Dentro la Shadow Web indonesiana: il sindacato cybercriminale che da 14 anni confonde il confine tra crimine e Stato

Negli angoli più oscuri di Internet, un gigante silenzioso è all’opera. Da 14 anni, un sindacato cybercriminale di lingua indonesiana ha costruito e mantenuto un impero digitale così vasto e sofisticato che gli esperti di sicurezza si chiedono: è opera di semplici criminali - o di qualcosa di molto più grande?

L’Anatomia di un Colosso Cybercriminale

L’operazione, meticolosamente documentata dai ricercatori di Malanta, sembra uscita da un thriller informatico. Quello che era iniziato come gioco d’azzardo online illecito è sbocciato in un ecosistema che comprende distribuzione di malware, dirottamento di domini e infiltrazione di reti aziendali e governative in tutto il mondo. A differenza degli hacker opportunisti, questo sindacato agisce con precisione glaciale, sfruttando vulnerabilità in WordPress, PHP, risorse cloud scadute e record DNS pendenti per prendere il controllo di siti e sottodomini.

La scala è impressionante: oltre 328.000 domini, inclusi ben 90.000 sottratti a proprietari legittimi, e quasi 1.500 sottodomini compromessi - alcuni appartenenti ad agenzie governative occidentali. L’hosting è distribuito tra AWS, Azure e nascosto dietro Cloudflare e indirizzi IP statunitensi, rendendo la rimozione un gioco infinito al gatto col topo digitale.

Armi di Fiducia

La mossa più insidiosa del sindacato? Dirottare sottodomini governativi e installare reverse proxy che mascherano il traffico di comando e controllo malevolo come connessioni HTTPS legittime. Questo consente loro di sottrarre cookie di sessione e credenziali da utenti ignari, inclusi quelli che accedono a sistemi finanziari o governativi sensibili. L’analisi di 108.000 di questi domini ha rivelato un controllo centralizzato: il 92% dei loro indirizzi IP ospitava più domini dirottati - prova di un’unica mente a tirare le fila.

Malware Mobile e Targetizzazione Localizzata

Il fronte mobile è altrettanto inquietante. Circa 7.700 domini distribuiscono APK Android camuffati da app di gioco d’azzardo, che agiscono come “dropper” per scaricare ulteriore malware, esfiltrare dati e comunicare con server di comando condivisi. Queste app sono geo-limitate, richiedendo numeri di telefono e dati bancari indonesiani, assicurando così la presa del sindacato sulle vittime locali ed evitando l’attenzione globale.

Chi si Nasconde Dietro le Quinte?

L’infrastruttura di supporto include account GitHub usa e getta, domini simili a quelli di giganti tecnologici e un flusso costante di credenziali rubate - oltre 51.000 emerse su forum del dark web. La sofisticazione tecnica, la disciplina operativa e l’enorme investimento finanziario puntano tutti verso una forza che va oltre il cybercrimine ordinario. Con costi che superano i milioni l’anno e una longevità di 14 anni, gli esperti avvertono che potrebbe trattarsi di un gruppo sostenuto dallo Stato - o che opera sotto la sua protezione.