Per quasi un decennio ha rappresentato uno dei punti di riferimento più longevi dell’ecosistema criminale dedicato al phishing-as-a-service (PhaaS). La piattaforma SniperDZ, attiva almeno dal 2015, ha consentito a migliaia di cybercriminali di lanciare campagne di phishing professionali senza possedere particolari competenze tecniche, trasformando il furto di credenziali in un servizio facilmente accessibile e altamente scalabile. La sua storia si è conclusa con l’Operazione Ramz, una complessa attività internazionale coordinata da INTERPOL e supportata dalle autorità algerine, che ha portato all’arresto del principale sviluppatore e amministratore dell’infrastruttura grazie al contributo investigativo di Group-IB. L’operazione rappresenta uno dei più significativi successi recenti contro il modello criminale del phishing-as-a-service, una forma di cybercrime che negli ultimi anni ha democratizzato l’accesso alle campagne fraudolente permettendo anche a soggetti privi di conoscenze avanzate di colpire utenti e organizzazioni su scala globale. Le indagini hanno permesso di identificare oltre 20.000 domini unici associati all’ecosistema SniperDZ e di ricostruire una rete criminale che, secondo le evidenze raccolte, aveva già compromesso decine di migliaia di vittime nei primi anni di attività. La longevità della piattaforma dimostra quanto queste infrastrutture possano prosperare quando riescono a combinare supporto tecnico, aggiornamenti continui e modelli di affiliazione capaci di attrarre nuovi attori criminali.
Cosa leggere
SniperDZ trasformava il phishing in un servizio pronto all’uso
Il successo della piattaforma deriva dalla sua capacità di eliminare gran parte delle difficoltà tecniche normalmente associate alle campagne di phishing. SniperDZ operava come una vera e propria piattaforma PhaaS, fornendo agli affiliati tutto ciò che era necessario per avviare operazioni fraudolente: kit di phishing preconfigurati, hosting, template grafici, pannelli di gestione e supporto operativo. Invece di sviluppare autonomamente siti di impersonificazione o infrastrutture di raccolta credenziali, gli utenti potevano semplicemente acquistare o utilizzare gli strumenti messi a disposizione dagli amministratori della piattaforma. Questo approccio ha trasformato il phishing in un servizio accessibile anche a criminali con competenze tecniche limitate. Il modello ricorda quello delle moderne piattaforme software-as-a-service utilizzate nel mercato legittimo, ma applicato ad attività criminali. Gli affiliati potevano concentrarsi esclusivamente sulla distribuzione delle campagne e sull’ingegneria sociale, lasciando alla piattaforma la gestione degli aspetti infrastrutturali più complessi. Tale strategia ha contribuito alla crescita dell’ecosistema e alla sua capacità di operare in modo continuativo per quasi dieci anni senza subire interruzioni significative.
Un ecosistema criminale costruito sulla formazione degli affiliati
Uno degli elementi più interessanti emersi dall’indagine riguarda la struttura organizzativa della piattaforma. Gli operatori di SniperDZ non si limitavano a fornire strumenti tecnici, ma investivano attivamente nella crescita della propria comunità criminale. Il modello di business prevedeva il reclutamento continuo di nuovi affiliati e la loro formazione attraverso tutorial, guide operative e contenuti educativi dedicati alle tecniche di phishing. Questa strategia ha consentito alla piattaforma di ampliare progressivamente la propria base di utenti e aumentare la portata delle campagne. L’approccio evidenzia una tendenza ormai consolidata nel cybercrime moderno: la trasformazione delle attività criminali in ecosistemi strutturati capaci di offrire supporto, assistenza e aggiornamenti continui.
Gli amministratori agivano di fatto come fornitori di servizi, mentre gli affiliati rappresentavano la forza operativa incaricata di distribuire le campagne. La capacità di mantenere attiva questa rete per quasi un decennio testimonia il livello di organizzazione raggiunto e spiega perché le autorità abbiano considerato prioritario colpire direttamente il vertice dell’infrastruttura piuttosto che limitarsi alla rimozione dei singoli siti fraudolenti.
Social media e piattaforme pubbliche diventano strumenti di reclutamento
Le attività investigative hanno evidenziato come gli operatori di SniperDZ utilizzassero apertamente canali social per promuovere la piattaforma e attrarre nuovi affiliati. Un canale Telegram con oltre 7.300 iscritti e una pagina Facebook seguita da più di 19.000 utenti rappresentavano strumenti centrali nella strategia di comunicazione dell’organizzazione. Attraverso questi canali venivano pubblicati aggiornamenti, annunci relativi a nuovi template di phishing, tutorial tecnici e materiale destinato al reclutamento. La scelta di utilizzare piattaforme pubbliche riflette un fenomeno sempre più diffuso nel cybercrime contemporaneo. Molte organizzazioni criminali operano in modo semi-aperto, sfruttando la difficoltà delle piattaforme social nel distinguere contenuti apparentemente informativi da attività finalizzate a facilitare reati informatici. Nel caso di SniperDZ, la presenza online costante ha contribuito alla costruzione di una reputazione all’interno delle comunità criminali, rafforzando la percezione di affidabilità del servizio. Questa esposizione pubblica, tuttavia, si è trasformata anche in uno degli elementi che hanno facilitato il lavoro degli investigatori durante la fase di attribuzione.
Oltre trenta grandi marchi utilizzati come esca nelle campagne
Le campagne distribuite attraverso SniperDZ prendevano di mira utenti di alcune delle piattaforme più conosciute al mondo. Le analisi di Group-IB hanno identificato template progettati per impersonare oltre 30 organizzazioni globali, tra cui PayPal, Meta Platforms, Yahoo, Netflix e Valve Corporation. Gli attaccanti sfruttavano la familiarità degli utenti con questi marchi per aumentare la credibilità delle comunicazioni fraudolente e massimizzare le probabilità di successo.
La piattaforma metteva a disposizione circa 80 template unici distribuiti in cinque lingue differenti: arabo, inglese, francese, spagnolo ed ebraico. Questa varietà consentiva agli affiliati di adattare rapidamente le campagne a differenti aree geografiche e pubblici di riferimento. I siti di phishing risultanti riproducevano fedelmente interfacce, loghi e flussi di autenticazione delle piattaforme imitate, inducendo le vittime a inserire credenziali, dati personali e informazioni finanziarie che venivano immediatamente raccolte dagli operatori criminali.
Il social engineering restava l’arma principale della piattaforma
Nonostante la disponibilità di infrastrutture sofisticate, il successo di SniperDZ continuava a dipendere soprattutto dall’efficacia delle tecniche di social engineering. Gli affiliati creavano profili falsi sui social network impersonando figure pubbliche e influencer particolarmente noti nelle regioni del Medio Oriente e del Nord Africa. Attraverso questi account venivano distribuiti collegamenti fraudolenti mascherati da promozioni, offerte speciali o iniziative che promettevano vantaggi economici e servizi gratuiti. L’approccio sfruttava meccanismi psicologici consolidati come fiducia, urgenza e desiderio di ottenere benefici immediati. Le vittime venivano indirizzate verso pagine che imitavano servizi reali e venivano convinte a inserire dati sensibili senza sospettare la natura fraudolenta dell’operazione. Questo elemento conferma una realtà spesso osservata nel panorama della sicurezza informatica: anche le infrastrutture più sofisticate continuano a fare affidamento su tecniche di manipolazione umana relativamente semplici ma estremamente efficaci.
L’errore operativo che ha tradito l’amministratore
Il successo dell’indagine è stato favorito da un classico errore di operational security (OPSEC) commesso dal principale responsabile della piattaforma. Secondo quanto ricostruito da Group-IB, numerosi tutorial video pubblicati per formare gli affiliati contenevano involontariamente informazioni sensibili legate agli account amministrativi utilizzati per gestire l’infrastruttura. Questi dettagli hanno fornito agli investigatori preziosi punti di collegamento tra l’attività pubblica dell’ecosistema criminale e l’identità dell’amministratore. L’analisi ha combinato tecniche di open source intelligence, studio delle infrastrutture online e correlazione di tracce digitali raccolte nell’arco di quasi dieci anni. I contenuti pubblicati sui social network tra il 2015 e il 2025 hanno consentito di ricostruire progressivamente la presenza online del sospettato e di associare la sua identità alle attività della piattaforma. Il caso dimostra come anche organizzazioni criminali longeve e strutturate possano essere vulnerabili a errori apparentemente banali quando i loro operatori mantengono una presenza pubblica prolungata nel tempo.
Oltre 20.000 domini rivelano la scala dell’operazione
Uno dei risultati più significativi dell’indagine riguarda la mappatura dell’infrastruttura utilizzata dalla piattaforma. I ricercatori di Group-IB hanno identificato oltre 20.000 domini unici collegati all’ecosistema SniperDZ. Questo dato offre una misura concreta della portata dell’operazione e della sua capacità di rigenerare continuamente infrastrutture compromesse o sequestrate. L’uso di un numero così elevato di domini rappresenta una strategia tipica delle campagne di phishing moderne. Quando un sito viene individuato e rimosso, nuovi domini vengono rapidamente attivati per sostituirlo, mantenendo operativa la campagna e rendendo più difficile il lavoro di blocco da parte di provider e autorità. La capacità di monitorare, correlare e attribuire una quantità così ampia di infrastrutture è stata uno degli elementi che hanno trasformato dati apparentemente frammentati in intelligence operativa utilizzabile dalle forze dell’ordine. Questa attività di correlazione rappresenta oggi uno degli aspetti più complessi e importanti delle indagini contro il cybercrime organizzato.
L’Operazione Ramz colpisce l’intera infrastruttura criminale
L’arresto del principale amministratore avviene nell’ambito dell’Operazione Ramz, coordinata da INTERPOL e supportata dalla polizia nazionale algerina. A differenza di molte operazioni precedenti focalizzate esclusivamente sulla rimozione dei contenuti o sul sequestro di singoli domini, l’approccio adottato in questo caso ha puntato a smantellare l’intero ecosistema criminale. Gli investigatori hanno lavorato per comprendere non soltanto il funzionamento tecnico della piattaforma ma anche la rete di persone, servizi e infrastrutture che ne garantivano la continuità operativa. Questo approccio viene definito adversary-centric intelligence e si concentra sull’analisi approfondita degli attori dietro le minacce piuttosto che sulle singole manifestazioni tecniche delle loro attività. Colpire direttamente lo sviluppatore e amministratore principale riduce infatti la capacità dell’organizzazione di rigenerarsi rapidamente e limita la possibilità che la piattaforma continui a operare sotto una nuova infrastruttura.
Un colpo importante contro il modello phishing-as-a-service
La chiusura di SniperDZ rappresenta un successo significativo nel contrasto al modello PhaaS, una delle principali evoluzioni del cybercrime degli ultimi anni. Secondo le valutazioni degli investigatori, la piattaforma ha contribuito indirettamente a perdite economiche per miliardi di dollari attraverso le campagne condotte dagli affiliati. La sua sopravvivenza per quasi dieci anni dimostra quanto possano essere resilienti queste infrastrutture quando riescono a costruire comunità attive e servizi affidabili per i propri utenti criminali. Le dichiarazioni rilasciate da Dmitry Volkov, CEO di Group-IB, e da Neal Jetton, direttore della divisione Cybercrime di INTERPOL, sottolineano entrambe l’importanza della collaborazione tra settore privato e forze dell’ordine. In un contesto nel quale le minacce informatiche operano su scala globale, la condivisione di intelligence e il coordinamento internazionale diventano elementi essenziali per ottenere risultati concreti. L’operazione contro SniperDZ mostra come le indagini basate sull’intelligence possano andare oltre la semplice interruzione delle campagne e colpire direttamente le persone che ne garantiscono il funzionamento. Per il mercato del phishing-as-a-service si tratta di un segnale importante: la longevità e la dimensione di una piattaforma non costituiscono necessariamente una garanzia di impunità quando investigatori, aziende di sicurezza e autorità riescono a coordinare efficacemente le proprie risorse.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
