Nascondino: RCS S.p.A.
VAT number: 07715580630Products: "Hermit" (*unofficial*)
Parent Company: Cy4Gate S.p.A. (13129151000)
Capabilities: Spyware, 0-day Exploits, IP Network Surveillance, Video/Audio Surveillance
RCS, anche conosciuta come RCS Lab oppure ETM Sicurezza, è un’azienda italiana di tecnologia informatica, parte del gruppo Cy4Gate insieme a Tykelab.
Fondata nel 1992, RCS si concentra principalmente sugli spyware per dispositivi mobili.
Già nel 2012, RCS era rivenditore del software di sorveglianza di Hacking Team a vari governi problematici come Turkmenistan, Pakistan, Bangladesh e Vietnam.[1]
Nel 2022, il Threat Analysis Group (TAG) di Google ha scoperto lo spyware “Hermit” creato da RCS. Lo spyware veniva fornito tramite link univoci inviati alla vittima tramite SMS, mentre l’ISP, in accordo con RCS, disattivava la connettività dati della vittima.
Lo spyware iOS è stato firmato tramite il programma Apple Developer Enterprise e conteneva una serie di exploit disponibili al pubblico (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837 e CVE-2020-9907) ed exploit 0-day (CVE-2021-30883 e CVE-2021-30983).[2]
La versione Android richiedeva alla vittima di abilitare l’installazione di applicazioni da fonti sconosciute e non conteneva alcuna funzionalità 0-day pronta all’uso, ma il codice conteneva suggerimenti su tali funzionalità.[3][4]
Lo spyware “Hermit” è stato diffuso in Kazakistan e Siria, entrambi Paesi con una scarsa reputazione in materia di diritti umani, e in Italia.[5]
La scoperta ha suscitato ampia copertura mediatica, con diverse testate che hanno evidenziato come gli ISP abbiano collaborato con RCS per disabilitare la connettività dati delle vittime prima di inviare SMS contenenti link allo spyware.[6][7][8]
Apple ha successivamente revocato i certificati enterprise developer utilizzati da RCS per distribuire la versione iOS di Hermit.[9]
Un’indagine di Lighthouse Reports ha definito RCS Lab/Tykelab “l’NSO d’Europa”, rivelando operazioni di sorveglianza sistematica in Libia, Iraq, Mali, Costa Rica, Nicaragua, Pakistan, Malesia, Grecia, Portogallo e Italia.[10]
La commissione PEGA del Parlamento Europeo ha esteso la propria indagine per includere le aziende italiane Tykelab e RCS Lab.[11]
Nel 2024, Meta e Google hanno rilasciato un report relativo ad RCS[12]. Nel report descrivono lo spyware e la metodologia utilizzata da RCS, mostrando come opera la sua rete di account utilizzati in operazioni di disinformazione su Facebook e Instragram operativa in Italia, Kazakhstan e Mongolia. La rete comprendeva attività di social engineering e tentativi di phishing utilizzando false identità presentate come manifestanti, giornalisti e giovani donne, per indurre le persone a condividere le proprie email e numeri di telefono, oltre che a cliccare su link malevoli.
Meta ha inoltre documentato che RCS Labs e i suoi clienti hanno inserito “canary token” in documenti Word camuffati da articoli di giornale o petizioni anti-governative, per tracciarne l’apertura e la condivisione. Tali documenti, secondo Meta, sono stati condivisi con giornalisti, attivisti e dissidenti in Azerbaigian, Kazakistan e Mongolia.[13]
Questa azienda è anche presente su Surveillance Watch.