First VPN dismantled: 25 ransomware groups exposed

First VPN dismantled: 25 ransomware groups exposed

L'operazione internazionale Saffron, condotta tra il 19 e il 20 maggio 2026 da Francia e Paesi Bassi con il coordinamento di Europol, ha smantellato First VPN. Il servizio di anonymizzazione criminale era attivo dal circa 2014 e utilizzato da non meno di 25 gruppi ransomware per mascherare attacchi, frodi e furto di dati. L'arresto dell'amministratore in Ucraina e il sequestro di 33 server in 27 paesi hanno consegnato alle autorità il database utenti e i log del traffico criminale, esponendo migliaia di account e alimentando 21 indagini attive supportate da Europol.

Come funzionava l'architettura criminale di First VPN

First VPN non era un servizio compromesso o di seconda mano, ma un'infrastruttura costruita esplicitamente per il crimine. Il servizio promuoveva la propria affidabilità su forum cybercriminali russofoni come Exploit[.]in e XSS[.]is, garantendo anonimato totale, assenza di cooperazione con autorità giudiziarie e immunità da qualsiasi giurisdizione. Le autorità hanno dimostrato che queste promesse erano false recuperando l'intero database utenti.

L'architettura tecnica era sofisticata. Il servizio offriva protocolli multipli: OpenConnect, WireGuard, Outline, OpenVPN ECC, L2TP/IPSec, PPtP e VLESS TCP Reality. Quest'ultimo protocollo era in grado di mascherare il traffico VPN come standard HTTPS, rendendo difficile il rilevamento per i sistemi di network monitoring aziendali e degli ISP. La rete contava 32 exit node server distribuiti in 27 paesi, inclusi tre IP negli Stati Uniti: 2.223.66[.]103, 5.181.234[.]59 e 92.38.148[.]58.

Il modello commerciale era accessibile e scalabile: abbonamenti da 2 dollari per un giorno a 483 dollari per un anno, pagabili in Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass. I domini principali (1vpns.com, 1vpns.net, 1vpns.org) e i relativi onion domain su Tor sono stati dismantellati. Questa struttura a basso costo ha ampliato la base utenti oltre i soli operatori ransomware, includendo frodi finanziarie e furto di dati.

Il database utenti come arma a doppio taglio

La scoperta più damning per l'ecosistema criminale non è il sequestro dei server in sé, ma la natura dei dati recuperati. First VPN affermava esplicitamente di non conservare log — una promessa che funzionava come meccanismo di fiducia per utenti che non potevano verificarla. Le autorità hanno dimostrato il contrario, mettendo le mani su un database che TechTimes, citando Europol ed Eurojust, descrive come contenente più di 5.000 account criminali. Bitdefender ha condiviso informazioni collegate a 506 utenti specifici.

"For years, cybercriminals saw this VPN service as a gateway to anonymity. They believed it would keep them beyond the reach of law enforcement. This operation proves them wrong. Taking it offline removes a critical layer of protection that criminals depended on to operate, communicate and evade law enforcement." — Edvardas Šileris, Head of Europol's European Cybercrime Centre

Secondo The Hacker News, gli utenti del servizio sono stati notificati direttamente che First VPN era stato sequestrato e che erano stati identificati. La tattica trasforma l'infrastruttura compromessa da semplice perdita operativa in strumento di pressione investigativa, minando la fiducia tra attori che dipendevano da servizi di terze parti.

Effetto sul mercato dell'anonymization-as-a-service

L'operazione Saffron rientra in una transizione strategica della law enforcement internazionale: il passaggio dalla caccia ai singoli gruppi ransomware all'attacco delle infrastrutture condivise che abbassano i costi operativi per attori eterogenei. First VPN funzionava come trust anchor dell'ecosistema: un punto di fiducia centralizzato che, una volta compromesso, espone retroattivamente la rete di dipendenze che vi si appoggiava. Gli 83 pacchetti di intelligence diffusi da Europol e le 21 indagini avanzate forniscono la misura tangibile di questa esternalità positiva.

Bitdefender ha formulato esplicitamente questa lettura: "New anonymization services will appear. The economic demand hasn't changed. But each takedown shortens the operational window of the next service and raises the barrier for actors who relied on turnkey solutions." Ogni dismantling aumenta il costo del transito, spingendo verso infrastrutture autogestite più costose o verso servizi meno affidabili con track record più breve.

Michael Jepson, Head of Penetration Testing at CybaVerse, ha osservato via TechTimes che "targeting not only individual criminals and groups but also their infrastructure is becoming one of the most vital fronts in the international battle against cybercrime". La distruzione di First VPN conferma che i servizi pubblici criminali sono diventati il bersaglio prioritario.

Cosa fare adesso

Per le organizzazioni con responsabilità di sicurezza, il takedown genera azioni prioritarie specifiche:

• Rivalutare gli indicatori storici: i log di rete aziendali che mostrano connessioni da o verso gli IP exit node di First VPN — inclusi i tre IP statunitensi noti — sono ora indicatori di compromissione verificabili e devono essere sottoposti a threat hunting retroattivo sui periodi di attività del servizio
• Correlare con campagne ransomware note: gli attacchi attribuiti a gruppi come Avaddon e altri tra i 25 identificati dall'FBI devono essere rianalizzati alla luce dei potenziali punti di ingresso o movimento laterale mediati da First VPN, specialmente dove l'infrastruttura C2 non era stata pienamente mappata
• Aggiornare i feed di threat intelligence: i domini sequestrati (1vpns.com, 1vpns.net, 1vpns.org) e i relativi onion domain su Tor devono essere inseriti nei sistemi di detection e blocking, verificando che non siano stati riattivati su infrastrutture alternative o impersonati in campagne di phishing
• Rivedere le policy di egress filtering: la capacità di VLESS/Reality di mascherare traffico VPN come HTTPS evidenzia il limite dei controlli basati unicamente su inspection delle porte; è necessario rafforzare l'analisi comportamentale del traffico e il TLS fingerprinting per identificare pattern anomali di tunneling

Perché il modello "bulletproof" non regge più

La narrazione dei servizi criminali di anonymizzazione si fondava su un presupposto di immunità strutturale: giurisdizioni non cooperative, tecniche di evasione sofisticate, assenza di log. Operation Saffron dimostra che questa immunità era sempre stata parziale, dipendente dalla capacità investigativa di coordinarsi su scale temporali di anni. L'indagine è iniziata nel dicembre 2021; il Joint Investigation Team è stato stabilito nel novembre 2023; il takedown è arrivato nel maggio 2026. Gli 18 paesi coinvolti e le 16 coordination meetings ospitate da Eurojust hanno reso possibile l'operazione.

Per il settore della cybersecurity enterprise, l'implicazione è che l'interruzione di infrastrutture condivise criminali deve essere trattata come evento di intelligence di prima classe. Ogni log che contiene tracce di First VPN è ora potenzialmente ammissibile e correlabile. Come ha sintetizzato Bitdefender: "First VPN advertised itself as a service criminals could trust to keep them beyond law enforcement's reach. The operation proved that claim wrong, and every actor evaluating the next anonymization service now knows the same risk exists".

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/first-vpn-dismantled-in-global-takedown.html
• https://www.rescana.com/post/first-vpn-takedown-operation-saffron-dismantles-criminal-vpn-used-by-25-ransomware-groups-2014-2026
• https://www.bitdefender.com/en-us/blog/businessinsights/operation-saffron-bitdefender-joins-first-vpn-takedown
• https://www.techtimes.com/articles/316981/20260521/europol-seizes-first-vpn-user-database-putting-5000-criminal-accounts-risk.htm
• https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/
• https://www.helpnetsecurity.com/2026/05/25/dutch-seize-800-servers-russian-linked-infrastructure/