Damp black stone walls leading to a wooden door
Ricerche sulle CyberMinacce

La strana storia di ischhfd83: quando i cybercriminali si attaccano a vicenda

Una semplice richiesta di un cliente porta a un labirinto di malware con backdoor e cheat per videogiochi
Scritto da ,
12 Giugno 2025
Threat Research asyncrat Backdoor cybercrime forums featured lumma stealer Sophos X-Ops

In Sophos X-Ops riceviamo spesso domande dai nostri clienti per sapere se sono protetti da alcune varianti di malware. A prima vista, una recente richiesta sembrava come tante altre: un cliente voleva sapere se avessimo protezioni contro “Sakura RAT”, un progetto malware open-source ospitato su GitHub, in seguito ad articoli che lo descrivevano come dotato di “sofisticate capacità di elusione”.

Approfondendo Sakura RAT, ci siamo accorti subito di due cose. Primo, che il RAT in sé probabilmente non costituiva una vera minaccia per il nostro cliente. Secondo, che sebbene il repository contenesse davvero codice malevolo, quel codice era destinato a colpire chi compilava il RAT, tramite infostealer e altri RAT. In altre parole, Sakura RAT era dotato di una backdoor.

Considerata la nostra precedente esplorazione del mondo, di nicchia ma attivo, degli attori della minaccia che si attaccano tra loro, abbiamo deciso di indagare ulteriormente — ed è lì che le cose sono diventate strane. Abbiamo scoperto un collegamento tra lo sviluppatore di Sakura RAT e oltre cento altri repository con backdoor – alcuni presentati come strumenti di attacco o malware, altri come cheat per videogiochi.

Analizzando le backdoor, ci siamo ritrovati in un labirinto di offuscamenti, catene di infezione complesse, identificatori e molteplici varianti di backdoor. In sintesi: un attore della minaccia sta creando repository con backdoor su larga scala, prendendo di mira soprattutto cheater nei videogiochi e aspiranti cybercriminali inesperti – e probabilmente lo fa già da tempo.

La nostra ricerca suggerisce un collegamento con un’operazione di Distribution-as-a-Service segnalata tra il 2024 e il 2025 (vedi l’articolo precedente), ma che potrebbe essere attiva in qualche forma già dal 2022.

Abbiamo segnalato a GitHub tutti i repository con backdoor ancora attivi al momento della nostra indagine, insieme a un repository che ospitava un archivio 7z malevolo. Abbiamo inoltre contattato i gestori dei paste site che contenevano codice offuscato e maligno. Al momento della pubblicazione, il repository con l’archivio 7z, la gran parte dei repository con backdoor e molti dei paste malevoli risultano rimossi.

Leggi tutto l’articolo.

L’autore

Matt Wixey is a Principal Technical Editor and Senior Threat Researcher at Sophos. He is a former penetration tester, and previously led cybersecurity R&D capabilities at both PwC UK and a specialist unit in the Metropolitan Police Service, digging into emerging attack vectors, vulnerabilities, and new technologies. Matt has spoken at national and international conferences, including Black Hat USA, DEF CON, ISF Annual Congress, 44con, and BruCon.

L’autore

Andrew O'Donnell works as a senior threat researcher for SophosLabs and has been working at Sophos since 2007.

His areas of interest include attack tools, reverse engineering, malware analysis, and finding ways to defend against attacks at all stages.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *