L’indagine di Group-IB ha individuato un kit di phishing progettato per colpire il mercato italiano imitando fedelmente i portali di Aruba. Il sistema guida le vittime attraverso quattro fasi, dal superamento dei controlli anti-bot alla raccolta di credenziali, dati di pagamento e codici Otp, inviando le informazioni rubate a bot Telegram usati come centro di comando e controllo e vendita dei sistemi
Un kit di phishing calibrato specificamente per colpire utenti e aziende in Italia. È quanto emerge da un’analisi di Group-IB, che ha ricostruito il funzionamento di un framework criminale capace di imitare con precisione chirurgica i servizi di Aruba S.p.A., uno dei principali fornitori italiani di hosting, domini e infrastrutture digitali. Dietro queste operazioni, un sistema che replica modelli tipici del software legittimo, con moduli, aggiornamenti, supporto tecnico e una distribuzione che passa, sempre più spesso, da Telegram.
Una macchina criminale pensata per l’Italia
Il kit analizzato riproduce fedelmente il portale Aruba, ben consapevole del ruolo centrale che l’azienda ricopre nel Paese: oltre 5,4 milioni di clienti, data center sparsi sul territorio e un punto d’ingresso privilegiato verso siti, e-mail e intere infrastrutture aziendali.
Compromettere un singolo account significa potenzialmente ottenere accesso a domini, caselle Pec, aree di gestione server. Un target che, nel contesto italiano, offre un ritorno notevole con rischi relativamente contenuti.
Quattro stadi, una sola strategia: catturare tutto
Il kit non si limita a una pagina fasulla. È una procedura in più atti, costruita per estrarre ogni informazione utile:
Il filtro anti-bot. L’accesso alla pagina avviene solo dopo un Captcha, col duplice scopo di escludere i sistemi di sicurezza automatici, come scanner anti-phishing, e di garantire che il contenuto arrivi solo a utenti reali.
Le credenziali di accesso. Il link ricevuto via e-mail conduce a un clone quasi perfetto del login Aruba, già precompilato con l’indirizzo della vittima. L’effetto di legittimità della piattaforma produce così un effetto di rassicurazione psicologica dell’utente, il quale crederà di trovarsi sul portale autentico.
I dati della carta. Segue una richiesta di pagamento minimo, giustificata come rinnovo o verifica. La piccola somma fa abbassare la guardia, sembrando un importo innocuo e, parallelamente, porta l’utente a inserire l’intero set dei dati della carta.
L’ultimo passaggio è la simulazione di un Otp bancario, con tanto di autentificazione a due fattori richiesta. Una finta schermata 3D Secure/Otp per catturare il codice monouso inviato dalla banca, con il quale gli attori criminali possono confermare transazioni in tempo reale.
Il kit contenente tutte le informazioni viene poi inviato a bot Telegram configurati come centri di comando immediato. Subito dopo, la vittima viene reindirizzata al sito legittimo, riducendo ancora di più la percezione di essere stata ingannata.
Telegram come vettore dell’operazione
I ricercatori hanno trovato diversi canali Telegram dedicati al “prodotto”. Discussioni, aggiornamenti, perfino distribuzione gratuita del kit. Modello tipico della criminalità cyber più recente: strumenti pronti all’uso e commercializzati. È la logica del phishing-as-a-service, che abbassa drasticamente le competenze necessarie per lanciare un attacco, consentendo a chiunque di colpire il mercato italiano con strumenti professionali.
Il punto: l’Italia al centro di una filiera criminale in evoluzione
L’operazione Aruba è un indicatore: il phishing non è più un fenomeno marginale, ma un segmento criminale che cresce, si aggiorna, si automatizza. La tendenza è quella dell’industrializzazione delle campagne cibernetiche offensive, con piattaforme criminali che operano come vere e proprie aziende, con strumenti già strutturati e pronti all’uso da poter vendere tramite Telegram. Questo riguarda tutta l’Europa ma, in questo caso, riguarda in modo diretto l’Italia, con un tessuto di piccole e medie imprese digitalmente dipendenti ma spesso vulnerabili.
