Un nuovo allarme sicurezza ha colpito Apple nelle prime ore del 4 ottobre 2025, quando un cybercriminale identificato come “303” ha rivendicato su un forum del dark web di aver compromesso i sistemi dell’azienda di Cupertino, sostenendo di aver rubato 9GB di dati sensibili. La rivendicazione è apparsa su Darkforums, una delle principali piattaforme di scambio illegale nel dark web, dove vengono commercializzati dati, vulnerabilità e servizi cybercriminali.
Quello che sappiamo finora: l’hacker “303” afferma di aver violato Apple.com compromettendo API JSON e file Java compilati, chiedendo 5.000 dollari per la vendita dei dati. Tuttavia, gli esperti di sicurezza informatica mantengono forti dubbi sull’autenticità della rivendicazione, poiché i campioni mostrati corrispondono perfettamente alla documentazione pubblica di AWS Backup, senza elementi esclusivi di Apple. Apple non ha ancora rilasciato dichiarazioni ufficiali sull’incidente, lasciando la comunità della cybersecurity in attesa di conferme.
Il profilo dell’attaccante e la rivendicazione
L’attore della minaccia “303” non è nuovo nel panorama cybercriminale. Il suo profilo su Darkforums lo identifica come “Java Maniac” con il rango di “GOD” e una reputazione di 197 punti, registrato nel gennaio 2025. Questo criminale informatico è noto per precedenti annunci di compromissioni e attività di costruzione della reputazione, partecipando attivamente a discussioni prominenti della comunità.
La rivendicazione pubblicata da “303” sostiene di aver compromesso i sistemi Apple attraverso la violazione di API JSON e file Java compilati. L’annuncio include presunti “campioni” di dati rappresentanti strutture JSON, presumibilmente estratte da API interne di AWS Backup, oltre a riferimenti a file Java compilati. Il post contiene anche tag di gruppi cybercriminali presumibilmente noti come “@KaruHunters”, “@UNIT_PEGASUS” e “@NodeSillent”, apparentemente per aumentare la visibilità e credibilità dell’annuncio.
Analisi tecnica e dubbi sulla veridicità
Gli esperti di sicurezza informatica hanno sollevato significativi dubbi sulla veridicità di questa rivendicazione. I campioni di dati pubblicati corrispondono perfettamente alle strutture pubbliche disponibili nella documentazione di AWS Backup, facilmente reperibili online e non collegabili univocamente ai sistemi Apple. La mancanza di elementi esclusivi di Apple nei campioni mostrati rappresenta un elemento cruciale che mette in dubbio l’autenticità del presunto breach.
La strategia utilizzata da “303” appare coerente con tipiche tattiche di costruzione della reputazione nel mondo cybercriminale. L’uso del logo Apple invece di un eventuale fornitore terzo coinvolto nella presunta violazione è una pratica comune tra gli attori delle minacce, rendendo necessaria un’interpretazione cauta delle informazioni.
Il contesto delle minacce ad Apple
Apple, colosso tecnologico con ricavi di circa 391 miliardi di dollari nel 2024 e oltre 1,5 miliardi di utenti Apple ID attivi, rappresenta un bersaglio di alto profilo per i cybercriminali. L’azienda è riconosciuta come punto di riferimento per la sicurezza e protezione dei dati, nonostante sia ciclicamente oggetto di sofisticati cyberattacchi e campagne di disinformazione.
L’infrastruttura tecnologica di Apple si basa principalmente su fornitori cloud leader come Amazon Web Services (AWS) e Google Cloud, integrata da proprie strutture dedicate. Questo rende particolarmente significativo il fatto che i campioni mostrati dall’hacker facciano riferimento alle API di AWS Backup, suggerendo un possibile tentativo di sfruttare la conoscenza pubblica su questi servizi per creare una rivendicazione credibile.
Il mercato nero delle vulnerabilità Apple
Il caso di “303” non è isolato nel panorama delle minacce ad Apple. Sul mercato nero cybercriminale circolano regolarmente rivendicazioni di vulnerabilità e exploit targeting i prodotti Apple. Un esempio recente è la presunta vendita di un exploit zero-day per macOS da parte dell’attore “skart7”, che rivendica il possesso di una vulnerabilità di Local Privilege Escalation (LPE) affecting macOS versions from 13.0 to 15.5, con un prezzo richiesto di 130.000 dollari.
Questi exploit, se autentici, rappresenterebbero rischi significativi per gli utenti macOS, permettendo a qualsiasi account utente non privilegiato di scalare direttamente ai privilegi amministrativi root, bypassando efficacemente i meccanismi di sicurezza integrati di Apple. Tuttavia, come nel caso di “303”, l’assenza di prove tecniche concrete e la mancanza di reputazione stabilita dell’attore “skart7” sollevano dubbi sulla legittimità di queste offerte.
Impatto sui database di massa e infostealer
Il panorama delle minacce ad Apple si estende oltre le rivendicazioni dirette di breach aziendali. Nel maggio 2025, è stato scoperto un database pubblicamente accessibile contenente oltre 184 milioni di password uniche, esponendo credenziali per piattaforme incluse Google, Microsoft, Facebook, Instagram, Snapchat, Roblox e anche Apple.
Questo database, lasciato non protetto senza crittografia o requisiti di accesso, è stato probabilmente alimentato da malware infostealer – software maligni che raccolgono silenziosamente dati da dispositivi infetti. Piuttosto che violare direttamente le aziende, questi strumenti prendono di mira utenti individuali e i dati dai loro dispositivi, creando un rischio distribuito difficile da rilevare e contrastare.
Strategie di attacco e tecniche di social engineering
Le rivendicazioni come quella di “303” spesso sfruttano tecniche di social engineering sofisticate per aumentare la loro credibilità. L’utilizzo di terminologia tecnica accurata, riferimenti a tecnologie reali come AWS Backup APIs, e la menzione di gruppi cybercriminali noti sono tutti elementi progettati per conferire legittimità all’annuncio.
Il prezzo richiesto di 5.000 dollari, relativamente modesto rispetto al valore teorico dei dati Apple, potrebbe essere una strategia per attrarre più acquirenti o per testare la risposta del mercato. La disponibilità di contatti tramite canali sicuri come Session e qTox dimostra una conoscenza delle pratiche operative standard nel dark web.
Implicazioni per la sicurezza aziendale
Se la rivendicazione di “303” fosse autentica, le implicazioni per Apple e i suoi utenti sarebbero significative. L’accesso a API interne e file Java compilati potrebbe fornire agli attaccanti informazioni preziose sull’architettura interna di Apple, potenzialmente facilitando attacchi futuri più sofisticati.
Tuttavia, l’assenza di prove concrete e la corrispondenza dei campioni con documentazione pubblica suggeriscono che si tratti più probabilmente di un tentativo di frode o di costruzione della reputazione piuttosto che di un breach autentico. Questa situazione evidenzia l’importanza per le organizzazioni di monitorare costantemente il dark web per rivendicazioni che potrebbero influenzare la loro reputazione o sicurezza.
Risposta dell’industria e raccomandazioni
La comunità della cybersecurity ha reagito con cautela alla rivendicazione di “303”, enfatizzando l’importanza di verifiche indipendenti prima di considerare autentiche tali affermazioni. L’assenza di una dichiarazione ufficiale da parte di Apple mantiene aperta la questione, ma l’esperienza indica che l’azienda è generalmente rapida nel comunicare incidenti di sicurezza genuini.
Per gli utenti individuali, è fondamentale mantenere pratiche di sicurezza robuste: abilitazione dell’autenticazione multi-fattore su tutti gli account Apple, aggiornamento regolare di dispositivi e software, utilizzo di password uniche e complesse attraverso gestori di password dedicati, e monitoraggio di attività sospette negli account.
Per le organizzazioni, le raccomandazioni includono: implementazione di sistemi di monitoraggio continuo del dark web per identificare precocemente minacce potenziali, sviluppo di protocolli di risposta agli incidenti che includano la gestione di rivendicazioni non verificate, formazione del personale sui rischi associati agli infostealer e alle campagne di social engineering, e mantenimento di piani di comunicazione di crisi per gestire l’impatto reputazionale di false rivendicazioni.
La vigilanza rimane essenziale: organizzazioni e utenti devono continuare a implementare pratiche di sicurezza standard, inclusi aggiornamenti regolari del sistema e protezione completa degli endpoint, indipendentemente da rivendicazioni di minacce non confermate che circolano nei mercati underground. Il monitoraggio proattivo delle minacce e la preparazione per scenari di compromissione reale rappresentano investimenti cruciali nella protezione a lungo termine della sicurezza digitale.
