Cybercrime globale: dal darknet di Kingdom Market agli attacchi ATM con malware Ploutus

Il cybercrime globale mostra una doppia traiettoria sempre più evidente: piattaforme darknet che fondono narcotraffico e servizi digitali illegali e attacchi infrastrutturali fisici-digitali contro sistemi finanziari. L’ammissione di colpa di Alan Bill, amministratore di Kingdom Market, e le nuove incriminazioni statunitensi contro affiliati della gang Tren de Aragua per attacchi ATM con malware Ploutus descrivono un’unica realtà: il cybercrime è ormai un sistema ibrido, capace di muoversi tra rete, finanza e violenza organizzata.

Il caso Alan Bill e Kingdom Market sul darknet

Alan Bill, cittadino slovacco di 33 anni noto online come Vend0r, si è dichiarato colpevole negli Stati Uniti per aver operato come amministratore di Kingdom Market, un marketplace darknet attivo dal marzo 2021 al dicembre 2023. Kingdom Market non era una semplice piattaforma di scambio: rappresentava un ecosistema criminale completo, in cui convivevano narcotici ad alto impatto sociale come fentanil e metanfetamine, strumenti di cybercrime, documenti governativi falsi, dati personali rubati e malware per computer.

Le indagini, avviate nel luglio 2022, hanno coinvolto acquisti undercover di stupefacenti e documenti falsi, con spedizioni fisiche arrivate fino al Missouri. Bill è stato arrestato il 15 dicembre 2023 all’aeroporto di Newark, in possesso di cellulari, laptop, supporti di memoria e wallet di criptovalute. Le analisi forensi hanno collegato direttamente questi dispositivi all’infrastruttura del marketplace e ai wallet crypto utilizzati per ricevere pagamenti.

Kingdom Market contava, al momento del sequestro, circa 42.000 articoli in vendita, centinaia di venditori e decine di migliaia di account clienti, con pagamenti accettati in Bitcoin, Litecoin, Monero e Zcash. Le autorità tedesche e statunitensi hanno collaborato al sequestro dei domini e dei server nel dicembre 2023, dimostrando come il contrasto al darknet richieda operazioni transnazionali coordinate.

Bill ha ammesso di aver fornito servizi di web-administration, moderazione delle community su forum e piattaforme social, e gestione tecnica dell’infrastruttura. In cambio, riceveva criptovalute direttamente collegate alle transazioni del mercato. Ora rischia fino a 40 anni di carcere, con una pena minima di cinque anni e una multa potenziale superiore a 4,5 milioni di euro, oltre alla cessione dei domini Kingdommarket.so e Kingdommarket.live e dei wallet digitali sequestrati.

🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE

Gli attacchi ATM con malware Ploutus e Tren de Aragua

Sul fronte opposto del cybercrime, gli Stati Uniti hanno colpito un modello criminale radicalmente diverso ma altrettanto pericoloso: gli attacchi ATM fisici-digitali, noti come jackpotting. Un gran giurì federale del Nebraska ha incriminato 31 nuovi sospetti affiliati a Tren de Aragua, una gang nata come organizzazione carceraria venezuelana e oggi classificata dagli USA come organizzazione terroristica straniera.

Il cuore operativo degli attacchi è il malware Ploutus, utilizzato per svuotare fisicamente gli ATM. La tecnica combina accesso fisico e competenze digitali: gli affiliati aprono gli sportelli degli ATM, rimuovono o collegano hard drive e thumb drive pre-configurati, installano il malware e forzano la dispensazione di contanti fino allo svuotamento completo della macchina. Ploutus è progettato per cancellare tracce, eludere controlli e rendere complessa la ricostruzione forense.

Le perdite attribuite a queste operazioni ammontano a milioni di euro, colpendo banche e credit union in diversi stati USA. Negli ultimi sei mesi, il Dipartimento di Giustizia ha incriminato 87 membri di Tren de Aragua, in una serie di azioni che includono accuse per supporto al terrorismo, frode bancaria, riciclaggio e danni a sistemi informatici. Le pene potenziali variano da 20 a oltre 300 anni di carcere, a seconda dei capi d’imputazione.

Il Dipartimento del Tesoro, tramite OFAC, ha inoltre bloccato asset e flussi finanziari riconducibili alla gang, riconoscendo che i proventi degli attacchi ATM vengono utilizzati per finanziare attività criminali e terroristiche. Questo caso mostra come il cybercrime non sia più confinato allo spazio digitale, ma intersechi direttamente infrastrutture critiche e sicurezza nazionale.

Un’unica minaccia ibrida: darknet, malware e finanza

I casi Kingdom Market e Tren de Aragua raccontano la stessa storia da angolazioni diverse. Da un lato, marketplace darknet che centralizzano droga, dati e malware; dall’altro, gang transnazionali che usano software sofisticati per colpire il cuore fisico del sistema finanziario. In entrambi i casi, le criptovalute svolgono un ruolo centrale nel riciclaggio e nella movimentazione dei profitti, rendendo essenziale il tracciamento dei wallet e la cooperazione internazionale.

Le autorità vedono un trend in crescita sia dei marketplace illegali che degli attacchi infrastrutturali. Ogni sequestro provoca migrazioni verso nuove piattaforme, adattamenti tattici e versioni evolute dei malware. Tuttavia, queste operazioni hanno un impatto reale: riduzione temporanea dell’offerta illegale, interruzione delle reti di fiducia criminali e aumento dei costi operativi per le gang.

Per banche e imprese, il messaggio è chiaro: servono misure anti-malware avanzate, controlli fisici sugli ATM, monitoraggio delle transazioni crypto e cooperazione continua con le autorità. Per il pubblico, questi casi mostrano come il cybercrime moderno sia un fenomeno sistemico, che non riguarda solo la rete ma la sicurezza economica e sociale nel suo complesso.

Domande frequenti su Kingdom Market e attacchi ATM