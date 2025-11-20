Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una nuova botnet creata da un autore di minacce riapparso nel luglio 2025. Per attirare le vittime, l'autore dell'attacco utilizza un programma di installazione MSI nascosto sotto forma di falso setup per giochi popolari, in particolare sparatutto come “Valorant”, ‘CS2’ o “R6x”, nonché altri software.

La botnet Tsundere utilizza un approccio sempre più diffuso che prevede l'uso di smart contract Web3 per memorizzare i propri indirizzi di comando e controllo (C2), migliorando in modo significativo la resistenza della propria infrastruttura. Il suo pannello C2 supporta due formati di distribuzione: un programma di installazione MSI e uno script PowerShell con impianti generati automaticamente. Questi impianti installeranno un bot in grado di eseguire in modo persistente il codice JavaScript che riceve dinamicamente, attraverso un canale WebSocket crittografato, dal C2, il che potrebbe portare all'esecuzione dannosa del codice inviato dall'autore della minaccia.

Per gestire le infezioni e aggiornare le posizioni C2, la botnet Tsundere utilizza riferimenti fissi sulla blockchain di Ethereum, come un wallet e un contratto designati. La modifica del server C2 richiede una sola transazione che aggiorna la variabile di stato del contratto con un nuovo indirizzo. L'ecosistema della botnet include anche un marketplace integrato e un pannello di controllo accessibile attraverso la stessa interfaccia.

L'analisi indica con elevata certezza che l'autore della minaccia dietro la botnet Tsundere è probabilmente di lingua russa, come dimostra l'uso della lingua russa nel codice, in linea con precedenti attacchi collegati allo stesso autore. La ricerca suggerisce anche una connessione tra la botnet Tsundere e il 123 Stealer creato da “koneko”, offerto su un forum clandestino al prezzo di 120 dollari al mese.

“Tsundere dimostra la rapidità con cui i criminali informatici si adattano: rappresenta un rinnovato sforzo da parte di un attore di minaccia presumibilmente identificato per rinnovare il proprio set di strumenti. Passando ai meccanismi Web3, la sua infrastruttura diventa molto più flessibile e resiliente. Stiamo già assistendo a una distribuzione attiva attraverso falsi programmi di installazione di giochi e collegamenti ad attività dannose osservate in precedenza, quindi è altamente probabile un ulteriore sviluppo di questa botnet”, ha affermato Lisandro Ubiedo, Senior Security Expert del Kaspersky’s Global Research and Analysis Team.