SocGholish, Evil Corp e la nuova dottrina contro il cybercrime globale. L’analisi di Teti

La recente operazione condotta contro il malware SocGholish non è soltanto un’azione di polizia giudiziaria contro una campagna malware, ma il segnale di una trasformazione profonda nel modo in cui gli Stati stanno affrontando il cybercrime organizzato.

La notizia è stata diffusa dalla Polizia olandese il 18 giugno 2026, nell’ambito di Operation Endgame, racconta infatti molto più di una bonifica tecnica: 14.971 siti web infetti ripuliti, 106 server e domini disattivati, vittime avvisate, infrastrutture criminali neutralizzate e una rete internazionale di autorità pubbliche e soggetti privati mobilitata contro uno degli snodi più insidiosi dell’ecosistema criminale digitale.

SocGholish, conosciuto anche come FakeUpdates, è una minaccia attiva da anni e particolarmente pericolosa perché non si limita a infettare singoli computer. Il suo vero valore criminale consiste nella capacità di creare accessi iniziali ai sistemi compromessi. E nel mondo del cybercrime contemporaneo l’accesso iniziale è una merce strategica, poiché rappresenta il primo varco attraverso cui possono passare furto di credenziali, esfiltrazione di dati, ransomware, spionaggio industriale, sabotaggio e attacchi contro infrastrutture critiche. La tecnica utilizzata da SocGholish è apparentemente semplice, ma estremamente efficace. I criminali compromettono siti legittimi, in particolare siti basati su WordPress, e li trasformano in piattaforme inconsapevoli di distribuzione malware. L’utente visita un sito apparentemente normale, magari quello di un ristorante, di un’officina, di una piccola attività commerciale o di un servizio locale, e visualizza una falsa notifica di aggiornamento del browser. Se accetta di installare l’aggiornamento, in realtà scarica il codice malevolo. A quel punto il dispositivo comunica con l’infrastruttura criminale e gli aggressori possono ottenere un primo accesso al sistema.

Il punto centrale è proprio questo: SocGholish non va interpretato soltanto come un malware, ma come una componente infrastrutturale dell’economia criminale digitale. Sostanzialmente rappresenta una porta d’ingresso, un servizio servizio abilitante. È uno strumento attraverso cui altri gruppi possono penetrare reti aziendali, pubbliche amministrazioni, sistemi industriali e organizzazioni strategiche. Per comprendere l’importanza dell’operazione bisogna partire da un dato: il cybercrime moderno non funziona più come nell’immaginario tradizionale dell’hacker isolato che agisce da solo davanti a un computer. Oggi siamo davanti a vere e proprie filiere criminali transnazionali: alcuni gruppi sviluppano malware, altri compromettono siti web, e altri ancora che vendono credenziali. Alcuni gestiscono infrastrutture di comando e controllo, altri si occupano di riciclaggio tramite criptovalute e altri ancora acquistano accessi già pronti per lanciare campagne ransomware. Siamo davanti ad un mercato strutturato, tecnologicamente innovativo, enormemente flessibile e notevolmente specializzato. Il singolo attore non deve possedere tutte le competenze: può comprarle e non deve sviluppare strumenti digitali, poiché può affittarli. E non deve neppure compromettere direttamente una rete, dato che può acquistare l’accesso da un broker.

In questo scenario, SocGholish rappresenta una delle infrastrutture che alimentano la fase iniziale della catena di attacco. Senza accesso iniziale, molte campagne ransomware non partirebbero e senza siti compromessi, molti utenti non verrebbero infettati, così come senza credenziali rubate, molte reti aziendali resterebbero fuori dalla portata degli attaccanti. Colpire SocGholish significa dunque agire a monte, non a valle. Significa interrompere la catena prima che si trasformi in ransomware, crisi aziendale, blocco dei servizi, estorsione, danno reputazionale o rischio per la sicurezza nazionale.

Evil Corp e il salto di qualità della minaccia

L’aspetto più rilevante dell’operazione è il collegamento indicato dalle autorità tra SocGholish ed Evil Corp, uno dei gruppi cybercriminali russi più noti e pericolosi. Evil Corp è associato da anni a campagne malware, operazioni di furto finanziario, ransomware e riciclaggio. Il nome richiama una stagione del cybercrime in cui il confine tra criminalità organizzata, interessi geopolitici e tolleranza statuale è diventato sempre più sfumato. Questo, ovviamente, non significa che ogni operazione criminale sia automaticamente un’operazione statale. Ciò sarebbe una semplificazione.

Significa invece che alcuni grandi gruppi criminali operano in contesti geopolitici nei quali la distinzione tra criminalità, intelligence, guerra ibrida e pressione strategica può diventare ambigua. Il cybercrime russo, in particolare, ha dimostrato negli anni una forte capacità di resilienza. Anche quando alcune infrastrutture vengono smantellate, i gruppi tendono a riorganizzarsi, cambiare nome, modificare strumenti, spostare server, reclutare nuovi affiliati e adattare le proprie tecniche operative. Per questo motivo l’operazione contro SocGholish non va letta come un colpo definitivo, bensì come un’azione di interdizione.

In altri termini, l’obiettivo non è illudersi di eliminare per sempre la minaccia, ma ridurne la capacità operativa, aumentare i costi per i criminali, interrompere le campagne in corso e raccogliere informazioni utili per ulteriori azioni investigative. L’Operation Endgame, nella fattispecie, rappresenta una delle più importanti iniziative internazionali contro ransomware e cybercrime, dato che il suo valore non risiede soltanto nella dimensione repressiva, ma nel metodo dato che la risposta al cybercrime globale non può più essere nazionale. Partendo dall’evidenza che le infrastrutture sono distribuite in più Paesi e che i domini vengono registrati in giurisdizioni diverse, i server utilizzati per le attività di cybercrime possono essere noleggiati attraverso provider internazionali, poiché le vittime sono sparse nel mondo.

Inoltre i pagamenti per al conduzione delle operazioni avvengono tramite canali digitali difficili da tracciare e le identità vengono schermate da reti di anonimizzazione, prestanome, documenti falsi e servizi criminali specializzati. Nessuna polizia nazionale, da sola, può affrontare un fenomeno di questa complessità e si rende necessaria una cooperazione multilivello: forze di polizia, autorità giudiziarie, agenzie europee, organismi internazionali, aziende di cybersecurity, registrar, provider, fondazioni tecniche, servizi di notifica alle vittime e piattaforme di threat intelligence. L’operazione contro SocGholish dimostra esattamente che questa architettura sta diventando più matura. Le autorità non si sono limitate a investigare, ma hanno bonificato siti, preso il controllo di domini, disattivato server, notificato vittime e diffuso indicazioni pratiche ai proprietari dei siti compromessi. Questa rappresenta una procedura fondamentale. La cybersecurity moderna non è più solo difesa passiva: è prevenzione, intelligence, contrasto, resilienza, cooperazione pubblico-privato e capacità di intervento sulle infrastrutture digitali ostili.

WordPress come superficie d’attacco globale

Un altro elemento rilevante riguarda WordPress. La Polizia olandese ricorda che WordPress alimenta oltre il 43% dei siti web presenti su Internet. Questo dato spiega perché la piattaforma sia diventata un obiettivo privilegiato. Non perché WordPress sia di per sé insicuro, ma perché la sua diffusione enorme lo rende una superficie d’attacco globale. Molti siti vengono creati da piccole organizzazioni, professionisti, enti locali, associazioni o imprese che non dispongono di competenze tecniche interne. Spesso i plugin non vengono aggiornati e le password restano deboli. Gli account amministrativi vengono spesso condivisi e l’autenticazione multifattore non viene attivata, così come i backup non vengono verificati. Ciò determina uno scenario che vede le vulnerabilità “attive” per mesi. I criminali sfruttano questa fragilità sistemica dato che hanno bisogno di colpire soltanto grandi obiettivi. Possono trasformare migliaia di piccoli siti in una rete di distribuzione malware. È quella che viene identificata come “democratizzazione dell’infrastruttura criminale”: anche un sito apparentemente irrilevante può diventare un nodo di una campagna globale.

Un avvertimento anche per l’Italia

Questo impone una riflessione importante anche per l’Italia. Il tessuto produttivo italiano è composto in larga misura da piccole e medie imprese, studi professionali, enti territoriali, associazioni, scuole, università e amministrazioni locali. Molte di queste realtà utilizzano Content Management System (CMS) diffusi e spesso affidano la gestione tecnica a fornitori esterni. La sicurezza del sito web viene percepita come un problema secondario, fino a quando non diventa il punto di ingresso di una compromissione più grave.

Va precisato che SocGholish sfrutta anche una dinamica psicologica semplice: l’urgenza. L’utente vede un messaggio che lo invita ad aggiornare il browser. Il messaggio sembra credibile. Il sito visitato è legittimo. Il gesto richiesto è familiare. Cliccare diventa naturale. È qui che emerge uno dei limiti più persistenti della sicurezza digitale: la tecnologia da sola non basta. I sistemi di protezione possono bloccare molte minacce, ma è sempre l’utente a rappresentare “l’anello più esposto”, ma non per colpa individuale, ma perché le tecniche di ingegneria sociale sono progettate per sfruttare automatismi, fiducia, distrazione e abitudini.

Le false notifiche di aggiornamento funzionano perché imitano comportamenti ordinari. Nessuno si stupisce se un browser chiede un update. Nessuno considera immediatamente sospetto un messaggio che parla di sicurezza. Ed è proprio questa apparente normalità a rendere SocGholish efficace. Per questo le autorità raccomandano alcune misure semplici ma essenziali: non fidarsi dei pop-up improvvisi, installare aggiornamenti solo da fonti ufficiali, mantenere attivi gli antivirus, aggiornare i siti, cambiare credenziali, eliminare account sconosciuti e attivare l’autenticazione multifattore.

Sono misure basilari, ma nel cybercrime la differenza tra incidente evitato e compromissione grave spesso passa proprio da queste pratiche elementari. L’operazione Endgame offre almeno cinque indicazioni operative. La prima riguarda la necessità di rafforzare la cultura della manutenzione digitale. Aggiornare un sito, controllare i plugin, rimuovere account inutilizzati, attivare MFA e monitorare gli accessi non sono dettagli tecnici, bensì attività di sicurezza nazionale diffusa. La seconda riguarda il rapporto tra piccole organizzazioni e cybercrime. Non esistono più soggetti troppo piccoli per essere colpiti. Anche una piccola impresa o un sito locale possono diventare strumenti inconsapevoli di un attacco globale. La terza riguarda la cooperazione pubblico-privato. Le autorità investigative possono colpire le infrastrutture criminali, ma hanno bisogno dei dati e della collaborazione di provider, aziende di sicurezza, gestori di domini, CERT, piattaforme di notifica e comunità tecniche. La quarta riguarda l’importanza dell’intelligence cyber. La prevenzione efficace richiede capacità di individuare campagne, correlare indicatori, attribuire infrastrutture, osservare movimenti nei forum criminali e anticipare il riutilizzo degli strumenti. La quinta riguarda la formazione. Il caso SocGholish dimostra che una parte significativa della difesa passa ancora dalla consapevolezza degli utenti. La sicurezza informatica deve diventare una competenza ordinaria, non specialistica e deve entrare nelle imprese, nelle scuole, nelle pubbliche amministrazioni e nei percorsi universitari.

La dimensione strategica: dal ransomware alla sicurezza nazionale

Il ransomware non è più soltanto un problema economico. È un problema di sicurezza nazionale. Quando un ospedale viene bloccato, il danno non è solo informatico, ma coinvolge la salute dei cittadini. Quando una municipalità perde accesso ai propri sistemi, il danno riguarda i servizi pubblici e quando un’azienda energetica, una società di trasporti, un’università o un fornitore della pubblica amministrazione viene colpito, l’impatto può estendersi lungo catene di fornitura complesse. SocGholish è pericoloso perché può essere il primo anello di questa catena.

Un falso aggiornamento può generare un accesso. Un accesso può diventare “movimento laterale” nella rete. Il movimento laterale può portare all’esfiltrazione di dati. L’esfiltrazione può trasformarsi in doppia estorsione. La doppia estorsione può bloccare un’organizzazione. Il blocco può produrre effetti sistemici. È per questo che la bonifica di migliaia di siti infetti non è un’azione puramente tecnica, ma rappresenta un intervento preventivo sulla sicurezza collettiva. Ma non bisogna farsi illusioni: il cybercrime continuerà ad adattarsi dato che dopo ogni operazione di polizia, i gruppi criminali cambiano infrastrutture, riscrivono codice, modificano domini, reclutano nuovi affiliati e cercano nuove tecniche di evasione.

In altri termini, si tratta di una competizione continua. Purtuttavia, l’operazione contro SocGholish dimostra che anche gli Stati stanno cambiando passo. Non attendono più soltanto che l’attacco produca danni. Cercano di interrompere le catene criminali prima che diventino incidenti sistemici. E non colpiscono soltanto gli esecutori finali, ma anche i servizi abilitanti. Non si limitano agli arresti, ma intervengono sui nodi tecnici, sui domini, sui server, sulle credenziali e sui canali di distribuzione. È la nuova dottrina del contrasto al cybercrime: degradare l’ecosistema, ridurre la capacità operativa, aumentare i costi dell’attaccante, proteggere le vittime potenziali e trasformare la cooperazione internazionale in uno strumento permanente.

La sicurezza digitale non si costruisce soltanto con firewall, antivirus e procedure interne, ma si sviluppa integrando l’intelligence, la cooperazione, la prevenzione, la responsabilità distribuita e la capacità di colpire le infrastrutture criminali prima che diventino strumenti di crisi. Nel cyberspazio, la difesa non è più una linea statica, è un’azione continua.