L’FBI ha colpito uno dei servizi phishing più sofisticati degli ultimi anni e ha annunciato il 13 aprile 2026 lo smantellamento di W3LL, piattaforma criminale specializzata in attacchi adversary-in-the-middle contro account aziendali. L’operazione, condotta insieme alla polizia indonesiana, ha portato all’arresto dello sviluppatore principale identificato come G.L. e al sequestro del dominio w3ll.store, usato come marketplace per vendere kit phishing, credenziali e accessi compromessi. Il servizio, attivo dal 2019, è stato utilizzato da centinaia di cybercriminali per colpire soprattutto ambienti Microsoft 365, bypassare l’autenticazione multifattore e alimentare frodi Business Email Compromise. Secondo le autorità, il takedown ha interrotto tentativi di truffa per oltre 18,3 milioni di euro.
Cosa leggere
W3LL era una piattaforma phishing completa e non un semplice kit
Il valore operativo di W3LL andava oltre il classico phishing kit usa e getta. La piattaforma offriva un ecosistema completo con W3LL Store, servizi di supporto, strumenti di distribuzione e canali di vendita per account già compromessi. Gli affiliati potevano acquistare un toolkit pronto all’uso per circa 458 euro, personalizzare pagine di login identiche a quelle aziendali e lanciare campagne mirate contro ambienti Microsoft 365 e altri servizi enterprise. Il sistema integrava anche mailing list, accessi a server compromessi e strumenti derivati da progetti precedenti dello stesso sviluppatore, come PunnySender e W3LL Sender, già noti nel panorama spam e credential phishing.
La tecnica adversary-in-the-middle bypassava anche la MFA
L’elemento più pericoloso di W3LL era l’uso di una tecnica AiTM (adversary-in-the-middle), oggi tra le più efficaci per aggirare la multi-factor authentication. In pratica la vittima visitava una pagina di login falsa ma perfettamente clonata, che inoltrava in tempo reale le richieste al portale legittimo. Questo permetteva al kit di intercettare username, password, codici MFA e soprattutto cookie di sessione autenticati. Una volta ottenuto il cookie, l’attaccante non aveva più bisogno di reinserire credenziali o codici temporanei, potendo entrare nell’account con una sessione già validata. È proprio questo passaggio che ha reso W3LL uno strumento ideale per campagne di Business Email Compromise, dove il controllo silenzioso della mailbox è più importante del furto iniziale delle credenziali.
Oltre 17 mila vittime e 25 mila account venduti nel marketplace
I numeri emersi dall’indagine mostrano l’impatto industriale del servizio. Tra il 2023 e il 2024 il kit ha colpito oltre 17.000 vittime, mentre tra il 2019 e il 2023 il marketplace ha facilitato la vendita di più di 25.000 account compromessi. La monetizzazione avveniva in più fasi: accesso iniziale tramite phishing, furto dei cookie di sessione, permanenza nella casella di posta, creazione di regole di inoltro e successiva rivendita dell’accesso o uso diretto per frodi finanziarie. Le caselle Microsoft 365 risultavano il bersaglio preferito, sia per il valore aziendale dei dati sia per la possibilità di impersonare dirigenti, fornitori o reparti finance in attacchi BEC ad alta credibilità.
Arresto in Indonesia e sequestro del dominio w3ll.store
Il punto più rilevante dell’operazione è il livello di cooperazione internazionale raggiunto. L’FBI Atlanta Field Office ha guidato il versante investigativo statunitense, mentre la polizia nazionale indonesiana ha eseguito il supporto operativo sul territorio dove si trovava parte dell’infrastruttura e lo stesso sviluppatore. Il dominio w3ll.store è stato sequestrato con mandato del tribunale federale del Northern District of Georgia e oggi mostra la classica pagina di sequestro delle autorità. Secondo gli investigatori, questa è la prima collaborazione coordinata tra Stati Uniti e Indonesia contro il creatore di un phishing kit, dettaglio che trasforma il caso in un precedente importante anche sul piano diplomatico e giudiziario.
Dopo la chiusura del marketplace il kit era migrato su chat cifrate
Un aspetto interessante della storia di W3LL riguarda la sua capacità di adattamento. Dopo la chiusura ufficiale del marketplace nel 2023, il toolkit non è scomparso ma ha cambiato modello di distribuzione, migrando verso canali di messaggistica crittografati e reti chiuse frequentate da cybercriminali selezionati. Questo passaggio aveva reso più difficile monitorare la base utenti e tracciare le nuove versioni del codice, ma non ne aveva ridotto l’efficacia. Anzi, la distribuzione più discreta aveva probabilmente aumentato il livello medio degli affiliati, concentrando l’uso del kit su operatori già esperti in BEC, frodi invoice e compromissione di caselle finance.
Le frodi tentate superano i 20 milioni di dollari
Le autorità stimano che W3LL abbia facilitato tentativi di frode superiori ai 20 milioni di dollari, pari a circa 18,3 milioni di euro. Gran parte del danno deriva dalle classiche truffe Business Email Compromise, dove gli attaccanti monitorano le comunicazioni interne per giorni o settimane e intervengono nel momento giusto, ad esempio modificando coordinate bancarie di un pagamento o simulando richieste urgenti da parte di un dirigente. Il furto dei cookie di sessione ha reso queste intrusioni particolarmente stealth, perché spesso gli accessi non apparivano come nuovi login ma come prosecuzioni di sessioni legittime, complicando il rilevamento da parte dei SOC aziendali.
Il takedown colpisce il mercato dei phishing kit MFA bypass
La chiusura di W3LL rappresenta un colpo diretto a tutto il mercato dei kit phishing specializzati nel bypass della MFA. Molti toolkit successivi hanno infatti riutilizzato approcci, codice e tecniche nate proprio in questa piattaforma. Eliminare uno strumento così diffuso significa aumentare il costo operativo per centinaia di attori criminali che si affidavano a soluzioni chiavi in mano invece di sviluppare internamente portali AiTM e sistemi di gestione sessioni. È probabile che nelle prossime settimane emergeranno fork, rebrand o tentativi di resurrection su altri forum, ma l’arresto dello sviluppatore riduce drasticamente la continuità tecnica del progetto originale.
Cosa devono fare ora le aziende che usano Microsoft 365
Le aziende che utilizzano Microsoft 365 dovrebbero considerare questo takedown come un’occasione per rivedere le proprie difese. Il punto centrale non è più solo il phishing della password, ma il furto dei cookie di sessione e la persistenza invisibile nelle mailbox. Diventa quindi essenziale monitorare sessioni attive anomale, token riutilizzati, accessi geograficamente incoerenti e creazione sospetta di regole di inoltro. L’uso di security key hardware FIDO2, il controllo dei browser trusted e la revoca forzata delle sessioni in caso di dubbio restano le contromisure più efficaci contro strumenti simili a W3LL. Il messaggio dell’operazione è chiaro: anche le piattaforme criminali più sofisticate possono essere smantellate, ma la vera difesa resta nella capacità delle organizzazioni di ridurre il valore operativo di questi toolkit.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
