Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una nuova botnet creata da un autore di minacce riapparso nel luglio 2025. Per attirare le vittime, l'autore dell'attacco utilizza un programma di installazione MSI nascosto sotto forma di falso setup per giochi popolari, in particolare sparatutto come “Valorant”, ‘CS2’ o “R6x”, nonché altri software. La botnet è attualmente in espansione e rappresenta una minaccia attiva per gli utenti Windows. È già stata rilevata da Kaspersky in Messico, Cile, Russia e Kazakistan.
La botnet Tsundere utilizza un approccio sempre più diffuso che prevede l'uso di smart contract Web3 per memorizzare i propri indirizzi di comando e controllo (C2), migliorando in modo significativo la resistenza della propria infrastruttura. Il suo pannello C2 supporta due formati di distribuzione: un programma di installazione MSI e uno script PowerShell con impianti generati automaticamente. Questi impianti installeranno un bot in grado di eseguire in modo persistente il codice JavaScript che riceve dinamicamente, attraverso un canale WebSocket crittografato, dal C2, il che potrebbe portare all'esecuzione dannosa del codice inviato dall'autore della minaccia.
Per gestire le infezioni e aggiornare le posizioni C2, la botnet Tsundere utilizza riferimenti fissi sulla blockchain di Ethereum, come un wallet e un contratto designati. La modifica del server C2 richiede una sola transazione che aggiorna la variabile di stato del contratto con un nuovo indirizzo. L'ecosistema della botnet include anche un marketplace integrato e un pannello di controllo accessibile attraverso la stessa interfaccia.
L'analisi indica con elevata certezza che l'autore della minaccia dietro la botnet Tsundere è probabilmente di lingua russa, come dimostra l'uso della lingua russa nel codice, in linea con precedenti attacchi collegati allo stesso autore. La ricerca suggerisce anche una connessione tra la botnet Tsundere e il 123 Stealer creato da “koneko”, offerto su un forum clandestino al prezzo di 120 dollari al mese
“Tsundere dimostra la rapidità con cui i criminali informatici si adattano: rappresenta un rinnovato sforzo da parte di un attore di minaccia presumibilmente identificato per rinnovare il proprio set di strumenti. Passando ai meccanismi Web3, la sua infrastruttura diventa molto più flessibile e resiliente. Stiamo già assistendo a una distribuzione attiva attraverso falsi programmi di installazione di giochi e collegamenti ad attività dannose osservate in precedenza, quindi è altamente probabile un ulteriore sviluppo di questa botnet”, ha affermato Lisandro Ubiedo, Senior Security Expert del Kaspersky’s Global Research and Analysis Team.
Per ulteriori dettagli e indicatori di compromissione, consultare l'articolo su Securelist.com.
Per proteggersi da queste minacce, Kaspersky consiglia di:
· Utilizzare esclusivamente software con licenza e piattaforme da gaming ufficiali di aziende verificate. Questo metodo è fondamentale per proteggere il dispositivo da accessi non autorizzati da parte di soggetti malintenzionati.
· Installare una soluzione di sicurezza affidabile e seguire le sue raccomandazioni. Le soluzioni sicure risolveranno automaticamente la maggior parte dei problemi e invieranno avvisi.
· Evitare di scaricare file eseguibili da fonti sconosciute o non affidabili.
· Fare attenzione alle e-mail di phishing che invitano a installare applicazioni da siti sconosciuti.
· Attenersi alle migliori pratiche, tra cui aggiornamenti regolari del software, utilizzo di password complesse e autenticazione a due fattori, nonché monitoraggio continuo per individuare eventuali segni di compromissione.
Informazioni sul Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) opera nel cuore di Kaspersky, scoprendo APT, campagne di spionaggio informatico, malware importanti, ransomware e tendenze criminali informatiche clandestine in tutto il mondo. Oggi GReAT è composto da oltre 35 esperti che lavorano a livello globale in Europa, Russia, America Latina, Asia e Medio Oriente. Talentuosi professionisti della sicurezza forniscono alla società una leadership nella ricerca e nell'innovazione anti-malware, apportando competenze, passione e curiosità senza pari alla scoperta e all'analisi delle minacce informatiche.
