Il Dipartimento di Stato USA offre una ricompensa di 10 milioni di dollari per informazioni su due gruppi di hacker statali russi, UNC5792 e UNC4221, accusati di aver condotto una campagna di phishing prolungata contro utenti di Signal e WhatsApp legati a governi NATO, vertici militari e società civile.
La ricompensa, annunciata nell'ambito del programma Rewards for Justice del Dipartimento di Stato il 29 giugno 2026, è una delle più grandi offerte pubbliche mai fatte per informazioni su operativi cyber russi che colpiscono gli account delle app di messaggistica cifrata anziché la cifratura stessa delle app.
Chi sono UNC5792 e UNC4221?
I ricercatori di sicurezza collegano UNC5792 al servizio di guardia di frontiera dell'FSB, e UNC4221 all'intelligence militare russa. Entrambi i gruppi conducono campagne di phishing parallele contro account Signal e WhatsApp almeno dal 2025, secondo avvisi aggiornati quest'anno da FBI e CISA.
Un trucco di phishing sulla chiave di backup, non un exploit di Signal
Gli aggressori non violano la cifratura di Signal o WhatsApp. Si spacciano invece per il supporto ufficiale e contattano direttamente gli obiettivi, sostenendo che una verifica a due fattori obbligatoria richiede di reinserire la chiave di recupero del backup di Signal. Le vittime che accettano consegnano l'unica credenziale che sblocca l'intera cronologia dei messaggi e permette agli aggressori di collegare silenziosamente un secondo dispositivo all'account.
- Impersonificazione: I messaggi sembrano provenire dal supporto di Signal o WhatsApp.
- Pretesto: Un falso passaggio obbligatorio di verifica della sicurezza.
- Bottino: La chiave di recupero del backup della vittima stessa, digitata direttamente in chat.
- Risultato: Accesso completo in lettura alle conversazioni passate e collegamento silenzioso del dispositivo.
Giornalisti e ONG tra i bersagli espliciti
Il Dipartimento di Stato e l'FBI descrivono un insieme di vittime che va ben oltre il personale in uniforme. Oltre a funzionari governativi, diplomatici, della difesa e dell'intelligence di USA e NATO, la campagna ha colpito specificamente giornalisti che coprono Russia e Ucraina, ONG a sostegno dell'Ucraina, analisti politici e ricercatori esperti di sicurezza russa. Per reporter e attivisti che scelgono Signal proprio perché considerato resistente alla sorveglianza, la campagna è un promemoria che l'anello debole raramente si trova nel protocollo stesso.
Migliaia di account, una sola ricompensa
Secondo le autorità, migliaia di account di messaggistica commerciale sono stati compromessi con questa tecnica nel corso di entrambe le campagne. La ricompensa da 10 milioni di dollari punta a far emergere insider o complici disposti a identificare i singoli operatori dietro UNC5792 e UNC4221, seguendo lo stesso schema già usato da Rewards for Justice contro altri gruppi di hacker legati a stati.
Come proteggersi
- Non condividete mai la vostra chiave di recupero del backup di Signal o il PIN di verifica in due passaggi di WhatsApp con nessuno, compresi account che si spacciano per "supporto".
- Controllate regolarmente i dispositivi collegati in Signal (Impostazioni -> Dispositivi collegati) e WhatsApp (Impostazioni -> Dispositivi collegati) e rimuovete tutto ciò che non riconoscete.
- Attivate il blocco della registrazione o la verifica in due passaggi con un PIN noto solo a voi.
- Considerate per impostazione predefinita qualsiasi messaggio non richiesto su una "verifica necessaria" come phishing, indipendentemente da quanto sembri ufficiale.
Una VPN non ferma questo attacco specifico, poiché il phishing avviene all'interno dell'app di messaggistica stessa e non a livello di rete - ma per giornalisti e personale ONG che operano in o si occupano di Russia e Ucraina, instradare il traffico attraverso una VPN resta importante per nascondere la propria posizione e attività di navigazione agli stessi attori statali dietro queste campagne di phishing.