Con una operazione coordinata durata sei mesi, che ha coinvolto 72 paesi, Interpol ha smantellato infrastrutture globali usate per phishing, malware e ransomware. 94 arresti e 212 dispositivi sequestrati.
Autore: Redazione SecurityOpenLab
Si chiama Operation Synergia III la terza fase dell'operazione internazionale coordinata da Interpol contro phishing, malware e ransomware che ha portato in tre anni all’abbattimento di oltre 45.000 indirizzi IP e server malevoli, al sequestro di 212 dispostivi elettronici e all’arresto di 94 persone in tutto il mondo. L'operazione ha coinvolto Forze dell'Ordine di 72 paesi, necessari per interrompere infrastrutture distribuite in maniera efficace. Al momento risultano ancora 110 individui sotto indagine.
L'operazione è la terza in successione di una serie avviata nel 2023 e seguita da una seconda nel 2024. Ciascun ciclo ha progressivamente ampliato il numero di paesi coinvolti e la portata delle infrastrutture smantellate. La terza fase, che è stata attiva dal 18 luglio 2025 al 31 gennaio 2026, ha rappresentato l'intervento più esteso finora condotto nell'ambito di questo programma. Interpol ha collezionato dati di intelligence e li ha trasformati in indicazioni operative concrete, quindi ha fornito e supporto tattico alle autorità nazionali. Ne è risultata una serie di raid mirati che hanno permesso l'interruzione di attività cyber malevole su larga scala e il sequestro delle infrastrutture a cui abbiamo fatto riferimento sopra.
Neal Jetton, Director of the Cybercrime Directorate di Interpol, ha sottolineato che: "la criminalità informatica nel 2026 è più sofisticata e distruttiva che mai, ma l'Operation Synergia III dimostra con forza ciò che la cooperazione globale è in grado di ottenere".
Uno dei casi più rilevanti emersi dall'operazione riguarda Macau, in Cina, dove le forze dell'ordine hanno identificato oltre 33.000 siti web di phishing e siti fraudolenti: una produzione sistematica di infrastrutture malevole, che restituisce la dimensione industriale che il phishing ha assunto. L'infrastruttura colpita faceva capo a portali che imitavano casinò online, banche, siti governativi e servizi di pagamento. Le vittime venivano indotte a effettuare versamenti in denaro su piattaforme fasulle oppure a inserire informazioni personali e numeri di carte di credito su pagine clone di siti istituzionali, con il duplice obiettivo di svuotare i conti e di collezionare credenziali riutilizzabili in ulteriori attacchi.
A Togo, invece, le autorità hanno arrestato 10 sospettati che conducevano le attività illegali da un'abitazione privata, in cui alcuni erano specializzati nelle tecniche di compromissione degli account sui social media, altri si occupavano esclusivamente delle fasi di social engineering. Le modalità operative documentate includono romance scam e sextortion. Dopo aver ottenuto l'accesso a un account, i criminali contattavano i contatti online della vittima impersonandola, costruivano relazioni sentimentali fasulle o ingannavano amici e familiari per convincerle a versare loro denaro.
Questo schema illustra una catena di attacco a due livelli in cui la compromissione iniziale dell'account è il mezzo, mentre il fine è l'accesso alla rete di relazioni della vittima, che diventa a sua volta terreno di caccia.
La numerica più consistente è arrivata infine dell’attività in Bangladesh, dove le autorità hanno fermato 40 sospettati e sequestrato 134 dispositivi elettronici. Gli schemi di frode documentati coprono uno spettro che va dalla truffa sui prestiti alle false offerte di lavoro, passando per furto di identità e frode con carta di credito. I canali di distribuzione principali erano piattaforme di social media e applicazioni di messaggistica. Il dato bangladese è significativo anche per la varietà degli schemi operativi documentati in un singolo contesto nazionale: le tecniche rilevate includevano loan scam, job scam, identity theft, card fraud, a indicazione della capacità di adattamento della struttura criminale.
Infine, è importante ricordare la collaborazione strutturata pubblico privata, che come sempre è stata determinante per il successo dell’operazione. Group-IB, Trend Micro e S2W hanno supportato l'operazione con il tracciamento delle attività cyber illegali e l'identificazione dei server malevoli.