Per oltre un anno, una parte rilevante delle frodi email che hanno colpito aziende e istituzioni in mezzo mondo ha fatto capo alla stessa infrastruttura. Si chiama RedVDS e non è un gruppo criminale nel senso tradizionale. È un fornitore di server virtuali che, secondo un’analisi di Microsoft Threat Intelligence, ha fornito le basi tecniche per migliaia di campagne di phishing, compromissioni di account e frodi finanziarie. I settori più colpiti risultano quello legale, immobiliare, manifatturiero, sanitario ed educativo. Le vittime si concentrano soprattutto in Stati Uniti, Canada, Regno Unito, Francia, Germania e Australia. Paesi con sistemi bancari solidi e processi di pagamento complessi, quindi particolarmente appetibili.
Cos’è RedVDS
RedVDS si presenta come un servizio di Virtual Dedicated Server accessibili via Remote Desktop. In apparenza nulla di anomalo. Il problema emerge osservando come funziona il servizio. I server offerti risultano basati su versioni Windows non regolarmente licenziate, con privilegi amministrativi completi, costi molto bassi e assenza dichiarata di limiti di utilizzo o registrazione delle attività. I pagamenti avvengono esclusivamente in criptovalute, tra cui Bitcoin e Monero, con l’obiettivo evidente di ridurre la tracciabilità. Microsoft attribuisce la gestione della piattaforma a un attore monitorato come Storm-2470, mentre diversi altri gruppi criminali hanno utilizzato RedVDS come infrastruttura operativa per attività distinte ma simili nei metodi.
Un dettaglio tecnico che ha tradito la piattaforma
L’elemento che ha permesso agli analisti di collegare tra loro migliaia di attacchi è sorprendentemente semplice. Tutti i server RedVDS individuati utilizzavano lo stesso nome di computer:
WIN-BUNS25TD77J
Un’anomalia evidente. I provider cloud legittimi assegnano nomi host casuali. In questo caso, ogni macchina risultava una copia identica della precedente. Microsoft ha ricostruito un modello basato su una singola immagine Windows Server 2022 clonata in modo sistematico, senza modifiche all’identità del sistema.
Questo approccio ha consentito la creazione rapida di nuovi server, ma ha anche lasciato una traccia tecnica chiara, utile per il rilevamento.
Server in affitto, ovunque serva
RedVDS non possiede data center. L’infrastruttura si appoggia a fornitori terzi in diversi Paesi occidentali. Questa distribuzione permette agli attaccanti di colpire una vittima statunitense da un indirizzo IP statunitense, riducendo i sospetti e aggirando filtri basati sulla geolocalizzazione.
Il traffico si mescola a quello legittimo dei data center commerciali. Il risultato è una piattaforma difficile da distinguere da un normale servizio cloud, almeno in superficie.
Cosa facevano davvero su quei server
I server RedVDS non eseguivano malware in automatico. Tutto dipendeva da chi li utilizzava. Le analisi forensi mostrano però uno schema ricorrente.
Sui sistemi comparivano strumenti per l’invio massivo di email, software per la raccolta e la pulizia di indirizzi, browser orientati alla privacy, VPN commerciali e strumenti di accesso remoto come AnyDesk. In diversi casi risultano presenti anche servizi di scrittura assistita e automazione, utili per produrre messaggi credibili e scalare le campagne.
L’obiettivo restava quasi sempre lo stesso: arrivare alle credenziali email e sfruttarle per frodi successive.
Dalla prima email al bonifico
Lo schema operativo segue una sequenza ormai consolidata.
- Prima fase: raccolta di informazioni su fornitori, clienti e flussi di pagamento.
- Seconda fase: invio di email di phishing, spesso ben scritte e contestualizzate.
- Terza fase: accesso alla casella di posta della vittima.
- Quarta fase: osservazione silenziosa delle conversazioni in corso.
- Fase finale: richiesta di pagamento fraudolenta o modifica delle coordinate bancarie.
Microsoft ha collegato a questa infrastruttura oltre 3.700 domini “somiglianti” a quelli legittimi, creati per ingannare anche utenti esperti. Le perdite economiche stimate superano i 40 milioni di dollari negli Stati Uniti in pochi mesi.
Perché il modello funziona
RedVDS ha abbassato la soglia di ingresso. Costi ridotti, configurazione immediata, anonimato e assenza di controlli hanno trasformato l’infrastruttura in una sorta di servizio industriale del cybercrime. Non serve competenza avanzata. Serve solo sapere cosa colpire.
È questo l’aspetto più rilevante dell’indagine. Non un singolo attacco sofisticato, ma un sistema che rende le frodi ripetibili, scalabili e difficili da fermare.
Difendersi resta possibile
Le tecniche usate tramite RedVDS non risultano nuove. Phishing, spoofing e Business Email Compromise restano attacchi noti. La differenza sta nella scala.
Secondo Microsoft, le contromisure più efficaci restano l’autenticazione multifattore resistente al phishing, la corretta configurazione dei sistemi email, il controllo dei domini e la formazione continua del personale. Le frodi osservate sfruttano quasi sempre errori umani, non falle tecniche.
Un segnale per il futuro
Il caso RedVDS mostra come il cybercrime moderno assomigli sempre meno a gruppi isolati e sempre più a un ecosistema di servizi. Infrastrutture come questa permettono a chiunque di affittare, per poche decine di euro, una piattaforma pronta per colpire.
È un modello che continuerà a evolvere. Ignorarlo significa lasciare il vantaggio agli attaccanti.
