AudiA6, smantellato il riciclaggio cripto delle gang ransomware: 336 milioni di euro lavati dal 2021
Un’operazione internazionale di law enforcement ha smantellato AudiA6, il servizio di riciclaggio di criptovalute usato dalle gang ransomware e dalle reti di cybercrime. Secondo il comunicato di Europol, il blitz del 10 giugno 2026 ha tagliato una “pipeline finanziaria chiave” che dal 2021 avrebbe lavato oltre 336 milioni di euro (circa 389 milioni di dollari). In parallelo, il Dipartimento di Giustizia statunitense ha annunciato le imputazioni contro due presunti amministratori, arrestati in Georgia.
L’operazione e i numeri
L’azione coordinata del 10 giugno, con Europol ed Eurojust, ha prodotto: la rimozione di 25 domini e il sequestro di oltre 30 server, tre perquisizioni, oltre 80 veicoli e diverse proprietà confiscate in Georgia, il blocco degli account Telegram della rete, il congelamento di 692.000 euro in criptovaluta e il sequestro di altri 86.000 euro, oltre alla sostituzione dei siti (su clear web e dark web) con il banner delle autorità. I due arrestati, Ruslan Igorevich Tkachuk (37 anni) e Alexander Vladimirovich Ledenev (25 anni), di nazionalità ucraina e russa, sono accusati di conspiracy to launder monetary instruments e sting money laundering, e rischiano fino a 20 anni di carcere; sono detenuti in Georgia, con richiesta di estradizione degli Stati Uniti verso il Distretto Est della Pennsylvania, dove è stata depositata la denuncia penale. Secondo il DoJ, su circa 10.333 bitcoin depositati, circa 393 BTC (un valore di 19,2 milioni di dollari al cambio dell’epoca) provenivano direttamente da marketplace del darknet, organizzazioni ransomware e altri servizi criminali.
Come funzionava il lavaggio
Pubblicizzato come un mixer che garantiva anonimato e velocità, AudiA6 restituiva i fondi “puliti” entro circa un’ora, attraverso una catena complessa di transazioni, con commissioni che, secondo Europol, arrivavano fino al 10% (le stime variano per fonte: il complaint del DoJ cita un annuncio su Dark2Web con una fee fino al 5%, mentre un report di Intel 471 del 2021 indicava una tariffa fissa tra il 3% e il 5,5%). L’inchiesta ha individuato oltre 6.000 conti money mule con record KYC, molti riconducibili a intermediari di lingua russa reclutati per spostare i proventi attraverso gli exchange. Gli stessi operatori avrebbero gestito anche Dark2Web, un forum del dark web usato per pubblicizzare servizi illeciti e mettere in contatto i criminali. Per aprire i conti mule venivano usati domini sotto il loro controllo.
La filiera che ha portato al blitz
Il caso nasce da un’azione della polizia polacca che, a settembre 2025, aveva arrestato un cittadino ucraino per riciclaggio; l’analisi forense dei dispositivi sequestrati ha poi permesso di identificare gli altri membri della rete. All’operazione, oltre alla Polonia già citata, hanno collaborato lo US Secret Service, l’IRS Criminal Investigation e le forze di Australia, Canada, Francia, Georgia, Germania, Islanda, Giappone, Svizzera e Regno Unito. AudiA6, peraltro, era già un nome noto: una ricerca di TRM Labs del dicembre 2025 aveva tracciato i fondi del furto a LastPass del 2022 instradati anche attraverso questo servizio, insieme a Cryptex.
Perché conta
La vicenda fotografa l’industrializzazione del riciclaggio di criptovalute: non più singoli wallet, ma piattaforme mixer-as-a-service che combinano chain-hopping, exchange decentralizzati e migliaia di conti fraudolenti per spostare valore tra blockchain in pochi minuti, eludendo i controlli antiriciclaggio. Per i team di threat intelligence e di contrasto al crimine finanziario è un colpo all’economia ransomware, ma l’ecosistema resta resiliente: caduto un mixer, altri ne prendono il posto. Il valore reale dell’azione sta nei dati raccolti, i 6.000 conti mule, i domini, i wallet, che possono alimentare le oltre quindici indagini internazionali già collegate al servizio. Per chi difende, la lezione è che la tracciabilità on-chain e la cooperazione tra giurisdizioni restano le leve più efficaci contro la monetizzazione del cybercrime.
