SCATTERED
SPIDER

Scattered Spider non è un gruppo di hacker nel senso tradizionale del termine. Non sviluppa malware, non cerca vulnerabilità nel codice, non opera da server nascosti in giurisdizioni ostili. È un collettivo di adolescenti e ventenni anglofoni — americani, britannici, irlandesi, canadesi — che ha scoperto qualcosa che l’industria della sicurezza informatica sapeva in teoria ma non aveva ancora visto applicato su questa scala: il punto più vulnerabile di qualsiasi sistema informatico non è il software. È la persona che risponde al telefono.

Tra il 2022 e il 2025 questo collettivo ha violato circa cinquanta grandi organizzazioni, estorto oltre 115 milioni di dollari documentati, paralizzato le operazioni di due dei più grandi resort di Las Vegas, spento le slot machine di un casinò, bloccato i sistemi di pagamento di una catena britannica da miliardi di sterline. Lo ha fatto principalmente con telefonate. Con inglese nativo impeccabile. Con la capacità di suonare esattamente come un collega in difficoltà che ha perso il telefono prima di una riunione importante.

Per capire come si arriva a questo punto, bisogna partire da vent’anni prima. Da un forum di username rubati. Da una cultura digitale che ha trasformato il prestigio online in valuta criminale. E da una serie di errori investigativi delle autorità che per mesi hanno cercato hacker russi dove c’erano adolescenti nelle loro camerette.

// Struttura reticolare di The Com — ogni nodo è un ruolo distinto, ogni connessione un canale Telegram cifrato

The Com è l’ecosistema criminale anglofono da cui Scattered Spider emerge. Non è nato all’improvviso: ha una storia di vent’anni, costruita attraverso forum successivi, takedown delle autorità e migrazioni che ogni volta hanno reso la comunità più capace.

The Com — abbreviazione di “The Community” — è il nome collettivo con cui i ricercatori di sicurezza identificano l’ecosistema criminale digitale di lingua inglese che costituisce il brodo di coltura di Scattered Spider. Non ha una sede, non ha un vertice, non ha una struttura gerarchica formale. È un arcipelago di server Discord e canali Telegram in cui si mescolano hacker, truffatori, estorsori e ragazzi che aspirano a diventare tali, uniti da una sottocultura basata sul prestigio digitale e sulla prevaricazione come forma di status.

Questo ecosistema ha radici documentate che risalgono al 2007, con Dark0de: un forum ad invito, accessibile solo su referenza, dove si vendevano credenziali rubate, malware, exploit e strumenti di attacco. Europol lo ha descritto come il forum cybercriminale anglofono più prolifico della sua epoca. Nel luglio 2015, l’FBI ha coordinato l’Operazione Shrouded Horizon — diciotto mesi di indagini, dodici paesi coinvolti — che ha smantellato Dark0de e arrestato decine di operatori. I sopravvissuti si sono dispersi. Ed è quella dispersione che ha generato quello che sarebbe venuto dopo.

Il meccanismo che attraversa tutta questa genealogia è sempre lo stesso: ogni volta che le autorità smantellano un hub, i suoi membri migrano verso altri spazi portando con sé le tecniche apprese. La dispersione non azzera la capacità criminale: la distribuisce e la rende più resiliente. È per questo che gli arresti del 2024 e 2025 non hanno chiuso il problema. Hanno rimosso alcuni nodi da un sistema che continua a rigenerarsi.

The Com non funziona come una gang con un boss. Funziona come un mercato del lavoro specializzato, con ruoli distinti, reputazione verificabile e transazioni on-demand. Questa struttura è ciò che lo rende resiliente agli arresti individuali.

Dentro The Com esistono ruoli precisi, con competenze distinte e un mercato della reputazione che premia le performance verificabili. Un “caller” specializzato in vishing aziendale non è la stessa persona che gestisce il riciclaggio in Monero. Un SIM swapper non è necessariamente un phishing kit developer. Questa divisione del lavoro — mutuata direttamente dalla logica dell’outsourcing nell’economia legale — è esattamente ciò che rende il sistema resistente: arrestare un caller non smette il ciclo, come arrestare un singolo autista non ferma Uber.

La coesione interna di questo mercato non si basa sull’autorità ma sulla paura reciproca. Thalha Jubair e altri membri di vertice avevano il controllo operativo di Doxbin: un sito pubblicamente accessibile dove vengono pubblicati indirizzi di residenza, documenti d’identità, informazioni sui familiari delle vittime designate. La minaccia di essere doxxati — seguita da swatting, aggressioni fisiche o altri atti commissionabili con crypto tramite Telegram, quello che nel gergo interno viene chiamato Violence-as-a-Service — teneva allineati i membri rivali e preveniva le defezioni.

Scattered Spider non usa malware per entrare nelle reti aziendali. Usa il telefono. Questa sezione spiega in dettaglio ogni fase dell’attacco, dai mesi di preparazione all’escalation verso i sistemi cloud.

Un attacco di Scattered Spider inizia settimane, a volte mesi, prima della telefonata. Il gruppo usa LinkedIn per mappare l’organigramma dell’azienda bersaglio: cerca gli amministratori di sistema con privilegi elevati — Global Admin su Azure, Super Admin su Okta — e studia le persone che lavorano nell’helpdesk. I primi sono il bersaglio finale. I secondi sono il varco.

Una volta costruito il profilo del bersaglio, il gruppo cerca le sue informazioni personali nei database trapelati da precedenti violazioni — data di nascita, numero di matricola aziendale, nome del manager diretto — per avere materiale credibile da usare nella telefonata. Poi chiama. Si spaccia per quell’amministratore. Dichiara di aver perso il telefono, di essere bloccato fuori dal sistema, di avere una riunione critica tra quindici minuti. L’operatore dell’helpdesk sente un collega in difficoltà che sa esattamente chi è, dove lavora e come funziona l’azienda. E resetta le credenziali.

Quando l’MFA è più robusta e non cedeva al semplice reset, il gruppo usava la tecnica della MFA fatigue: inviare decine o centinaia di notifiche push di autenticazione sullo smartphone del dipendente bersaglio, spesso di notte o nel weekend, finché la vittima — per stanchezza, confusione o pensando a un bug dell’app — premeva “Accetta”. Nei casi in cui neanche questo funzionava, Scattered Spider costruiva portali fasulli visivamente identici ai sistemi di login aziendali e usava framework di reverse proxy per intercettare i cookie di sessione in tempo reale.

Una sola categoria di aziende ha dimostrato resistenza strutturale a tutti questi vettori: quelle che usavano chiavette hardware fisiche conformi al protocollo FIDO2/WebAuthn. Questi dispositivi verificano crittograficamente che la richiesta di autenticazione venga da un URL legittimo. Un portale fasullo, per quanto perfetto visivamente, riceve una risposta matematicamente diversa. Non c’è persuasione umana che possa aggirare una verifica crittografica dell’origine.

Una volta dentro la rete, il gruppo non installava malware. Usava strumenti commerciali legittimi — software di remote management come AnyDesk, FleetDeck, Atera — per mantenere l’accesso in modo invisibile ai sistemi di rilevamento. Il bersaglio finale era sempre il sistema di gestione delle identità aziendali: Azure AD o Okta. Con il controllo di quel livello, Scattered Spider si auto-assegnava i massimi privilegi, aggiungeva provider di identità fraudolenti per garantirsi accesso permanente, e poi disattivava con un singolo comando tutti i sistemi di sicurezza e logging in tutta la rete. A quel punto contattava i partner russi per il ransomware.

I grandi sindacati del ransomware dell’Est Europa avevano l’infrastruttura tecnica ma non potevano operare in Occidente per via della barriera linguistica. Scattered Spider aveva la fluidità culturale che serviva.

I cartelli russi del ransomware — ALPHV/BlackCat, LockBit, DragonForce, RansomHub — avevano costruito negli anni infrastrutture tecniche sofisticate: malware crittografici scritti in Rust, piattaforme di negoziazione sul dark web, reti di riciclaggio consolidate. Avevano però un problema operativo che non riuscivano a risolvere: ogni volta che un affiliato russo cercava di condurre un’operazione di social engineering contro un’azienda americana o britannica, il tentativo collassava quasi immediatamente. L’accento, la cadenza innaturale, la mancanza di dimestichezza con il gergo aziendale occidentale attivavano i campanelli d’allarme.

Scattered Spider ha risolto esattamente questa lacuna. Essere cresciuti nella stessa cultura aziendale delle loro vittime — le stesse serie TV, gli stessi meme, lo stesso inglese con le stesse inflessioni regionali — li rendeva indistinguibili da un collega reale al telefono. I ricercatori di Unit 221B descrivono questa competenza come “fluidità culturale”: sapere non solo cosa dire ma come dirlo, con quale ritmo, quale livello di urgenza, quale tipo di frustrazione suona autentica a un operatore dell’helpdesk alle tre del pomeriggio.

Nel modello Ransomware-as-a-Service, l’accordo era puramente transazionale: Scattered Spider entrava nella rete usando il fattore umano, i partner russi fornivano il payload ransomware e la piattaforma di negoziazione sul dark web. Il gruppo anglofono tratteneva tra il 70% e l’80% del riscatto. Con richieste che raggiungevano regolarmente le decine di milioni per singola operazione, questo ha trasformato adolescenti problematici in milionari nel giro di pochi mesi.

Questa sezione documenta gli attacchi più significativi: i casinò di Las Vegas nel settembre 2023, la corruzione dei gestori telefonici, l’infiltrazione in Snowflake e il retail britannico nel 2024–2025.

Las Vegas, settembre 2023: MGM e Caesars

// Las Vegas, settembre 2023 — le luci dei casinò si spengono. MGM perde 100 milioni. Caesars paga 15. La stessa Strip, due risposte diverse.

La corruzione nei gestori telefonici

In parallelo alle operazioni di vishing, Scattered Spider ha costruito un canale di accesso alternativo corrompendo dipendenti interni di grandi gestori telefonici — T-Mobile, Twilio e altri operatori americani. Pagandoli in crypto non tracciabili, il gruppo otteneva accesso diretto ai portali di gestione delle utenze, consentendo SIM-swapping su scala industriale. Il caso Twilio è particolarmente rilevante: comprometterla significava avere accesso indiretto ai sistemi di autenticazione di tutti i suoi clienti simultaneamente.

Snowflake: la vulnerabilità a cascata

Elementi collegati a Scattered Spider hanno ottenuto accesso ai sistemi della piattaforma cloud Snowflake — usata da migliaia di grandi organizzazioni per centralizzare i propri dati aziendali. Invece di colpire una singola azienda, compromettere un fornitore cloud con accesso privilegiato ai dati di centinaia di clienti produce un effetto a cascata. Una singola intrusione, decine di aziende esposte che non erano neanche i bersagli diretti.

Il retail britannico, 2024–2025

Tra la fine del 2024 e la prima metà del 2025, usando l’infrastruttura DragonForce, Scattered Spider ha colpito Marks & Spencer, Harrods e il Co-op Group in rapida successione. I tre attacchi hanno generato danni economici complessivi stimati tra 270 e 440 milioni di sterline.

Oltre 115 milioni di dollari in riscatti. Questa sezione spiega come il gruppo cercava di nasconderli e perché una consegna di cibo a domicilio ha contribuito a smantellare l’operazione.

Il ciclo del riciclaggio seguiva una logica in tre fasi. I riscatti incassati in Bitcoin venivano immediatamente frammentati attraverso mixer come Tornado Cash per spezzare il collegamento con il portafoglio di origine. I fondi venivano poi convertiti in Monero — una criptovaluta progettata per oscurare di default mittente, destinatario e importo di ogni transazione — tramite exchange decentralizzati. Infine, broker OTC operanti nel dark web acquistavano le crypto e trasferivano i fondi equivalenti su conti bancari offshore aperti con identità rubate. Tecnicamente solido. Operativamente, si arrestava nel momento in cui i soldi toccavano la vita reale dei ragazzi che li avevano guadagnati.

La distanza tra la sofisticazione dell’infrastruttura d’attacco e la trascuratezza con cui venivano spesi i proventi è la variabile psicologica più rilevante di questa vicenda. Ragazzi capaci di costruire operazioni da cento milioni di dollari ordinavano la pizza con i soldi sporchi a casa propria, a loro nome. La stessa cultura del flexing che spingeva a documentare e condividere le intrusioni come trofei rendeva impossibile la disciplina operativa necessaria per restare invisibili nella vita reale.

Per mesi l’FBI ha cercato hacker russi. Questa sezione spiega come le indagini hanno cambiato direzione, quali tecniche investigative hanno portato agli arresti e chi è stato fermato.

Nelle prime fasi dell’indagine, l’FBI presumeva che attacchi di quella magnitudo potessero essere opera di unità militari statali o gruppi APT dell’Est Europa. Ci sono voluti mesi di analisi forense e la pressione incrociata di più agenzie prima che emergesse la realtà: i responsabili erano adolescenti nelle loro camerette in UK e negli USA. Questo pregiudizio investigativo iniziale ha dato al gruppo mesi di vantaggio operativo.

La task force congiunta FBI Cyber Division e National Crime Agency britannica, supportata da CrowdStrike, Mandiant e i ricercatori di Unit 221B, ha lavorato su tre vettori paralleli. Le VPN economiche usate dal gruppo presentavano occasionali micro-disconnessioni che per frazioni di secondo esponevano i veri indirizzi IP residenziali. Agenti sotto copertura si erano infiltrati nei canali chiave di The Com raccogliendo per mesi vanterie, tariffari e prove. Le registrazioni audio delle chiamate di vishing venivano incrociate con software di biometria vocale contro le interviste rilasciate anonimamente alla stampa.

Owen Flowers, diciottenne britannico, aveva parlato con vari giornalisti del settore vantandosi degli attacchi a Las Vegas. La corrispondenza biometrica con le registrazioni dell’helpdesk di MGM era inconfutabile. Il documento interno “The Com Cast” aveva fornito agli investigatori una mappa precompilata delle identità reali dei leader del gruppo.

Gli arresti non chiudono il problema. Questa sezione identifica le tre conseguenze strutturali per la sicurezza aziendale, le forze dell’ordine e l’industria assicurativa.

La MFA tradizionale non è più sufficiente

L’analisi degli attacchi di Scattered Spider produce una conclusione tecnica verificabile: l’autenticazione a due fattori basata su SMS, chiamate vocali automatizzate e app di notifica push è formalmente obsoleta per qualsiasi ambiente enterprise. Non perché sia stata superata da nuove vulnerabilità nel codice, ma perché il fattore umano la aggira con una telefonata. Le uniche aziende rimaste strutturalmente resistenti sono quelle che avevano adottato chiavette hardware fisiche basate sul protocollo FIDO2/WebAuthn.

Il crimine come brand è più difficile da smantellare del crimine come organizzazione

Quando un gruppo criminale diventa abbastanza visibile da diventare un brand riconoscibile, altri attori iniziano a rivendicare falsamente l’appartenenza per sfruttarne la fama. Il risultato è un’organizzazione criminale che si replica autonomamente anche senza i suoi fondatori originali. Gli investigatori si trovano a inseguire un logo, non una rete.

Il dilemma del riscatto non ha una risposta corretta

Caesars ha pagato 15 milioni ed è rimasta operativa. MGM ha rifiutato e ha perso 100 milioni. Dal punto di vista dei singoli azionisti, Caesars ha scelto meglio. Dal punto di vista dell’ecosistema criminale globale, il pagamento di Caesars ha finanziato direttamente il modello di business che nei diciotto mesi successivi ha colpito Marks & Spencer, Harrods e decine di altri.