Group-IB ha contribuito all’Operation Ramz, l’operazione coordinata da INTERPOL contro phishing, malware e cyber scam nell’area Medio Oriente e Nord Africa. Si tratta della prima iniziativa di contrasto al cybercrime di questa scala condotta nella regione MENA e ha coinvolto 13 Paesi tra ottobre 2025 e febbraio 2026.
L’operazione ha preso di mira infrastrutture di phishing, minacce malware e schemi fraudolenti che hanno causato danni economici e personali a individui e organizzazioni della regione. Il bilancio operativo è rilevante: 201 arresti, 382 ulteriori sospetti identificati, 3.867 vittime individuate, 53 server sequestrati e quasi 8.000 elementi di intelligence condivisi tra i Paesi partecipanti per avviare e supportare le indagini.
Il contributo di Group-IB si è concentrato sulla threat intelligence e sull’analisi degli account compromessi. La società ha fornito informazioni operative su oltre 5.000 account violati, inclusi account associati a infrastrutture governative, consentendo agli investigatori di ricostruire con maggiore precisione la portata della compromissione delle credenziali nell’area MENA.
Operation Ramz mostra il peso della threat intelligence nel contrasto al cybercrime
Operation Ramz evidenzia quanto la collaborazione tra settore pubblico e privato sia ormai centrale nelle indagini cyber. Le infrastrutture criminali non si sviluppano quasi mai entro confini nazionali rigidi: siti di phishing, server, credenziali rubate, malware e canali di monetizzazione possono essere distribuiti tra più Paesi e coinvolgere attori diversi.
In questo contesto, Group-IB ha mappato infrastrutture di phishing attive nella regione MENA e ha fornito intelligence su due cluster distinti di minacce. Il primo era legato alla creazione e distribuzione di risorse di phishing. Il secondo riguardava attori coinvolti nella vendita e distribuzione di dati trafugati.
Il punto importante è l’approccio adversary-centric: non solo identificare domini, server o indicatori tecnici, ma ricostruire anche chi opera dietro quelle infrastrutture, quali ruoli svolge e come si muove all’interno dell’ecosistema criminale. È questo tipo di intelligence a rendere più efficace un’operazione di takedown, perché consente di colpire non soltanto gli strumenti usati per gli attacchi, ma anche le reti che li gestiscono e li monetizzano.
Phishing, malware e credenziali rubate al centro dell’operazione
L’Operation Ramz ha fatto emergere uno scenario articolato, in cui phishing, compromissione di dispositivi, furto di credenziali e frodi finanziarie si intrecciano. In Qatar, gli investigatori hanno identificato dispositivi compromessi i cui proprietari erano a loro volta vittime di cyberattacchi e non erano consapevoli che i propri sistemi venissero usati per diffondere minacce. I dispositivi sono stati messi in sicurezza e i proprietari sono stati avvisati per adottare le misure preventive necessarie.
In Giordania, le autorità hanno smantellato un’operazione di frode finanziaria che impersonava una piattaforma di trading legittima. L’indagine ha rivelato un elemento particolarmente grave: le 15 persone coinvolte nell’esecuzione delle truffe erano a loro volta vittime di tratta di esseri umani. Erano state reclutate nei loro Paesi di origine in Asia con false promesse di lavoro, private dei passaporti all’arrivo in Giordania e costrette o indotte con coercizione a partecipare alle attività fraudolente. Due persone sospettate di orchestrare l’operazione sono state arrestate.
In Oman, gli investigatori hanno individuato in una residenza privata un server contenente informazioni sensibili. Pur essendo gestito da una persona con accesso legittimo, il server presentava vulnerabilità critiche e un’infezione malware attiva, ed è stato disabilitato per prevenire ulteriori danni.
In Algeria è stato identificato e chiuso un sito di phishing-as-a-service, con il fermo di un sospetto e il sequestro di hardware contenente software e script di phishing. In Marocco, le autorità hanno sequestrato computer e unità esterne contenenti dati bancari e strumenti di phishing, mentre tre persone sono state sottoposte a procedure giudiziarie.
Group-IB: la regione MENA è sotto pressione per phishing e cyber scam
Il quadro descritto dall’operazione conferma la crescita delle infrastrutture fraudolente nella regione MENA, con un impatto diretto su piattaforme finanziarie, servizi governativi e singoli utenti. Le truffe non si limitano più a campagne isolate: sono spesso sostenute da infrastrutture criminali organizzate, strumenti riutilizzabili, dati compromessi e catene di distribuzione dei contenuti fraudolenti.
“La regione MENA ha registrato un forte aumento delle infrastrutture di phishing e scam rivolte a piattaforme finanziarie, servizi governativi e singole vittime. Operation Ramz mostra cosa può ottenere un’azione coordinata e guidata dall’intelligence — e non sarebbe stata possibile senza il tipo di threat intelligence profonda e rilevante a livello regionale che i DCRC di Group-IB sono progettati per fornire. Questa operazione è stata il risultato di una forte collaborazione tra i nostri Digital Crime Resistance Center nelle regioni MENA e APAC, riflettendo l’ampiezza della nostra presenza regionale e il nostro impegno nel contrastare il cybercrime ovunque operi. Siamo impegnati a continuare a supportare gli sforzi internazionali per smantellare gli ecosistemi cybercriminali e rafforzare la cyber resilience”, ha dichiarato Dmitry Volkov, CEO di Group-IB.
La posizione di Group-IB è chiara: la cyber resilience non può essere costruita solo reagendo agli incidenti già avvenuti. Serve capacità predittiva, analisi del comportamento degli attori criminali, conoscenza delle dinamiche regionali e collaborazione costante con le forze dell’ordine.
INTERPOL richiama il valore della collaborazione globale
Anche INTERPOL ha sottolineato il ruolo della cooperazione internazionale. Le attività criminali digitali sfruttano infrastrutture distribuite e colpiscono vittime in Paesi diversi, rendendo necessario un coordinamento che superi i confini nazionali.
“In un mondo in cui i cybercriminali sfruttano il panorama digitale senza confini, Operation Ramz dimostra l’efficacia della collaborazione globale. INTERPOL è impegnata a lavorare con i Paesi membri e con i partner del settore privato per smantellare infrastrutture malevole, interrompere i gruppi criminali e assicurare i responsabili alla giustizia”, ha dichiarato Neal Jetton, Director of Cybercrime di INTERPOL.
All’operazione hanno partecipato Algeria, Bahrain, Egitto, Iraq, Giordania, Libano, Libia, Marocco, Oman, Palestina, Qatar, Tunisia ed Emirati Arabi Uniti. Il coinvolgimento di 13 Paesi conferma la dimensione regionale del problema e la necessità di un modello operativo condiviso.
La collaborazione pubblico-privato diventa essenziale contro il cybercrime
Operation Ramz conferma una tendenza sempre più evidente: il contrasto al cybercrime richiede una combinazione di capacità investigative, intelligence tecnica, coordinamento internazionale e competenze private specializzate.
Group-IB collabora da tempo con organizzazioni internazionali di law enforcement, tra cui INTERPOL, Europol e AFRIPOL, fornendo intelligence sulle minacce e supporto investigativo. Attraverso la rete globale dei Digital Crime Resistance Center, la società punta a trasformare indicatori tecnici e segnali di rischio in informazioni operative utilizzabili dalle autorità.
È un passaggio cruciale. I cybercriminali non operano solo con malware o pagine di phishing: costruiscono ecosistemi completi, in cui credenziali compromesse, infrastrutture di hosting, dati rubati, strumenti di automazione e canali di pagamento si alimentano a vicenda. Smantellare questi ecosistemi richiede quindi una lettura più ampia del fenomeno, capace di collegare infrastrutture, vittime, attori e modelli di monetizzazione.
L’Operation Ramz mostra che questo approccio può produrre risultati concreti. Ma conferma anche che phishing, frodi digitali e furto di credenziali restano minacce strutturali, soprattutto in aree dove la digitalizzazione dei servizi pubblici e finanziari procede rapidamente. La risposta non può essere episodica: deve diventare continua, coordinata e guidata dall’intelligence.
