Il Microsoft Global Device Identifier ha permesso di identificare Peter Stokes, un cittadino con doppia cittadinanza statunitense ed estone, accusato di appartenere al gruppo Scattered Spider. L'identificatore univoco ha collegato l'attività di Stokes ai registri Microsoft.
Oggi tutti noi conosciamo e usiamo le VPN le quali garantiscono un livello di anonimato, ma cosa succede quando un identificatore persistente permette l’identificazione di un soggetto?
Proprio un identificatore di persistenza presente nei dispositivi Microsoft ha permesso di smantellare l’anonimato di un presunto operatore appartenente al gruppo Scattered Spider.
Un cittadino con doppia cittadinanza Statunitense ed Estone accusato di appartenere al famigerato collettivo di hackerScattered Spider, è stato estradato dalla Finlandia per affrontare accuse federali nel Distretto Nord dell’Illinois. Il diciannovenne Peter Stokes è stato arrestato dalle autorità finlandesi il 10 aprile 2026, sulla base di una Red Notice di Interpol, mentre tentava di imbarcarsi su un volo per il Giappone.
Advertising
Da quanto sostenuto dai pubblici ministeri, Peter Stokes individuato come membro di Scattered Spider, tracciato come Octo Tempest, UNC3944 e 0ktapus trasportava con sé due hard disk da due terabyte.
I documenti giudiziari rivelano che il Microsoft Global Device Identifier o GDID ha svolto un ruolo determinante per smascherare Stokes.
Ma cosa sarebbe il GDID?
Trattasi di un codice univoco incorporato in ogni installazione di Windows, sfruttato da Microsoft per la telemetria e la diagnostica.
Da quanto affermato dall’accusa, tutto ha inizio dall’intrusione presso la “Company F”, rivenditore di lusso multimiliardario, iniziata il 12 maggio 2025 tramite chiamate di phishing vocale al help desk IT. Nello specifico gli attaccanti spacciandosi per dipendenti, hanno attivato il reset del MFA (Autenticazione Multi Fattore) e compromesso diversi account, inclusi quelli di amministratori.
Advertising
Ottenuto l’accesso, gli attaccanti hanno scaricato ed eseguito un agente ngrok su un server virtuale della società, aprendo un tunnel crittografato. Proprio l’account ngrok, creato il 12 maggio alle 19:21 UTC avrebbe permesso agli investigatori di risalire all’identità di Stokes collegando l’account all’indirizzo IP 68.235.45.168, proxy VPN ospitato da Tzulo a Mount Prospect, Illinois.
Da quanto si apprende dai documenti, i registri Microsoft avrebbero associato il dispositivo che trasportava il GDID nella pagina di registrazione di ngrok nel momento esatto della creazione dell’account. Successivamente lo stesso dispositivo avrebbe navigato sul sito web della Società Company F tramite lo stesso proxy.
Questa correlazione ha permesso all’FBI di collegare la cronologia IP del GDID con gli account noti di Stokes. Nello specifico anche se la VPN mascherava l’endpoint di rete, l’identificativo si installazione di Windows non ruotava con essa.
Il caso mostra come l’anonimato in rete possa essere aggirata. Nonostante VPN e tunnel crittografati limitano la visibilità degli indirizzi IP, l’esistenza di identificatori univoci può trasformare tracce in elementi decisivi per le indagini.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Antonino Battaglia Ingegnere elettronico con oltre dieci anni di esperienza nell'automazione industriale e nella sicurezza informatica. Appassionato di tecnologia blockchain e criptovalute, collabora con Red Hot Cyber, condividendo la sua conoscenza su sicurezza informatica, automazione e IoT.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.