In questa breve analisi mostriamo come l’analisi dei record DNS storici possa essere uno step decisivo per deanonimizzare siti web che diffondono materiale illecito.
Alcuni mesi fa diverse fonti di stampa hanno descritto le attività di un sito web (camhub.to), con dominio registrato presso le isole Tonga, sul quale venivano diffusi illecitamente streaming video ottenuti accedendo abusivamente alle telecamere di sorveglianza installate in abitazioni private e luoghi sensibili, ivi inclusi ambienti sanitari.
In questa indagine OSINT perveniamo all’identificazione di una persona fisica posta in posizione di possibile controllo sulle infrastrutture informatiche del portale.
A partire dal periodo in cui l’analisi è stata avviata (settembre 2025), il sito non è stato più consultabile; dunque, si è reso necessario procedere all’analisi attingendo a dati di carattere prevalentemente storico:
- record Whois storici e attuali
- record DNS storici (ottenuti consultando database di tipo “Passive DNS”)
- Versioni archiviate del dominio camhub.to consultabili su archive.org (WayBack Machine)
- Conversazioni Telegram
- Protocolli di crittografia SSL
Dall’acquisizione dei record WHOIS rileviamo che il dominio risultava già registrato nel dicembre 2022. Tuttavia, fino alla prima metà del 2024 camhub.to risultava di fatto inutilizzato e mantenuto in stato di “ibernazione”. Le prime versioni archiviate del sito sono consultabili solo a partire dalla seconda metà di dicembre 2024.
FASE 1 – ANALISI DELLE CONVERSAZIONI SOCIAL
Esulando dalla consultazione dei dati “ufficiali” inerenti la registrazione del dominio, si nota che camhub.to e il dominio gemello camhub.vip sono stati oggetto di alcune conversazioni sulla piattaforma di messaggistica Telegram. Le conversazioni sono oggi consultabili unicamente su aggregatori di terze parti che hanno archiviato i messaggi scambiati dagli utenti di alcune chat oggi non più attive.
Il canale “Camhub Warning”, verosimilmente riconducibile ad un collettivo di hacker, avvisava gli utenti di camhub.to che era stata avviata un’azione di contrasto volta a smantellarne l’infrastruttura informatica. L’11 dicembre 2024 il collettivo annunciava che il dominio gemello camhub.vip era stato sospeso:
Il 17 dicembre 2024 il collettivo annunciava di aver raggiunto un accordo con camhub, all’esito del quale le iniziative di contrasto venivano sospese essendo stato raggiunto un accordo, su basi verosimilmente monetarie:
La ricerca prosegue con l’analisi di ulteriori conversazioni su Telegram. Il 18 dicembre 2024 gli amministratori della chat “CamHubVIP” annunciavano di aver ripristinato le funzionalità di camhub.vip, essendo nel frattempo cessate le sopracitate azioni di contrasto.
Nella medesima chat veniva anche pubblicizzato un altro canale, denominato “Voy&Pub / @voy_pub_ua”, orientato alla diffusione di contenuti voyeuristici.
Il canale (frequentato da oltre 88.000 iscritti) risulta di ipotizzabili radici ucraine (si nota la bandiera ucraina apposta accanto al nome del canale, ma anche la lingua dei contenuti).
FASE 2 – MAPPATURA DELLE INFRASTRUTTURE WEB
Nel periodo in cui il sopracitato collettivo contrastava le attività del portale, i record DNS di camhub venivano sostituiti con quelli di Cloudflare. Questa azione era finalizzata a mettere in sicurezza l’infrastruttura rispetto ad attacchi DDOS.
L’utilizzo dei reverse proxy di Cloudflare è, spesso, fattore di impedimento rispetto all’identificazione dell’indirizzo IP reale su cui l’infrastruttura insiste. La conoscibilità dell’indirizzo IP reale è fondamentale al fine di perseguire percorsi investigativi complessi e pervenire all’identificazione di strutture informatiche correlate.
Nel caso che qui ci occupa, la consultazione di motori di ricerca “IoT” (“Internet of Things”) ci consente di bypassare le protezioni di Cloudflare e individuare almeno tre indirizzi IP, non appartenenti alla rete di Cloudflare, utilizzati da camhub prima della configurazione dei layer di protezione e anonimato.
Gli indirizzi IP in questione sono:
- 91.194.110.44
- 91.194.110.57
- 91.194.110.58
Tali indirizzi IP risultavano in uso a camhub fra il dicembre 2024 e il settembre 2025 e rappresentano, dunque, un valido pivot point utilizzabile per mappare eventuali infrastrutture informatiche collegate.
Si rileva, innanzitutto, che gli IP sopramenzionati sono tutti riconducibili ad un hosting provider ucraino con infrastrutture informatiche dislocate in Europa e, segnatamente, nei Paesi Bassi. Il provider risulta essere la società UA-Hosting SIA, con sede legale in Lettonia ma riconducibile a due soggetti di verosimili origini ucraine. Il provider, ovviamente, non risponde delle attività illecite poste in essere sui portali ospitati dai propri server, ma può essere interpellato dall’Autorità Giudiziaria per ottenere i dati identificativi del titolare/gestore di camhub.
A partire dai tre indirizzi IP avviamo un ciclo di analisi avvalendoci di soluzioni software e database che consentono di acquisire i record DNS passivi storici per ciascun IP. I record DNS storici indicano a quali domini web / hostname ciascun IP sia stato in precedenza associato.
L’immagine che segue illustra, in forma semplificata, le principali relazioni IP > hostname rilevate:
Notiamo immediatamente, nel diagramma relazionale, la presenza di alcuni “outlier”, ovvero di nomi a dominio non riconducibili al network camhub:
- i-t.kz (con sottodominio camhub.i-t.kz)
- vclub.vc
Il dominio vclub.vc risulta registrato a nome di “Oleg U Dominikan”, con indirizzo e-mail vclub.adm@gmail.com. Nel Whois del dominio identifichiamo anche un contatto telefonico mobile che, però, risulta riconducibile ad una donna di nazionalità russa il cui network sociale, ricostruibile aggregando dati della piattaforma di social networking “Odnoklassniki”, non presenta elementi tali da confermarne il collegamento con camhub o con vclub.vc.
Similmente, il nominativo “Oleg U Dominikan” non risulta riconducibile ad alcuna persona fisica effettivamente identificabile. Con ogni probabilità, l’amministratore di vclub.vc ha utilizzato dati di terzi e nomi fittizi per la registrazione del dominio.
In ogni caso, la home page del sito www.vclub.vc espone un forum dedicato a tematiche voyeuristiche, circostanza del tutto coerente con la natura dei contenuti di camhub e del sopracitato canale telegram “Voy&Pub”.
Le iscrizioni al forum, come evidenziato in un thread pubblicato dall’amministratore (attivo con username “gre”), sono bloccate. Gli utenti registrati erano, alla data della consultazione, 69.307.
Gli approfondimenti effettuati sul dominio vclub.vc ci consentono di accertare un effettivo nesso di interoperabilità con camhub, atteso che il sopracitato canale “Voy&Pub” menzionava vclub.vc come “miglior forum per discutere degli argomenti del canale [Voy&Pub]”
Al netto delle pur rilevanti informazioni acquisite, la ricerca sul conto del forum non ci consente di identificare alcuna persona fisica effettivamente collegabile a camhub. Proseguiamo quindi la verifica sul secondo dominio “outlier”: i-t.kz.
Il dominio risulta registrato in Kazakistan da un’impresa specializzata nella fornitura di servizi IT, mentre l’indirizzo e-mail del contatto amministrativo risulta essere r*******o@gmail.com
Notiamo che i record DNS del sito aziendale sono i medesimi già utilizzati da camhub.vip prima della migrazione ai servizi di anonimizzazione di Cloudflare (ns15.inhostedns.com, ns25.inhostedns.com, ns35.inhostedns.com).
Per quanto riguarda il sottodominio camhub.i-t.kz segnaliamo la presenza di una mera pagina di cortesia (oggi rimossa, ma comunque archiviata su Wayback Machine) che rimanda inequivocabilmente al portale oggetto di indagine.
L’indirizzo e-mail r********o@gmail.com, così come l’impresa registrante il dominio, fanno riferimento univoco ad un medesimo tecnico informatico di origini kazache, Roman E. G., attivo professionalmente anche in Russia ma, almeno in apparenza, residente in Ucraina (circostanza del tutto coerente, quindi, con l’utilizzo di un hosting provider ucraino – v. sopra).
Segnaliamo, infine, che il nickname dell’amministratore del forum vclub.vc (“gre”), rispecchia le iniziali del soggetto.
Dall’analisi dei protocolli di crittografia del dominio i-t.kz notiamo, infine, che il sottodominio camhub.i-t.kz risulta iscritto per la prima volta, all’interno dei certificati SSL, nel corso del mese di luglio 2024, ovvero durante la fase di presumibile staging della piattaforma.
Abbiamo identificato il titolare di Camhub? Non ne abbiamo la certezza. Certamente però, gli indizi acquisiti consentono di ipotizzare che R.G.E. sia stato quantomeno interessato nella gestione tecnico-operativa del sito.
Il Garante della Privacy, dopo aver annullato in autotutela l’avvertimento rivolto ad una società statunitense ritenuta gestore del sito (società invero terza rispetto a camhub.to) avrebbe ora elementi sufficienti a procedere con una ulteriore segnalazione nei confronti dell’impresa kazaca, forse con maggiori probabilità di identificare il gestore effettivo. Sempre che sia necessario farlo, dato che camhub.to non è più online da mesi.