Tredici anni di fuga, un centinaio di milioni di dollari sottratti, e una scia di aziende devastate. La storia di Jabber Zeus, un cartello cybercriminale che ha scritto un capitolo oscuro nella storia del cybercrime finanziario, si arricchisce di un nuovo, significativo epilogo.
Dopo un inseguimento globale durato più di un decennio, l’uomo noto come “MrICQ”, identificato dalle autorità statunitensi come il programmatore chiave e uno dei facilitatori della campagna criminale, è stato estradato negli Stati Uniti dall’Italia. Un percorso giudiziario che si è concluso con il suo trasferimento in un carcere del Nebraska, dove lo attende il processo federale.
Siamo nel 2012. Viene emesso l’indictment (l’atto di accusa federale) del Dipartimento di Giustizia USA che menziona “John Doe #3”, alias MrICQ, rendendolo formalmente un ricercato dalla giustizia americana. Inizia la sua latitanza. La vicenda ha le sue radici in una versione profondamente modificata del famigerato trojan bancario ZeuS. Non era il semplice malware che rubava credenziali. Jabber Zeus era un ecosistema. La sua innovazione distintiva, quella che gli valse il nome, era un modulo di notifica in tempo reale che sfruttava il protocollo Jabber. Ogni volta che una vittima, solitamente un’azienda di piccole o medie dimensioni, inseriva un codice monouso (OTP) su una pagina di home banking falsificata, il sistema inviava un messaggio istantaneo agli operatori criminali.
Questa funzionalità, battezzata internamente “Leprechaun”, non era che una parte di un attacco di tipo “man-in-the-browser” estremamente sofisticato. Il trojan riscriveva dinamicamente il codice HTML della pagina bancaria legittima all’interno del browser della vittima, un’operazione subdola che gli permetteva di intercettare pulitamente i token della multi-fattore, considerati all’epoca un baluardo di sicurezza. Era una delle prime campagne su larga scala a rendere inefficace l’autenticazione a due fattori per le aziende target.
Ma il gruppo non si limitava a rubare. Per monetizzare, aveva perfezionato una rete di “money mules” o “drip”. Penetrava nei sistemi aziendali e manipolava le distinte di pagamento degli stipendi, inserendo destinatari fraudolenti. Questi “drip”, reclutati attraverso schemi di lavoro remoto apparentemente legittimi, ricevevano i trasferimenti illeciti e, trattenendo una commissione, li inviavano ulteriormente lungo la catena, spesso verso destinatari in Ucraina e Regno Unito, rendendo il tracciamento estremamente complesso.
L’infrastruttura tecnica includeva anche un modulo “backconnect”, che consentiva agli operatori di collegarsi a Internet direttamente dal computer compromesso della vittima. Questo non solo garantiva l’accesso da un IP “pulito” e geolocalizzato in modo coerente con l’utente legittimo, ma permetteva una perfetta imitazione dell’impronta digitale digitale del dispositivo, eludendo i controlli di sicurezza comportamentali degli istituti bancari dell’epoca.
Le indagini, che hanno visto una rara collaborazione tra forze dell’ordine e white hat, si sono avvalse di un colpo di fortuna investigativa. Lawrence Baldwin, esperto di sicurezza, riuscì a ottenere l’accesso in sola lettura al server Jabber utilizzato dal gruppo. Per anni, fornì alle autorità e ai giornalisti i log delle conversazioni, permettendo non solo di ricostruire le dinamiche dell’organizzazione ma anche di prevenire in tempo reale alcune transazioni fraudolente, sebbene spesso l’allarme arrivasse troppo tardi.
Dalle trascrizioni emerge una figura, “MrICQ”, che gestiva gli alert e coordinava il riciclaggio attraverso piattaforme di scambio digitale. Le indagini lo collegano a Vyacheslav “Tank” Penchukov, considerato uno dei leader dell’organizzazione, già condannato a 18 anni di reclusione proprio lo scorso anno. L’architettura di Jabber Zeus era così avanzata che il gruppo collaborava direttamente con l’autore originale del trojan ZeuS, Evgeniy Mikhailovich Bogachev, ancora oggi ricercato dall’FBI con una taglia di 3 milioni di dollari.
Dopo il 2012 Yuri Rybtsov, viene arrestato in Italia. Fino all’aprile 2025: punto di svolta cruciale. La Corte di Cassazione italiana respinge il suo ultimo ricorso contro l’estradizione. Questa sentenza rappresenta l’esaurimento di ogni via legale in Italia, rendendo l’estradizione un obbligo giuridico.
Il 9 ottobre 2025 avviene il trasferimento fisico. MrICQ, estradato dagli Stati Uniti dall’Italia, viene formalmente custodito in un carcere federale in Nebraska, sotto la custodia dell’FBI.
L’estradizione di MrICQ segna la chiusura di un cerchio investigativo che si è protratto per oltre un decennio. È il racconto di un’epoca in cui il cybercrime finanziario ha compiuto un salto evolutivo, passando da semplici furti di credenziali a operazioni strutturate che sfidavano e spesso superavano le difese delle banche e delle aziende. Una lezione, quella di Jabber Zeus, che ha costretto il settore della sicurezza a rivedere i propri modelli di difesa e che ancora oggi risuona in ogni attacco avanzato contro il settore finanziario.
La giustizia, a volte, ha solo bisogno di un po’ più di tempo per consegnare i suoi messaggi.