Il 25 giugno 2026 un ex analista SOC di Huntress ha rotto il silenzio su LinkedIn con un post che descrive un presunto insider attivo all'interno dell'azienda, accusato di aver passato comunicazioni provenienti da law enforcement statunitensi al gruppo ransomware DevMan. Huntress, vendor specializzato in threat intelligence per piccole e medie imprese, si trova ora sotto i riflettori per un'accusa che tocca il nervo scoperto della cybersecurity industry: chi protegge i dati di chi protegge gli altri.
- Ben Folland, ex-security operations analyst di Huntress con ultimo giorno il 19 febbraio 2026, afferma di aver scoperto a dicembre 2025 che un dipendente Huntress passava comunicazioni da law enforcement USA al ransomware DevMan.
- Il CEO Kyle Hanslovan ammette che un dipendente ha mostrato "poor judgment in communicating with a cybercriminal", ma contestualizza l'episodio come parte del normale lavoro di intelligence gathering e nega fermamente la narrazione dell'insider.
- Hanslovan cita "ongoing active coordination with law enforcement and legal proceedings" come impedimento a fornire un resoconto pubblico completo.
- Folland ha promesso di pubblicare evidenze documentali — comunicazioni FBI, registrazioni telefoniche, memo interni — nelle due settimane successive al 25 giugno 2026.
Le accuse di Folland: dall'ombra dell'FBI al silenzio pre-IPO
Secondo quanto riportato da The Register, Ben Folland ha iniziato la sua campagna pubblica su LinkedIn con un GIF di Pinocchio e emoji da clown, poi ha spiegato le ragioni delle dimissioni in una lettera condivisa sulla piattaforma. L'accusa centrale: a dicembre 2025 Folland avrebbe scoperto che "another Huntress employee passed communications from US law enforcement to a cybercriminal, DevMan, who is actively and publicly targeting my family and me".
Folland sostiene che l'individuo accusato sia stato identificato dall'FBI ma continui a lavorare per Huntress. L'ex analista allega inoltre che l'azienda abbia occultato l'incidente da dicembre 2025, con la priorità di proteggere un'imminente IPO piuttosto che garantire trasparenza: "With an IPO on the horizon, it appears their priority was not transparency, but keeping this away from the press".
"Since December 2025, I believe Huntress has been actively trying to conceal a serious security incident from its partners, customers, and employees involving an insider who is still employed at the company" — Ben Folland, ex-analista Huntress, post LinkedIn
The Register ha contattato Folland senza ricevere risposta. Il dossier non documenta se le evidenze promesse siano state effettivamente pubblicate.
La replica di Huntress: poor judgment, non tradimento
Kyle Hanslovan, CEO di Huntress, ha risposto attraverso portavoce e direttamente su Reddit. Ha ammesso che "a former employee raised concerns that a teammate exercised poor judgment in communicating with a cybercriminal", ma ha immediatamente contestualizzato: "By nature of our work as security researchers, teammates occasionally need to communicate with possible cybercriminals to gather intel".
Hanslovan ha negato esplicitamente due pilastri della narrazione di Folland: la qualifica di insider e la subordinazione della sicurezza agli interessi dell'IPO. Su Reddit ha scritto: "We sure af didn't prioritize an IPO over the safety of our partners, customers, or team". Ha inoltre citato "ongoing active coordination with law enforcement and legal proceedings" come motivo che impedisce un resoconto pubblico completo.
Il dossier non documenta né l'identità dell'individuo accusato né la natura esatta delle comunicazioni trasmesse. Non emerge inoltre se le comunicazioni con DevMan fossero autorizzate dall'azienda o meno.
Il dilemma dell'intelligence gathering: confine operativo o linea rossa
L'episodio solleva una questione strutturale per il settore cybersecurity. Le aziende di threat intelligence operano in una zona grigia permanente: il contatto con attori threat, inclusi gruppi ransomware, è strumentale alla raccolta di indicatori di compromissione, alla comprensione di TTP e alla protezione dei clienti. Il confine tra "comunicazione controllata per finalità difensive" e "contaminazione criminale" — intenzionale o per negligenza — è sottile e mal definito a livello industriale.
Il dossier non specifica protocolli interni Huntress per questo tipo di interazione né eventuali supervisioni legali o compliance. Ciò che emerge è una discrepanza fondamentale: per Folland, il contatto ha superato la soglia della collaborazione passando dati law enforcement; per Hanslovan, si tratta di un errore di giudizio nel corso di attività legittime.
Cosa fare adesso
Per i clienti Huntress, il caso genera interrogativi concreti su cui mancano risposte definitive dall'azienda. La priorità immediata è valutare se il proprio threat intelligence provider abbia fornito comunicazioni chiare sull'incidente documentato da dicembre 2025.
I professionisti che operano in threat intelligence dovrebbero verificare che i propri contratti di servizio includano clausole di notifica per contatti non autorizzati con attori threat. La mancanza di standard industriali chiari sui confini dell'intelligence gathering rende questa verifica una responsabilità del cliente.
Per gli analisti di sicurezza, il caso Folland evidenzia il rischio personale di chi segnala anomalie interne: Folland ha lasciato l'azienda per "conflict of interest" e ha scelto la via pubblica solo dopo mesi di silenzio. La documentazione del percorso interno seguito prima dell'escalation esterna è una pratica difensiva rilevante.
Il settore attende le evidenze promesse da Folland entro le due settimane dal 25 giugno 2026. La loro pubblicazione o meno determinerà se le accuse possano essere verificate indipendentemente o restino, per ora, una disputa tra ex dipendente e azienda.
Chiusura editoriale
Il caso Huntress resta, al momento della stesura, una collisione tra narrazioni incompatibili: l'insider intenzionale e l'errore di giudizio, l'occultamento pre-IPO e la trasparenza impedita da indagini in corso. Entrambe le versioni hanno punti deboli documentati — Folland non ha risposto alle richieste di commento né pubblicato evidenze; Hanslovan non ha spiegato perché un dipendente con "poor judgment" resti in ruolo se l'FBI fosse effettivamente coinvolta.
La cybersecurity industry non può permettersi di ignorare la lezione strutturale: quando chi vende protezione diventa oggetto di accuse che ne minano l'integrità, la verifica indipendente è l'unica valuta che conta. Fino a nuovi sviluppi, il verdetto è sospeso — ma le domande che il caso pone su confini, accountability e trasparenza nel threat intelligence non lo sono.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.theregister.com/cyber-crime/2026/06/25/ex-huntress-analyst-claims-company-insider-fed-info-to-a-ransomware-crim-social-media-drama-ensues/5262538
- https://www.huntress.com/blog/klue-breach-investigation
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments