WhatsApp smaschera una nuova campagna spyware: torna l'ombra di Pegasus

La battaglia tra Meta e NSO Group è diventata uno dei casi più significativi nella storia della cybersorveglianza commerciale. Da una parte c’è WhatsApp che da quasi 7 anni cerca di impedire che la propria infrastruttura sia utilizzata come veicolo per la diffusione di spyware avanzati; dall’altra parte c’è la società israeliana che sviluppa Pegasus, una delle piattaforme di intercettazione più sofisticate mai comparse sul mercato.

La controversia affonda le radici nel 2019, quando un attacco sfruttò una vulnerabilità del sistema per la gestione delle chiamate WhatsApp per colpire circa 1.400 utenti.

Da allora la vicenda ha assunto una dimensione internazionale: nel 2021 il Dipartimento del Commercio USA ha inserito NSO Group nella Entity List per attività considerate contrarie agli interessi di sicurezza nazionale, mentre ad ottobre 2025 un tribunale federale ha imposto all’azienda un divieto permanente di prendere di mira WhatsApp e i suoi utenti.

Oggi la disputa entra in una nuova fase perché Meta sostiene che quella decisione sia stata violata attraverso una nuova campagna di attacchi mirati recentemente individuata e bloccata dai sistemi di sicurezza della piattaforma di messaggistica.

WhatsApp accusa NSO Group di aver violato l’ingiunzione del 2025

Secondo Meta, NSO Group avrebbe avviato una nuova operazione di sorveglianza utilizzando tecniche di spear phishing contro utenti della piattaforma WhatsApp.

La misura giudiziaria vietava esplicitamente alla società israeliana di utilizzare WhatsApp o i suoi servizi per condurre attività di sorveglianza. Il giudice aveva motivato la decisione sottolineando il rischio di danni irreparabili per la piattaforma e per i suoi utenti.

Per Meta non si tratta quindi soltanto di un nuovo incidente di sicurezza: la società sostiene che NSO abbia ignorato un ordine della corte e per questo ha chiesto ai giudici di valutare un procedimento formale “ad hoc” per chi non rispetta le disposizioni giudiziarie.

Come funzionava la nuova campagna individuata da Meta

Le informazioni pubblicate da WhatsApp descrivono un’operazione diversa dagli attacchi zero-click che hanno reso celebre Pegasus negli anni passati. In questo caso gli aggressori avrebbero utilizzato collegamenti fraudolenti progettati per attirare specifici bersagli verso siti esterni controllati dagli operatori della campagna.

Meta sostiene che NSO abbia creato account e gruppi all’interno della piattaforma per coordinare le attività e verificare il funzionamento dell’infrastruttura utilizzata nell’operazione.

La pubblicazione degli indicatori di compromissione permette ai ricercatori di sicurezza, ai responsabili SOC aziendali e ai gestori di infrastrutture di rete di verificare eventuali connessioni sospette nei log storici e di individuare possibili tentativi di compromissione avvenuti anche attraverso altri canali come email, SMS o applicazioni di messaggistica differenti da WhatsApp.

Pegasus: lo spyware che ha cambiato il mercato della sorveglianza digitale

Il nome di NSO Group continua a essere associato soprattutto a Pegasus, piattaforma di sorveglianza capace di compromettere smartphone Android e iPhone sfruttando vulnerabilità presenti nel sistema operativo o nelle applicazioni installate (in molti casi ha fatto leva proprio su zero-day di WhatsApp).

Le capacità attribuite al software sono particolarmente estese. Una volta ottenuto l’accesso al dispositivo, gli operatori possono consultare messaggi, email, foto, documenti, liste dei contatti e cronologia delle chiamate. In numerosi casi documentati, Pegasus ha acquisito anche l’accesso a fotocamera, microfono e dati GPS, trasformando di fatto lo smartphone in un sistema di monitoraggio continuo.

La notorietà del software deriva soprattutto dagli exploit zero-click: a differenza delle campagne phishing tradizionali, queste tecniche portano a un’infezione vera e propria senza alcuna interazione da parte della vittima. In passato sono bastati una chiamata persa o un messaggio appositamente costruito per attivare la catena di compromissione: dal punto di vista tecnico si tratta di attacchi estremamente complessi perché sfruttano vulnerabilità sconosciute o non ancora corrette dagli sviluppatori.

Realizzare strumenti di questo livello richiede investimenti enormi: per questa ragione il mercato degli spyware commerciali è rimasto per anni confinato a poche aziende specializzate capaci di vendere tali tecnologie a governi e agenzie di intelligence. Con i rischi di utilizzo anche da parte di soggetti legati alla criminalità o regimi oppressivi.

Le indagini che hanno messo in discussione la versione di NSO Group

NSO Group ha sempre dichiarato che Pegasus è fornito ai governi per svolgere attività di repressione nei confronti di terrorismo e criminalità organizzata. Tuttavia numerose indagini indipendenti hanno presentato una ricostruzione differente.

Le analisi tecniche condotte da Citizen Lab, Amnesty International e altre organizzazioni hanno collegato il software a campagne di sorveglianza che coinvolgevano giornalisti, avvocati, attivisti per i diritti umani, diplomatici e oppositori politici in diversi Paesi.

Queste conclusioni hanno contribuito ad alimentare una crescente pressione internazionale nei confronti dell’azienda. In più occasioni i ricercatori hanno sottolineato come il problema non riguardi esclusivamente NSO Group, ma l’intero settore degli spyware commerciali che opera in una zona grigia tra attività investigative legittime e potenziali abusi.

WhatsApp ha ampliato la collaborazione con ricercatori indipendenti, organizzazioni per i diritti digitali e iniziative dedicate alla responsabilizzazione dell’industria degli spyware. Tra queste figura anche la Spyware Accountability Initiative, un progetto nato per sostenere attività di ricerca, analisi forense e assistenza alle vittime di sorveglianza illegittima.