SocGholish, Evil Corp e la nuova dottrina contro il cybercrime globale. L’analisi di Teti - Formiche.net

SocGholish, conosciuto anche come FakeUpdates, è una minaccia attiva da anni e particolarmente pericolosa perché non si limita a infettare singoli computer. Il suo vero valore criminale consiste nella capacità di creare accessi iniziali ai sistemi compromessi. E nel mondo del cybercrime contemporaneo l’accesso iniziale è una merce strategica. L’analisi di Antonio Teti, docente universitario ed esperto di intelligence, cybersecurity e geopolitica tecnologica

La recente operazione condotta contro il malware SocGholish non è soltanto un’azione di polizia giudiziaria contro una campagna malware, ma il segnale di una trasformazione profonda nel modo in cui gli Stati stanno affrontando il cybercrime organizzato.

La notizia è stata diffusa dalla Polizia olandese il 18 giugno 2026, nell’ambito di Operation Endgame, racconta infatti molto più di una bonifica tecnica: 14.971 siti web infetti ripuliti, 106 server e domini disattivati, vittime avvisate, infrastrutture criminali neutralizzate e una rete internazionale di autorità pubbliche e soggetti privati mobilitata contro uno degli snodi più insidiosi dell’ecosistema criminale digitale.

SocGholish, conosciuto anche come FakeUpdates, è una minaccia attiva da anni e particolarmente pericolosa perché non si limita a infettare singoli computer. Il suo vero valore criminale consiste nella capacità di creare accessi iniziali ai sistemi compromessi. E nel mondo del cybercrime contemporaneo l’accesso iniziale è una merce strategica, poiché rappresenta il primo varco attraverso cui possono passare furto di credenziali, esfiltrazione di dati, ransomware, spionaggio industriale, sabotaggio e attacchi contro infrastrutture critiche. La tecnica utilizzata da SocGholish è apparentemente semplice, ma estremamente efficace. I criminali compromettono siti legittimi, in particolare siti basati su WordPress, e li trasformano in piattaforme inconsapevoli di distribuzione malware. L’utente visita un sito apparentemente normale, magari quello di un ristorante, di un’officina, di una piccola attività commerciale o di un servizio locale, e visualizza una falsa notifica di aggiornamento del browser. Se accetta di installare l’aggiornamento, in realtà scarica il codice malevolo. A quel punto il dispositivo comunica con l’infrastruttura criminale e gli aggressori possono ottenere un primo accesso al sistema.