Meta afferma di aver bloccato nuovi tentativi di phishing legati a NSO Group e ha chiesto a un giudice federale di dichiarare la società israeliana in contempt of court, cioè in violazione di un ordine del tribunale. Per gli utenti, la misura più utile è semplice: diffidare di link inattesi su WhatsApp, verificare sempre il dominio di destinazione e segnalare subito i messaggi sospetti.
Nuovo scontro tra Meta e NSO Group
Meta ha dichiarato di aver individuato e interrotto nuove attività che attribuisce a NSO Group, la società nota per lo spyware Pegasus. Secondo l’azienda, l’operazione includeva tentativi di ingannare gli utenti di WhatsApp per convincerli a cliccare su collegamenti malevoli che li reindirizzavano verso siti esterni alla piattaforma.
L’azienda sostiene inoltre che gli operatori abbiano creato account di test e gruppi all’interno di WhatsApp per sostenere la campagna. Meta ha parlato di “tentativi di social engineering collegati a NSO” e ha detto di averli neutralizzati dopo aver ricevuto segnalazioni da parte degli utenti.
WhatsApp ha anche reso pubblici alcuni domini che ritiene collegati all’operazione, tra cui ikhwancast[.]com, ghazacast[.]com e fr24cast[.]com, con l’obiettivo di aiutare organizzazioni e difensori della sicurezza a identificare attività simili.
Perché il caso è importante
La vicenda si inserisce in una battaglia legale più ampia tra Meta e NSO Group. Un tribunale statunitense aveva già stabilito che NSO era responsabile per attività di intrusione contro utenti WhatsApp tramite Pegasus, e in seguito era arrivata anche una condanna economica significativa, poi ridotta dal giudice. In più, era stato imposto un divieto permanente che impedisce a NSO di prendere di mira WhatsApp o i suoi utenti.
Secondo Meta, però, quel divieto non sarebbe stato rispettato. Proprio per questo l’azienda chiede ora al tribunale di sanzionare NSO per aver presumibilmente continuato a operare contro WhatsApp nonostante l’ordine giudiziario.
Il punto centrale non è solo legale: è anche strategico. Se una società di spyware commerciale continua ad agire contro una piattaforma molto diffusa dopo una sconfitta in tribunale, il caso suggerisce che le misure giudiziarie da sole potrebbero non bastare a scoraggiare campagne contro obiettivi di alto valore.
Che cosa ha detto Meta
Meta ha adottato un linguaggio più duro del solito, definendo lo spyware commerciale una questione di sicurezza nazionale. L’azienda sostiene che quando un soggetto già inserito in una lista di restrizioni del governo statunitense continua a sfidare le decisioni dei tribunali, i vincoli esistenti devono restare in vigore.
Secondo questa posizione, allentare le restrizioni non solo indebolirebbe la protezione delle comunicazioni, ma esporrebbe anche aziende statunitensi e miliardi di persone nel mondo a rischi maggiori. Il messaggio è chiaro: per Meta, il problema non riguarda soltanto una singola campagna, ma l’intero ecosistema dello spyware commerciale.
Cosa si sa e cosa resta poco chiaro
Meta ha fornito pochi dettagli tecnici sull’episodio. Non ha specificato quando si sarebbe verificata l’attività, quanti utenti sarebbero stati presi di mira, se qualche compromissione abbia avuto successo o in che modo abbia attribuito con certezza la campagna a NSO Group.
Questo limite informativo conta. Senza dati più precisi, è difficile valutare la portata reale dell’operazione o confrontarla con precedenti campagne. Resta però il fatto che Meta afferma di aver osservato segnali coerenti con campagne di phishing già associate in passato a NSO.
Cosa dovrebbero fare utenti e organizzazioni
Per gli utenti comuni, il rischio principale resta quello del phishing: messaggi che sembrano credibili ma che servono a far cliccare su un link o a portare la vittima su un sito esterno malevolo. Le difese più efficaci sono pratiche e immediate:
- verificare con attenzione il mittente dei messaggi inattesi;
- non aprire link ricevuti senza contesto o urgenza sospetta;
- controllare il dominio prima di inserire credenziali o dati personali;
- segnalare e bloccare conversazioni sospette;
- aggiornare regolarmente l’app di messaggistica e il sistema operativo.
Per le organizzazioni che gestiscono account sensibili, ha senso inoltre monitorare indicatori di compromissione, analizzare i domini segnalati e rafforzare la formazione contro il social engineering. In campagna di questo tipo, la componente umana resta spesso il punto più debole.
Implicazioni per il settore dello spyware
Il caso mette in evidenza un problema strutturale: le società di spyware commerciale possono continuare a tentare l’accesso anche quando subiscono perdite legali e reputazionali. Questo significa che i divieti del tribunale, pur importanti, potrebbero non eliminare il rischio operativo nel breve periodo.
Se le accuse di Meta venissero confermate, il messaggio per il settore sarebbe severo: una sentenza sfavorevole non garantisce la fine delle attività contro un bersaglio di valore. Per le grandi piattaforme di comunicazione, ciò rafforza la necessità di difese continue, intelligence sulle minacce e cooperazione con utenti e ricercatori.
Technical Deep Dive
Dal punto di vista tecnico, la campagna descritta da Meta appare coerente con un classico flusso di social engineering multi-fase. In genere, questi attacchi iniziano con la raccolta di contesto sul bersaglio, proseguono con la creazione di account o gruppi apparentemente legittimi e terminano con l’invio di link che portano a infrastrutture esterne controllate dall’operatore.
Il fatto che Meta abbia citato sia account di test sia gruppi suggerisce una fase di preparazione mirata a far sembrare l’attività autentica e a ridurre i segnali di allarme nei sistemi automatici o nelle verifiche manuali. L’uso di domini separati da WhatsApp è tipico delle campagne che puntano a eludere i controlli interni della piattaforma e a spostare la vittima in un ambiente meno protetto.
I domini resi pubblici da WhatsApp possono essere utili per l’analisi difensiva perché permettono di costruire regole di rilevamento, blocchi DNS, filtri proxy e controlli nei sistemi di monitoraggio. Tuttavia, una campagna di questo tipo può ruotare rapidamente l’infrastruttura, perciò i difensori non dovrebbero affidarsi solo a una lista statica di domini.
Un altro aspetto rilevante è l’attribuzione. Quando un’azienda come Meta collega un’operazione a un soggetto specifico, lo fa in base a una combinazione di indicatori: infrastruttura, telemetria dei client, correlazioni storiche, tempistiche e modelli operativi già osservati. Senza dettagli pubblici, l’attribuzione rimane credibile ma non verificabile in modo indipendente.
Dal punto di vista della mitigazione, le piattaforme di messaggistica possono ridurre il rischio attraverso controlli su account sospetti, limitazioni nella creazione massiva di gruppi, segnalazioni automatizzate sui link esterni e sistemi anti-abuso che riconoscono pattern ricorrenti di invio. Per gli utenti ad alto rischio, l’uso di dispositivi aggiornati, autenticazione forte e prudenza estrema sui messaggi che inducono urgenza resta essenziale.
Infine, il caso mostra il valore della telemetria collaborativa: le segnalazioni degli utenti hanno aiutato Meta a individuare e interrompere l’attività. In scenari di sorveglianza commerciale, il rilevamento precoce dipende spesso dall’incrocio tra analisi automatica, intelligence tecnica e reporting umano. Questo è il punto in cui la difesa pratica incontra la sicurezza operativa.
