Redazione RHC : 3 Novembre 2025 07:24
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato
Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di Black Hat SEO denominata “BHS Links”, capace di manipolare gli algoritmi di Google attraverso backlink automatizzati e contenuti sintetici.
Molti di questi siti, ospitati su reti di proxy distribuite in Asia, generavano backlink automatizzati e contenuti sintetici con l’obiettivo di manipolare gli algoritmi di ranking dei motori di ricerca.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Queste infrastrutture combinavano IP rotanti, proxy residenziali e bot di pubblicazione per simulare segnali di traffico e autorità, una strategia pensata per rendere l’attacco indistinguibile da attività organica e per aggirare i controlli automatici dei motori di ricerca.
Nel corso dell’indagine però, tra i vari cluster osservati, uno in particolare ha attirato l’attenzione per dimensioni, coerenza e persistenza operativa: la rete non asiatica denominata “BHS Links”, attiva almeno da maggio 2025.
A differenza dei gruppi asiatici frammentati, BHS Links si presenta come un ecosistema strutturato di “Black Hat SEO as a Service”, che sfrutta automazione, tecniche antiforensi e domini compromessi per vendere ranking temporanei a clienti anonimi di vari settori, spesso ad alto rischio reputazionale (scommesse, pharma, trading, adult).
L’infrastruttura di BHS Links comprende decine di domini coordinati, tra cui:
Ogni dominio funge da nodo di ridistribuzione: aggrega backlink, genera nuove pagine, replica codice HTML da siti legittimi e rimanda al canale Telegram ufficiale t.me/bhs_links.
Molti domini sono protetti da Cloudflare e ospitati su server offshore, rendendo difficile la tracciabilità. I log forensi indicano anche filtraggio selettivo di Googlebot e pattern di cloaking deliberato.
Un test condotto da RHC tramite curl con differenti User-Agent ha evidenziato un comportamento di cloaking selettivo, pratica vietata dalle Google Search Essentials.
C:\Users\OSINT>curl -I -A "Googlebot/2.1 (+http://www.google.com/bot.html)" https://bhs-links-blaze.online
HTTP/1.1 403 Forbidden
Server: cloudflare
C:\Users\OSINT>curl -I -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" https://bhs-links-blaze.online
HTTP/1.1 200 OK
Server: cloudflare
Il sito blocca deliberatamente i crawler di Google, rendendo invisibili i propri contenuti promozionali per evitare penalizzazioni. La regola Cloudflare è simile a:
Regola: Block Googlebot
Condizione: (http.user_agent contains “Googlebot”)
Azione: Block
Dal punto di vista forense, si tratta di una tecnica antiforense deliberata, utile a eludere i controlli automatici di Google, nascondere la rete di clienti e backlink generati artificialmente e disturbare l’analisi OSINT basata su crawling.
Durante l’analisi del codice sorgente di più domini BHS, RHC ha rilevato centinaia di link verso siti italiani legittimi, tra cui:
Ansa, repubblica.it, gazzetta.it, fanpage.it, legaseriea.it, adm.gov.it, gdf.gov.it, liceoissel.edu.it, meteofinanza.com, aranzulla.it, superscudetto.sky.it.
Tutti i domini citati sono vittime passive di citazione algoritmica e non coinvolti in attività illecite.
Questi siti web non sono compromessi: vengono citati in modo passivo per sfruttarne la reputazione. È una strategia basata sul cosiddetto trust semantico, dove la semplice co-occorrenza tra un sito affidabile e un dominio malevolo induce l’algoritmo a interpretare quest’ultimo come credibile. In altre parole, BHS Links non buca i siti, ma li usa come riflettori reputazionali. Una tattica che consente ai clienti di ottenere boost di ranking temporanei, soprattutto nei settori gambling, forex e adult.
Nel codice sorgente delle pagine analizzate compare un elemento ricorrente: una lista racchiusa in un blocco <ul style="display:none">. Questa sintassi HTML/CSS significa letteralmente “crea una lista non ordinata, ma non mostrarla all’utente”, il browser riceve il markup ma non lo rende visibile perché la regola CSS display:none impedisce la visualizzazione dell’elemento e di tutto il suo contenuto.
A prima vista può sembrare innocuo, ma in realtà rappresenta una delle tattiche più subdole del cloaking semantico: i link vengono resi invisibili ai visitatori umani, ma restano presenti nel sorgente e dunque leggibili dai crawler dei motori di ricerca.
In questo modo il network BHS Links inietta decine di riferimenti nascosti verso domini esterni, forum, casinò online e siti di affiliazione, tutti corredati dal marchio “TG @BHS_LINKS – BEST SEO LINKS – https://t.me/bhs_links”. Il server può servire due versioni della stessa pagina, una pubblica e “pulita” per gli utenti e una destinata ai bot, oppure lasciare lo stesso HTML che, pur essendo nascosto via CSS, viene comunque indicizzato come shadow content: un contenuto fantasma che vive nel codice ma non sulla pagina visibile.
Googlebot e altri crawler analizzano il sorgente e i link anche quando sono nascosti tramite CSS; di conseguenza i riferimenti invisibili vengono interpretati come segnali di co-occorrenza e autorevolezza, attribuendo al dominio malevolo una falsa credibilità. In termini pratici, BHS Links crea così un ponte reputazionale artificiale tra i propri domini e portali reali (testate giornalistiche, siti regolamentati, blog autorevoli). Per l’utente tutto appare normale; per l’algoritmo si tratta invece di una rete ricca di collegamenti tematici e autorevoli. È proprio questa discrepanza, tra ciò che vede l’uomo e ciò che interpreta l’algoritmo, a rendere l’avvelenamento semantico così efficace e difficile da individuare.
In tutti i casi analizzati, dopo l’iniezione di codice già descritta, le evidenze tecniche convergono su altri due indizi ricorrenti che completano la triade dell’inganno semantico:
Questi elementi, nel loro insieme, costituiscono la firma tecnica ricorrente dell’operazione BHS Links.
Gli hash SHA-256 calcolati per ogni file confermano con precisione la manipolazione semantica.
Nel caso d’esempio, i valori rilevati mostrano due versioni distinte della stessa pagina:
2C65F50C023E58A3E8E978B998E7D63F283180495AC14CE74D08D96F4BD81327 → normal.html, versione servita all’utente reale6D9127977AACF68985B9EF374A2B4F591A903F8EFCEE41512E0CF2F1EDBBADDE → googlebot.html, versione destinata al crawler di GoogleLa discrepanza tra i due hash è la prova più diretta di cloaking attivo: il server restituisce due codici HTML diversi a seconda di chi effettua la richiesta.
Il file diff.txt, con hash FF6B59BB7F0C76D63DDA9DFF64F36065CB2944770C0E0AEBBAF75AD7D23A00C6, documenta le righe effettivamente differenti tra le due versioni, costituendo la traccia forense della manipolazione.
Ecco invece come appare uno dei siti citati, rimasto intatto e non alterato da cloacking
Dopo la verifica degli hash, l’analisi del codice rivela un’ulteriore strategia di manipolazione: la rotazione semantica dei contenuti.
In questo schema, il CMS Bitrix24 genera blocchi dinamici con ID diversi a seconda dello user-agent. I file normal.html e googlebot.html mostrano lo stesso contenuto ma con ordine invertito, una rotazione semantica che modifica la priorità logica dei link interni. Agli occhi di Googlebot il sito appare semanticamente riscritto: alcune sezioni, spesso quelle contenenti riferimenti nascosti al marchio BHS Links, acquisiscono un peso maggiore nel grafo semantico, influenzando la valutazione di autorevolezza. È una manipolazione invisibile ma precisa, che agisce sulla gerarchia cognitiva dell’algoritmo.
Per verificare l’anomalia, RHC ha confrontato le due versioni di alcuni siti acquisite in locale: normal.html (utente reale) e googlebot.html (crawler Google).
Nel codice servito a Googlebot compaiono ID di sezione diversi generati dal CMS, come helpdesk_article_sections_lGqiW e helpdesk_article_sections_0A6gh, mentre nella versione normale gli stessi blocchi assumono ID differenti, ad esempio C7TgM e pAZJs.
Questa variazione non cambia l’aspetto visivo della pagina, ma modifica la struttura logica letta dal motore di ricerca: Googlebot interpreta i contenuti con una gerarchia diversa, assegnando maggiore rilevanza a certi link interni. È il meccanismo della rotazione semantica: una riscrittura invisibile che orienta la comprensione algoritmica della pagina.
Nel codice della versione per bot, è inoltre presente una riga che non esiste nel file normale:form.setProperty("url_page","https://helpdesk.bitrix24.it/open/19137184/,TG @BHS_LINKS - BEST SEO LINKS - https://t.me/bhs_links")
Le stesse tecniche di manipolazione semantica impiegate dal network BHS Links, se rivolte contro domini legittimi, si trasformano in Negative SEO: un’arma reputazionale capace di contaminare i risultati di ricerca, duplicare contenuti e indurre l’algoritmo di Google a svalutare la fonte originale.
Durante l’analisi, RHC ha documentato la duplicazione dell’headline istituzionale
“La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.”
Questa frase, appartenente al portale ufficiale Red Hot Cyber, è comparsa su portali spam e domini compromessi di varia provenienza, accostata a titoli pornografici o clickbait.
Le evidenze raccolte mostrano risultati su Google come:
peluqueriasabai.es — Donna cerca uomo Avezzano contacted the booker and set uprestaurantele42.fr — Emiok OnlyFans porn I have seen a few delightful FBSMlucillebourgeon.fr — La Camila Cruz sex total GFE and I walked away as superbenedettosullivan.fr — Baad girl Sandra her images caught my eye and I had timeserrurier-durand.fr — Sexs web the girl is a striking bisexual African AmericanIn tutti i casi, la descrizione sotto il titolo riportava il testo di Red Hot Cyber, creando un effetto paradossale:
contenuti pornografici o spam presentati con il tono di una testata di cybersecurity affidabile.
Questo meccanismo è il cuore del furto semantico: l’algoritmo di Google unisce automaticamente titolo e descrizione in base a indizi semantici, generando risultati ibridi e apparentemente credibili.
Così, brand reali e frasi autorevoli diventano involontarie esche reputazionali per spingere in alto network malevoli.
Nel caso Red Hot Cyber, la frase originale è stata estratta dal dominio principale, indicizzata in cache e riutilizzata per costruire falsi snippet di autorevolezza, che rafforzano l’immagine di affidabilità dei siti compromessi.
È una forma di Negative SEO di terza generazione: non distrugge direttamente il sito bersaglio, ma ne riutilizza l’identità per ingannare gli algoritmi di ranking e, con essi, la percezione stessa della reputazione digitale.
Dietro al furto semantico si nasconde una struttura più profonda e funzionale: il Traffic Direction System (TDS) della rete BHS Links.
L’analisi dei dump HTML e delle stringhe Base64 decodificate ha permesso di risalire a questa infrastruttura, progettata per smistare e monetizzare il traffico manipolato attraverso il SEO.
I reindirizzamenti individuati puntano verso un gruppo stabile di domini che costituisce il cuore del circuito dating-affiliate della rete, attivo da mesi e già osservato in contesti internazionali.
Tra i principali, seekfinddate.com agisce come nodo centrale di smistamento, presente nella quasi totalità dei dump analizzati.
Da lì, il traffico viene indirizzato verso romancetastic.com, singlegirlsfinder.com, finddatinglocally.com, sweetlocalmatches.com e luvlymatches.com, che operano come landing page di reti di affiliazione riconducibili a circuiti come Traffic Company, AdOperator e ClickDealer.
A collegare questi livelli si trovano domini-ponte come go-to-fl.com, bt-of-cl.com e bt-fr-cl.com, che mascherano i redirect e spesso si appoggiano a Cloudflare per nascondere l’origine del traffico.
Completano la catena front-end alternativi come mydatinguniverse.com, chilloutdate.com, privatewant.com e flirtherher.com, che reindirizzano dinamicamente in base all’indirizzo IP, alla lingua o al dispositivo dell’utente.
In pratica, le pagine compromesse o sintetiche della rete BHS includono redirect cifrati che portano prima ai nodi TDS e poi alle landing di affiliazione o alle truffe a tema dating.
L’analisi dei parametri (tdsid, click_id, utm_source, __c) conferma il tipico schema di tracciamento d’affiliazione: una pagina BHS, un dominio TDS (ad esempio seekfinddate.com), e infine una landing commerciale o fraudolenta.
Ospitati su reti proxy distribuite in Asia e protetti da Cloudflare, questi siti generano backlink e contenuti sintetici per ingannare i motori di ricerca, simulando popolarità e autorevolezza.
L’analisi incrociata degli indirizzi IP e dei sistemi autonomi (ASN) conferma la sovrapposizione infrastrutturale tra i due livelli della rete.
I domini del circuito “dating-affiliate”, come seekfinddate.com, romancetastic.com, singlegirlsfinder.com e mydatinguniverse.com, risultano ospitati su Amazon AWS (AS16509), mentre i domini del network BHS Links, come bhs-links-zone.online, bhs-links-anchor.online e bhs-links-suite.online, sono serviti da Cloudflare (AS13335).
Questa doppia architettura lascia pensare a una divisione di ruoli precisa: Amazon ospita i nodi di smistamento e monetizzazione, mentre Cloudflare garantisce l’offuscamento e la persistenza dei domini SEO.
La ripetizione degli stessi blocchi IP e la coincidenza tra ASN dimostrano che si tratta di un’infrastruttura coordinata, in cui la reputazione viene manipolata su un fronte e monetizzata sull’altro.
Durante l’indagine sul network BHS Links, Red Hot Cyber ha identificato un secondo gruppo di portali riconducibile al dominio permanentbacklinks.com, che mostra affinità strutturali e operative con le reti analizzate in precedenza.
Il sito si configura come una piattaforma architetturale dedicata alla gestione automatizzata di backlink, con logiche compatibili con i cluster di link building già osservati.
A differenza dei domini BHS, focalizzati sulla manipolazione diretta dei segnali di ranking e sul cloaking selettivo, il cluster Permanent Backlinks agisce come back-end infrastrutturale, un hub di raccolta, replica e distribuzione di liste di domini progettato per alimentare più istanze con dataset identico.
Non ospita vere “directory SEO”, ma costruisce ecosistemi coerenti che si auto-riferiscono per resistere alle penalizzazioni e garantire continuità ai clienti.
Il dominio permanentbacklinks.com rappresenta il fulcro di questa rete di repliche sincronizzate, che include, tra gli altri, livebacklinks.com, backlinks.directory, addurl.pro, addurl.pw, linkwebdirectory.com e publicdirectory.in.
Questi ultimi si comportano come satellite d’invio: il modulo “Add Your Link” consente di inserire un dominio o un link, mostrando nella stessa pagina la sezione “Rules & Regulations” ,con limiti di 255 caratteri, esclusione dei domini scaduti, guest submission disabilitata e promessa di “delivery report” visibili solo all’interno dell’account.
Subito sotto il form compare un secondo pulsante, “Proceed to permanentbacklinks.com”, che rimanda esplicitamente al sito madre.
Il funzionamento è chiaro: l’utente compila il modulo sul portale satellite, ma per più link viene indirizzato all’hub centrale per completare o acquistare il servizio. Non si tratta quindi di una directory autonoma, bensì di un frontend promozionale e funzionale collegato all’hub principale, incaricato di raccogliere traffico e invii.
Le analisi condotte da RHC con ambiente PowerShell su otto portali del cluster, tra cui addurl.pro, addurl.pw, livebacklinks.com, backlinks.directory, linkwebdirectory.com, publicdirectory.in, onlinelinkdirectory.com e permanentbacklinks.com, hanno evidenziato un’infrastruttura generata in modo uniforme.
Le pagine HTML presentano dimensioni simili e una struttura pressoché identica, con variazioni minime nel markup riconducibili a un medesimo builder.
Solo permanentbacklinks.com espone un modulo attivo (action="/search/websites.php?", campo q), a conferma del suo ruolo di nodo operativo principale, mentre gli altri siti, pur privi di form visibili, condividono lo stesso dataset e layout funzionale.
Sette portali, tra cui addurl.pro, addurl.pw, livebacklinks.com, backlinks.directory, linkwebdirectory.com, publicdirectory.in e onlinelinkdirectory.com, condividono lo stesso blocco HTML “Contact Us”, con hash identico e path unificato (/contact-us/).
Questo elemento, apparentemente secondario, costituisce un indicatore architetturale chiaro dell’impiego di un builder o di un motore di pubblicazione comune, coerente con un sistema multi-istanza gestito da un nodo centrale. L’analisi del codice evidenzia inoltre la presenza di una Google Maps API key esposta su permanentbacklinks.com, mentre gli altri domini non restituiscono alcuna chiave, suggerendo il riuso di asset e configurazioni all’interno dello stesso ecosistema.
La discrepanza nei risultati di VirusTotal è significativa:
permanentbacklinks.com viene rilevato da Kaspersky come “phishing”, mentre gli altri risultano “puliti” per tutti i motori.
La differenza riflette il diverso ruolo dei due domini nella rete: il primo funge da hub centrale interattivo, con moduli e redirect attivi, mentre il secondo opera come mirror passivo, privo di form o chiamate POST.
In questo contesto, il rilevamento non implica un comportamento fraudolento in senso stretto, ma una corrispondenza euristica con schemi tipici delle piattaforme di raccolta dati o automazione SEO.
È un segnale tecnico coerente con un’infrastruttura a più livelli, dove solo il nodo centrale gestisce effettivamente il flusso delle richieste.
Con un elevato grado di confidenza tecnica, l’insieme di tutte le evidenze discusse descrive un sistema di repliche sincronizzate, in cui i portali satellite operano come interfacce di raccolta e vetrine di servizio, mentre l’hub centrale gestisce la propagazione e la sincronizzazione dei contenuti.
Non è stato rilevato un inoltro automatico dei dati, la verifica richiederebbe l’analisi dei pacchetti POST e degli header HTTP, ma la coerenza di struttura, regole e collegamenti suggerisce una gestione centralizzata dei dataset, tipica di una piattaforma di link automation distribuita.
Inoltre, l’analisi automatizzata condotta in PowerShell ha restituito un output coerente con questa interpretazione, evidenziando corrispondenze tra i domini e la presenza di mirror attivi sullo stesso root IP o su subnet contigue.
Le informazioni WHOIS mostrano date di registrazione e rinnovo sincronizzate, mentre le sezioni di output dedicate agli hash e alle “fingerprint HTML parziali” indicano la presenza di un builder comune.
Il punto non è quanti siti compongano la rete, ma come vengono replicati.
Le differenze tra gli hash SHA-256 dimostrano che non si tratta di copie statiche, ma di versioni generate dallo stesso motore con piccole variazioni di markup, un comportamento coerente con un sistema multi-istanza sincronizzato progettato per eludere la correlazione diretta.
Le analisi condotte da RHC mostrano che le pagine /domain-list-321 dei vari domini elencano le stesse sequenze di record, con gli stessi ID e la stessa struttura.
In particolare, il record #320166 associato a redhotcyber.com compare in posizione identica e con stato “Active” su tutte le istanze, rappresentando la firma di un dataset centralizzato che alimenta più nodi.
In chiave OSINT, la logica è chiara: stesso dataset, renderer diversi.
La rete riduce la possibilità di tracciamento algoritmico ma conserva pattern ricorrenti, come struttura, ID dei record e elementi di fiducia, che la rendono riconoscibile a un’analisi forense.
La ricorrenza di redhotcyber.com nel dataset non genera backlink editoriali né valore SEO reale: serve a truccare il contesto semantico.
È trust spoofing: in mezzo a domini casuali, inserire riferimenti a portali noti e legittimi, come testate, enti pubblici o siti tech, eleva artificialmente la percezione di autorevolezza (“se A cita B, allora A deve essere affidabile”).
In questo schema, Red Hot Cyber non è un destinatario reale ma un elemento di reputazione simulata, usato come decorazione di fiducia.
Non si tratta quindi di una rete che vende link, ma di un’infrastruttura che vende fiducia apparente, replicando in modo sincronizzato gli stessi dataset su più domini.
In sintesi, la rete non crea autorevolezza: la imita.
E nel farlo, utilizza brand legittimi per mascherare una struttura industriale di ranking fittizio, progettata per sopravvivere anche dopo la sua individuazione.
Le evidenze tecniche confermano l’esistenza di un builder unificato: meta tag, librerie JavaScript (jQuery, Popper, Bootstrap) e la variabile window._trfd con identificatore dcenter:"sg2" risultano identici su tutte le istanze. Anche il footer, con la dicitura “© aboutdirectory.com 2025”, è invariato.
Tutti i domini principali risolvono su IP della stessa area (Singapore, AS26496 – GoDaddy.com LLC), organizzati in due segmenti: 184.168.x.x per il core stabile e 118–119.139.x.x per la capacità elastica e le repliche di backup.
Questo design suggerisce un sistema “churn and replace”: una logica di rotazione selettiva che consente di rimpiazzare rapidamente un dominio compromesso senza interrompere la distribuzione del dataset.
Permanent Backlinks funge così da nodo di persistenza del più ampio ecosistema BHS Links, garantendo la continuità del segnale e replicando i contenuti su più host sincronizzati.
Il Black Hat SEO racchiude le tattiche che violano i termini di servizio di Google per manipolare i ranking dei motori di ricerca. Tra queste, la più nota è il link building manipolativo, ovvero la creazione massiva di backlink artificiali per simulare autorevolezza.
Nei primi anni del web le directory rappresentavano uno strumento legittimo di visibilità. Con l’evoluzione del SEO aggressivo la logica è mutata: la qualità ha lasciato spazio alla quantità, generando network automatizzati di link come quelli analizzati nel cluster BHS Links da Red Hot Cyber.
Con gli aggiornamenti Panda e Penguin Google ha introdotto filtri per penalizzare schemi di linking innaturali. Servizi come permanentbacklinks.com, basati su migliaia di link non curati, rientrano oggi tra i casi di unnatural linking, esposti al rischio di penalità algoritmica o manuale. Gli algoritmi riconoscono ormai con facilità pattern geometrici e ripetizioni di struttura (la cosiddetta impronta algoritmica) che rivelano la natura artificiale della rete.
Se il Black Hat SEO mira a costruire un’autorevolezza fittizia, il Negative SEO rappresenta il suo rovescio: le stesse tecniche trasformate in un’arma reputazionale. Non servono più a far salire un sito nei risultati, ma a farne scendere un altro, erodendo la fiducia che l’algoritmo ripone nel dominio colpito.
In questa declinazione offensiva, strumenti come link farm, reti PBN (Private Blog Network), cloaking o reindirizzamenti ingannevoli vengono utilizzati non per promuovere, ma per contaminare. Il bersaglio si ritrova improvvisamente circondato da migliaia di backlink tossici o da copie spurie dei propri contenuti, fino a subire una penalizzazione algoritmica o manuale. La logica si inverte: ciò che nel Black Hat SEO è costruzione artificiale di autorevolezza, nel Negative SEO diventa demolizione della reputazione altrui.
La linea che separa i due fenomeni è sottile ma sostanziale. Il primo serve a gonfiare la visibilità di chi lo adotta, il secondo a distruggere quella di un concorrente. Entrambi manipolano l’algoritmo, ma in direzioni opposte: il Black Hat fabbrica fiducia, il Negative SEO la corrode.
A rendere il fenomeno ancora più insidioso è la sua ambiguità operativa. Molti servizi nati con finalità promozionali, come la vendita di backlink o i pacchetti di guest post su siti compromessi, finiscono per produrre effetti collaterali di Negative SEO anche senza intenzione diretta. La diffusione automatizzata di link su larga scala, priva di filtri di qualità o controllo sull’origine dei domini, genera una rete di contaminazioni digitali che colpisce indistintamente vittime e aggressori. In questo ecosistema distorto, la linea di confine tra promozione e sabotaggio si dissolve, e il posizionamento sui motori di ricerca diventa un campo di battaglia dove la reputazione è la prima vittima.
La diagnostica forense SEO parte spesso da segnali visibili direttamente nella Google Search Console (GSC), che rappresenta il primo strumento di allerta in caso di inquinamento o attacco.
Tra i sintomi più frequenti si osservano:
Questi indizi, presi insieme, suggeriscono che il dominio possa essere stato esposto a campagne di link tossici o schemi di manipolazione tipici del Negative SEO. Da qui si procede all’analisi tecnica dei backlink, alla verifica dei referral sospetti e all’eventuale bonifica tramite strumenti di disavow.
L’audit dei backlink è una delle fasi più importanti nella diagnosi di compromissioni SEO.
Attraverso l’analisi sistematica dei collegamenti in ingresso, è possibile distinguere i link organici e progressivi, generati nel tempo da contenuti autentici o citazioni spontanee, da quelli artificiali o tossici, prodotti in modo massivo da reti automatizzate come BHS Links.
Un’analisi di questo tipo non si limita a contare i link, ma valuta la qualità semantica, la coerenza tematica e la distribuzione geografica delle sorgenti. Quando numerosi backlink provengono da domini appena registrati, con struttura HTML simile o ancore ripetitive, il segnale diventa chiaro: si è di fronte a un ecosistema costruito per alterare il ranking.
Nel caso specifico di BHS Links, il tracciamento dei collegamenti ha evidenziato pattern ricorrenti: picchi improvvisi di link in uscita, ancore manipolate con parole chiave commerciali, e riferimenti incrociati verso directory nascoste. Tutti indizi tipici di un’operazione di SEO artificiale, mirata non solo a spingere i propri domini, ma anche a inquinare semanticamente quelli legittimi collegati.
Quando un dominio mostra segnali di compromissione o riceve backlink tossici, la prima azione consiste nel mappare e isolare i domini sospetti. I link dannosi possono essere raccolti in un semplice file di testo (.txt, codifica UTF-8) nel seguente formato:
domain:bhs-links-hive.online
domain:bhs-links-anchor.online
domain:bhs-links-blaze.online
domain:backlinks.directory
Il file va poi caricato nella Google Search Console, sezione Disavow Tool, per comunicare al motore di ricerca di ignorare i link provenienti da quei domini. È importante monitorare nel tempo gli effetti dell’operazione: la rimozione dell’impatto negativo può richiedere settimane, a seconda della frequenza di scansione del sito da parte di Googlebot.
In caso di penalizzazione manuale, è possibile presentare una richiesta di riconsiderazione, fornendo una documentazione chiara delle azioni intraprese:
Una strategia di difesa realmente efficace passa dalla prevenzione continua e dal controllo costante dell’ecosistema digitale. Le pratiche più raccomandate includono:
Un’operazione di SEO negativa può iniziare con una serie di azioni malevole mirate a compromettere la sua reputazione agli occhi dei motori di ricerca. Gli attaccanti possono, come in questo caso, generare migliaia di backlink di bassa qualità da siti spam o penalizzati, facendo sembrare che il portale stia tentando di manipolare artificialmente il proprio posizionamento. Questo tipo di attacco può indurre Google a ridurre la fiducia nel dominio, con un conseguente calo drastico del ranking organico e una perdita significativa di traffico.
Un caso tipico è la duplicazione dei contenuti, e questo può avvenire quando elementi distintivi del portale, come headline originali o slogan, vengono copiati e riutilizzati da siti terzi in modo malevolo. Ad esempio, l’headline “La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.”, originariamente concepita per promuovere la filosofia di Red Hot Cyber, è stata rilevata in diversi post pubblicati su portali sconosciuti o di scarsa qualità, come visto in precedenza, utilizzati per pratiche di black SEO.
I danni derivanti da un’operazione di black SEO possono essere profondi e di lunga durata, andando ben oltre la semplice perdita di posizionamento sui motori di ricerca. Oltre al calo di traffico organico e alla riduzione della visibilità, il portale può subire un deterioramento della fiducia sia da parte degli utenti sia degli algoritmi di ranking. Quando un sito viene associato, anche indirettamente, a pratiche di spam, link farming o duplicazione di contenuti, i filtri di Google e Bing possono applicare penalizzazioni algoritmiche o manuali che richiedono mesi per essere rimosse.
In sostanza, in ambito digitale, la fiducia è un capitale che si perde in un giorno e si ricostruisce in mesi: una volta compromessa, nessuna ottimizzazione tecnica può restituirla immediatamente
Questo articolo non nasce per raccontare l’ignoto, ma per spiegare.
Le reti di backlink automatizzate e le tecniche di Black Hat SEO sono note agli addetti ai lavori, ma raramente vengono descritte nel loro funzionamento reale.
Red Hot Cyber le ha analizzate con metodo OSINT e test tecnici verificabili, documentando con rigore come manipolano la fiducia algoritmica e la percezione di autorevolezza.
Non si tratta di puntare il dito, ma di comprendere un meccanismo che altera la trasparenza della rete, per restituire alla comunità la conoscenza di ciò che opera nell’ombra della SERP.
Quando la fiducia è l’unico algoritmo che non si può corrompere, difendere la trasparenza non è più una scelta tecnica, ma un atto di resistenza digitale.
RedazioneAnalisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
Una nuova e insidiosa campagna di phishing sta colpendo i cittadini lombardi. I truffatori inviano e-mail che sembrano provenire da una presunta agenzia di recupero crediti, chiedendo il pagamento di ...
Capire davvero cos’è il ransomware non è semplice: tra notizie frammentate e articoli tecnici, chi cerca risposte rischia di perdersi in un mare di informazioni confuse. Questo articolo nasce per ...
Hai sempre pensato che il Dark Web sia frequentato dai criminali informatici? Hai sempre pensato che il Dark Web sia una rete pericolosa e piena di insidie? Oggi vogliamo sfatare questo mito e creare ...
