Da Operation Power-OFF a Operation Lightning: i recenti colpi delle forze dell’ordine europee al patrimonio cybercriminale
Sintesi dell’intervento di Emanuele Iovini, Specialist nel Prevention & Outreach Team dell’European Cybercrime Centre (EC3) di Europol, 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 6-7 maggio 2026.
L’intervento di Emanuele Iovini ha offerto una panoramica densa e operativa di un anno intero di azioni internazionali contro il cybercrime, restituendo la fotografia di un ecosistema criminale sempre più orientato al modello as-a-service e contrastato con crescente efficacia dalla cooperazione fra agenzie europee, partner privati e autorità giudiziarie. Il relatore ha ricordato in apertura la struttura dell’EC3, articolato in tre macroaree: le operazioni sui diversi tipi di crimine informatico (Transnational Payment Fraud, Cyber-Dependent Crimes, Child Sexual Exploitation, Dark Web), il supporto digitale (forense, decryption, cryptocurrency, data science e AI) e l’area Expertise & Stakeholder Management, di cui Iovini stesso fa parte e che cura Cyber Threats & Trends, Capacity Building, Prevention & Awareness, Internet Governance, Outreach e Lawful Access to Data.
A fare da cornice alle singole operazioni è il richiamo al nuovo Internet Organized Crime Threat Assessment (IOCTA) 2026, pubblicato da Europol pochi giorni prima della conferenza con il sottotitolo “The evolving threat landscape: how encryption, proxies and AI are expanding cybercrime“, di cui Iovini ha anticipato i punti principali in chiusura.
Operation Power-OFF: contro l’industria del DDoS-for-hire
Il primo blocco operativo riguarda i servizi booter e stresser, infrastrutture commerciali che mettono la capacità offensiva DDoS alla portata di chiunque sia disposto a pagare, anche in assenza di competenze tecniche. È il fenomeno che Operation Power-OFF contrasta in modo permanente, in un coordinamento multinazionale che a oggi coinvolge agenzie da Australia, Austria, Belgio, Brasile, Bulgaria, Danimarca, Estonia, Finlandia, Germania, Giappone, Lettonia, Lituania, Lussemburgo, Paesi Bassi, Norvegia, Polonia, Portogallo, Svezia, Thailandia, Regno Unito e Stati Uniti.
La fase del maggio 2025, guidata dalle autorità polacche con il supporto di Europol e delle agenzie statunitensi, si è chiusa con l’arresto di quattro amministratori di un servizio DDoS-for-hire globale e il sequestro di nove domini. Sul piano cumulativo, Operation Power-OFF ha sin qui consentito di identificare oltre tre milioni di account utenti riconducibili a servizi DDoS-on-demand, dato che dà la misura di quanto la trasformazione del DDoS in servizio acquistabile abbia ampliato il bacino di chi vi ricorre.
Il carattere continuativo è il vero punto di forza dell’operazione, che non si esaurisce in un singolo takedown ma alimenta campagne proattive permanenti: rimozione dai motori di ricerca degli URL che pubblicizzano servizi DDoS, ads di contrasto, warning posizionati sulle blockchain utilizzate dai criminali per i pagamenti, e un sito dedicato che mantiene aggiornato lo stato delle azioni di enforcement.
Operation Eastwood: NoName057(16) e la botnet DDoSia
A luglio 2025 si colloca Operation Eastwood, condotta contro la rete criminale NoName057(16), gruppo pro-Russia che dall’inizio del conflitto ha rivolto i propri attacchi DDoS prima contro infrastrutture ucraine e poi, in modo sistematico, contro i Paesi che sostengono Kiev, molti dei quali membri NATO. La cronologia degli attacchi rivendicati include la Svezia (2023-2024, autorità e banche), la Germania (dal novembre 2023, 14 ondate contro oltre 250 fra aziende e istituzioni), la Svizzera (durante il videomessaggio del presidente ucraino al Parlamento federale, giugno 2023, e durante la Peace Summit di Bürgenstock, giugno 2024) e i Paesi Bassi (NATO Summit 2025): in tutti i casi mitigati senza interruzioni di rilievo.
Il tratto distintivo del gruppo è la capacità di reclutamento. NoName057(16) recluta volontari, spesso giovani, su forum di gaming e di hacking e in piccole chat private di canali pro-russi, e mette a disposizione la piattaforma DDoSia, che semplifica l’esecuzione tecnica degli attacchi e fornisce linee guida agli aderenti. Per consolidare la partecipazione vengono usati incentivi in criptovaluta e dinamiche gamified, con leaderboard e badge a creare senso di appartenenza, il tutto rafforzato dalla narrativa di “difesa della Russia”. La rete conta oltre 4.000 sostenitori e una botnet di diverse centinaia di server.
Sul fronte del contrasto, Iovini ha descritto un’operazione che ha coinvolto 19 Paesi e 200 agenti di polizia, con un centro di coordinamento allestito presso il quartier generale di Europol e un Virtual Command Post a connettere le altre nazionali.
Eurojust ha gestito attività giudiziarie, Mutual Legal Assistance, ordini europei di indagine e richieste urgenti nel corso dell’action day del 15 luglio 2025. I numeri sono significativi: oltre 100 server disarticolati nel mondo, 24 perquisizioni, 13 individui sentiti, 9 mandati d’arresto emessi (di cui 2 eseguiti), 5 ricercati inseriti nella lista EU Most Wanted, oltre 1.000 sostenitori notificati per profili di responsabilità legale e l’infrastruttura principale del gruppo posta offline. Europol ha coordinato in parallelo una campagna di prevenzione sui messaging e sui social media rivolta agli affiliati.
Operation SIMCARTEL: SIM box e cyber enabled crime
Nell’ottobre 2025 si colloca Operation SIMCARTEL, condotta dalle autorità austriache, estoni e lettoni con il supporto di Europol ed Eurojust. La rete, basata in Lettonia e tecnicamente molto sofisticata, gestiva un servizio SIM-box costruito su 1.200 dispositivi e 40.000 SIM card attive, utilizzato per creare account falsi su social media e piattaforme di servizi, oscurare l’identità dei perpetratori e supportare frodi su larga scala (phishing, smishing e altri telco-crimini). Bilancio dell’action day: 5 arresti in Lettonia, 5 server smantellati, 26 perquisizioni, 1.200 SIM box e 40.000 SIM sequestrate, 4 veicoli di lusso, 431.000 euro su conti bancari e 333.000 dollari su wallet di criptovaluta congelati.
La rilevanza dell’operazione, ha sottolineato Iovini, sta nella categoria di reati che l’infrastruttura abilitava: frodi sui marketplace dell’usato online; il cosiddetto daughter-son scam, in cui i criminali impersonano un familiare via WhatsApp per chiedere pagamenti urgenti; frodi sugli investimenti, spesso con l’invito alla vittima a installare software di accesso remoto sui propri dispositivi; fake shop e siti bancari fasulli che usano numerazioni in affitto per coprire l’attività illecita; e i fake police officer, che si presentano come agenti per estorcere denaro alle vittime, spesso di persona.
Operation Olympia: il takedown del cryptomixer
A novembre 2025 si colloca Operation Olympia, takedown del dominio cryptomixer.io condotto con un’action week a Zurigo da Germania, Svizzera, Europol ed Eurojust. Il servizio, attivo dal 2016 sia sul web in chiaro sia sul dark web, era un cryptomixer ibrido utilizzato per offuscare i proventi di ransomware, traffici di armi e droga e frodi su carte di pagamento.
Il meccanismo si basava sul pooling dei fondi per un periodo lungo e randomizzato, prima della redistribuzione verso gli indirizzi di destinazione, in modo da spezzare la tracciabilità delle singole coin sul public ledger. Il sequestro ha portato all’acquisizione di tre server a Zurigo, alla confisca di 12 terabyte di dati e di Bitcoin per un controvalore di circa 25 milioni di euro, e ha fatto emergere il dato d’insieme: dal 2016 cryptomixer.io ha movimentato oltre 1,3 miliardi di euro in Bitcoin. “Seguire il denaro” resta il principio investigativo cardine, e in ambito cyber questo significa sempre più spesso seguire la criptovaluta.
Operation Tycoon: phishing-as-a-service e cooperazione pubblico-privato
A marzo 2026 si colloca Operation Tycoon, disruption della piattaforma di phishing as a service Tycoon 2FA, attiva almeno dall’agosto 2023 e fra le più estese al mondo. La piattaforma era specializzata nel bypass della Multi-Factor Authentication e permetteva ai cybercriminal di accedere in modo occulto a email e account cloud. La sua infrastruttura core contava 300 domini fra pagine di phishing e pannelli di controllo e generava decine di milioni di email malevole al mese, abilitando accessi non autorizzati a circa 100.000 organizzazioni nel mondo, fra cui ospedali, scuole e istituzioni pubbliche.
Iovini ha utilizzato il caso per evidenziare il valore strategico del partenariato pubblico-privato. L’intelligence iniziale è stata condivisa da Trend Micro, poi distribuita da Europol attraverso gli EC3 Advisory Group e le proprie reti operative per elaborare una strategia coordinata di intervento. Il Cyber Intelligence Extension Programme (CIEP) di Europol ha consentito a Microsoft e Trend Micro di lavorare a fianco delle law enforcement, mettendo a disposizione expertise tecnica e analisi infrastrutturale. Sul fronte istituzionale l’operazione ha visto la partecipazione di Lettonia, Lituania, Portogallo, Polonia e Spagna, con il contributo di Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel 471, Proofpoint, Resecurity, Shadowserver Foundation, SpyCloud e Trend Micro.
Operation Leak: il mercato dei dati rubati dagli info-stealer
Sempre a marzo 2026 si colloca Operation Leak, smantellamento di LeakBase (LeakBase.la), uno dei principali forum di compravendita di dati rubati. Attiva dal 2021 in lingua inglese e accessibile dall’open web, la piattaforma era specializzata nel commercio di leaked database e di stealer log, gli archivi di credenziali esfiltrate dai malware di tipo info-stealer, e combinava le funzioni di archivio e di discussion board per consentire ai cybercriminal di acquistare, vendere e scambiare dati compromessi. All’operazione hanno partecipato Australia, Belgio, Canada, Germania, Grecia, Kosovo, Malesia, Paesi Bassi, Polonia, Portogallo, Romania, Spagna, Regno Unito e Stati Uniti.
Il 3 marzo, 100 azioni coordinate di law enforcement in più giurisdizioni, fra arresti, perquisizioni e interventi knock-and-talk, hanno colpito 37 fra gli utenti più attivi della piattaforma. Il 4 marzo si è chiusa la fase di disruption tecnica con il sequestro del dominio e l’esposizione della splash page delle autorità. La fase tuttora in corso è dedicata alla prevenzione, con campagne di deterrence rivolte ai potenziali criminali e di awareness rivolte alle vittime, sintetizzate dal messaggio “no one is truly invisible online“.
Operation Lightning: IoT compromessi come proxy criminali
L’operazione che dà parte del titolo all’intervento è Operation Lightning, operation day dell’11 marzo 2026 contro il servizio di proxy malevolo SocksEscort. La rete sfruttava vulnerabilità su dispositivi residenziali, in particolare router e dispositivi Internet of Things, per trasformarli in nodi intermediari attraverso cui condurre altri attacchi.
I numeri descrivono bene la scala: oltre 369.000 dispositivi compromessi, 163 Paesi colpiti, più di 35.000 proxy messi a disposizione dei clienti del servizio. Europol ed Eurojust hanno coordinato le forze di polizia di Austria, Bulgaria, Francia, Germania, Ungheria, Paesi Bassi, Romania e Stati Uniti, portando al sequestro di 34 domini e 23 server, mentre le autorità statunitensi hanno congelato 3,5 milioni di dollari in criptovaluta. Il supporto operativo di Europol ha incluso data sprint, crypto tracing, analisi di malware e di network flow, cross-check sui propri database e prodotti di intelligence dedicati.
Operation Endgame: un’operazione che non si chiude
Iovini ha aggiornato la platea sull’evoluzione di Operation Endgame, ormai dichiaratamente continuativa. L’action week dal 19 al 22 maggio 2025, annunciata pubblicamente il 23 maggio e coordinata da Europol con il supporto di Eurojust e la partecipazione di Canada, Danimarca, Francia, Germania, Paesi Bassi, Regno Unito e Stati Uniti, ha colpito una nuova generazione di malware variant e i gruppi successori riemersi dopo i takedown del 2024, neutralizzando le infrastrutture di dropper come Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot e Warmcookie.
Risultato: 300 server disarticolati nel mondo, 650 domini neutralizzati, 3,5 milioni di euro in criptovaluta sequestrati (il cumulato dell’intera Operation Endgame supera così i 21,2 milioni) e mandati d’arresto internazionali emessi contro 20 target, di cui 18 inseriti dal 23 maggio nella lista EU Most Wanted.
L’action week dal 10 al 13 novembre 2025, condotta con Australia, Belgio, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi, Regno Unito e Stati Uniti, ha colpito l’info-stealer Rhadamanthys, il Remote Access Trojan VenomRAT e la botnet Elysium, infrastrutture responsabili dell’infezione di centinaia di migliaia di vittime nel mondo. Bilancio: 1 arresto in Grecia il 3 novembre (il principale sospettato dietro VenomRAT), 11 perquisizioni, oltre 1.025 server smantellati o disarticolati e 20 domini sequestrati. Sull’estensione del danno, Iovini ha indicato che il principale sospettato dietro Rhadamanthys aveva accesso a oltre 100.000 wallet di criptovalute appartenenti alle vittime, per un valore potenziale di milioni di euro.
Il salto di paradigma, ha spiegato il relatore, è dal takedown dell’infrastruttura tecnica allo smantellamento delle organizzazioni che la gestiscono. Il sito ufficiale dell’operazione (operation-endgame.com), aggiornato episodio dopo episodio, viene proposto da Europol come riferimento per chi voglia seguire l’evoluzione del dossier.
Le sfide ancora aperte e il nuovo IOCTA 2026
In chiusura, Iovini ha mappato le sfide che restano sul tavolo delle law enforcement europee, distribuite su sei dimensioni: il tracciamento delle comunicazioni e quello dei pagamenti, l’anonimato, la giurisdizione transfrontaliera, la cifratura end-to-end e l’esplosione di un crimine ad alto volume e basso valore unitario. L’IOCTA 2026, sottotitolato “how encryption, proxies and AI are expanding cybercrime”, raggruppa le tendenze più rilevanti per i prossimi mesi su quattro assi.
Sugli enabler del cybercrime: dark web, residential proxy, servizi di hosting, criptovalute, automazione e AI. Sulle infrastrutture dietro i cosiddetti Online Fraud Scheme (OFS): relay attack e cryptocurrency drainer. Sugli attacchi: l’ecosistema ransomware, le nuove coalizioni di hacking, gli info-stealer e gli attacchi DDoS. Sull’Online Child Sexual Exploitation: estorsione sessuale, monetizzazione e Synthetic CSAM prodotto in via sintetica.
Il messaggio di fondo è che il modello cybercrime-as-a-service ha abbassato la barriera d’ingresso del crimine informatico, ma ha anche reso le filiere più visibili e attaccabili nel punto giusto, ovvero l’infrastruttura comune. Le operazioni illustrate da Iovini, condotte in cooperazione fra Europol, Eurojust, autorità nazionali e partner privati, mostrano che colpire quel punto resta la leva più efficace di cui dispongono oggi le forze dell’ordine europee.
