LinkedIn come arma: dal phishing allo spionaggio di Stato

LinkedIn è oggi molto più di una piattaforma professionale. Per criminali comuni, gruppi APT e agenzie di intelligence straniere è diventata uno degli strumenti offensivi più versatili e difficili da contrastare nel panorama della cybersecurity. La ragione è strutturale: la piattaforma aggrega oltre un miliardo di profili autenticati, dati professionali pubblici, relazioni fiduciarie consolidate e accesso diretto a figure ad alto valore. Tutto questo avviene in un ambiente che la maggior parte delle organizzazioni non monitora con la stessa attenzione riservata alla posta elettronica.

Quello che segue è un censimento ragionato delle tecniche malevole documentate da ricercatori di sicurezza nell’ultimo anno, organizzato per livello di sofisticazione e natura dell’attore.

1. Phishing via notifiche false: l’esca del recruiter

L’attacco più diffuso e recente è anche quello strutturalmente più insidioso nella sua semplicità. Il 31 marzo 2026, il team Cofense Phishing Defense Center ha pubblicato l’analisi di una campagna attiva in cui gli attaccanti inviano email che replicano con precisione le notifiche ufficiali di LinkedIn. Font, logo, formattazione e oggetto del messaggio sono identici agli originali. Il pretesto è una fantomatica opportunità di lavoro: un messaggio da un presunto recruiter di un’azienda reputabile, con invito urgente a rispondere.

Cliccando, l’utente non raggiunge LinkedIn, ma una pagina di login contraffatta. Il dominio impiegato nella campagna osservata era inedin[.]digital, scelto perché a una lettura rapida si confonde con il dominio legittimo. L’indirizzo email del mittente, khanieteam[.]com, è anch’esso fraudolento, attivo da pochi giorni al momento dell’analisi. I campioni osservati da Cofense erano scritti in lingua cinese e tradotti dai ricercatori.

Enrico Silverio, threat researcher al Cofense Phishing Defense Center, definisce questa campagna come «un promemoria che gli attori delle minacce continuano a evolversi in sofisticazione tecnica e persistenza, elaborando schemi altamente convincenti per sfruttare la fiducia e la curiosità umana».

L’urgenza, in questo contesto, non è un dettaglio: è la leva psicologica centrale. Silverio ricorda inoltre che gli attaccanti «pulled individuals’ home addresses, generated Google Maps screenshots, and inserted them into extortion emails to increase credibility», a conferma di quanto le campagne siano diventate personalizzate e difficili da riconoscere. Il tema dell’abuso di LinkedIn per la distribuzione di malware è approfondito nell’analisi pubblicata su ICT Security Magazine dedicata al malware veicolato tramite LinkedIn, che illustra le tecniche utilizzate dai gruppi APT per compromettere i reclutatori stessi.

2. Phishing via commenti pubblici: la moderazione come pretesto

Una variante documentata a gennaio 2026 da Cybernews e Security Magazine sfrutta i commenti pubblici della piattaforma invece delle email. Account bot si spacciano per LinkedIn stessa, pubblicando commenti sotto i post degli utenti in cui si afferma che il profilo è stato temporaneamente ristretto per violazioni delle policy. Il messaggio invita a cliccare un link per presentare ricorso, spesso utilizzando il legittimo shortener lnkd.in di LinkedIn per mascherare la destinazione.

Chance Caldwell, Senior Director del Phishing Defense Center di Cofense, descrive questa tecnica come una «troubling evolution in social engineering tactics», in cui gli attaccanti si integrano direttamente in spazi digitali considerati affidabili e sfruttano la fiducia degli utenti mimando comunicazioni legittime. Max Gannon, Cyber Intelligence Team Manager di Cofense, sottolinea che la corretta applicazione dell’AI ha reso possibile creare a scala account che impersonano LinkedIn stesso, una soglia operativa un tempo impraticabile.

Il fattore AI è determinante: l’automazione consente di inondare le sezioni commenti a una velocità che supera ampiamente la capacità di moderazione manuale della piattaforma. LinkedIn ha confermato di essere a conoscenza della campagna, precisando che non comunica mai violazioni di policy attraverso commenti pubblici.

3. Messaggi diretti con RAT: quando il DM diventa un vettore di intrusione

La terza tecnica è significativamente più sofisticata ed è stata documentata da ReliaQuest a gennaio 2026 in una campagna mirata a executive aziendali e amministratori IT. Il vettore non è l’email, ma il messaggio diretto su LinkedIn, a riprova che il phishing si è ormai emancipato dall’inbox.

L’attacco inizia con un DM che indirizza la vittima al download di un archivio auto-estraente WinRAR (SFX). Una volta aperto, l’archivio decomprime quattro componenti: un PDF reader legittimo open source, una DLL malevola mascherata con lo stesso nome di un file benigno usato dal PDF reader, un interprete Python portable e un file RAR utilizzato come esca per far apparire la cartella legittima. I nomi dei file sono personalizzati in base al ruolo o settore della vittima, con titoli come Upcoming_Products.pdf o Project_Execution_Plan.exe, per aumentare le probabilità che vengano aperti.

La tecnica impiegata è il DLL sideloading: il PDF reader carica automaticamente la DLL malevola al momento dell’esecuzione, eludendo l’endpoint security. Il malware installa poi una chiave Run nel registro di sistema per garantirsi persistenza a ogni avvio, esegue uno strumento di hacking open-source offuscato in Base64 direttamente in memoria (senza scrivere file su disco) e tenta ripetutamente di connettersi a un server di comando e controllo (C2). Il comportamento è compatibile con il deploy di un Remote Access Trojan per accesso persistente e furto di dati.

Come rileva The Hacker News nell’analisi della campagna, ReliaQuest sottolinea un problema strutturale: quando un account viene segnalato su LinkedIn, non è possibile vedere quali altri utenti dell’organizzazione siano stati colpiti dallo stesso messaggio. A differenza dell’email, non esiste modo di richiamare o mettere in quarantena il messaggio già inviato. Non ci sono regole modificabili né mittenti bloccabili. Si può segnalare l’account, ma probabilmente l’attaccante ha già ottenuto ciò che cercava.

4. AiTM con redirect chain su servizi legittimi: eludere ogni filtro

La campagna più tecnicamente avanzata tra quelle di matrice criminalizzata è stata intercettata e analizzata da Push Security tra ottobre e novembre 2025. La vittima riceveva un link via DM LinkedIn relativo a una falsa opportunità di investimento: un invito a entrare nel consiglio di amministrazione di un fondo chiamato “Common Wealth”, presentato come un’iniziativa in Sud America in partnership con una fantomatica entità denominata AMCO.

Dopo aver cliccato, l’utente veniva reindirizzato tre volte (attraverso un open redirect di Google, poi a un dominio intermedio) prima di raggiungere una landing page personalizzata che imitava un portale di condivisione documenti, ospitata su firebasestorage.googleapis.com di Google. Come annunciato dalla press release ufficiale di Push Security del 30 ottobre 2025, la catena di redirect sfruttava servizi cloud legittimi (Google, Firebase, Microsoft Dynamics) per mascherare la destinazione dei link malevoli.

Gli attaccanti hanno impiegato Cloudflare Turnstile come protezione anti-bot per impedire l’analisi automatizzata delle pagine di phishing, e tecniche di offuscamento del codice per eludere i filtri basati su reputazione dei domini. La pagina finale era un sito Microsoft contraffatto di tipo AiTM (Adversary-in-the-Middle), progettato per intercettare le sessioni e bypassare l’autenticazione multifattore. Nessun gateway email, nessun URL scanner, nessuna threat intelligence feed avrebbe potuto rilevarlo: l’attacco viveva interamente nel browser dell’utente. Come riportato da BleepingComputer nella copertura originale della campagna, tra i domini malevoli impiegati figuravano boardproposalmeet[.]com e sqexclusiveboarddirect[.]icu.

5. Lazarus Group: LinkedIn come piattaforma per finanziare il regime nordcoreano

Il livello più preoccupante di abuso di LinkedIn è quello state-sponsored. Il gruppo Lazarus, la principale unità cyber della Corea del Nord, utilizza la piattaforma come vettore primario di attacchi con obiettivi duplici: spionaggio industriale e furto di criptovalute per finanziare il programma nucleare di Pyongyang.

La campagna denominata “graphalgo”, attiva dall’inizio di maggio 2025 e analizzata da ReversingLabs nel febbraio 2026, vedeva sviluppatori avvicinati su LinkedIn, Facebook e Reddit con offerte di lavoro false nel settore blockchain e crypto, da parte di una società fittizia denominata Veltrix Capital (dominio veltrixcap[.]org, registrato ad aprile 2025). Come riportato da The Hacker News, ai candidati veniva chiesto di dimostrare le proprie competenze eseguendo un progetto che conteneva, tra le dipendenze, pacchetti malevoli pubblicati su npm e PyPI. Il pacchetto bigmathutils aveva superato le 10.000 installazioni nella versione pulita prima che venisse rilasciata la versione contenente il payload malevolo: una pazienza tattica che permette di accumulare fiducia prima di colpire.

Il malware deployato era un RAT cross-platform (in JavaScript, Python e VBScript) capace di enumerare processi, esfiltrare file, eseguire comandi arbitrari e controllare la presenza dell’estensione MetaMask nel browser per individuare wallet di criptovaluta. Parallelamente, la campagna Contagious Interview vedeva Lazarus impersonare reclutatori di aziende reali (inclusa Fireblocks stessa) per condurre finti colloqui tecnici durante i quali i candidati venivano istruiti a clonare repository GitHub e installare pacchetti npm che innescavano l’infezione.

Il CEO di Fireblocks, Michael Shaulov, che ha lavorato con LinkedIn e le forze dell’ordine per rimuovere quasi una dozzina di profili fake legati alla campagna, ha descritto l’evoluzione degli attaccanti nordcoreani a CNBC: «Nel 2017 e 2018 era relativamente facile identificarli per gli errori grammaticali. Ora sembrerebbe che si siano laureati a Oxford». L’accelerazione è attribuita direttamente all’AI: «It’s clear that the attackers have become way more sophisticated and way harder to detect because of AI».

6. Spionaggio di Stato: la Cina e i falsi recruiter contro NATO e UE

Il 28 marzo 2026, una fonte di sicurezza europea ha confermato ad AFP quello che i servizi di intelligence occidentali sospettavano da anni: la Cina ha utilizzato profili falsi su LinkedIn per raccogliere informazioni sensibili da dipendenti di istituzioni NATO e dell’Unione Europea. L’operazione, attribuita al Ministero per la Sicurezza dello Stato cinese (MSS), ha preso di mira decine di funzionari attraverso account fittizi che si presentavano come recruiter.

Uno dei profili più attivi utilizzava il nome “Kevin Zhang”, presentandosi come responsabile di una fittizia società di Hong Kong chiamata “Oriental Consulting”. I recruiter iniziavano richiedendo report a pagamento su temi geopolitici, per poi sollecitare informazioni non pubbliche o classificate. I funzionari di Francia, Belgio e Regno Unito reclutati ricevevano compensi da poche centinaia a diverse migliaia di dollari. Gli argomenti di maggiore interesse includevano le sanzioni UE contro la Cina e la strategia NATO in Asia, in particolare riguardo a Taiwan.

La ministra belga della Giustizia Annelies Verlinden ha dichiarato ad AFP che attraverso questa operazione «a great deal of important information and intelligence may have reached China», aggiungendo che internet è diventato un terreno fertile per le grandi potenze che cercano di reclutare agenti.

Non si tratta di un caso isolato. L’utilizzo di LinkedIn da parte del MSS cinese è documentato almeno dal 2014: nel 2023, l’ex capo dell’intelligence estera francese ha rivelato che Beijing avrebbe già avviato in quell’anno un’operazione massiva di spionaggio tramite social media. Nel dicembre 2017, il BfV tedesco aveva individuato oltre 10.000 cittadini tedeschi contattati da profili falsi che prendevano di mira politici e dirigenti aziendali. A novembre 2025, MI5 ha identificato due profili LinkedIn: Amanda Qiu (BR-YR Executive Search) e Shirly Shen (Internship Union), entrambe operative del MSS impegnate a costruire relazioni con parlamentari britannici.

L’agenzia ha avvertito che i profili falsi cinesi ricorrono frequentemente all’archetipo di una giovane donna con nome anglicizzato. Le implicazioni di questa campagna per le istituzioni europee sono discusse anche nell’analisi sullo spionaggio digitale nell’era dell’intelligenza artificiale pubblicata su ICT Security Magazine, che contestualizza le operazioni del MSS nel quadro più ampio della competizione geopolitica per il controllo dell’informazione.

Il problema strutturale: un blind spot nelle difese aziendali

Distribuendo payload malevoli attraverso LinkedIn e altre piattaforme social, gli attaccanti sfruttano sistematicamente i punti ciechi nelle protezioni di cybersecurity delle organizzazioni, che spesso non coprono questi canali con la stessa attenzione riservata alla posta elettronica. Secondo Push Security, il 34% degli attacchi di phishing intercettati nell’ultimo periodo è arrivato attraverso canali non-email, tra cui social media, app di messaggistica, inserzioni pubblicitarie malevole e comunicazioni in-app. Come rilevato nel report di Push Security sul phishing 2025, LinkedIn DM e Google Search rappresentano i due canali non-email più sfruttati dagli attaccanti.

Il paradosso è che LinkedIn, proprio perché è una piattaforma percepita come affidabile e professionale, abbassa strutturalmente la soglia di guardia degli utenti. Nessuno si aspetta di essere attaccato su una piattaforma dove si gestiscono relazioni lavorative verificate. Ed è esattamente questa aspettativa che gli attaccanti, dai gruppi criminali agli APT statali, hanno imparato a monetizzare.

Raccomandazioni operative

Per i team di sicurezza aziendali, le evidenze raccolte suggeriscono di integrare nelle policy di sicurezza e nei programmi di security awareness training moduli specifici dedicati alle minacce su piattaforme social. È necessario trattare qualsiasi link o archivio ricevuto via LinkedIn DM con la stessa cautela riservata agli allegati email sospetti, non aprire mai archivi SFX o eseguibili condivisi durante processi di selezione senza verifica indipendente dell’identità del mittente, e verificare sempre l’URL del mittente nelle notifiche LinkedIn prima di cliccare. Va ricordato, infine, che LinkedIn non comunica mai restrizioni di account attraverso commenti pubblici o link in email non sollecitate.