Nell'ombra del cyberspazio, lontano dai riflettori della geopolitica internazionale, si è mossa per oltre un decennio una delle più sofisticate operazioni di spionaggio informatico mai scoperte. Quando nel 2014 i ricercatori di Kaspersky notarono strani modelli di traffico internet, non immaginavano di aver appena sollevato il velo su "Careto" - termine spagnolo che significa "maschera" o "brutto viso" - un gruppo di hacker d'élite che, secondo fonti interne all'azienda di sicurezza informatica, operava sotto la direzione diretta del governo spagnolo. Una rivelazione che, fino ad oggi, non era mai stata resa pubblica in modo esplicito.
Sebbene Kaspersky avesse ufficialmente mantenuto una politica di "non attribuzione" nella sua documentazione tecnica, fonti interne all'azienda hanno ora confermato a TechCrunch che il team di ricerca era giunto alla conclusione che dietro Careto ci fosse proprio Madrid. "Non c'era alcun dubbio ragionevole su questo", ha rivelato un ex dipendente, aggiungendo che l'evidenza era schiacciante. Con questa rivelazione, la Spagna entra nel ristretto club di potenze occidentali le cui operazioni di cyber-intelligence sono state pubblicamente esposte, insieme a Stati Uniti, Francia e pochi altri.
La peculiarità che ha dato il via all'intera indagine su Careto è stata la scoperta di un'infezione all'interno di un'istituzione governativa cubana, quella che internamente i ricercatori chiamavano "paziente zero". Un elemento che si è rivelato determinante per l'attribuzione dell'attacco alla Spagna, considerando i complessi rapporti tra Madrid e L'Avana, specialmente riguardo alla presenza di membri dell'organizzazione terroristica basca ETA sull'isola caraibica.
La mappa delle vittime di Careto raccontava una storia geopolitica eloquente. I ricercatori di Kaspersky avevano identificato obiettivi in 31 paesi distribuiti su più continenti, ma Cuba emergeva come il bersaglio principale con il maggior numero di sistemi compromessi, tutti appartenenti alla stessa istituzione governativa. Un'attenzione particolare che coincideva con specifici interessi spagnoli nell'isola, specialmente riguardo alla presenza di circa 15 membri dell'ETA che vivevano a Cuba con l'approvazione del governo locale.
Oltre a Cuba, altri obiettivi sembravano allinearsi perfettamente con gli interessi strategici della Spagna: Gibilterra, enclave britannica rivendicata da Madrid; il Marocco, con cui la Spagna ha dispute territoriali; e il Brasile, dove il governo spagnolo stava cercando di ottenere un importante contratto ferroviario. Nel mirino del gruppo erano finite anche compagnie energetiche, istituti di ricerca, ambasciate e organizzazioni diplomatiche.
I ricercatori di Kaspersky, pur mantenendo pubblicamente un profilo neutro, avevano disseminato indizi inequivocabili sull'origine spagnola del gruppo. Nel codice malware era stata trovata la stringa "Caguen1aMar", contrazione di un'imprecazione tipicamente spagnola. Inoltre, nell'illustrazione pubblicata insieme alla mappa degli attacchi, avevano inserito simboli come un toro con corna e anello al naso (simbolo nazionale della Spagna), nacchere (strumento della musica folcloristica spagnola) e i colori rosso e giallo della bandiera spagnola.
Quando pubblicò la sua ricerca, Kaspersky descrisse Careto come "una delle minacce più avanzate del momento", con capacità di intercettare traffico internet, conversazioni Skype, chiavi di crittografia, configurazioni VPN, e persino di estrarre informazioni da dispositivi Nokia. Il malware poteva operare su Windows, Mac e Linux, con possibili varianti anche per Android e iPhone.
La strategia principale del gruppo consisteva nell'invio di email di phishing che imitavano giornali spagnoli come El País e El Mundo, o contenevano video su temi politici. Un ex dipendente di Kaspersky ha rivelato che i link di phishing includevano anche riferimenti all'ETA e a notizie basche, dettagli omessi nel rapporto pubblico.
La scomparsa e il sorprendente ritorno
Subito dopo la pubblicazione della ricerca di Kaspersky, il gruppo disattivò completamente la propria infrastruttura, cancellando tutti i log - un comportamento che, secondo gli esperti, è tipico solo dei gruppi di hacking governativi d'élite con notevoli risorse. "Non puoi fare una cosa del genere se non sei preparato", ha commentato un ex dipendente di Kaspersky. "Hanno sistematicamente e rapidamente distrutto tutto quanto, l'intera infrastruttura. Boom. È semplicemente scomparsa."
Per quasi un decennio, Careto sembrò essere svanito nel nulla. Nessuna azienda di cybersicurezza riportò attività riconducibili al gruppo fino al maggio 2024, quando Kaspersky annunciò di aver rilevato nuovamente il suo malware. Questa volta, il bersaglio era un'organizzazione non identificata in America Latina, la stessa che era stata compromessa in precedenza nel 2022, nel 2019 e più di dieci anni prima.
Nonostante il lungo periodo di inattività apparente, le tecniche erano rimaste sofisticate: in un caso, gli hacker avevano compromesso un server di posta elettronica per installare il malware, che poteva attivare segretamente il microfono del computer (nascondendo l'icona di Windows che normalmente avvisa l'utente), rubare file, documenti personali, cookie di sessione e cronologie di navigazione.
Quando interrogato sull'identità degli attori dietro Careto, Kucherin ha mantenuto la posizione ufficiale di Kaspersky: "È probabilmente uno stato-nazione. Ma quale entità fosse, chi ha sviluppato il malware? Da una prospettiva tecnica, è impossibile dirlo." Tuttavia, ha aggiunto che, rispetto ai gruppi di hacking governativi più noti come il nordcoreano Lazarus Group o l'APT41 cinese, Careto è "un APT molto piccolo che supera tutti quelli grandi in complessità".
Il Ministero della Difesa spagnolo ha rifiutato di commentare le rivelazioni, mentre il governo cubano non ha risposto alle richieste di chiarimenti. Kaspersky, da parte sua, ha ribadito attraverso la portavoce Mai Al Akkad che l'azienda "non si impegna in alcuna attribuzione formale". Una posizione che, alla luce delle nuove rivelazioni, appare come un sottile velo diplomatico su una verità che, internamente, era già chiara da tempo.