La scoperta di ResidentBat sul telefono di un giornalista bielorusso è l’ennesima conferma che lo spyware non è più un’arma eccezionale, ma un’infrastruttura ordinaria di repressione politica. Allo stesso tempo, il caso del traghetto italiano Fantastic infettato da un malware di tipo RAT mostra come la stessa grammatica tecnica – accesso remoto silente, impianto persistente, controllo dei sistemi – venga traslata dal perimetro dei diritti civili a quello della sicurezza marittima e della guerra ibrida.
ResidentBat: l’APT “domestico” del KGB bielorusso
Il laboratorio di sicurezza digitale di Reporter Senza Frontiere (RSF), in collaborazione con l’organizzazione RESIDENT, ha analizzato il dispositivo di un giornalista bielorusso che, poche ore dopo un interrogatorio presso la sede del KGB, ha visto il proprio antivirus segnalare componenti sospetti. Lo schema operativo è da manuale HUMINT-digitale: il giornalista è costretto a lasciare lo smartphone in un armadietto, a sbloccarlo davanti all’ufficiale e a mostrarne i contenuti, offrendo al KGB l’accesso fisico e il PIN in chiaro per il side‑loading del payload.
ResidentBat si presenta come un’app Android apparentemente legittima, ma con un set di permission molto ampio e con l’uso intensivo dei servizi di Accessibilità per aggirare le barriere di sicurezza del sistema operativo. Questo gli consente di acquisire log delle chiamate, registrazioni ambientali tramite microfono, screenshot e screen recording, SMS, file locali e contenuti delle principali app di messaggistica, incluse quelle con crittografia end‑to‑end, agendo sul layer dell’endpoint piuttosto che sul canale criptato.
Un tool “installato a mano”, non da remoto
A differenza di suite come Pegasus, ResidentBat non sfrutta zero‑click o catene di exploit remotizzate: l’installazione richiede accesso fisico e coercizione, ed è integrata nell’esperienza repressiva dell’interrogatorio. L’uso di tecniche old school – ottenere il PIN guardando l’utente digitare, prelevare il telefono dall’armadietto mentre l’interrogatorio è in corso, installare l’APK e riconsegnare il dispositivo – riduce enormemente la superficie di detection rete‑centrica e rende l’operazione difficilmente attribuibile dall’esterno a un’infrastruttura di C2 nota.
Il report tecnico di RSF evidenzia che il malware registra in modo aggressivo eventi e dati sensibili, con una architettura vicina a quella di un framework modulare: il core implementa funzioni di sorveglianza generica, mentre componenti aggiuntivi possono attivare capacità più intrusive a seconda del profilo del bersaglio. RSF stima che ResidentBat sia in uso da almeno quattro anni, con un probabile sviluppo da parte di un soggetto terzo o come prodotto “commerciale” non esclusivo del solo apparato bielorusso, aprendo lo scenario di una supply‑chain dello spyware analoga a quella già nota per vendor come NSO o Paragon.
Continuità con l’ecosistema globale dello spyware
L’uso di ResidentBat si inserisce in un pattern ormai consolidato di sorveglianza contro giornalisti e oppositori nell’area post‑sovietica ed europea. Investigazioni precedenti hanno mostrato l’impiego di Pegasus contro giornalisti russi e bielorussi in esilio in UE, con infezioni attribuite a operatori statali che tracciano oppositori oltreconfine. Allo stesso modo, l’inchiesta sul “caso Paragon” ha mostrato come anche un Paese UE come l’Italia abbia fatto ricorso a spyware militare di tipo Graphite per monitorare giornalisti e attivisti, fino alla successiva rottura del rapporto contrattuale in seguito allo scandalo politico.
Questa convergenza di casi – ResidentBat in Bielorussia, Pegasus su giornalisti in esilio, Graphite su attivisti in Italia – descrive un mercato maturo in cui stati autoritari e democrazie imperfette differiscono più per il livello di accountability che per la tecnologia acquistata o sviluppata. Nel contesto bielorusso, dove almeno 33 giornalisti sono detenuti e l’indipendenza dei media è sistematicamente demolita, lo spyware diventa un tassello di un’architettura repressiva che combina perquisizioni fisiche, sequestro di server e sorveglianza digitale pervasiva.
Dalla redazione al ponte di comando: il caso della nave italiana
Sul versante marittimo, le stesse logiche di controllo remoto emergono nel caso del traghetto Fantastic, battente bandiera italiana e operato da GNV, bloccato nel porto francese di Sète dopo l’individuazione di un malware di tipo Remote Access Trojan sui sistemi di bordo. L’allarme è partito dai servizi italiani, che hanno avvisato i colleghi francesi della probabile infezione dei sistemi informatici della nave da parte di uno strumento in grado di consentire il controllo remoto delle funzioni operative.
Le autorità francesi hanno reagito come di fronte a un possibile scenario di sabotaggio digitale: sequestro temporaneo dell’unità, sigilli per preservare la scena, perquisizione e copia forense di supporti e dispositivi, analisi tecnica affidata alla Direction Générale de la Sécurité Intérieure (DGSI), l’agenzia di controspionaggio. Il RAT individuato non è stato descritto pubblicamente nei dettagli, ma la qualificazione giuridica francese parla di “attacco a un sistema automatizzato di elaborazione dati per servire gli interessi di una potenza straniera”, frase chiave che colloca l’incidente nel dominio dell’ingerenza ibrida piuttosto che in quello del cybercrime opportunistico.
Remote Access Trojan in mare aperto
Se su un telefono di un giornalista lo spyware significa esfiltrazione di fonti, su un traghetto passeggeri un RAT può trasformarsi in un moltiplicatore di rischio fisico. Un malware con privilegi sufficienti sui sistemi di automazione di bordo potrebbe, almeno in teoria, modificare parametri di navigazione, alterare sensori o sistemi di allarme, degradare le funzioni di propulsione o comunicazione in fasi critiche della rotta. Le fonti industriali citate sottolineano che, nel caso del Fantastic, l’intrusione sarebbe stata intercettata e neutralizzata dalla stessa compagnia prima che si concretizzasse un impatto operativo, ma questo non riduce la gravità dell’aver trovato codice di controllo remoto su una nave in servizio passeggeri.
L’inchiesta ha portato al fermo di due membri dell’equipaggio, un cittadino lettone e uno bulgaro, con il primo formalmente incriminato in Francia per tentata intrusione nei sistemi, possesso di dispositivi atti a interferire con i sistemi automatici di navigazione e partecipazione ad associazione per delinquere al servizio di una potenza straniera. Le procure e i ministri francesi hanno ventilato esplicitamente l’ipotesi di un’operazione collegata alla Russia, in linea con altri episodi di attività di interferenza e sabotaggio attribuiti a servizi russi su infrastrutture europee, sebbene l’attribuzione tecnica del malware non sia stata ancora resa pubblica.
Due incidenti, un’unica grammatica di minaccia
ResidentBat e il RAT del Fantastic agiscono su domini diversi – uno sul personal device di un giornalista, l’altro su un sistema OT marittimo – ma condividono la stessa logica di fondo: trasformare asset digitali ordinari in sensori e attuatori remoti di uno stato. Nel primo caso, il telefono diventa una cimice totale, capace di ricostruire reti sociali, fonti e movimenti; nel secondo, la plancia digitale di una nave commerciale diventa un possibile vettore di pressione geopolitica, deterrenza grigia o sabotaggio dimostrativo.
Per un pubblico di addetti ai lavori, la lezione è meno tecnica che architetturale: l’era dello spyware come “eccezione” sta tramontando, sostituita da un continuum che va dal keylogger grezzo all’exploit zero‑click, dal RAT su Windows dell’ufficio al modulo che parla con il PLC in sala macchine. In questo continuum, l’unica vera differenza non è il payload ma la postura: se il bersaglio è un giornalista bielorusso, l’obiettivo è la disarticolazione della libertà di stampa; se è un traghetto italiano, l’obiettivo si sposta sul terreno della pressione strategica e della dimostrazione di accesso ai sistemi critici di un Paese NATO.
Spunti di approfondimento per chi indaga
Sul fronte ResidentBat, vale la pena leggere integralmente il report tecnico di RSF/RESIDENT, che entra nel dettaglio del modello di permessi, dei meccanismi di persistenza e dei possibili indicatori di compromissione, oltre a proporre mitigazioni come l’uso di ROM hardened tipo GrapheneOS e pratiche operative per ridurre il rischio durante attraversamenti di frontiera o fasi di arresto. In parallelo, le inchieste di Meduza e Access Now sul tracciamento via Pegasus di giornalisti russi e bielorussi in Europa aiutano a collocare ResidentBat in una geografia più ampia di operatori e toolkit.