CLOP, un nome che da anni semina preoccupazione nei reparti IT di mezzo il mondo, sembra aver sperimentato una nuova tattica estorsiva, o forse sta solo cercando di rinnovare la propria immagine. Il 29 settembre 2025, Google Threat Intelligence Group (GTIG) ha rilevato un attore malevolo che si professa affiliato al brand CLOP e ha iniziato a inviare email di estorsione con un claim specifico: aver violato e sottratto dati da applicazioni Oracle E-Business Suite.
La particolarità non sta tanto nell’obiettivo — Oracle E-Business Suite è un bersaglio ambito per i dati sensibili che gestisce — quanto nel modus operandi. Le email, indirizzate a dirigenti aziendali, sono partite a centinaia, forse migliaia, da account di posta compromessi. È un’operazione di spam su larga scala che ricorda da vicino le vecchie campagne di distribuzione email condotte dal gruppo FIN11, tant’è che almeno uno di questi account di invio era stato utilizzato in passato proprio da FIN11. Un dettaglio che non passa inosservato, considerando i profondi legami storici tra FIN11 e le operazioni di estorsione legate a CLOP.
Il messaggio, firmato “KB CLOP”, è un classico della retorica ransomware: si presentano, dichiarano di aver copiato “molti documenti” dall’applicazione Oracle, e offrono una via d’uscita in cambio di un pagamento. Minacciano di vendere i dati al mercato nero o di pubblicarli sul loro blog, il noto CLOP Data Leak Site (DLS), se non dovessero ricevere quanto richiesto. Per dimostrare di essere in possesso del maltolto, si offrono di mostrare “3 file o una riga di dati” a scelta della vittima. Due gli indirizzi di contatto forniti: support@pubstormj_loom e support@pubstormj_lnet. Ed è qui che il cerchio si stringe: questi stessi indirizzi, con domini leggermente differenti (support@pubstorm.com e support@pubstorm.net), compaiono ufficialmente in un post sul DLS di CLOP almeno da maggio 2025, come mostrato negli screenshot allegati al report. Non è un falso improvvisato, quindi; c’è una continuità operativa.
La storia recente di CLOP è un’evoluzione dalle minacce ibride (ransomware + extorsione) allo sfruttamento puro e semplice di vulnerabilità zero-day in sistemi di Managed File Transfer (MFT) per rubare dati e estorcere denaro. Acellion FTA, GoAnywhere MFT, MOVEit MFT, SolarWinds Serv-U, Cleo: sono tutti nomi che hanno fatto notizia negli ultimi anni proprio per essere stati il tramite di violazioni di massa. In queste operazioni, CLOP (e i cluster threat associati, spesso riconducibili a FIN11 o addirittura a ex-membri di FIN7) ha mostrato una metodologia collaudata: sfruttamento massivo, furto dati, e poi estorsione a distanza di settimane.
Ciò che lascia perplessi gli analisti di GTIG in questo caso specifico, tuttavia, è la mancanza di prove concrete a supporto delle affermazioni. Per il momento, no sono ancora comparsi post sul DLS di CLOP relativi a violazioni di Oracle E-Business Suite. Ma questo di per sé non è un elemento assolutorio: in passato sono trascorse anche settimane tra i primi messaggi di estorsione e la comparsa effettiva delle vittime sul sito.
L’outlook è quindi di cauta osservazione. Da un lato, CLOP ha un track record di affermazioni generalmente credibili. Dall’altro, il cybercrime è pieno di bluff e di esagerazioni. GTIG ricorda, ad esempio, come nel primo trimestre del 2025 abbia valutato con moderata certezza che la stragrande maggioranza dei post sul sito di Babuk 2.0 fossero falsi claims. Potrebbe essere un tentativo di CLOP di testare un nuovo vettore di attacco, o forse solo un rumore di fondo orchestrato da un emulatore. L’analisi è ancora in una fase preliminare, e solo il tempo, e forse l’eventuale comparsa di prove sul DLS, potranno rivelare se questa ondata di email sia l’inizio di una nuova campagna o semplicemente l’ennesimo tentativo di phishing su larga scala. Quel che è certo è che il brand CLOP continua a essere un attore da tenere d’occhio, capace di adattare le sue tattiche e di sfruttare sia vulnerabilità software che account email compromessi per far arrivare le sue minacce direttamente nella inbox dei C-level.