Negli ultimi mesi, stiamo assistendo a un’evoluzione qualitativa nelle TTPs (Tactics, Techniques, and Procedures) adottate dai threat actor nell’ambito del riciclaggio crypto post-attacco.
Un’indagine della Procura di Milano, supportata dai Nuclei Speciali della Guardia di Finanza, ha recentemente portato al sequestro di oltre 9 milioni di Tether (USDT), evidenziando con chiarezza un pattern operativo che combina cyber intrusion, synthetic identity fraud e tecniche avanzate di chain-hopping per l’offuscamento dei flussi finanziari.
Onboarding fraudolento
Elemento chiave dell’operazione: l’utilizzo di documentazione falsa generata con tecnologie deepfake per aggirare le procedure KYC di un exchange operante in Italia (non coinvolto penalmente e collaborativo con le autorità). In particolare, è stato ricreato un profilo identitario completo al fine di aprire un wallet crypto compliant che è rimasto dormiente fino all’attacco informatico.
Questa tecnica, nota nel dark web come “synthetic KYC identity injection”, rappresenta una minaccia concreta anche per le piattaforme che adottano sistemi di verifica automatica basati su AI, soprattutto se non integrati con strumenti di anomaly detection biometrici o di behavioral profiling.
L’attacco informatico
L’indagine ha evidenziato una stretta correlazione temporale tra l’exfiltration di asset digitali e l’attivazione del wallet compromesso. Subito dopo l’attacco – che ha comportato la sottrazione di crypto-asset per un valore superiore ai 9 milioni di dollari – il wallet ha ricevuto oltre 8 milioni convertiti in altri asset (come BitCoin, Ethereum, Terra Classic) in un’unica finestra temporale di pochissimi minuti.
Le fasi successive
Una volta depositati i fondi, i threat actor hanno attivato una strategia di evasione tipica dei gruppi APT: conversione rapida (swap) in crypto a maggiore fungibilità e minore tracciabilità, sfruttando DEX e servizi di crypto mixing (non confermati ma altamente probabili in base alla tempistica e alla dispersione dei fondi su più chain).
Grazie al lavoro di blockchain forensics e alla collaborazione con l’exchange coinvolto, è stato possibile identificare pattern transazionali atipici che hanno portato alla correlazione degli asset con l’evento di security breach.
Implicazioni per le aziende
Questo caso sottolinea la necessità, per gli exchange e gli operatori finanziari digitali, di adottare soluzioni avanzate di anti-money laundering su base on-chain, con particolare attenzione a:
- KYT (Know Your Transaction) in tempo reale
- Risk scoring dinamico di wallet e smart contract
- Integrazione di soluzioni biometriche anti-deepfake nelle fasi KYC
- Segnalazione automatica di pattern chain-hopping e behavior anomaly detection
- Presenza di un I-SOC e un servizio MDR (Managed Detection & Response) attivo 24/7 per il rilevamento e la risposta a minacce in tempo reale, in particolare su flussi crypto
- Threat Intelligence mirata su wallet compromessi, indirizzi on-chain ad alto rischio, e TTP emergenti (es. synthetic identity + flash laundering)
La crescente convergenza tra cybercrime, crypto laundering e identità sintetiche ridefinisce il concetto stesso di perimetro digitale. Per affrontare questi scenari, serve una postura di sicurezza evoluta, con strumenti e competenze capaci di operare su scala decentralizzata, combinando threat intelligence, risposta h24, e piena visibilità on-chain.
Per le aziende, il caso rappresenta una lezione concreta: l’assenza di segnali non è prova di assenza di compromissione. È l’analisi proattiva e multilivello a fare la differenza tra un alert e una breach non rilevata.
