Le Forze dell'Ordine di Stati Uniti, Canada, Germania e Paesi Bassi, con il supporto di Europol ed Eurojust, hanno sferrato un colpo significativo a SocGholish, uno dei framework malware più longevi e pervasivi della scena cybercriminale. L'azione, condotta nell'ambito di Operation Endgame (Operation Riptide sul versante statunitense), ha portato all'abbattimento di 106 server e domini e alla bonifica di 14.971 siti web compromessi in tutto il mondo.

Per comprendere il peso dell'operazione occorre inquadrare il soggetto colpito. Evil Corp è un gruppo di cybercriminali di origine russa attivo dal 2007, che la National Crime Agency del Regno Unito ha definito il gruppo di criminalità informatica più dannoso del mondo. Nel dicembre 2019 l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense ha emesso sanzioni contro 17 individui e sette entità collegate alle sue operazioni, a seguito di perdite finanziarie superiori ai 100 milioni di dollari causate dal trojan bancario Dridex. Negli anni successivi, il gruppo ha ripetutamente cambiato identità e strumenti per eludere le sanzioni e rendere difficile l'attribuzione, passando da Dridex a WastedLocker, Hades, Phoenix Locker e PayloadBIN, tutti accomunati dalla stessa base di codice.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

SocGholish, noto anche come FakeUpdates, è attivo dal 2017 e rappresenta, secondo Proofpoint, il capostipite di una tecnica poi replicata da numerosi altri attaccanti: compromettere siti web legittimi e sfruttare sistemi di distribuzione del traffico (TDS) per reindirizzare i visitatori verso pagine che simulano aggiornamenti del browser, inducendoli a scaricare il malware. In Italia, FakeUpdates ha mantenuto per mesi la prima posizione tra i malware più diffusi nel paese.

Tipicamente, SocGholish opera in tre fasi: iniezione malevola nei siti compromessi, smistamento del traffico tramite TDS, consegna del payload finale GhoLoader. La vettore di compromissione preferito sono i siti WordPress: secondo la Dutch National Police, le credenziali di accesso di 1,4 milioni di siti WordPress risultano compromesse, ed è da questo serbatoio che Evil Corp attingeva per infettare siti di servizi quotidiani, come per esempio ristoranti e officine meccaniche. Una volta guadagnato l'accesso amministrativo, il gruppo iniettava codice JavaScript altamente offuscato che reindirizzava il traffico verso il TDS, il quale profilava i visitatori per sistema operativo, browser, paese di origine e indirizzo IP prima di consegnare il payload appropriato. L'FBI, in un Public Service Announcement, ha ricordato come i TDS malevoli permettano ai criminali di aggirare i firewall tradizionali, nascondere la destinazione finale del traffico e identificare le vittime più remunerative.

Il payload GhoLoader, una volta installato, apriva la strada a campagne ransomware. Infoblox, tra i partner privati dell'operazione, ha documentato come SocGholish abbia fornito accesso iniziale a varianti come DoppelPaymer, WastedLocker, Hades, LockBit e RansomHub. L'FBI nella propria comunicazione ufficiale ha confermato che la botnet è stata impiegata sia per campagne ransomware sia per attività di spionaggio, colpendo infrastrutture critiche.

L'operazione e i risultati

Proofpoint, che ha contribuito alle indagini con la propria intelligence, sottolinea nel proprio blog di threat intelligence che l'impatto di Operation Endgame si ripercuoterà sull'intera operatività del gruppo, con interruzioni ai servizi, danni reputazionali e perdita di clienti criminali. L'azione si inserisce nella cornice di una delle più grandi attività di contrasto al cybercrime su scala globale, che ha già portato a importanti risultati, come lo smantellato Danabot, il malware-as-a-service attivo dal 2018.

I possessori di siti WordPress vittime di GhoLoader sono invitati a modificare immediatamente le credenziali di accesso, abilitare l'autenticazione a più fattori, eliminare account amministratori sconosciuti, mantenere aggiornati core, plugin e temi, e installare un Web Application Firewall.