{"id":15168,"date":"2026-06-09T17:34:26","date_gmt":"2026-06-09T15:34:26","guid":{"rendered":"https:\/\/www.spiare.com\/blog\/?p=15168"},"modified":"2026-06-09T22:06:09","modified_gmt":"2026-06-09T20:06:09","slug":"siribclone-spyware-android-spia-i-soldati-russi-su-telegram","status":"publish","type":"post","link":"https:\/\/www.spiare.com\/blog\/siribclone-spyware-android-spia-i-soldati-russi-su-telegram\/","title":{"rendered":"Spyware Android SiribClone: il Virus che spia i soldati Russi"},"content":{"rendered":"\n

Il gruppo di cyber-spionaggio SiribClone: una minaccia su misura per i militari<\/strong><\/h2>\n\n\n\n

Spyware Android.<\/em><\/strong> Un gruppo di cyber-spionaggio finora sconosciuto, denominato\u00a0SiribClone<\/strong>\u00a0dalla societ\u00e0 di sicurezza informatica russa F6, ha condotto tra il 2025 e il 2026 una campagna mirata contro militari delle forze armate russe dislocati nelle zone di confine e nelle aree di combattimento, con particolare attenzione alla regione di Belgorod. L\u2019esistenza del gruppo \u00e8 emersa per la prima volta a febbraio 2026, quando gli esperti di F6 hanno intercettato un file sospetto che ha rivelato l\u2019intera infrastruttura dei criminali informatici.<\/p>\n\n\n\n

L\u2019inganno sentimentale: come funziona l\u2019attacco<\/strong> dello spyware Android<\/h2>\n\n\n\n

Il vettore d\u2019attacco non \u00e8 un exploit zero-day n\u00e9 una vulnerabilit\u00e0 software, ma la manipolazione emotiva<\/strong>. Gli operatori di SiribClone si fingono donne in cerca di relazioni romantiche o volontari che offrono assistenza umanitaria, avviando conversazioni su app di incontri, Telegram e altre piattaforme di messaggistica.<\/p>\n\n\n\n

Una volta stabilita la fiducia, inducono la vittima a compiere un\u2019azione banale: scaricare un\u2019applicazione, cliccare un link o inserire le proprie credenziali. I pretesti utilizzati variano: in alcuni casi gli attaccanti affermano di aver sviluppato una nuova applicazione e chiedono ai militari di testarla; in altri, propongono di scambiarsi fotografie intime attraverso quella che sembra un\u2019app di condivisione sicura. Per comprendere meglio come riconoscere un telefono sotto controllo, \u00e8 utile consultare la nostra guida su come individuare e rimuovere software spia sul cellulare<\/a>, dove approfondiamo le tecniche manuali e gli strumenti professionali per rilevare app spia su Android e iPhone<\/a>.<\/p>\n\n\n\n

SafeLoveStealer: lo spyware Android che registra l\u2019audio<\/strong><\/h2>\n\n\n\n

Il risultato, in entrambi i casi, \u00e8 l\u2019installazione di SafeLoveStealer<\/strong>, un malware Android precedentemente non documentato distribuito sotto le mentite spoglie di app apparentemente innocue come Safeintim<\/code>, SafeintimZ<\/code> e ZafeintimZ<\/code>. Per capire cosa sono esattamente questi software malevoli e come agiscono, abbiamo preparato una guida completa sullo spyware e sul suo funzionamento<\/a>, spiegando come si infiltrano nei dispositivi per raccogliere dati senza il consenso dell\u2019utente<\/a>.<\/p>\n\n\n\n

Una volta installato, il malware \u00e8 in grado di sottrarre fotografie, video, documenti, dati di geolocalizzazione<\/strong> e altre informazioni dai dispositivi infetti. La caratteristica pi\u00f9 insidiosa \u00e8 la capacit\u00e0 di attivare a distanza il microfono del bersaglio per registrare le conversazioni<\/strong> in corso, rappresentando una seria minaccia alla sicurezza delle comunicazioni sul campo.<\/p>\n\n\n\n

Malware<\/strong><\/th>Piattaforma<\/strong><\/th>Capacit\u00e0 principali<\/strong><\/th><\/tr><\/thead>
SafeLoveStealer<\/strong><\/td>Android<\/td>Esfiltrazione file, GPS, attivazione remota microfono<\/td><\/tr>
SiribGrabber<\/strong><\/td>Windows \/ Desktop<\/td>Furto documenti da filesystem<\/td><\/tr>
Kontur<\/strong><\/td>Server (C2)<\/td>Gestione e consultazione sessioni Telegram rubate<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L\u2019attacco ai computer: SiribGrabber<\/strong> spyware Android<\/h2>\n\n\n\n

La minaccia non si limita ai dispositivi mobili. Sul versante desktop, il gruppo ha distribuito un secondo malware inedito denominato SiribGrabber<\/strong>, il cui scopo primario \u00e8 sottrarre file dai sistemi infetti. La distribuzione avveniva tramite archivi ZIP mascherati da documenti di natura militare e materiale patriottico, ingannando i soldati anche attraverso il computer.<\/p>\n\n\n\n

Phishing e il pannello di controllo \u201cKontur\u201d<\/strong><\/h2>\n\n\n\n

Parallelamente alla componente spyware, SiribClone gestisce siti di phishing<\/strong> mascherati da pagine di login di Telegram, inviti a community, portali per referti medici e altri servizi online. Le vittime vengono indotte a inserire numero di telefono, codice di verifica e password di autenticazione a due fattori, consentendo agli attaccanti di prendere il controllo degli account<\/strong> e monitorare le comunicazioni. Per saperne di pi\u00f9 su queste insidiose minacce online, ti consigliamo di consultare il nostro approfondimento sul phishing e le altre truffe digitali<\/a>, dove spieghiamo come riconoscere le pagine di login false e proteggerti.<\/p>\n\n\n\n

L\u2019elemento pi\u00f9 rilevante dal punto di vista dell\u2019intelligence \u00e8 per\u00f2 la scoperta di un\u2019infrastruttura di gestione interna: una piattaforma denominata Kontur<\/strong>, progettata specificamente per archiviare le sessioni Telegram rubate. Questo strumento consente agli operatori di consultare i messaggi intercettati in modo organizzato. Le note interne alla piattaforma contengono persino gradi e informazioni sensibili sui bersagli. Per una panoramica pi\u00f9 ampia sulle minacce informatiche attuali, la nostra sezione dedicata alla sicurezza informatica<\/a> offre guide pratiche e consigli per proteggersi dalle pi\u00f9 recenti minacce.<\/p>\n\n\n\n

Perch\u00e9 il nome SiribClone?<\/strong><\/h2>\n\n\n\n

Il nome \u201cSiribClone\u201d deriva dalla combinazione di due elementi: i metadati trovati in uno dei file degli attaccanti e l\u2019utilizzo di rclone<\/strong>, un popolare strumento open-source per il trasferimento di file verso piattaforme cloud. I criminali utilizzavano rclone per esfiltrare i dati rubati, spostando silenziosamente le informazioni dai dispositivi infetti verso server sotto il loro controllo.<\/p>\n\n\n\n

Conclusioni e raccomandazioni di sicurezza<\/strong><\/h2>\n\n\n\n

La campagna SiribClone rappresenta un perfetto esempio di come la social engineering<\/strong> rimanga l\u2019arma pi\u00f9 efficace per i cybercriminali. Per proteggersi da minacce simili, si raccomanda di:<\/p>\n\n\n\n