Articolo Aggiornato il 09/06/2026 da Francesco Polimeni
Contenuto
- Il gruppo di cyber-spionaggio SiribClone: una minaccia su misura per i militari
- L’inganno sentimentale: come funziona l’attacco dello spyware Android
- SafeLoveStealer: lo spyware Android che registra l’audio
- L’attacco ai computer: SiribGrabber spyware Android
- Phishing e il pannello di controllo “Kontur”
- Perché il nome SiribClone?
- Conclusioni e raccomandazioni di sicurezza
- FAQ – Domande frequenti su SiribClone e spyware Android
- 1. Cos’è SiribClone e come funziona?
- 2. SafeLoveStealer cosa ruba esattamente?
- 3. Posso essere spiato su Telegram senza saperlo?
- 4. Come faccio a capire se un’app è uno spyware?
- 5. Quali sono le migliori pratiche per non cadere in attacchi come SiribClone?
- 6. Esiste un antivirus gratuito per rilevare SafeLoveStealer?
- Autore
Il gruppo di cyber-spionaggio SiribClone: una minaccia su misura per i militari
Spyware Android. Un gruppo di cyber-spionaggio finora sconosciuto, denominato SiribClone dalla società di sicurezza informatica russa F6, ha condotto tra il 2025 e il 2026 una campagna mirata contro militari delle forze armate russe dislocati nelle zone di confine e nelle aree di combattimento, con particolare attenzione alla regione di Belgorod. L’esistenza del gruppo è emersa per la prima volta a febbraio 2026, quando gli esperti di F6 hanno intercettato un file sospetto che ha rivelato l’intera infrastruttura dei criminali informatici.
L’inganno sentimentale: come funziona l’attacco dello spyware Android
Il vettore d’attacco non è un exploit zero-day né una vulnerabilità software, ma la manipolazione emotiva. Gli operatori di SiribClone si fingono donne in cerca di relazioni romantiche o volontari che offrono assistenza umanitaria, avviando conversazioni su app di incontri, Telegram e altre piattaforme di messaggistica.
Una volta stabilita la fiducia, inducono la vittima a compiere un’azione banale: scaricare un’applicazione, cliccare un link o inserire le proprie credenziali. I pretesti utilizzati variano: in alcuni casi gli attaccanti affermano di aver sviluppato una nuova applicazione e chiedono ai militari di testarla; in altri, propongono di scambiarsi fotografie intime attraverso quella che sembra un’app di condivisione sicura. Per comprendere meglio come riconoscere un telefono sotto controllo, è utile consultare la nostra guida su come individuare e rimuovere software spia sul cellulare, dove approfondiamo le tecniche manuali e gli strumenti professionali per rilevare app spia su Android e iPhone.
SafeLoveStealer: lo spyware Android che registra l’audio
Il risultato, in entrambi i casi, è l’installazione di SafeLoveStealer, un malware Android precedentemente non documentato distribuito sotto le mentite spoglie di app apparentemente innocue come Safeintim, SafeintimZ e ZafeintimZ. Per capire cosa sono esattamente questi software malevoli e come agiscono, abbiamo preparato una guida completa sullo spyware e sul suo funzionamento, spiegando come si infiltrano nei dispositivi per raccogliere dati senza il consenso dell’utente.
Una volta installato, il malware è in grado di sottrarre fotografie, video, documenti, dati di geolocalizzazione e altre informazioni dai dispositivi infetti. La caratteristica più insidiosa è la capacità di attivare a distanza il microfono del bersaglio per registrare le conversazioni in corso, rappresentando una seria minaccia alla sicurezza delle comunicazioni sul campo.
| Malware | Piattaforma | Capacità principali |
|---|---|---|
| SafeLoveStealer | Android | Esfiltrazione file, GPS, attivazione remota microfono |
| SiribGrabber | Windows / Desktop | Furto documenti da filesystem |
| Kontur | Server (C2) | Gestione e consultazione sessioni Telegram rubate |
L’attacco ai computer: SiribGrabber spyware Android
La minaccia non si limita ai dispositivi mobili. Sul versante desktop, il gruppo ha distribuito un secondo malware inedito denominato SiribGrabber, il cui scopo primario è sottrarre file dai sistemi infetti. La distribuzione avveniva tramite archivi ZIP mascherati da documenti di natura militare e materiale patriottico, ingannando i soldati anche attraverso il computer.
Phishing e il pannello di controllo “Kontur”
Parallelamente alla componente spyware, SiribClone gestisce siti di phishing mascherati da pagine di login di Telegram, inviti a community, portali per referti medici e altri servizi online. Le vittime vengono indotte a inserire numero di telefono, codice di verifica e password di autenticazione a due fattori, consentendo agli attaccanti di prendere il controllo degli account e monitorare le comunicazioni. Per saperne di più su queste insidiose minacce online, ti consigliamo di consultare il nostro approfondimento sul phishing e le altre truffe digitali, dove spieghiamo come riconoscere le pagine di login false e proteggerti.
L’elemento più rilevante dal punto di vista dell’intelligence è però la scoperta di un’infrastruttura di gestione interna: una piattaforma denominata Kontur, progettata specificamente per archiviare le sessioni Telegram rubate. Questo strumento consente agli operatori di consultare i messaggi intercettati in modo organizzato. Le note interne alla piattaforma contengono persino gradi e informazioni sensibili sui bersagli. Per una panoramica più ampia sulle minacce informatiche attuali, la nostra sezione dedicata alla sicurezza informatica offre guide pratiche e consigli per proteggersi dalle più recenti minacce.
Perché il nome SiribClone?
Il nome “SiribClone” deriva dalla combinazione di due elementi: i metadati trovati in uno dei file degli attaccanti e l’utilizzo di rclone, un popolare strumento open-source per il trasferimento di file verso piattaforme cloud. I criminali utilizzavano rclone per esfiltrare i dati rubati, spostando silenziosamente le informazioni dai dispositivi infetti verso server sotto il loro controllo.
Conclusioni e raccomandazioni di sicurezza
La campagna SiribClone rappresenta un perfetto esempio di come la social engineering rimanga l’arma più efficace per i cybercriminali. Per proteggersi da minacce simili, si raccomanda di:
- Non fidarsi di richieste di installazione di app da contatti sconosciuti
- Verificare sempre l’autenticità delle pagine di login, specialmente per account sensibili come Telegram
- Mantenere aggiornato il sistema operativo e utilizzare un software di sicurezza affidabile. Per maggiori informazioni, consulta la nostra guida su come riconoscere i software spia sul cellulare, dove trovi anche indicazioni su strumenti come Anti Spy Mobile, Spyware Terminator e Norton Mobile Security
- Diffidare di offerte romantiche o richieste di aiuto da parte di sconosciuti online
- Limitare i permessi delle applicazioni installate, concedendo solo quelli strettamente necessari
Per approfondire
- Report originale di F6 Threat Intelligence: https://www.f6.ru/blog/siribclone/ – la fonte primaria con l’analisi completa della campagna SiribClone.
- Xakep.ru: https://xakep.ru/2026/06/05/siribclone/ – analisi dettagliata delle tecniche di attacco, inclusa la scoperta del pannello di controllo “Kontur”.
- The Record: https://therecord.media/hackers-pose-as-women-seeking-romance-russian-military – descrive come gli hacker si fingono donne in cerca di relazioni romantiche.
- Habr.com: https://habr.com/ru/companies/F6/articles/1043744/ – contiene i dettagli tecnici sull’uso dell’utility
rcloneda cui deriva il nome del gruppo. - Anti-Malware.ru: https://www.anti-malware.ru/news/2026-06-04-111332/50270 – approfondimento sull’uso di falsi siti di phishing per rubare gli account Telegram.
FAQ – Domande frequenti su SiribClone e spyware Android
1. Cos’è SiribClone e come funziona?
SiribClone è un gruppo di cyber-spionaggio emerso nel 2026, che utilizza tecniche di ingegneria sociale (fingendosi donne o volontari) per indurre i soldati russi a installare malware sui loro dispositivi Android e Windows. I malware principali sono SafeLoveStealer (per Android) e SiribGrabber (per PC).
2. SafeLoveStealer cosa ruba esattamente?
SafeLoveStealer è uno spyware per Android in grado di rubare foto, video, documenti, dati GPS e persino attivare il microfono del dispositivo per registrare conversazioni ambientali. Se sospetti che il tuo telefono possa essere infettato, consulta la nostra guida su come individuare e rimuovere software spia dal cellulare.
3. Posso essere spiato su Telegram senza saperlo?
Sì, SiribClone utilizza pagine di phishing che imitano il login di Telegram. Se inserisci le tue credenziali (numero di telefono, codice di verifica, password 2FA), gli aggressori prendono il controllo del tuo account e possono leggere i tuoi messaggi in tempo reale. Scopri come proteggere il tuo account Telegram leggendo il nostro approfondimento: Spyware Telegram e Signal: minacce sul Google Play Store.
4. Come faccio a capire se un’app è uno spyware?
Alcuni segnali comuni includono: batteria che si scarica velocemente, consumo anomalo di dati mobili, permessi eccessivi (es. accesso a microfono, fotocamera, SMS) non necessari per il funzionamento dell’app.
5. Quali sono le migliori pratiche per non cadere in attacchi come SiribClone?
- Non installare app inviate da sconosciuti, anche se sembrano legittime.
- Non cliccare su link di login ricevuti via chat: vai sempre direttamente sul sito ufficiale.
- Attiva l’autenticazione a due fattori (2FA) su Telegram e altri account sensibili.
- Aggiorna regolarmente sistema operativo e app.
6. Esiste un antivirus gratuito per rilevare SafeLoveStealer?
Sì, molti antivirus per Android (come Kaspersky, Bitdefender, Norton) rilevano varianti di spyware simili. Tuttavia, nessuno è perfetto al 100%. Per una protezione più efficace, ti consigliamo di seguire anche i controlli manuali descritti nella nostra guida alla rimozione di software spia.
