L'FBI di Boston, Europol e le forze dell'ordine di otto paesi hanno smantellato First VPN, un servizio VPN a prova di proiettile che operava esclusivamente come infrastruttura per bande di ransomware e criminali informatici. L'operazione, eseguita il 19 e 20 maggio 2026, ha portato al sequestro di 33 server in piu giurisdizioni e all'invio di 83 pacchetti di intelligence a 16 paesi che coprono piu di 500 criminali informatici identificati. Per gli utenti VPN comuni la domanda e semplice: dovete preoccuparvi? La risposta breve e no - e i motivi rivelano qualcosa di importante su come le forze dell'ordine si avvicinano agli strumenti per la privacy.
Cosa era First VPN e chi serviva
First VPN fu lanciato nel 2014 sui domini 1vpns.com, 1vpns.net, 1vpns.org e un indirizzo Tor nascosto. Non ha mai pubblicato annunci su piattaforme mainstream. Non c'erano recensioni su blog, nessuna inserzione su siti di confronto, nessun codice coupon. L'intera operazione di marketing consisteva in post su forum criminali chiusi, inclusi mercati in lingua russa come Exploit, dove le credenziali dei database rubati e gli accessi alle reti aziendali vengono regolarmente venduti.
Il servizio offriva capacita tecniche progettate specificamente per operazioni di attacco. Gli utenti potevano concatenare fino a quattro server separati per nascondere le loro tracce digitali. Supportava OpenConnect, WireGuard e un protocollo chiamato VLESS TCP Reality, quest'ultimo consentiva al traffico VPN dannoso di mascherarsi da normali richieste HTTPS, permettendo agli aggressori di aggirare i firewall aziendali senza innescare allarmi di sicurezza. Il pagamento era accettato solo in criptovaluta. Il supporto era gestito tramite un server Jabber anonimo e Telegram.
Secondo Europol, il servizio e apparso in quasi ogni grande indagine sulla criminalita informatica degli ultimi anni. La documentazione dell'FBI cita il gruppo ransomware Avaddon come utente principale. In totale, gli investigatori hanno attribuito l'uso dell'infrastruttura di First VPN ad almeno 25 operazioni ransomware distinte, gruppi che l'hanno utilizzata per la ricognizione di rete, il coordinamento di botnet, attacchi DDoS e la distribuzione di ransomware.
Come si e svolta l'indagine
L'indagine e iniziata nel dicembre 2021, oltre quattro anni prima dello smantellamento pubblico. Questa tempistica riflette quanto tempo ci vuole per mappare l'infrastruttura criminale senza allertare i suoi operatori. La fase di chiusura attiva del 19 e 20 maggio 2026 e stato un attacco coordinato simultaneo in piu paesi per prevenire le migrazioni dei server prima che le autorita potessero sequestrare l'hardware fisico.
L'operazione e stata guidata dalla BL2C francese (Brigade de Lutte Contre la Cybercriminalite) e dalla NHTC olandese (National High Tech Crime Unit). Il supporto e arrivato dalla divisione informatica dell'FBI di Boston, Europol, Eurojust e dalle forze dell'ordine in Ucraina, Regno Unito, Svizzera e Lussemburgo. L'azienda di sicurezza informatica Bitdefender ha fornito assistenza tecnica.
Il risultato: 33 server sequestrati in piu paesi, tutti i domini clearnet e Tor rilevati e sostituiti con avvisi di sequestro delle forze dell'ordine, e un cittadino ucraino identificato come amministratore del servizio, perquisito e interrogato dalle autorita. Ancora piu significativo, gli investigatori hanno ottenuto il database degli utenti del servizio. Europol ha inviato avvisi di avvertimento agli utenti identificati, e i dati hanno generato 83 pacchetti di intelligence ora utilizzati in indagini attive in 16 paesi.
Cosa rende una VPN "a prova di proiettile"
Il termine "a prova di proiettile" nella criminalita informatica si riferisce a infrastrutture di hosting o di rete esplicitamente progettate per ignorare le segnalazioni di abuso. Quando un'azienda legittima riceve una segnalazione che uno dei suoi indirizzi IP viene utilizzato per attaccare ospedali o distribuire ransomware, indaga e chiude l'account. I provider a prova di proiettile ricevono le stesse segnalazioni e non fanno nulla - questa mancanza di risposta e il prodotto principale che viene venduto.
First VPN non era uno strumento per la privacy che si e trovato ad essere abusato. E stato progettato fin dall'inizio per uso criminale. La catena multi-hop fino a quattro nodi, il protocollo VLESS Reality per l'evasione dei firewall, il pagamento solo in criptovaluta, il marketing solo nei forum, il supporto basato su Jabber - nessuna di queste funzionalita si trova nei servizi di privacy per i consumatori. Sono funzionalita di sicurezza operativa per aggressori che devono rimanere invisibili mentre compromettono le reti aziendali.
I provider VPN legittimi operano in modo diverso a tutti i livelli. Pubblicano termini di servizio che vietano attivita illegali. Rispondono alle richieste legali valide. Mantengono entita legali pubbliche e pagano le tasse. Fanno pubblicita apertamente. Quando un account viene utilizzato per attacchi, i loro sistemi di rilevamento delle frodi lo segnalano e l'account viene sospeso. La capacita tecnica di instradare il traffico e la stessa; il modello di business, la governance e la base clienti sono completamente diversi.
La portata di cio che e stato scoperto
Il sequestro del database degli utenti e l'aspetto di questa operazione con le conseguenze piu durature. Gli investigatori ora hanno registrazioni che collegano specifici indirizzi IP e dati di sessione a specifiche campagne di attacco. Per le oltre 500 persone ora sotto indagine in 16 paesi, la perdita di First VPN non e il problema principale - e che la loro sicurezza operativa per anni di attivita criminale e stata retroattivamente compromessa. I dati non scadono.
Questo e il modello costante nei smantellamenti delle infrastrutture a prova di proiettile. I criminali scelgono questi servizi credendo che il provider non cooperera mai con le autorita. Cio che non considerano e che il sequestro dei server del provider fornisce alle autorita tutto cio che il provider avrebbe rifiutato di consegnare volontariamente: registri, registrazioni di pagamento, identificatori utente e metadati del traffico che risalgono a anni fa.
Cosa significa questo per gli utenti attenti alla privacy
L'FBI e stato diretto sulla portata di questa operazione. La documentazione ufficiale afferma esplicitamente che l'azione "riguarda esclusivamente il servizio First VPN e non si estende ad altri provider VPN con nomi simili". L'indagine ha preso di mira una specifica impresa criminale, non una categoria tecnologica.
Utilizzare una VPN affidabile per la privacy - per proteggere i dati sul Wi-Fi pubblico, accedere ai contenuti in paesi con filtraggio restrittivo o ridurre il tracciamento da parte degli inserzionisti - rimane legalmente inequivocabile nella maggior parte delle giurisdizioni e non e assolutamente influenzata da questa operazione. L'infrastruttura che e stata sequestrata serviva le bande di ransomware. L'infrastruttura che utilizzate per proteggere la connessione alla vostra banca non lo fa.
La lezione significativa per gli utenti focalizzati sulla privacy riguarda la selezione del provider, non l'uso della VPN in generale. I servizi che fanno pubblicita nei forum criminali, accettano solo criptovalute, non offrono termini di servizio e commercializzano catene multi-hop progettate per l'evasione dei firewall non sono strumenti per la privacy. Sono infrastrutture operative per campagne di attacco. La differenza e visibile prima della registrazione - se si sa cosa cercare.
