C’è un momento, in ogni indagine di cybercrime, in cui i fili sparsi iniziano ad annodarsi. È quello in cui i domini fasulli, le identità rubate, le transazioni in criptovalute e le infrastrutture malevole smettono di essere elementi isolati e diventano i tasselli di un’unica, complessa organizzazione criminale. Quella che le forze dell’ordine spagnole della Guardia Civil, insieme ai ricercatori di Group-IB, hanno davanti agli occhi oggi ha un nome: GXC Team.
Non si tratta di un semplice gruppo di hacker, ma di un syndicate strutturato, con competenze diversificate e un modus operandi sofisticato. La loro specialità? Il furto di identità e le frodi finanziarie su scala globale, condotte attraverso un mix di phishing, social engineering e una rete di infrastrutture digitali progettate per sfuggire ai radar.
L’operazione, ancora in corso, è partita da un’analisi approfondita delle attività di GXC Team condotta dai Threat Intelligence analyst di Group-IB. Quello che è emerso non è il solito profilo di threat actor amatoriale: GXC Team operava con una precisione quasi aziendale. Utilizzavano portali di phishing mirroring – copie esatte di siti legittimi – per raccogliere credenziali e documenti di identità, poi rivenduti nella piazza clandestina del dark web o utilizzati per accedere a servizi finanziari e piattaforme di pagamento.
Ma la parte più interessante – e preoccupante – è la loro capacità di adattamento. I membri del gruppo non si limitavano a comprare tool preconfezionati: sviluppavano kit di phishing personalizzati, gestivano server bulletproof in giurisdizioni complesse e utilizzavano tecniche di offuscamento del traffico per rendere più difficile il tracciamento. Inoltre, la loro presenza era globale: vittime in Europa, Stati Uniti e America Latina, con un volume di transazioni illecite che ha attirato l’attenzione delle autorità internazionali.
La collaborazione tra Group-IB e la Guardia Civil è stata un esempio di come il settore privato e le forze dell’ordine possano unire le forze in modo efficace. I dati tecnici – indicatori di compromissione, hash malevoli, pattern di traffico sospetti – sono stati incrociati con le indagini tradizionali, permettendo di identificare non solo le infrastrutture, ma anche alcuni dei presunti membri del gruppo.
Quello che colpisce, in operazioni come queste, è la dimensione “umana” del cybercrime. GXC Team non era un’entità astratta: era composto da individui con competenze specifiche – chi si occupava della creazione dei domini, chi della gestione delle identità rubate, chi del cash-out. Una catena del valore criminale che ricorda da vicino un’organizzazione business-to-business, se non fosse che il prodotto finale era la frode.
Ora, con le perquisizioni in corso e le infrastrutture principali sotto sequestro, il colpo inferto al gruppo è significativo. Ma la storia di GXC Team ci ricorda anche una verità scomoda: questi syndicate sono idre dalle molte teste. Smantellarne uno non significa azzerare la minaccia, ma interrompere un ciclo, acquisire intelligence preziosa e guadagnare tempo.
La vera sfida, ora, è comprendere come si evolverà il modello. Con l’ascesa dell’AI e l’automazione sempre più spinta delle minacce, gruppi come GXC Team potrebbero diventare ancora più agili, più difficili da attribuire, più rapidi nel ricostituirsi. Per questo, operazioni come quella della Guardia Civil non sono solo una vittoria tattica: sono un tassello fondamentale nella costruzione di una risposta resiliente e proattiva al cybercrime moderno.
La caccia, insomma, non è finita. È solo entrata in una nuova fase.