Nel settembre 2025, le autorità del Regno Unito hanno arrestato due giovani hacker legati al gruppo Scattered Spider, sospettati di essere coinvolti nell’attacco informatico avvenuto nell’agosto 2024 contro Transport for London (TfL), l’agenzia responsabile del trasporto pubblico della capitale britannica. I due adolescenti, Thalha Jubair di 19 anni e Owen Flowers di 18, sono stati fermati presso le rispettive abitazioni a Londra e Walsall grazie a un’operazione coordinata dalla National Crime Agency (NCA).

L’indagine ha messo in luce la presunta partecipazione dei giovani a una serie di attacchi sofisticati contro infrastrutture critiche, in particolare contro TfL, causando gravi disagi e perdite economiche per milioni di sterline. Il caso di Flowers si era già distinto nel settembre 2024, quando venne inizialmente arrestato per il coinvolgimento nell’attacco, ma successivamente rilasciato su cauzione. Ulteriori indagini hanno poi rivelato che avrebbe preso di mira anche aziende sanitarie statunitensi, tra cui SSM Health Care Corporation e Sutter Health.

Jubair è stato anche accusato di violazione della Regulation of Investigatory Powers Act per non aver fornito alle autorità i codici di accesso dei dispositivi sequestrati. Queste accuse si sommano a quelle statunitensi, rese pubbliche dal Dipartimento di Giustizia (DoJ), che ha contestato a Jubair reati di associazione a delinquere finalizzata alla frode informatica, frode telematica e riciclaggio di denaro. Secondo il DoJ, tra maggio 2022 e settembre 2025, il gruppo avrebbe portato a termine almeno 120 intrusioni nei sistemi informatici di aziende e organizzazioni statunitensi, estorcendo con metodi di ingegneria sociale e ransomware almeno 115 milioni di dollari.

Le tecniche adottate dai componenti di Scattered Spider prevedevano la manipolazione di dipendenti per ottenere accesso non autorizzato alle reti, il furto e la cifratura di dati sensibili e la richiesta di riscatti per evitare la pubblicazione delle informazioni trafugate. L’impatto delle intrusioni ha coinvolto anche infrastrutture critiche e il sistema giudiziario federale degli Stati Uniti.

Nel luglio 2024, le autorità americane hanno sequestrato portafogli di criptovalute riconducibili a Jubair, bloccando asset digitali per un valore di circa 36 milioni di dollari. Parte di questi fondi, tra cui 8,4 milioni, risultano trasferiti ad altri wallet per eludere i controlli. Se riconosciuto colpevole, Jubair rischia fino a 95 anni di reclusione.

Il caso mette in evidenza la crescente minaccia rappresentata da gruppi criminali cyber guidati anche da giovanissimi e sottolinea la necessità di rafforzare la collaborazione internazionale nella lotta al cybercrime.