Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Scattered Spider: il ruolo del Microsoft Global Device Identifier (GDID) nell’arresto di Peter Stokes

Scattered Spider: il ruolo del Microsoft Global Device Identifier (GDID) nell’arresto di Peter Stokes

7 Luglio 2026 14:10
In sintesi

Il Microsoft Global Device Identifier ha permesso di identificare Peter Stokes, un cittadino con doppia cittadinanza statunitense ed estone, accusato di appartenere al gruppo Scattered Spider. L'identificatore univoco ha collegato l'attività di Stokes ai registri Microsoft.

Oggi tutti noi conosciamo e usiamo le VPN le quali garantiscono un livello di anonimato, ma cosa succede quando un identificatore persistente permette l’identificazione di un soggetto?

Proprio un identificatore di persistenza presente nei dispositivi Microsoft ha permesso di smantellare l’anonimato di un presunto operatore appartenente al gruppo Scattered Spider.

Un cittadino con doppia cittadinanza Statunitense ed Estone accusato di appartenere al famigerato collettivo di hacker Scattered Spider, è stato estradato dalla Finlandia per affrontare accuse federali nel Distretto Nord dell’Illinois. Il diciannovenne Peter Stokes è stato arrestato dalle autorità finlandesi il 10 aprile 2026, sulla base di una Red Notice di Interpol, mentre tentava di imbarcarsi su un volo per il Giappone.

Advertising

Da quanto sostenuto dai pubblici ministeri, Peter Stokes individuato come membro di Scattered Spider, tracciato come Octo Tempest, UNC3944 e 0ktapus trasportava con sé due hard disk da due terabyte.

I documenti giudiziari rivelano che il Microsoft Global Device Identifier o GDID ha svolto un ruolo determinante per smascherare Stokes.

Ma cosa sarebbe il GDID?

Trattasi di un codice univoco incorporato in ogni installazione di Windows, sfruttato da Microsoft per la telemetria e la diagnostica.

Da quanto affermato dall’accusa, tutto ha inizio dall’intrusione presso la “Company F”, rivenditore di lusso multimiliardario, iniziata il 12 maggio 2025 tramite chiamate di phishing vocale al help desk IT. Nello specifico gli attaccanti spacciandosi per dipendenti, hanno attivato il reset del MFA (Autenticazione Multi Fattore) e compromesso diversi account, inclusi quelli di amministratori.

Advertising

Ottenuto l’accesso, gli attaccanti hanno scaricato ed eseguito un agente ngrok su un server virtuale della società, aprendo un tunnel crittografato. Proprio l’account ngrok, creato il 12 maggio alle 19:21 UTC avrebbe permesso agli investigatori di risalire all’identità di Stokes collegando l’account all’indirizzo IP 68.235.45.168, proxy VPN ospitato da Tzulo a Mount Prospect, Illinois.

Da quanto si apprende dai documenti, i registri Microsoft avrebbero associato il dispositivo che trasportava il GDID nella pagina di registrazione di ngrok nel momento esatto della creazione dell’account. Successivamente lo stesso dispositivo avrebbe navigato sul sito web della Società Company F tramite lo stesso proxy.

Questa correlazione ha permesso all’FBI di collegare la cronologia IP del GDID con gli account noti di Stokes. Nello specifico anche se la VPN mascherava l’endpoint di rete, l’identificativo si installazione di Windows non ruotava con essa.

Il caso mostra come l’anonimato in rete possa essere aggirata. Nonostante VPN e tunnel crittografati limitano la visibilità degli indirizzi IP, l’esistenza di identificatori univoci può trasformare tracce in elementi decisivi per le indagini.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Antonino Battaglia 300x300
Antonino Battaglia Ingegnere elettronico con oltre dieci anni di esperienza nell'automazione industriale e nella sicurezza informatica. Appassionato di tecnologia blockchain e criptovalute, collabora con Red Hot Cyber, condividendo la sua conoscenza su sicurezza informatica, automazione e IoT.