Negli ultimi giorni sui social viene ricondivisa la notizia di un presunto maxi data breach da 2,5 miliardi di account Gmail.
A una prima lettura, può sembrare una compromissione diretta dell’infrastruttura di Google, ma un’analisi più attenta dimostra che la vicenda è più complessa e affonda le radici in un intreccio di tecniche di social engineering, gruppi criminali che sfruttano brand altrui e strategie di estorsione che si muovono lungo confini sfumati.
Indice degli argomenti
2,5 miliardi di account Gmail violati: i fatti
A tracciare la dinamica degli eventi è stato il Google Threat Intelligence Group (GTIG), che ha ricostruito le operazioni di UNC6040, un cluster criminale specializzato nel vishing, il voice phishing.
L’approccio è tanto vecchio quanto efficace: fingere di essere personale IT e convincere i dipendenti a compiere azioni che spalancano le porte agli aggressori. In questo caso, la leva è stata Salesforce, cuore dei sistemi CRM di migliaia di aziende.
Attraverso una telefonata convincente, la vittima veniva spinta ad autorizzare un’applicazione “Data Loader” apparentemente legittima ma in realtà modificata, capace di esportare in blocco i dati sensibili dell’organizzazione.
Il gruppo criminale dietro il presunto data breach e le tecniche di attacco
UNC6040 ha mostrato un’evoluzione notevole delle proprie TTPs: se inizialmente si limitava a sfruttare l’applicazione ufficiale Data Loader, successivamente ha iniziato a distribuire versioni custom sviluppate in Python, rendendo più difficile l’individuazione.
Per mascherare il traffico, gli attaccanti si sono appoggiati a Mullvad VPN e TOR, mentre per registrare le app malevole hanno smesso di usare account anonimi, preferendo quelli compromessi di altre aziende, aumentando così la verosimiglianza del raggiro.
L’infrastruttura riconducibile al gruppo comprendeva anche pannelli di phishing Okta, pensati per carpire credenziali e codici MFA durante le stesse chiamate di social engineering.
Una oscura alleanza tra gruppi criminali
Ma qui entra in gioco un dettaglio fondamentale: UNC6040 non sembra agire da solo. L’estorsione, infatti, avviene spesso mesi dopo l’intrusione, ed è condotta da un altro cluster, UNC6240.
Questo secondo gruppo si presenta alle vittime con email e telefonate minacciose, chiedendo riscatti in bitcoin entro 72 ore.
Ed è in questa fase che compare il nome “ShinyHunters”. Le comunicazioni, inviate da indirizzi come shinycorp@tuta[.]com e shinygroup@tuta[.]com, rivendicano l’appartenenza a uno dei brand più riconoscibili della cybercriminalità.
Il problema è che ShinyHunters, storicamente, è un collettivo dedito al data breach e alla rivendita di enormi quantità di credenziali rubate. Negli anni si è costruito una reputazione da “supermercato” delle identità digitali, spesso coinvolto in leak che hanno fatto tremare colossi tecnologici e piattaforme online.
Rivendicare quel marchio, anche senza un legame diretto, significa sfruttarne il potere intimidatorio.
Google, infatti, ipotizza che non ci sia una continuità operativa fra UNC6040 e gli ShinyHunters originali, ma piuttosto un tentativo di appropriarsi del loro nome per aumentare la pressione sulle vittime.
Le sovrapposizioni non si fermano qui. Alcuni elementi dell’infrastruttura e delle tattiche richiamano pratiche già viste in ambienti associati a “The Com”, una loose community di attori criminali che condividono strumenti e metodologie senza necessariamente agire in modo coordinato.
Questo rende estremamente difficile attribuire con certezza le operazioni: più che una catena di comando unitaria, si delinea un ecosistema fluido in cui attori differenti si scambiano accessi, rivendicazioni e marchi criminali come fossero franchising.
I 2,5 miliardi di account Gmail violati e la propaganda cyber criminale
E i 2,5 miliardi di account Gmail? È qui che la narrativa si piega alle logiche di propaganda cyber criminale.
Non risulta alcuna compromissione diretta dell’infrastruttura di Google o del servizio Gmail.
Piuttosto, si tratta della somma di credenziali sottratte nel tempo da diverse piattaforme e confluite in database gestiti da gruppi criminali che si spacciano per ShinyHunters o che con essi si associano per convenienza.
Un accumulo di “combo list”, usate per il credential stuffing, che viene presentato come un’unica clamorosa violazione con lo scopo di massimizzare l’impatto mediatico e la pressione psicologica.
Questo caso dimostra come il panorama delle minacce stia evolvendo verso forme ibride di attacco: tecniche tradizionali come il vishing, potenziate da tool custom e infrastrutture sofisticate, si combinano con la forza mediatica di brand criminali consolidati.
Non è più sufficiente proteggersi dai vettori tecnici, occorre anticipare anche la dimensione narrativa e psicologica dell’attacco, perché è lì che gli attori come UNC6240 trovano la loro leva più potente.
Una lezione sull’evolvere del panorama delle cyber minacce
Quello che è stato definito come maxi-breach di Gmail racconta meno di quanto sembri su Google e molto di più sul funzionamento delle economie parallele della cybercriminalità.
È la storia di come gruppi come UNC6040 e UNC6240, rivestiti del nome di ShinyHunters, sfruttino le dinamiche del terrore mediatico per trasformare dati sottratti in leva estorsiva.
Un monito per le aziende: non basta temere l’exploit zero-day, bisogna capire che spesso l’attacco più devastante inizia con una telefonata che sembra arrivare dall’help desk.
