Sequestrato First VPN: il servizio no-log era una trappola per criminali

Sequestrato First VPN: il servizio no-log era una trappola per criminali

Le forze dell'ordine europee hanno sequestrato First VPN, servizio di anonimizzazione utilizzato da cybercriminali per mascherare ransomware, furto di dati e frodi. L'operazione si è svolta tra il 19 e il 20 maggio 2026, congiuntamente da Francia e Paesi Bassi attraverso un joint investigation team costituito nel novembre 2023. Il colpo non è solo il takedown: gli investigatori avevano già infiltrato l'infrastruttura, trasformando lo stesso strumento di occultamento in fonte di prove.

Come funzionava la trappola del "no-log"

First VPN si presentava su forum cybercriminali come servizio privacy-oriented, con promesse esplicite di non conservare log e di ignorare le richieste delle forze dell'ordine. Questo modello di business — tecnicamente plausibile, operativamente fatale — attirava operatori di ransomware, gruppi di data theft e reti di frode che cercavano un layer aggiuntivo tra la loro infrastruttura e gli obiettivi.

La differenza rispetto a VPN legittime stava nel target marketing e nella governance assente. Nessuna trasparenza sui controlli, nessun audit indipendente, nessuna struttura giuridica rintracciabile. Solo la promessa, ripetuta nei forum, che il servizio fosse "affidabile" e gli utenti "al sicuro".

Le autorità olandesi hanno smentito questa narrazione con una precisione chirurgica: "Il servizio dava l'impressione di essere affidabile e che i suoi utenti fossero al sicuro, cosa che in realtà non era". La formulazione è significativa — non accusa di frode immediata, ma smontaggio della garanzia operativa che sosteneva l'intero modello.

L'infiltrazione che ha rotto il modello di minaccia

Il nucleo tecnico dell'operazione è l'accesso investigativo all'infrastruttura prima del sequestro pubblico. Gli investigatori non si sono limitati a mappare i server o identificare l'amministratore: hanno operato all'interno del perimetro, collezionando dati di traffico che il servizio avrebbe dovuto per definizione non possedere.

Questo cambia la posta in gioco per gli operatori di servizi criminali simili. Il "no-log" non è più una barriera giuridica o tecnica: è una vulnerabilità narrativa. Se le forze dell'ordine possono infiltrarsi e dimostrare che i log esistono, o che possono essere generati in tempo reale, la garanzia di anonimato diventa meccanismo di esposizione.

I numeri operativi confermano la portata: 33 server in 27 paesi, domini .com, .net, .org e relativi endpoint .onion sequestrati. Una perquisizione domestica in Ucraina ha permesso di identificare e interrogare l'amministratore del servizio, anche se resta non chiaro se sia stato formalmente arrestato. Le fonti divergono su questo punto: BleepingComputer riferisce di "interrogatorio", The Record di "identificazione", senza conferma di detenzione.

"Per anni, i cybercriminali hanno considerato questo servizio VPN come un gateway all'anonimato. Credevano li tenesse al di fuori della portata delle forze dell'ordine. Questa operazione dimostra che si sbagliavano." — Edvardas Sileris, capo del European Cybercrime Centre di Europol

I 506 utenti e la catena di intelligence

Dall'infiltrazione è emerso un patrimonio di dati operativi concreto. Europol ha condiviso informazioni su 506 utenti specifici e 83 "intelligence packages" — bundle strutturati di dati per indagini in corso o future. Un Operational Taskforce istituito presso l'agenzia ha riunito investigatori da 16 paesi per analizzare i dati sequestrati e coordinare la condivisione.

La formulazione di Europol è misurata ma pesante: l'intelligence ha "esposto migliaia di utenti legati all'ecosistema cybercriminale" e generato "tracce operative su attacchi ransomware, frodi e altri reati gravi". Notare il plurale: attacchi, frodi, reati. Non un incidente isolato, ma un pattern infrastrutturale.

Le autorità olandesi hanno poi aggiunto un elemento psicologico operativo: hanno notificato agli utenti identificati che erano stati scoperti. Non arresto immediato, ma dissoluzione della certezza di anonimato. Per un ecosistema che funziona sulla percezione di impunità, questa è un'arma di disgregazione.

Perché il settore della difesa deve monitorare i leak

Per aziende e team di threat intelligence, l'operazione First VPN segnala un'opportunità specifica: i dati emergenti da piattaforme criminali compromesse sono una fonte di intelligence attiva, non solo storica. I 506 utenti identificati e le 83 tracce operative non sono solo numeri di procura — sono potenziali indicatori di compromissione, modelli di attacco, collegamenti tra infrastrutture.

Il monitoraggio dei leak provenienti da servizi VPN criminali deve entrare nel ciclo regolare di intelligence difensiva. Non per curiosità giudiziaria, ma perché questi dataset espongono TTP (tactics, techniques, procedures) attivi, nomi di vittime potenziali, e talvolta indicatori di compromissione prima che gli attacchi diventino pubblici.

Il ragionamento è parallelo a quello sviluppato con i sequestri di infrastrutture infostealer: ogni takedown genera un dataset che, se analizzato tempestivamente, permette di anticipare campagne prima della fase di deployment.

Cosa fare adesso

• Verificare se First VPN compare nell'inventario asset della propria organizzazione — non per uso legittimo, ma come possibile strumento utilizzato da insider threat o account compromessi in fasi di ricognizione
• Integrare i domini sequestrati (1vpns.com, 1vpns.net, 1vpns.org e relativi .onion) nei feed di threat intelligence per identificare contatti storici o connessioni di rete sospette nei log passati
• Rivedere le policy di intelligence sui servizi VPN "no-log" promossi in canali non mainstream: la promessa di assenza di log è non verificabile e, come dimostrato, potenzialmente falsa anche per design
• Monitorare i report Europol e le pubblicazioni dei CERT nazionali per l'eventuale rilascio di indicatori di compromissione derivati dai 506 utenti identificati e dagli 83 intelligence packages

La fine dell'anonimato garantito come prodotto

La lezione operativa di First VPN supera il caso specifico. Per anni, il mercato criminale ha costruito un'economia sulla promessa di servizi "impossibili da sequestrare", fondendo tecniche tecniche legittime — crittografia, distribuzione geografica, pagamenti pseudonimi — con narrazioni di invulnerabilità giuridica. L'operazione del 19-20 maggio 2026 dimonta questa fusione: la distribuzione in 27 paesi non ha impedito il coordinamento, la promessa di no-log non ha resistito all'infiltrazione, l'anonimato non ha protetto dall'identificazione.

Edvardas Sileris ha sintetizzato la seconda faccia della medaglia: "Rimuovere il servizio dall'operatività elimina un layer di protezione critico su cui i criminali dipendevano per operare, comunicare e sfuggire alle forze dell'ordine". La formulazione è tecnica — layer di protezione — e rivela come Europol concepisca queste operazioni: non come vittorie narrative, ma come rimozione di capacità operative dall'ecosistema di minaccia.

Per il settore cybersecurity, il messaggio è duplice. Da un lato, conferma che la convergenza tra infiltrazione investigativa e intelligence difensiva produce risultati misurabili. Dall'altro, avvisa che la fiducia in garanzie tecniche non verificabili — il "no-log" come articolo di fede — è diventata vulnerabilità sistemica, sfruttabile tanto da chi difende quanto da chi attacca.

Fonti

• https://www.bleepingcomputer.com/news/security/police-seize-first-vpn-service-used-in-ransomware-data-theft-attacks/
• https://therecord.media/europe-dismantles-first-vpn

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.bleepingcomputer.com/news/security/police-seize-first-vpn-service-used-in-ransomware-data-theft-attacks/
• https://therecord.media/europe-dismantles-first-vpn