WhatsApp blocca nuovi attacchi spyware NSO e smaschera campagne di phishing mirato

WhatsApp torna al centro della battaglia globale contro lo spyware commerciale dopo aver individuato e bloccato nuove campagne di spear-phishing attribuite a NSO Group, l’azienda israeliana nota per lo sviluppo dello spyware Pegasus. L’8 giugno 2026 Meta ha confermato di aver interrotto una serie di operazioni di social engineering che puntavano a convincere utenti selezionati a visitare siti esterni controllati dagli aggressori. L’attività è emersa grazie alle segnalazioni dirette degli utenti e alle successive analisi condotte dai team di sicurezza della piattaforma. Secondo Meta, gli attacchi presentano caratteristiche compatibili con precedenti campagne attribuite a NSO e rappresentano un nuovo tentativo di colpire bersagli di alto profilo nonostante le sanzioni internazionali e le pesanti sconfitte legali già subite dall’azienda israeliana. La scoperta conferma che il mercato dello spyware continua a rappresentare una minaccia concreta per giornalisti, attivisti, politici, accademici e altre figure considerate strategiche dagli attori governativi che acquistano questi strumenti. Meta ribadisce che la crittografia end-to-end protegge messaggi e chiamate da intercettazioni dirette, ma sottolinea come gli aggressori stiano sempre più puntando sull’ingegneria sociale per aggirare le difese tecnologiche e colpire direttamente gli utenti.

WhatsApp individua e blocca una nuova campagna di spear-phishing

Le nuove operazioni sono state rilevate dopo una serie di segnalazioni ricevute direttamente dagli utenti presi di mira. Gli aggressori hanno utilizzato tecniche di spear-phishing progettate per indurre le vittime a cliccare collegamenti apparentemente legittimi che conducevano verso infrastrutture controllate dagli attaccanti. Meta ha identificato e rimosso immediatamente account di prova, gruppi WhatsApp e altri elementi utilizzati per preparare e distribuire gli attacchi. Secondo le informazioni diffuse dall’azienda, le campagne riprendono modelli operativi già osservati in passato nelle attività attribuite a NSO Group, con l’obiettivo di ottenere un primo punto di accesso ai dispositivi delle vittime attraverso un semplice clic. Tra gli indicatori di compromissione pubblicati figurano i domini ikhwancast[.]com, ghazacast[.]com e fr24cast[.]com, utilizzati per attirare gli utenti verso contenuti malevoli. La rapidità della risposta di Meta ha impedito una diffusione più ampia delle campagne e ha consentito di interrompere le attività prima che potessero raggiungere un numero significativo di bersagli. L’azienda considera fondamentale la collaborazione con gli utenti e continua a incoraggiare la segnalazione di comportamenti sospetti per individuare tempestivamente nuove operazioni di spionaggio.

NSO Group continua a operare nonostante sanzioni e condanne

Il caso riporta l’attenzione su NSO Group, una delle aziende più controverse del settore dello spyware commerciale. La società israeliana è diventata nota a livello mondiale grazie a Pegasus, una piattaforma di sorveglianza avanzata capace di compromettere smartphone e raccogliere enormi quantità di dati dalle vittime. Negli ultimi anni Pegasus è stato collegato a operazioni di sorveglianza contro giornalisti, oppositori politici, attivisti per i diritti umani, accademici e rappresentanti della società civile in numerosi Paesi. Nel 2021 il governo degli Stati Uniti ha inserito NSO nella lista delle entità sanzionate, accusandola di aver fornito strumenti utilizzati da governi stranieri contro interessi americani e organizzazioni della società civile. Nonostante le restrizioni economiche e diplomatiche, il gruppo ha continuato a essere associato a nuove attività offensive. Meta ha già ottenuto in tribunale una storica vittoria contro NSO per una campagna che aveva coinvolto circa 1.400 utenti WhatsApp, ottenendo una condanna economica superiore a 153 milioni di euro e una dichiarazione di responsabilità che rappresenta uno dei precedenti più importanti nel contrasto allo spyware commerciale.

Le nuove attività violano l’ingiunzione permanente contro NSO

Le campagne individuate da WhatsApp assumono un peso ancora maggiore perché arrivano dopo l’ingiunzione permanente emessa nel 2025 da un tribunale statunitense contro NSO Group. La decisione giudiziaria vietava esplicitamente alla società israeliana di prendere di mira WhatsApp, le sue infrastrutture e i suoi utenti. Secondo Meta, la creazione di account di prova, gruppi dedicati e l’utilizzo di domini malevoli rappresentano una chiara violazione di quell’ordine. L’azienda considera le nuove attività come un tentativo deliberato di aggirare le restrizioni imposte dalla giustizia americana e intende utilizzare la documentazione raccolta per rafforzare ulteriormente le proprie azioni legali. La vicenda dimostra quanto sia complesso fermare operatori specializzati nello sviluppo di spyware avanzato, soprattutto quando continuano a cercare nuovi vettori di compromissione dopo la chiusura di quelli precedenti. Meta sottolinea inoltre che dirigenti di NSO hanno in passato dichiarato pubblicamente l’intenzione di individuare modalità alternative per mantenere l’accesso ai dispositivi bersaglio, rendendo necessario un monitoraggio costante delle loro attività.

Pegasus non attacca la crittografia ma punta sull’utente

Uno degli aspetti più importanti evidenziati da Meta riguarda la differenza tra la sicurezza della piattaforma e la vulnerabilità degli utenti. Pegasus e strumenti simili non compromettono direttamente la crittografia end-to-end utilizzata da WhatsApp per proteggere messaggi, chiamate, fotografie e video. La crittografia continua a garantire che i contenuti trasmessi non possano essere letti durante il trasferimento. Per questo motivo gli attaccanti cercano sempre più spesso di colpire il dispositivo o l’utente attraverso tecniche di social engineering. Convincere una persona a cliccare un link malevolo può risultare più semplice e meno rischioso rispetto alla ricerca di vulnerabilità critiche all’interno dell’applicazione. Le campagne individuate da Meta confermano proprio questa evoluzione delle minacce: invece di tentare di rompere la protezione crittografica, gli aggressori cercano di manipolare il comportamento delle vittime. Questo approccio rende la consapevolezza dell’utente una componente essenziale della sicurezza complessiva e dimostra come la difesa moderna richieda non soltanto tecnologie avanzate ma anche attenzione e formazione.

Meta invita gli utenti ad aggiornare dispositivi e applicazioni

Come parte della propria risposta, Meta ha diffuso una serie di raccomandazioni rivolte agli utenti di WhatsApp. La prima misura consiste nel mantenere sempre aggiornati sia l’applicazione sia il sistema operativo del dispositivo utilizzato. Gli aggiornamenti rappresentano infatti il principale strumento per correggere vulnerabilità e rafforzare le difese contro nuove tecniche di attacco. Per gli utenti Android viene consigliata l’attivazione delle funzionalità di Protezione avanzata, mentre chi utilizza dispositivi Apple può beneficiare della Modalità lockdown, progettata specificamente per ridurre la superficie di attacco nei confronti di utenti ad alto rischio. Meta invita inoltre a prestare particolare attenzione ai collegamenti ricevuti da numeri sconosciuti o inattesi, verificando sempre la legittimità delle comunicazioni prima di interagire con esse. I domini identificati durante questa campagna devono essere considerati indicatori di compromissione e trattati come potenzialmente pericolosi. La combinazione tra aggiornamenti regolari, attenzione ai messaggi sospetti e utilizzo delle funzionalità di sicurezza avanzate rappresenta la strategia più efficace per limitare l’esposizione agli spyware.

Giornalisti, attivisti e oppositori restano i bersagli principali

Le operazioni attribuite a NSO Group continuano a concentrarsi su individui selezionati piuttosto che su campagne di massa. Tra i bersagli storicamente associati a Pegasus figurano giornalisti investigativi, attivisti per i diritti umani, rappresentanti politici, diplomatici e accademici impegnati in contesti sensibili. Questo modello operativo differenzia lo spyware commerciale dalle tradizionali campagne cybercriminali orientate al profitto. L’obiettivo non è colpire milioni di persone indiscriminatamente ma raccogliere informazioni strategiche da soggetti specifici. Le conseguenze per le vittime possono essere estremamente gravi, includendo la compromissione della privacy, l’esposizione delle fonti giornalistiche, il monitoraggio delle comunicazioni e l’acquisizione di dati personali sensibili. Meta considera quindi la lotta contro questi strumenti una questione che va oltre la semplice protezione della piattaforma e riguarda direttamente la sicurezza dell’informazione, la tutela dei diritti fondamentali e la difesa delle libertà civili in ambito digitale.

La battaglia contro lo spyware commerciale è tutt’altro che conclusa

L’episodio dimostra che il contrasto allo spyware commerciale richiede un impegno continuo da parte di aziende tecnologiche, ricercatori di sicurezza, governi e organizzazioni della società civile. Nonostante le sanzioni statunitensi, le condanne economiche e l’ingiunzione permanente ottenuta da Meta, NSO Group continua a essere associato a nuove attività offensive. WhatsApp ha risposto rapidamente individuando gli attacchi, rimuovendo le infrastrutture utilizzate e condividendo indicatori utili alla comunità di sicurezza, ma il caso conferma che gli operatori specializzati nello spyware non rinunciano facilmente ai propri obiettivi. Meta promette di proseguire sia sul fronte tecnico sia su quello legale, rafforzando le capacità di rilevamento e continuando a perseguire chi utilizza la piattaforma come veicolo per attività di sorveglianza illecita. La vicenda evidenzia infine una realtà ormai consolidata: la sicurezza delle comunicazioni non dipende soltanto dalla robustezza della tecnologia, ma anche dalla capacità di riconoscere e contrastare tentativi di manipolazione sempre più sofisticati rivolti direttamente alle persone.