Per anni Scattered Spider ha costruito la propria reputazione criminale sulla capacità di restare invisibile, nascondendosi dietro VPN, servizi di anonimizzazione e infrastrutture usa e getta. Ora, atti giudiziari appena desecretati mostrano come gli investigatori statunitensi abbiano comunque ricostruito l’identità di un presunto membro del gruppo grazie a un ingrediente inatteso: un identificativo univoco che Windows assegna a ogni installazione e che Microsoft ha fornito all’FBI dietro ordine del tribunale.
Chi è Peter Stokes e cosa gli viene contestato
Al centro del caso c’è Peter Stokes, 19 anni, cittadino con doppio passaporto statunitense ed estone, arrestato in aprile in Finlandia mentre tentava di imbarcarsi su un volo diretto in Giappone, con la collaborazione della National Bureau of Investigation finlandese. È stato successivamente estradato negli Stati Uniti e ha affrontato la sua prima udienza davanti a un tribunale federale di Chicago il 30 giugno 2026. I procuratori lo accusano di aver fatto parte di Scattered Spider, il collettivo cybercriminale noto anche con gli alias Octo Tempest, UNC3944 e 0ktapus, e di aver partecipato a molteplici intrusioni informatiche, furti di dati e schemi di estorsione.
Secondo l’accusa, le autorità federali attribuiscono al gruppo oltre 100 intrusioni di rete e più di 100 milioni di dollari in pagamenti di riscatto dal 2022 a oggi, con un modus operandi che combina ingegneria sociale, furto di credenziali, SIM swapping e compromissione di ambienti cloud enterprise.
GDID: il “device fingerprint” che nessuno può disattivare
Il dettaglio tecnico più rilevante della vicenda riguarda il Global Device Identifier (GDID), un identificativo univoco assegnato da Microsoft a ogni installazione di Windows per finalità di telemetria a livello di dispositivo e per l’erogazione di alcuni servizi di piattaforma. Secondo l’affidavit dell’FBI reso pubblico, un account ngrok utilizzato durante una delle intrusioni contestate era stato creato attraverso una VPN — ma Microsoft, dopo aver ricevuto un ordine del tribunale, è stata in grado di associare quell’attività a uno specifico GDID.
Da lì, gli investigatori hanno incrociato il GDID con la telemetria storica di Microsoft, individuando ulteriori indirizzi IP riconducibili alla stessa installazione Windows in periodi diversi. Questi indirizzi sono stati poi correlati con i log di accesso ottenuti da Snapchat, Apple, Facebook, con i registri di viaggio e con altre fonti digitali, costruendo — secondo l’accusa — un pattern coerente che collega il dispositivo a Stokes. Microsoft, va precisato, non ha monitorato l’attività in tempo reale: ha fornito telemetria storica e informazioni sul dispositivo solo dopo un iter legale formale, e aveva già inoltrato segnalazioni penali su Stokes come possibile membro di Scattered Spider fin dal 2024.
Timeline del caso
- 2024 — Microsoft inoltra alle autorità le prime segnalazioni penali su Stokes come possibile membro di Scattered Spider
- Maggio 2025 — intrusione contro un rivenditore statunitense di gioielleria di lusso: l’help desk IT viene manipolato con ingegneria sociale per resettare le credenziali di un dipendente
- Maggio 2025 — esfiltrazione di circa 100 GB di dati e richiesta di riscatto da 8 milioni di dollari in criptovaluta; l’azienda rifiuta di pagare ma subisce perdite operative stimate in circa 2 milioni di dollari
- Aprile 2026 — Stokes viene arrestato a Helsinki mentre tenta di imbarcarsi su un volo per il Giappone
- 30 giugno 2026 — prima udienza federale a Chicago dopo l’estradizione
Non solo telemetria: un mosaico di prove digitali
Nonostante il dibattito online si sia concentrato quasi esclusivamente sul ruolo di Microsoft, l’affidavit chiarisce che gli investigatori si sono basati su molteplici fonti indipendenti: log dei provider cloud, infrastruttura sequestrata, comunicazioni intercettate e prove digitali raccolte nel corso di un’indagine più ampia. È un promemoria importante per chi si occupa di threat intelligence e incident response: l’attribuzione moderna raramente si basa su un singolo indicatore, ma su una correlazione incrociata tra fonti eterogenee — piattaforma, cloud provider, social network, dati di viaggio — che insieme riducono drasticamente lo spazio delle identità plausibili, anche quando l’attaccante ha fatto ampio uso di VPN e servizi di anonimizzazione.
Implicazioni per i difensori e per il settore
Il caso Stokes offre due lezioni parallele. La prima riguarda la resilienza dei processi organizzativi: l’attacco alla gioielleria di lusso è iniziato con un classico vishing/social engineering contro l’help desk IT, lo stesso schema che ha permesso a Scattered Spider di colpire catene alberghiere, compagnie aeree e assicurazioni negli ultimi anni. Rafforzare le procedure di verifica dell’identità per il reset delle credenziali — con callback verification, domande di sicurezza fuori banda o approvazione multi-step — resta la contromisura più efficace e meno costosa contro questo genere di intrusioni.
La seconda lezione riguarda l’attribuzione: la vicenda GDID dimostra che le piattaforme cloud e i sistemi operativi moderni generano una quantità di telemetria sufficiente a ricostruire pattern comportamentali anche a distanza di mesi, sollevando al contempo interrogativi legittimi sulla portata e sulla durata di conservazione di questi dati per finalità che vanno ben oltre il semplice funzionamento del prodotto. Per i team SOC, il takeaway operativo è monitorare con attenzione l’uso di strumenti di tunneling come ngrok all’interno del proprio perimetro: la loro presenza, specie se associata ad accessi VPN anomali, resta uno dei segnali più affidabili di attività Scattered Spider in corso.
Indicatori e TTP noti
Gruppo: Scattered Spider (alias Octo Tempest, UNC3944, 0ktapus)
Soggetto: Peter Stokes, 19 anni, cittadinanza USA/Estonia
Arresto: aprile 2026, Helsinki (Finlandia), tentata fuga verso il Giappone
Estradizione/udienza: 30 giugno 2026, tribunale federale di Chicago
TTP osservate:
- Vishing / social engineering verso help desk IT per reset credenziali
- SIM swapping
- Furto di token/sessioni cloud (Azure, SaaS enterprise)
- Tunneling via ngrok per infrastruttura C2 temporanea
- Esfiltrazione dati seguita da estorsione in criptovaluta
Caso di riferimento: intrusione maggio 2025 contro rivenditore di gioielleria di lusso USA
- ~100 GB di dati esfiltrati
- Richiesta riscatto: $8.000.000 in criptovaluta (rifiutata)
- Perdite operative stimate: ~$2.000.000
Fonte identificativa chiave: Microsoft Global Device Identifier (GDID)
- Fornito all'FBI dietro ordine del tribunale
- Correlato con IP storici, login Snapchat/Apple/Facebook, dati di viaggio
Fonti: CyberScoop, atto d’accusa FBI (U.S. Attorney’s Office, Northern District of Illinois), BreachNews.