CASO DI STUDIO // ANALISI DELL'INFRASTRUTTURA
Una indagine OSINT passiva a 27 parti che ha mappato un'infrastruttura di streaming multinazionale, ha identificato l'operatore attraverso 37+ account collegati e ha prodotto un dossier di intelligence completo con 186 passaggi di prova.
Un'operazione di streaming illegale che distribuiva migliaia di canali pirata in diversi mercati europei è stata investigata utilizzando esclusivamente tecniche passive di OSINT. Nel corso di un'indagine multi-fase che ha coinvolto 27 sessioni analitiche, l'operatore è stato pienamente identificato, l'intera infrastruttura server è stata mappata, il modello finanziario è stato ricostruito e un dossier pronto per le forze dell'ordine è stato prodotto.
L'indagine ha iniziato con un singolo punto dati — un URL del pannello di streaming — e attraverso una correlazione sistematica di intelligenza multi-sorgente, si è espansa per rivelare l'identità dell'operatore, la sua ubicazione domestica, le connessioni familiari, la relazione con l'ISP, un'architettura server a 5 nodi che copre 3 paesi, e un'operazione stimata che genera €84.000–€420.000 di ricavi nel corso della vita.
L'obiettivo operava dietro strati multipli di obfuscation: provider di hosting bulletproof, protezione Cloudflare, DNS wildcard e ruoli separati dell'infrastruttura (codifica, gestione del pannello, consegna CDN, distribuzione edge). L'operatore manteneva zero entità aziendale registrata — nessun registro aziendale, nessuna registrazione fiscale a loro nome collegata all'operazione.
L'obiettivo era rispondere a tre domande solo attraverso mezzi passivi: Chi gestisce questa infrastruttura? Come è strutturata tecnicamente e finanziariamente l'operazione? Quali prove esistono per supportare un'azione di adempimento?
Analisi dei pattern degli username, correlazione delle email, enumerazione delle piattaforme. Scoperte 37+ account su piattaforme per sviluppatori, social media, servizi di gaming e forum underground – tutte collegate attraverso pattern coerenti di username ed indirizzi email.
Analisi DNS, correlazione dei certificati, scansione delle porte, fingerprinting dei servizi. Mappati 5 nodi server in 3 paesi con ruoli distinti: origine encoding, gestione pannello, consegna CDN, edge europeo e relay posta elettronica. Identificati hosting bulletproof, infrastruttura NAS e pattern di accesso VPN.
Enumerazione API, inventario canali, categorizzazione contenuti. Documentata l'intera portata: migliaia di live stream, migliaia di titoli VOD, centinaia di serie TV – incluso centinaia di canali premium da 11+ detentori dei diritti in 5+ giurisdizioni.
Identificazione dei canali di pagamento, stima dei ricavi, mappatura dei fornitori upstream. Scoperto modello di pagamento solo fiat attraverso piattaforme di pagamento identificate, stimato numero di abbonati e ricavi, e tracciata la catena di fornitura del contenuto dalla sorgente satellite all'encoding fino alla distribuzione.
Incrocio di tutti i flussi di intelligence. L'identità reale dell'operatore è stata confermata attraverso la convergenza di catene di prove indipendenti: commits del repository del codice, profili social, registri pubblici, post forum e artefatti infrastrutturali.
L'architettura a 5 nodi è stata mappata utilizzando il DNS passivo, la trasparenza dei certificati e il fingerprinting dei servizi:
Nodo 1 (Origine/Codificatore): Connessione residenziale ISP che ospita l'hardware di codifica (NAS + codificatore hardware). Gestito dal luogo fisico dell'operatore con servizi FTP, SMTP, RTSP, RTMP ed VPN esposti. Il nodo con la sicurezza operativa più debole.
Nodo 2 (Pannello): Fornitore di hosting bulletproof che esegue software per il pannello di streaming con porte del database (MariaDB) e della cache (Redis) accessibili da Internet — sebbene con accesso limitato a un elenco di IP autorizzati.
Nodo 3 (CDN): Stesso hosting bulletproof, che gestisce la consegna dello streaming e l'ospitaggio VOD. In esecuzione software del server web end-of-life con CVE noti.
Nodo 4 (Edge): Nodo europeo di consegna edge su un diverso fornitore di hosting.
Nodo 5 (Posta): Relay di posta cloud che gestisce le comunicazioni del dominio.
Il pacchetto completo di intelligence — che include l'identificazione dell'operatore, la topologia dell'infrastruttura, l'analisi finanziaria, l'inventario del contenuto e la valutazione dell'impatto sui titolari dei diritti — è stato compilato in un dossier strutturato adatto per la segnalazione alle forze dell'ordine. La documentazione ha identificato i quadri normativi applicabili in più di 5 giurisdizioni e ha suggerito passi investigativi specifici che richiederebbero autorità legali per essere eseguiti (accesso al database, registrazioni delle transazioni, informazioni sui sottoscrittori dell'ISP).
L'intera indagine composta da 27 parti è stata condotta utilizzando esclusivamente tecniche di OSINT passive. Le fonti di intelligence includevano: risposte delle API pubbliche, record DNS, log di trasparenza dei certificati, analisi dei repository di codice, profili di social media, ricerche nei registri pubblici, fingerprinting passivo dei servizi e analisi dei post nei forum. Nessun sistema è stato accesso senza autorizzazione, non sono stati testati credenziali e non è stata effettuata alcuna esplorazione attiva.
Che si tratti di reti di frode, abuso del marchio o infrastruttura dei concorrenti — mappiamo ciò che gli altri perdono di vista.