Il gruppo di cybercriminali ShinyHunters ha colpito la piattaforma web della Commissione Europea, violando il portale europa.eu e sottraendo una quantità enorme di informazioni sensibili. La conferma è arrivata direttamente dalla Commissione stessa, attraverso un comunicato stampa diffuso il 27 marzo 2026, tre giorni dopo l’attacco avvenuto il 24 marzo.
Parliamo di un collettivo specializzato in estorsioni a scopo economico, quindi non legato ad attività di spionaggio governativo. Secondo quanto dichiarato dal gruppo, il bottino ammonta a 350 GB di dati, tra cui database, documenti riservati e dump di server email. Una mole impressionante, che dà l’idea della portata dell’operazione.
Le prime indagini hanno fatto emergere che la violazione ha riguardato almeno un account cloud basato su Amazon Web Services utilizzato dalla Commissione. Nonostante la gravità dell’intrusione, l’istituzione europea ha tenuto a precisare che i siti collegati a europa.eu non hanno subìto interruzioni di servizio e che i sistemi interni non risultano compromessi. Le contromisure, a quanto pare, sono state attivate in tempi rapidi: l’account violato è stato disattivato per interrompere il furto di dati. Questo però non ha impedito a ShinyHunters di pubblicare circa 90 GB del materiale rubato sul proprio sito ufficiale nel Dark Web.
Chi sono gli ShinyHunters e perché rappresentano una minaccia seria
ShinyHunters non è certo un nome nuovo nel panorama della criminalità informatica. Negli ultimi mesi il gruppo ha rivendicato violazioni ai danni di aziende di primo piano a livello internazionale, tra cui SoundCloud, PornHub e persino Match Group, la società che controlla piattaforme come Tinder, Hinge e OkCupid. Le tecniche utilizzate spaziano dal phishing al vishing, fino alla compromissione di sistemi di autenticazione centralizzati.
I ricercatori di ESET hanno offerto un’analisi piuttosto dettagliata del contesto in cui opera il gruppo. Secondo gli esperti, ShinyHunters è uno dei tre sottogruppi che agiscono sotto l’ombrello più ampio di Scattered Lapsus$ Hunters, insieme a Scattered Spider e Lapsus$. Sia il collettivo nel suo complesso che i singoli gruppi che lo compongono si distinguono dalle classiche operazioni di ransomware. I componenti sono di lingua inglese, estremamente abili nel social engineering e noti per tecniche aggressive di vishing e furto d’identità, che consentono loro di infiltrarsi nelle grandi organizzazioni.
Il loro obiettivo principale resta l’intrusione e l’estorsione, piuttosto che la gestione di un modello di ransomware as a service (RaaS). Secondo ESET, non va sottovalutata la minaccia che rappresentano: la padronanza dell’inglese e la capacità di mettere in atto tecniche di social engineering credibili li rendono particolarmente efficaci, come dimostra l’entità delle violazioni commesse.
Un elemento che complica ulteriormente il quadro è la struttura stessa di Scattered Lapsus$ Hunters. Il collettivo opera come identità condivisa, ma i suoi sottogruppi, ShinyHunters incluso, agiscono anche in modo del tutto autonomo. Questo rende molto più difficile attribuire con precisione le singole operazioni e aumenta la complessità per chi cerca di contrastare queste minacce.
