Team MailSniper
Autore
Hai mai detto a qualcuno "tranquillo, ho un iPhone" come se fosse uno scudo magico?
Non te lo rimprovero. Per anni quella sensazione aveva un senso. L'ecosistema Apple è chiuso, controllato, aggiornato con costanza. Gli attacchi su Windows erano pane quotidiano, mentre l'iPhone sembrava vivere in una bolla protetta.
Ma quella bolla ha appena ricevuto un buco.
Poche settimane fa i ricercatori di Proofpoint hanno documentato una campagna attribuita a TA446 — un gruppo con legami alla Russia — che usa un exploit kit chiamato DarkSword per prendere di mira specificamente i dispositivi iOS. Il vettore d'attacco? L'email. Una email mirata, scritta su misura, che sembra giusta.
Non parliamo dello spam del principe nigeriano. Parliamo di qualcosa di molto più preciso. Come la differenza tra un ladro che prova tutte le case del quartiere e uno che ha già studiato la tua per mesi.
Quindi no, avere un iPhone non ti salva. Ma capire come funziona questo attacco ti dà un vantaggio reale.
Partiamo dall'inizio, senza termini tecnici inutili.
TA446 è un gruppo di cybercriminali che i ricercatori collegano a interessi russi. Non sono ragazzini annoiati — sono professionisti con obiettivi precisi, risorse e mesi di tempo da dedicare a ogni campagna.
DarkSword è la loro cassetta degli attrezzi del momento. Un exploit kit — pensa a un grimaldello costruito su misura per un determinato modello di serratura — che sfrutta vulnerabilità specifiche di iOS.
Il meccanismo è semplice quanto efficace: la vittima riceve un messaggio che sembra legittimo. Potrebbe sembrare una comunicazione di un fornitore, un aggiornamento contrattuale, un link a un documento condiviso. Quando apre il link sul suo iPhone, scatta il meccanismo: il browser mobile carica una pagina appositamente costruita e DarkSword entra in azione.
Il risultato? Accesso remoto al dispositivo. Dati rubati. Conversazioni intercettate. Posizione rilevata.
Il dettaglio che fa venire i brividi è questo: iOS è notoriamente difficile da attaccare proprio perché Apple applica controlli rigidissimi. Questo significa che chi ha sviluppato DarkSword ha investito risorse enormi — probabilmente mesi di lavoro di programmatori molto bravi — solo per questo exploit.
Non lo usano a caso su chiunque. Lo usano su obiettivi studiati.
E qui sta la differenza fondamentale rispetto allo spam comune: il targeting. Prima di mandare l'email, TA446 studia la vittima. Chi sei, cosa fai, con chi lavori, quale linguaggio usi nei tuoi messaggi. L'email che arriva non sembra strana — sembra giusta. Usa il tuo nome, richiama magari una conversazione reale, cita un'azienda con cui hai rapporti.
È come ricevere una lettera scritta da qualcuno che conosce la tua vita. Non la butti nel cestino. La apri.
"Va beh, ma questi attaccano personaggi importanti. Funzionari, ministri, CEO di multinazionali. Mica il mio studio da dodici persone."
Capisco il ragionamento. Ed è parzialmente corretto: le campagne di TA446 documentate finora hanno puntato su obiettivi di alto profilo — settore governativo, difesa, energia.
Ma considera due cose.
Primo: "alto profilo" include anche i tuoi clienti. Se la tua azienda lavora come fornitore per enti pubblici, utility, studi legali che gestiscono dossier sensibili — sei un anello della catena. E gli anelli deboli si spezzano prima del centro.
Secondo: le tecniche si diffondono. DarkSword oggi è nelle mani di un gruppo d'élite. Tra sei-dodici mesi potrebbe essere disponibile su forum underground a chiunque abbia qualche centinaio di euro da spendere. È successo con altri exploit kit, puntualmente.
C'è poi un elemento che le PMI italiane spesso sottovalutano: i dispositivi mobili aziendali.
Quanti dei tuoi colleghi leggono le email di lavoro sull'iPhone personale? Quanti approvano ordini, accedono al gestionale, firmano documenti da mobile? In Italia, la risposta onesta è: quasi tutti.
Eppure la sicurezza mobile è spesso il tallone d'Achille delle piccole e medie imprese. Si investe sul firewall, sull'antivirus dei PC, magari si attiva il filtro email sul server aziendale. E poi ci si dimentica che il telefono dell'amministratore — che accede alla posta di lavoro e al conto corrente nella stessa sessione — è protetto dal PIN di sblocco e nient'altro.
Un attacco del genere contro il responsabile acquisti di un'azienda manifatturiera potrebbe aprire l'accesso ai contratti con i fornitori, alle comunicazioni riservate, ai dati bancari. Non è fantascienza — è la descrizione di un attacco BEC (Business Email Compromise) che ogni anno in Italia causa danni nell'ordine di centinaia di milioni di euro complessivi.
C'è un'analogia che uso spesso: proteggere solo le email sul PC è come blindare la porta d'ingresso di casa e lasciare la finestra del bagno sempre aperta. I ladri bravi entrano dalla finestra.
Respira. Non ti sto dicendo di buttare l'iPhone. Ti sto dicendo cosa fare adesso, in ordine di priorità.
Sì, lo so che lo sai. Ma una percentuale enorme di iPhone aziendali gira con versioni non aggiornate, perché "se funziona non si tocca". Gli exploit come DarkSword sfruttano falle per cui Apple ha già rilasciato la patch. Aggiornare è la difesa più semplice e più efficace che esista.
Vai in Impostazioni → Generali → Aggiornamento software. Fallo tu, fallo fare ai tuoi colleghi. Ci vogliono dieci minuti e nessuna competenza tecnica.
Paradosso? No. Le email di spam ovvio le riconosci tutti. Quelle di spear-phishing ti sembrano normali — per design. È il punto.
Se ricevi una comunicazione inattesa che ti chiede di aprire un link o un allegato, anche se sembra venire da un contatto che conosci, fai una cosa sola: contatta il mittente con un altro canale. Una telefonata. Un messaggio WhatsApp. Non rispondere alla stessa email chiedendo "sei tu?" — se l'account è compromesso, risponde l'attaccante.
Non devi comprare due telefoni. Ma puoi usare un'app di posta dedicata per il lavoro — con configurazioni di sicurezza separate — invece di mescolare tutto nel client di default.
Alcune aziende adottano soluzioni MDM (Mobile Device Management): uno strumento che gestisce centralmente i dispositivi, applica policy di sicurezza, e può cancellare da remoto il telefono in caso di furto o compromissione. Vale la pena valutarlo se gestisci dati sensibili o hai un team di più persone.
DarkSword arriva via email. Prima che raggiunga il tuo iPhone, passa per il tuo server di posta. È lì che puoi fermarlo — o almeno abbassare drasticamente le probabilità che arrivi a destinazione.
Un sistema di protezione email che analizza il comportamento dei messaggi, ispeziona i link in tempo reale e identifica pattern di spear-phishing intercetta la minaccia prima che raggiunga il telefono. Non elimina il rischio al 100% — nessuno lo fa — ma cambia completamente le probabilità in tuo favore.
MailSniper, per esempio, confronta mittenti, pattern e contenuti con threat intelligence aggiornata in tempo reale, proprio per bloccare questo tipo di campagne mirate prima che arrivino all'utente finale.
Prendi cinque minuti. Controlla la versione iOS del tuo telefono. Guarda se ci sono aggiornamenti in sospeso.
Poi scrivi un messaggio ai tuoi colleghi. Non un'email lunga sulla sicurezza informatica — quelli non li legge nessuno. Un messaggio breve: "Aggiornate l'iPhone, c'è una vulnerabilità in circolazione. Ci vogliono due minuti."
Questo singolo gesto potrebbe valere più di qualsiasi policy aziendale. Le policy le firmano e le dimenticano. I messaggi diretti li leggono.
Se vuoi approfondire come funziona la protezione email lato server, puoi partire dalla sezione servizi — senza impegno.
Sai cosa mi spaventa davvero di questa storia?
Non è l'exploit. Non è il nome russo. Non è la complessità tecnica.
È che la maggior parte delle aziende italiane scoprirebbe di essere stata colpita solo settimane dopo, quando i danni sono già fatti.
Perché il problema con gli attacchi mirati è che non fanno rumore. Non ti blocca il computer, non compaiono schermate con teschi. Qualcuno legge silenziosamente le tue email per giorni, capisce come parli, impersona il tuo direttore finanziario in una mail al commercialista, e tu lo scopri solo quando il bonifico è già partito.
Il primo passo non è tecnico — è mentale. Smettila di pensare che "tanto a me non capita". Inizia a chiederti: "Se capitasse, me ne accorgerei? E in quanto tempo?"
Tieni aggiornati i dispositivi. Tratta ogni link inatteso con sana diffidenza. E considera seriamente se il tuo sistema di posta attuale è all'altezza di quello che gira là fuori nel 2026.
Prenditi cura delle email. Sono la porta principale della tua azienda.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiMicrosoft ha confermato: le sue regole euristiche anti-phishing hanno bloccato email e messaggi Teams legittimi per giorni. Un caso pratico su come gestire i falsi positivi in Exchange Online e non farsi trovare impreparati.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.