Nato sul tubo di Telegram nei primi mesi del 2023, Ares Leaks si è trasformato rapidamente in uno hub globale per la vendita di dati rubati a istituzioni governative e aziende private in oltre 65 Paesi, tra cui Stati Uniti, Francia, Spagna, Italia, Australia e Paesi del Medio Oriente . Il sito internet ufficiale – ARES Leaks – non è nascosto nel dark web, ma visibile al pubblico, ed è completato da un forum noto come LeakBase, strutturato con servizi escrow, tutorial e canali VIP per vendite al dettaglio .
Le analisi di Cyfirma hanno evidenziato che Ares si comporta come un vero cartello del cybercrime, promotore di collaborazioni con gruppi noti come RansomHouse, Adrastea, KelvinSecurity e altri operatori specializzati . Questo approccio ha portato a un aumento esponenziale delle fughe di dati, ma anche all’offerta di servizi correlati: vendita di vulnerabilità zero-day, servizi DDoS, botnet, realizzazione malware e pen testing dannosi.
Iran e Russia nel mirino
A giugno 2025, Ares Leaks ha pubblicato circa 20 foto di persone descritte come appartenenti ai servizi di intelligence iraniani, scavando un solco fra i leak convenzionali e l’esposizione mirata di agenti operativi . Qualche mese prima, nell’aprile, era stato messo in vendita un database dell’FSB russo, con richieste fino a 120.000 USD per chi volesse acquistarlo .
L’attività di Ares va oltre la semplice estorsione: l’obiettivo è colonizzare tutto il settore dei leak. Dopo la chiusura di BreachedForum, Ares ha ospitato centinaia di migliaia di nuovi utenti sul suo forum e su LeakBase, cercando di sostituire gli spazi online precedenti e diventando un punto di riferimento per gruppi criminali che cercano accessi militari o istituzionali .
Implicazioni geopolitiche e rischio strategico
La pubblicazione di immagini riconducibili a agenti iraniani o la vendita di dati FSB indica che infrastrutture critiche e di intelligence dei Paesi target sono vulnerabili. Le azioni di Ares alimentano tensioni diplomatiche: l’esposizione visiva di agenti non è uno scandalo digitale, ma una ferita alla stessa architettura dell’intelligence e della deterrenza.
Oltre al danno operativo, il gruppo alimenta l’economia criminale transnazionale: vendite in criptovalute, canali di comunicazione separati, servizi business-to-business e business-to-consumer .
La rapida crescita di Ares Leaks testimonia una resilienza organizzativa che sfida ogni tentativo di contrasto. Ogni volta che un sito di cybercriminali viene chiuso, un altro emerge. Per ottenere una reale risposta servono cooperazione internazionale tra intelligence e forze dell’ordine, investimenti in contrasto strutturale e deterrenza digitale. Come scritto nel rapporto del Google Threat Intelligence Group, il cybercrime deve essere trattato come minaccia di sicurezza nazionale: “anche i crimini informatici con motivazioni finanziarie causano danni comparabili a quelli con matrice statale” .
Abbonati e diventa uno di noi
Se l'articolo che hai appena letto ti è piaciuto, domandati: se non l'avessi letto qui, avrei potuto leggerlo altrove? Se pensi che valga la pena di incoraggiarci e sostenerci, fallo ora.