Apple e Google inviano ondate di notifiche di minaccia a centinaia di utenti in oltre 150 paesi, e il panorama della sorveglianza digitale mostra una verità scomoda: l’architettura dello spyware commerciale non si disintegra sotto i colpi delle sanzioni, si evolve. Al centro di questa nuova ondata di avvisi c’è un nome ormai familiare agli addetti ai lavori: Intellexa. Un consorzio di aziende, non una singola entità, che ha costruito quello che gli analisti di Google definiscono senza mezzi termini una “impero globale di sorveglianza”.
Il meccanismo è noto, ma la sua persistenza è ciò che allarma. Fornitori commerciali sviluppano o acquistano chain di exploit sofisticati – spesso sfruttando vulnerabilità zero-day in componenti core come i motori di rendering dei browser mobili – e li imballano in soluzioni di surveillance-as-a-service. Queste vengono poi vendute a governi e agenzie, che le utilizzano per colpire bersagli specifici. Il modello di business prospera nell’opacità e nella costante rotazione di aziende fantasma e holding.
Ciò che colpisce nella recente ondata di notifiche, però, non è il modello in sé, ma la dimostrata capacità di resilienza di questi ecosistemi. Intellexa è sotto sanzioni del governo statunitense dal 2023. Eppure, come sottolineano i Threat Analysis Group (TAG) di Google, il consorzio rimane “uno degli attori più prolifici” nell’utilizzo di zero-day contro i browser mobili. Le sanzioni, apparentemente, non hanno reciso le sue catene di approvvigionamento tecniche né i suoi canali di diffusione.
La tecnica qui è fondamentale. Intellexa e operatori simili non si limitano a scoprire una vulnerabilità e a sfruttarla finché è patchata. Mantengono un arsenale in evoluzione. Acquisiscono exploit da ricercatori nel darkweb, sviluppano componenti di payload internamente e continuano a testare e implementare nuove catene di attacco. È una corsa agli armamenti asimmetrica: mentre i team di sicurezza di Apple e Google identificano e patchano una falla, gli armatori dello spyware hanno già il successore in fase di testing. Il loro obiettivo primario rimane l’infezione “zero-click” o “one-click” tramite vettori come link dannosi inviati via SMS o app di messaggistica, che bypassano la necessità di interazione cosciente della vittima.
Le notifiche di Apple e Google sono per loro natura discrete – non rivelano il nome del bersaglio, solo la “potenziale” esposizione a uno stato-attore – ma il pattern è consolidato. I destinatari ricadono tipicamente in categorie ad alto rischio: giornalisti investigativi, attivisti per i diritti umani, oppositori politici, diplomatici. La geografia delle ultime notifiche, che include paesi come Pakistan, Kazakhstan, Egitto e Arabia Saudita, traccia una mappa degli interessi dei clienti di questi mercenari digitali.
C’è un paradosso operativo in questa situazione. Da un lato, la trasparenza delle big tech è aumentata. L’invio sistematico di threat notification è una pratica consolidata e un importante strumento di consapevolezza. Dall’altro, questa stessa trasparenza illumina l’apparente inefficacia dei tentativi di contenere il fenomeno attraverso strumenti tradizionali come le sanzioni finanziarie. Spezzare una supply chain tecnologica, fatta di ricercatori, intermediari, front company e infrastrutture di command & control sparse per il globo, si rivela ben più complesso del congelare dei beni.
La battaglia contro lo spyware commerciale si vince (o si perde) sul campo della difesa proattiva: nell’hardening continuo dei sistemi operativi, nella rapidità di risposta alle vulnerabilità e nell’educazione degli utenti ad alto rischio. In secondo luogo, il problema sta superando la sfera puramente tecnica per diventare geopolitico e normativo. Finché esisterà una domanda di strumenti di sorveglianza indistinguibili dalla magia nera hacker e un mercato oscuro in grado di soddisfarla, le notifiche di Apple e Google saranno un bollettino di guerra, non il suo epilogo.