Operazione Saffron: smantellata First VPN, il servizio criminale usato da 25 gang ransomware
Un’operazione internazionale coordinata da sette paesi ha smantellato First VPN, un servizio VPN criminale attivo dal 2014 che per oltre un decennio ha fornito anonimato e copertura a ransomware gang, operatori di botnet e criminali informatici di ogni tipo. L’Operazione Saffron — condotta tra il 19 e il 20 maggio 2026 da autorità francesi e olandesi con il supporto di Europol ed Eurojust — ha portato al sequestro di 33 server, alla chiusura di domini multipli e all’identificazione di migliaia di utenti criminali. Almeno 25 gruppi ransomware si erano affidati al servizio per nascondere le proprie attività.
Cos’era First VPN: un servizio progettato per il crimine
A differenza dei normali provider VPN commerciali, First VPN era stato strutturalmente concepito per rispondere alle esigenze operative dei criminali informatici. Il servizio operava server in 27 paesi, accettava pagamenti anonimi e metteva a disposizione un’infrastruttura deliberatamente opaca, pubblicizzando esplicitamente la propria offerta agli hacker attraverso forum del dark web.
Europol ha confermato che First VPN non si limitava a offrire connessioni anonime: forniva ai cybercriminali pagamenti anonimi, infrastruttura nascosta e una serie di servizi specificamente commercializzati per chi voleva condurre attività illegali. L’FBI ha dichiarato che almeno 25 gang ransomware si servivano del servizio per mascherare il traffico malevolo, condurre ricognizioni sulle reti delle vittime, operare botnet, lanciare attacchi DDoS ed eseguire frodi su larga scala.
La durata operativa del servizio — dodici anni, dal 2014 al 2026 — rende First VPN uno dei provider criminali più longevi mai smantellati. Nel corso di questi anni il servizio ha rappresentato un elemento dell’infrastruttura criminale digitale quasi quanto certi servizi bullet-proof hosting che proteggono server di command-and-control.
Operazione Saffron: anatomia del takedown
L’Operazione Saffron è stata guidata dalle autorità di Francia e Paesi Bassi, con la partecipazione di cinque ulteriori paesi. Europol ed Eurojust hanno svolto un ruolo di coordinamento, mentre Bitdefender è stato tra i partner privati che hanno contribuito all’operazione con intelligence tecnica.
Il bilancio dell’operazione è significativo:
- 33 server sequestrati in tutta l’infrastruttura del servizio
- Chiusura di tutti i domini associati a First VPN
- Identificazione di migliaia di utenti criminali — le autorità hanno ottenuto accesso ai log e ai dati del provider
- 83 pacchetti di intelligence su 506 utenti condivisi con i paesi partner per follow-up investigativi
- Interrogatorio dell’operatore in Ucraina da parte di autorità francesi e olandesi
Un dato particolarmente rilevante: le autorità avevano accesso segreto ai sistemi di First VPN prima del takedown, raccogliendo intelligence sugli utenti e le loro attività. Come in precedenti operazioni simili (VPNLab, Fbi’s Anom), il monitoraggio anticipato ha permesso di costruire casi investigativi solidi contro i clienti del servizio.
Chi utilizzava First VPN: 25 gang ransomware e un ecosistema criminale variegato
Secondo l’FBI, First VPN era un punto di convergenza per una molteplicità di attori criminali. Le 25 gang ransomware che lo utilizzavano lo impiegavano principalmente per:
- Mascherare l’identità degli operatori durante la fase di ricognizione e compromissione iniziale delle reti
- Gestire i pannelli di command-and-control dei loro malware senza esporre infrastrutture proprie
- Condurre negoziazioni con le vittime attraverso connessioni anonimizzate
- Eseguire exfiltrazione di dati verso server di staging
Oltre al ransomware, il servizio veniva impiegato per la gestione di botnet, attacchi DDoS-as-a-service, frodi finanziarie e altre forme di cybercrime. La natura “crime-as-a-service” dell’offerta di First VPN riflette la professionalizzazione crescente dell’ecosistema criminale informatico, dove le diverse componenti delle operazioni illecite — exploit kit, accesso iniziale, VPN anonime, criptazione, estorsione — vengono acquistate come servizi separati su mercati specializzati.
Il contesto: la guerra delle autorità contro l’infrastruttura criminale
Il takedown di First VPN si inserisce in una sequenza di operazioni di law enforcement che negli ultimi anni ha progressivamente eroso l’infrastruttura tecnologica del cybercrimine organizzato. Tra le operazioni più significative degli ultimi 24 mesi si ricordano: il takedown di LockBit (febbraio 2024), l’operazione contro ALPHV/BlackCat (dicembre 2023), il sequestro di BreachForums (maggio 2024) e, più recentemente, l’arresto di Jacob Butler, il 23enne canadese alias “Dort” accusato di aver operato la botnet KimWolf — responsabile di attacchi DDoS da record a quasi 30 terabit al secondo, che hanno infettato quasi 2 milioni di dispositivi tra telecamere di sorveglianza e cornici digitali connesse a internet.
Ciò che emerge da questa serie di operazioni è una strategia deliberata da parte delle autorità: colpire non solo i singoli criminali, ma l’infrastruttura condivisa che permette a decine di gruppi diversi di operare. Sequestri di VPN criminali, hosting bullet-proof, servizi di riciclaggio crypto e forum di coordinamento costano al cybercrimine non solo singoli attori ma intere reti di supporto operative.
Le implicazioni investigative: i log di First VPN
Il punto più interessante — e preoccupante per chi ha usato il servizio — è la questione dei log. First VPN sosteneva, come quasi tutti i provider VPN nel mercato criminale, di non conservare log delle attività degli utenti. Le operazioni precedenti (VPNLab, IVPN, DoubleVPN) hanno dimostrato che queste affermazioni sono spesso false o parzialmente vere. In questo caso, la conferma che le autorità hanno ottenuto accesso anticipato ai sistemi e hanno costruito 83 pacchetti di intelligence su 506 utenti specifici suggerisce fortemente che dati sufficienti per l’identificazione erano disponibili.
Per le organizzazioni di sicurezza che seguono gruppi ransomware attivi, questo takedown ha una conseguenza pratica immediata: tutti i gruppi che utilizzavano First VPN dovranno migrare verso infrastrutture alternative, il che storicamente causa disruption operativa misurabile nelle campagne ransomware nelle settimane successive a simili operazioni.
Consigli per i difensori
- Monitorare i log di rete per connessioni in entrata o in uscita verso i range IP precedentemente associati all’infrastruttura di First VPN (le ION saranno condivise dai partner istituzionali nelle prossime settimane)
- Aspettarsi un picco di attività ransomware nelle prossime 2-4 settimane: i gruppi che perdono infrastrutture di supporto tendono ad accelerare le campagne attive prima di riorganizzarsi
- Aggiornare le TTP di threat modeling per i gruppi ransomware di riferimento: cambieranno IP, provider VPN e infrastruttura C2 in risposta all’operazione
- Condividere intelligence con i centri nazionali (in Italia, ACN) per contribuire alla costruzione dei pacchetti investigativi di follow-up sui 506 utenti identificati
Credit: Keith Best, 
Uriel Fanelli (on Aktor)
in reply to Claudia • • •> Replicare il battito cardiaco di una persona per sbloccare sistemi.
uhm... mi sa che e' difficilINO, anche potendo cambiare il DNA. Le braccia si , e altri organi morfologici, formano durante lo sviluppo embrionale, quando si attiva un programma di sviluppo degli arti regolato anche dai geni HOX. Una volta usciti da quella finestra embrionale, non basta “cambiare il DNA” per rientrare davvero in quello stato: servirebbe ricreare un intero contesto di segnali, cellule progenitrici, gradienti morfogenetici, epigenetica e architettura tissutale. Su un bruco magari funzionerebbe, i loro HOX accettanno di tutto, pur di diventare farfalle.
Per quanto riguarda il trapianto di retina, bastavano delle lenti a contatto ben ingegnerizzate....
Claudia
in reply to Uriel Fanelli (on Aktor) • • •@uriel lo comprendo ma vi vedo un sacco di modi per ingegnerizzare un attacco. Parto dalla blue box, oggi ci possono essere diverse risorse per arrivare lì.
Ma io sono la solita del threat modeling sbagliato (che poi diventa mainstream) e sono offensive di natura.
Uriel Fanelli (on Aktor)
in reply to Claudia • • •che ci siano molti threat model ipotizzati per le tecniche bio e' noto. tempo fa io e alcuni colleghi abbiamo scritto un threat model che usa i condizionatori d'aria e fa crollare l'intera rete energetica nazionale.
Ma sulle scienze bio, IMHO siamo ancora indietro.
Sulla biometria per esempio .... non so gli unici che conosco bene sono alcuni sistemi biometrici. per esempio, so che quasi nessuno legge davvero la retina (occorre essere davvero troppo vicini, e altri problemi), mentre quasi tutti fanno scansioni dell'iride. Che sono superabili con delle lenti a contatto ben fatte. La lettura della retina a grande distanza richiederebbe laser almeno di tipo IV, che sono troppo forti e ti brucerebbero la retina.
l'altro che ho visto e' quello che fotografa le vene delle mani sotto una luce intensa, ma se tagli una mano all'otaggio, hai la chiave.
In generale non ci sono cosi' tante forme di biometria affidabile abbastanza da farne un sistema di sicurezza diciamo a livello NATO. Essendo gia' inaffidabili, difficile pensarle come mainstream. Se leggi gli intervalli di efficacia non arrivano mai nemmeno a tre nove.
Il battito cardiaco lo manipoli anche senza genetica, IMHO basta un pace-maker disegnato ad hoc. Trovo molto promettenti gli rfid, onestamente, perche' gia' ne abbiamo tutti addosso un paio, nei vari vestiti, e due perche' sono piccoli, semplici da nascondere, e se non usi la frequenza giusta non rispondono. E si innestano benissimo addosso.
Se dovessi concepire un threat model attraverso modifiche genetiche, onestamente, posso pensare che un giorno sara' un problema, ma oggi?
Claudia
in reply to Uriel Fanelli (on Aktor) • • •@uriel non ho detto che da oggi si hacka il cuore di tizio a distanza. Ho ipotizzato un probabile threat model.
Poi, possiamo stare a discutere cento ore sul fatto che i trapianti di cuore e polmoni erano impossibili, sul fatto che stampare una valvola cardiaca in 3D fosse solo una fola della notte, che i QR code potessero essere usati per scopi malevoli.
Io seguo, da offensive da 30 anni, quello che Disney sentenziò: if you can dream it, you can do it.
Questione di tempo.
Difficile oggi, come era difficile ieri far volare un Antonov, ma domani.. domani è un altro giorno, si vedrà.