitale transnazionale, che sfrutta lo spyware per penetrazioni prolungate e difficili da rilevare. La combinazione di cyber spionaggio, pressione psicologica e raccolta di intelligence personale crea un ambiente in cui la sicurezza degli attori civici diventa un obiettivo critico per la resilienza democratica.
Mitigazioni consigliate per organizzazioni vulnerabili
La Cisa fornisce indicazioni operative rivolte soprattutto a realtà con risorse limitate. L’adozione di MFA resistente al phishing, l’aggiornamento costante del software, la disabilitazione degli account non utilizzati e l’applicazione coerente del least privilege costituiscono misure essenziali per ridurre la superficie d’attacco. Le organizzazioni che operano in contesti ad alto rischio rafforzano le loro difese verificando i fornitori software secondo principi Secure by Design, controllando contratti e implementando parametri di sicurezza sin dalla fase di onboarding. La formazione continua sul social engineering diventa un pilastro della sopravvivenza operativa, mentre i piani di risposta agli incidenti consentono di attivare procedure rapide in caso di compromissione. La Cisa raccomanda l’utilizzo di VPN dedicate, sistemi di monitoraggio delle anomalie e controlli che favoriscano la rilevazione precoce di comportamenti malevoli.
Misure prioritarie per individui ad alto rischio
Gli individui più esposti proteggono la propria privacy utilizzando password forti, autenticazioni avanzate, hardware aggiornato e dispositivi con protezioni moderne. La limitazione delle informazioni pubblicate sui social media, il controllo dei dispositivi collegati alle app di messaggistica e gli aggiornamenti frequenti del sistema operativo riducono significativamente la superficie d’attacco. La modalità Lockdown Mode su iOS rappresenta un elemento particolarmente efficace per ridurre exploit zero-click. Il riavvio periodico dei dispositivi, la gestione dei permessi delle app e la verifica delle richieste di contatto sconosciute contribuiscono a limitare la persistenza dello spyware. La segnalazione alle autorità dei tentativi sospetti chiude il ciclo di mitigazione e permette alle comunità più vulnerabili di reagire in modo strutturato alle minacce.
