Nel mercato italiano della sorveglianza digitale spunta un nome nuovo. Osservatorio Nessuno, associazione italiana per la tutela dei diritti digitali, ha pubblicato un rapporto che documenta l’esistenza di un malware denominato Morpheus, attribuito a IPS, società con sede in Italia e oltre trent’anni di attività nel settore delle intercettazioni legali tradizionali. Fino alla pubblicazione del rapporto, nessuna fonte pubblica aveva mai collegato IPS alla produzione di spyware.
Come veniva installato lo spyware sui dispositivi delle vittime
Il meccanismo di infezione documentato da Davide e Giulio, i due ricercatori di Osservatorio Nessuno che hanno chiesto di restare identificati solo per nome, si distingue per l’uso di una complicità esterna: il gestore telefonico della vittima. L’operatore bloccava i dati mobili del bersaglio, creando artificialmente un disagio tecnico. A quel punto la vittima riceveva un SMS apparentemente proveniente dal proprio carrier, con l’invito a installare un’applicazione che avrebbe dovuto ripristinare la connessione dati. L’app era in realtà Morpheus. Una volta installato, il malware sfruttava le funzionalità di accessibilità integrate in Android per leggere quanto appariva sullo schermo e interagire con le altre applicazioni presenti sul dispositivo. La sequenza successiva era articolata: lo spyware mostrava una schermata di riavvio fasulla, poi simulava l’interfaccia di WhatsApp chiedendo alla vittima di autenticarsi con i propri dati biometrici. Quella scansione, del tutto insaputa all’utente, aggiungeva un dispositivo esterno all’account, cedendo allo spyware controllo pieno sulla messaggistica. La stessa strategia era già comparsa in precedenti campagne attribuite ad altri produttori italiani, così come in operazioni di hacker governativi documentate in Ucraina.
I ricercatori hanno classificato Morpheus come spyware “a basso costo”, una definizione tecnica che indica l’assenza di exploit zero-day o attacchi zero-click. Produttori come NSO Group e Paragon Solutions consentono ai propri clienti governativi di infettare i bersagli in modo del tutto invisibile, sfruttando vulnerabilità rare e costose che aggirano le difese del dispositivo senza alcuna interazione da parte dell’utente. Morpheus, al contrario, si affida all’inganno: perché funzioni, la vittima deve compiere un’azione. Questo lo rende meno sofisticato sul piano tecnico, ma tutt’altro che innocuo sul piano operativo.
L’attribuzione a IPS e le tracce italiane nel codice
L’attribuzione a IPS è avvenuta attraverso l’analisi dell’infrastruttura impiegata nella campagna. Uno degli indirizzi IP coinvolti risultava registrato direttamente a nome di “IPS Intelligence Public Security”. Nel codice del malware i ricercatori hanno individuato frammenti in italiano, con riferimenti espliciti a Gomorra – il romanzo di Roberto Saviano e la serie televisiva dedicata alla criminalità organizzata napoletana – oltre alla parola “spaghetti”. Secondo Davide e Giulio si tratta di una tendenza ricorrente nell’industria italiana dello spyware. Un ricercatore di una società di sicurezza informatica contattato separatamente da TechCrunch ha confermato di monitorare lo stesso malware e ha ritenuto l’attribuzione a un produttore italiano di sorveglianza del tutto credibile. Quanto al bersaglio, i ricercatori non hanno fornito dettagli sull’identità della persona colpita, ma hanno dichiarato di ritenere l’attacco “legato all’attivismo politico” in Italia, un ambito in cui “questo tipo di attacchi mirati è molto comune”.
IPS si aggiunge a una lista di aziende italiane già portate alla luce negli anni precedenti: CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab e, più di recente, SIO. Tutte hanno in comune la capacità di riempire il vuoto lasciato da Hacking Team, la società milanese considerata una delle prime al mondo nel settore e smantellata dopo un grave data breach nel 2015, poi venduta e ribrandizzata. All’inizio di aprile 2026 WhatsApp aveva avvisato circa 200 utenti, quasi tutti in Italia, di aver installato una versione contraffatta dell’app contenente lo spyware Spyrtacus, prodotto dalla divisione Asigint di SIO. Nel 2021 la procura italiana aveva già sospeso l’uso degli spyware di CY4GATE e SIO a causa di malfunzionamenti emersi nel corso di indagini in corso. IPS non ha risposto alla richiesta di commento di TechCrunch.
