Diciamo che sei un OSINT investigator che sta tracciando il gioco d'azzardo illegale online. Scopri qualche dominio, qualche sito web gestito male, magari un manifesto forum darknet. Pensi: "Okay, lavoro ricreativo."
Poi leggi il rapporto di dicembre 2025 e scopri che ci sono 328.000 domini registrati, controllati, orchestrati e mantenuti da un'unica rete coordinata. Non 328 domini. Trecentoventottomila.
Il valore di questo ecosistema? I costi di manutenzione annuali oscillano tra i 725.000 e i 5,3 milioni di dollari.
Per un'operazione di gioco d'azzardo illegale.
Se questo non ti fa capire che il crimine online ha raggiunto una sofisticazione completamente diversa nel 2025, niente altro lo farà.
Infrastruttura Criminale a Livello Statale
Nel dicembre 2025, i ricercatori di sicurezza hanno scoperto quello che viene definito un "ecosistema di criminalità informatica massiccia, indonesiano-parlante, operativo sin dal 2011, con una scala, persistenza e sofisticazione tipicamente vista in operazioni sponsorizzate dallo stato".
Permettimi di tradurre: sono professionisti.
Ecco cosa controllavano:
236.433 domini acquistati per siti di gioco d'azzardo diretti (geo-ristretti agli utenti indonesiani, che richiedono numeri di telefono locali e banche)
90.125 domini legittimi completamente violati e sequestrati
Migliaia di app Android malvage distribuite tramite bucket AWS S3 pubblici
Il network non era sparso. Era una macchina. E la cosa più affascinante? La loro tecnica principale di persistenza era qualcosa che la maggior parte dei security team non monitora adeguatamente: subdomain hijacking tramite DNS dangling.
Ecco come funziona: Un'azienda legittima registra un subdomain (ad esempio, app.company.com), lo usa per qualche mese, poi smette di usarlo. Tuttavia, dimentica di eliminare il record DNS che puntava a quel subdomain. I record DNS rimangono lì, "pendenti."
I criminali? Acquisiscono quel subdomain da un registrar, e improvvisamente ereditano il DNS pointing all'infrastruttura della società legittima. Usano questa per distribuire malware, rubare cookie di sessione, e persino intercettare comunicazioni che sembravano sicure perché provenivano da un dominio legittimo.
Niente HTTPS falsificato. Niente attacchi sofisticati. Solo incompetenza di gestione DNS da parte delle aziende legittimeime, sfruttata per anni in modo coordinato.
Cosa Insegna ai Ricercatori OSINT
Se leggi questo caso studio come un OSINT investigator, ci sono tre lezioni incredibilmente importanti:
1. La sofisticazione del crimine organizzato online è adesso quantificabile e misurabile
Quando i ricercatori hanno calcolato che il mantenimento di 328.000 domini richiedeva tra 725.000 e 5,3 milioni di dollari annui, non stavano indovinando. Stavano misurando l'infrastruttura.
Questo significa che quando tu stai tracciando un'operazione criminale online, puoi fare lo stesso calcolo. Se vedi un network di domini, siti web, e infrastrutture, puoi stimare: Quanto di budget devo aspettarmi che abbia questa operazione? Questo corrisponde al profilo di "operazione ricreativa" o "operazione sindacato?"
Nel caso indonesiano, il budget stava screaming "non siamo piccoli." E infatti, i ricercatori hanno iniziato a fare domande sulla possibile tolleranza dello stato.
2. La tecnica di subdomain hijacking è una finestra aperta su supply chain negligenti
Ecco cosa insegna questo: molte aziende non sanno nemmeno quale sia la loro propria infrastruttura DNS. Hanno subdomain obsoleti che dimenticano di pulire. Hanno record DNS pendenti che credono di aver eliminato anni fa.
Da un lato dell'OSINT, questo è utile. Se stai tracciando un'azienda sospetta e vuoi scoprire quale infrastruttura stanno usando (o hanno usato), il loro DNS history racconta una storia. Se vedi subdomain hijacking in corso, vedi negligenza operativa—che è un indicatore di attori minacciali sofisticati.
Dal lato difensivo, se sei un OSINT investigator che protegge la propria infrastruttura, questo significa che devi controllare i tuoi subdomain. Regolarmente. Quei vecchi record DNS che hai dimenticato? Un attore di minacce non li ha dimenticati. Sta aspettando che tu li trascuri ancora un po' di più.
3. Quando il crimine appare troppo sofisticato, la vera domanda è sempre la stessa: chi lo finanzia?
I ricercatori hanno osservato che il budget, la persistenza, il coordinamento e la scalabilità di questa operazione di gioco d'azzardo sono "molto al di là di capacità ordinarie criminali, sollevando domande di possibile coinvolgimento a livello nazionale o tolleranza".
Questo è il genere di conclusione di OSINT che non puoi raggiungere semplicemente analizzando il malware. Lo raggiungi chiedendo domande infrastrutturali: Chi potrebbe permettersi questo? Chi avrebbe incentivo a tollerare questo? Quali attori politici beneficierebbero dal gioco d'azzardo illegale che preda specificamente i cittadini indonesiani?
Quando vedi sofisticazione al di là di quello che normalmente assoceresti al crimine ordinario, stai guardando o uno stato-nazione, o un cartello con supporto statale.
Se non capisci come tracciare infrastrutture criminali, come mappare domini, come seguire DNS histories, e come porre domande sulla sofisticazione, allora non stai facendo OSINT al livello in cui il 2026 lo richiede.
Per questo, nella nostra Academy, abbiamo costruito un modulo completo su tutte le configurazioni di sicurezza e le modalità di virtualizzazione —perché se stai tracciando infrastructure come quella indonesiana, la tua infrastruttura deve essere impenetrabile.
Abbiamo incluso una guida approfondita ai browser e alle principali applicazioni OSINT su Debian Linux, perché Debian è dove fanno OSINT i ricercatori seri. E stiamo lanciando un modulo completo sulla virtualizzazione di Android su Debian Linux, perché il tracciamento mobile è diventato essenziale per capire le catene di approvvigionamento di malware.
I prezzi per i nuovi iscritti rimangono straordinariamente bassi. Accedi adesso, prima che cambino. Impara a vedere infrastrutture dove gli altri vedono solo caos.