Il 18 giugno 2026 la Polizia Nazionale Olandese ha annunciato il takedown di 106 server e dominio legati a SocGholish. La coalizione internazionale — NHCTU, RCMP, FBI, BKA, con supporto Europol ed Eurojust — ha ripulito 14.971 siti WordPress compromessi. L'operazione espande il mandato di Operation Endgame verso le infrastrutture di accesso iniziale.
- La coalizione ha spento 106 server e dominio e ripulito 14.971 siti WordPress compromessi.
- SocGholish, attivo dal 2017, utilizza JavaScript obfuscato su siti legittimi per profilare le vittime e distribuire second-stage malware tramite fake browser update.
- Infoblox riporta che circa il 55% delle reti cliente nel proprio dataset ha tentato di contattare infrastruttura SocGholish in cinque mesi.
- Maikel Rollman dell'NHCTU ha dichiarato che questa operazione segna "l'inizio di ulteriori azioni" contro SocGholish.
Come funzionava la macchina di infezione
SocGholish operava come watering hole su larga scala. Gli aggressori compromettevano siti WordPress — stimati fino a un milione nella storia del gruppo secondo la ricerca community citata da Infoblox — e iniettavano JavaScript obfuscato.
Questo script eseguiva profiling della vittima: rilevava strumenti di sviluppo, identificava il browser, attendeva interazioni come il movimento del mouse. Solo dopo questa selezione mostrava un falso avviso di aggiornamento browser.
Il file scaricato era JavaScript camuffato. Una volta eseguito, si connetteva a infrastruttura controllata dagli attaccanti per ricevere payload secondari: infostealer o RAT. Il modello era modulare: i siti compromessi erano numerosi, distribuiti, e spesso gestiti da piccoli operatori.
L'espansione di Operation Endgame
Il takedown di SocGholish rappresenta uno spostamento tattico significativo. Law enforcement ha preso di mira il meccanismo che porta il malware all'interno delle reti aziendali.
Questo cambiamento riflette una lettura strategica. I gruppi ransomware dipendono da broker di accesso iniziale e da infrastrutture di delivery come quella di TA569. La scelta di colpire SocGholish indica che le autorità trattano l'ecosistema criminale come rete interdipendente.
"With these actions we deprive cybercriminals of access to infected computer systems. This prevents further damage to the digital systems of citizens, businesses and organizations worldwide and limits the spread of malware. It also reduces the risk that these systems are used for cyber-attacks on critical infrastructure and other essential societal processes. This marks the beginning of further action against SocGholish." — Maikel Rollman, Netherlands' National High Tech Crime Unit
Analisi: il dilemma della resilienza
L'affiliazione di TA569 a Evil Corp — gruppo attivo dal 2007, responsabile di Zeus, Dridex, WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker — suggerisce capacità organizzative consolidate. Il team di threat intelligence di Infoblox ha posto la domanda centrale: "La questione chiave è se e con quale rapidità gli attori possano adattarsi."
Le tre opzioni non sono equivalenti. La ricostruzione dell'infrastruttura attuale è lenta e esposta a nuovi takedown. Lo spostamento su hosting alternativo richiede relazioni con provider meno cooperativi. L'adozione di nuovi modelli implica ricerca e sviluppo e riaddestramento degli affiliati.
Il tempo necessario a ciascuna transizione determinerà l'effettiva durata della finestra di riduzione del rischio. TA569 solitamente compromette siti direttamente ma accetta anche traffico da affiliati.
I numeri della minaccia e i limiti del takedown
I 14.971 siti ripuliti — "nearly 15.000" secondo Help Net Security — rappresentano una frazione degli stimati un milione di siti controllati storicamente da TA569. I 106 server spenti hanno interrotto il C2 attivo, ma non necessariamente infezioni già stabilite su endpoint.
La notifica ai proprietari dei siti e l'assistenza alla pulizia sono state parte dell'operazione, secondo entrambe le fonti principali. Non risulta che il takedown abbia prodotto arresti. L'operazione è stata puramente infrastrutturale: una scelta che massimizza l'impatto immediato ma lascia intatta la capacità umana del gruppo.
Il brief non specifica la natura esatta dei payload secondari distribuiti nelle campagne più recenti, né quante infezioni attive su endpoint siano state effettivamente neutralizzate. Non è noto quanti siti rimangano compromessi e non ancora identificati.
Cosa fare adesso
Per i gestori di siti WordPress: verificare che il proprio sito non compaia tra quelli notificati come compromessi dalla coalizione; aggiornare CMS, temi e plugin alle versioni più recenti; rivedere gli account con accesso amministrativo per anomalie di creazione o ultimo accesso; controllare la presenza di JavaScript non autorizzato nei file del tema o nei widget.
Per le organizzazioni: monitorare i log di rete per contatti passati con i 106 server spenti; valutare se endpoint hanno eseguito JavaScript da siti WordPress compromessi nel periodo di attività; applicare le indicazioni di pulizia fornite dalle autorità se il proprio sito è stato notificato.
Chiusura
L'operazione contro SocGholish dimostra che le coalizioni internazionali possono scalare l'intervento oltre i target tradizionali di botnet e ransomware. Il dato di 14.971 siti ripuliti e 106 server spenti è misurabile. L'incertezza rimane sulla velocità di reazione di TA569 e Evil Corp.
La dichiarazione di Rollman — "l'inizio di ulteriori azioni" — definisce il campo: questo è un punto di svolta operativo, non un epilogo. La capacità del gruppo di adattarsi determinerà se la finestra di riduzione del rischio si misurerà in settimane o in anni.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/18/law-enforcement-socgholish-operation-endgame/
- https://www.bleepingcomputer.com/news/security/law-enforcement-nukes-socgholish-malware-from-nearly-15-000-sites/
- https://unit42.paloaltonetworks.com/flutterbridge-new-fluttershell-backdoor/
- https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/
- https://support.google.com/googleplay/android-developer/answer/10281818?hl=en
- https://support.google.com/googleplay/answer/15574897?hl=en
- https://support.google.com/googleplay/answer/7018481
- https://www.eset.com/int/business/services/threat-intelligence/?utm\_source=welivesecurity.com&utm\_medium=referral&utm\_campaign=wls-research&utm\_content=fake-call-logs-real-payments-how-callphantom-tricks-android-users&sfdccampaignid=7011n0000017htTAAQ
- https://www.helpnetsecurity.com/2023/10/17/clearfake-malware-fake-browser-updates/