Un'operazione di phishing su vasta scala, orchestrata da hacker russi, ha preso di mira gli account Signal, sfruttando una sofisticata infrastruttura denominata "ApocalypseZ". La campagna è stata smascherata da Donncha Ó Cearbhaill, ricercatore di sicurezza e capo del Security Lab di Amnesty International, che ha rivelato i dettagli di questa complessa operazione basata sull'ingegneria sociale.

L'attacco svelato da un esperto

All'inizio del 2026, Ó Cearbhaill stesso è diventato un bersaglio. Ha ricevuto un messaggio di phishing, mascherato da chatbot di supporto di Signal, che lo esortava a inserire un codice di verifica per prevenire una presunta perdita di dati, con l'avvertenza di non condividerlo nemmeno con il team di Signal.

Riconoscendo la natura dell'attacco, il ricercatore ha colto l'opportunità per indagare sull'intera operazione, scoprendo un elaborato schema riconducibile ad attori statali russi.

Allerta globale sul phishing

Il caso di Ó Cearbhaill si inserisce in un contesto di allerta internazionale. Diverse agenzie, tra cui la CISA statunitense, l'agenzia di cybersecurity del Regno Unito, l'intelligence olandese e Signal stessa, avevano già messo in guardia contro campagne simili. Gli attori russi, fingendosi supporto ufficiale, inducono le vittime a condividere codici o a collegare un dispositivo controllato dagli attaccanti, permettendo così il dirottamento dell'account. In Germania, la campagna avrebbe compromesso circa 300 account appartenenti a politici, militari e giornalisti, utilizzando lo stesso modus operandi: messaggi di finto supporto Signal che incoraggiano l'accesso da dispositivi non autorizzati.

"ApocalypseZ": l'infrastruttura dietro l'attacco

Ó Cearbhaill ha identificato l'infrastruttura impiegata come "ApocalypseZ", un sistema automatizzato con una base di codice russa e un'interfaccia operativa che traduceva persino le conversazioni delle vittime in russo. Questo dettaglio ha rafforzato l'attribuzione dell'attacco ad attori governativi russi. La campagna sarebbe iniziata tramite un contatto in una chat di gruppo compromessa, espandendosi poi secondo un modello a valanga. Si stima che oltre 13.500 utenti potrebbero essere stati presi di mira da questa operazione.

Contromisure e difesa

Per proteggersi da tali attacchi, Ó Cearbhaill raccomanda vivamente di attivare la funzionalità "Registration Lock" all'interno di Signal.

Questa opzione imposta un PIN per bloccare la ri-registrazione non autorizzata dell'account, agendo come una barriera aggiuntiva contro la riassociazione degli account da parte di soggetti malintenzionati, specialmente in caso di cambio dispositivo.

Un rischio crescente: l'ingegneria sociale

La campagna evidenzia un rischio duplice: da un lato, l'azione sistematica di attori statali con obiettivi di sorveglianza e manipolazione; dall'altro, la facilità con cui l'ingegneria sociale può neutralizzare anche i sistemi di cifratura più avanzati. L'attacco non compromette l'infrastruttura criptografica delle applicazioni, ma sfrutta la fiducia dell'utente, dimostrando come l'anello debole rimanga spesso l'individuo.

La natura replicabile dell'operazione consente agli hacker di espandere facilmente la rete dei bersagli, rendendo essenziale una formazione diffusa sulla sicurezza digitale. Mantenere aggiornate le impostazioni di sicurezza personali, evitare di inserire codici su richiesta e verificare attentamente le notifiche sospette sono pratiche fondamentali per la protezione.