{"id":29765,"date":"2025-11-20T12:33:36","date_gmt":"2025-11-20T12:33:36","guid":{"rendered":"https:\/\/ciaoup.it\/?p=29765"},"modified":"2025-11-20T12:33:36","modified_gmt":"2025-11-20T12:33:36","slug":"kaspersky-svela-la-botnet-tsundere-che-colpisce-gli-utenti-windows-in-modo-imprevedibile","status":"publish","type":"post","link":"https:\/\/ciaoup.it\/?p=29765","title":{"rendered":"Kaspersky svela la botnet Tsundere che colpisce gli utenti Windows in modo imprevedibile"},"content":{"rendered":"

COMUNICATO STAMPA – CONTENUTO PROMOZIONALE<\/p>\n

\nIl Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una nuova botnet creata da un autore di minacce riapparso nel luglio 2025. Per attirare le vittime, l’autore dell’attacco utilizza un programma di installazione MSI nascosto sotto forma di falso setup per giochi popolari, in particolare sparatutto come \u201cValorant\u201d, \u2018CS2\u2019 o \u201cR6x\u201d, nonch\u00e9 altri software. La botnet \u00e8 attualmente in espansione e rappresenta una minaccia attiva per gli utenti Windows. \u00c8 gi\u00e0 stata rilevata da Kaspersky in Messico, Cile, Russia e Kazakistan.
\n\u00a0<\/p>\n

\u00a0<\/p>\n

La botnet Tsundere utilizza un approccio sempre pi\u00f9 diffuso che prevede l’uso di smart contract Web3 per memorizzare i propri indirizzi di comando e controllo (C2), migliorando in modo significativo la resistenza della propria infrastruttura. Il suo pannello C2 supporta due formati di distribuzione: un programma di installazione MSI e uno script PowerShell con impianti generati automaticamente. Questi impianti installeranno un bot in grado di eseguire in modo persistente il codice JavaScript che riceve dinamicamente, attraverso un canale WebSocket crittografato, dal C2, il che potrebbe portare all’esecuzione dannosa del codice inviato dall’autore della minaccia.\u00a0<\/p>\n

Per gestire le infezioni e aggiornare le posizioni C2, la botnet Tsundere utilizza riferimenti fissi sulla blockchain di Ethereum, come un wallet e un contratto designati. La modifica del server C2 richiede una sola transazione che aggiorna la variabile di stato del contratto con un nuovo indirizzo. L’ecosistema della botnet include anche un marketplace integrato e un pannello di controllo accessibile attraverso la stessa interfaccia.\u00a0<\/p>\n

\u00a0<\/p>\n

L’analisi indica con elevata certezza che l’autore della minaccia dietro la botnet Tsundere \u00e8 probabilmente di lingua russa, come dimostra l’uso della lingua russa nel codice, in linea con precedenti attacchi collegati allo stesso autore. La ricerca suggerisce anche una connessione tra la botnet Tsundere e il 123 Stealer creato da \u201ckoneko\u201d, offerto su un forum clandestino al prezzo di 120 dollari al mese.\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Il codice della botnet Tsundere \u00e8 scritto interamente in lingua russa\u00a0<\/p>\n

\u201cTsundere dimostra la rapidit\u00e0 con cui i criminali informatici si adattano: rappresenta un rinnovato sforzo da parte di un attore di minaccia presumibilmente identificato per rinnovare il proprio set di strumenti. Passando ai meccanismi Web3, la sua infrastruttura diventa molto pi\u00f9 flessibile e resiliente. Stiamo gi\u00e0 assistendo a una distribuzione attiva attraverso falsi programmi di installazione di giochi e collegamenti ad attivit\u00e0 dannose osservate in precedenza, quindi \u00e8 altamente probabile un ulteriore sviluppo di questa botnet\u201d, ha affermato Lisandro Ubiedo, Senior Security Expert del Kaspersky\u2019s Global Research and Analysis Team.
\n\u00a0<\/p>\n

\u00a0<\/p>\n

Per ulteriori dettagli e indicatori di compromissione, consultare l’articolo su Securelist.com.
\n\u00a0<\/p>\n

\u00a0<\/p>\n

Per proteggersi da queste minacce, Kaspersky consiglia di: \u00a0<\/p>\n

\u00a0<\/p>\n

\nContatti:
\nKaspersky
\nkaspersky@noesis.net
\n\u00a0<\/p>\n<\/p>\n

COMUNICATO STAMPA – CONTENUTO PROMOZIONALE<\/p>\n

Responsabilit\u00e0 editoriale di Kaspersky<\/p>\n

—<\/p>\n

immediapress<\/p><\/p>\n

\n\t\t<\/a>\n\t\t<\/div>","protected":false},"excerpt":{"rendered":"

COMUNICATO STAMPA – CONTENUTO PROMOZIONALE Il Global Research and Analysis Team (GReAT) di Kaspersky ha…<\/p>\n","protected":false},"author":3,"featured_media":29766,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[23],"class_list":["post-29765","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-comunicati","tag-immediapress"],"_links":{"self":[{"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/posts\/29765","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/ciaoup.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=29765"}],"version-history":[{"count":1,"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/posts\/29765\/revisions"}],"predecessor-version":[{"id":29805,"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/posts\/29765\/revisions\/29805"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ciaoup.it\/index.php?rest_route=\/wp\/v2\/media\/29766"}],"wp:attachment":[{"href":"https:\/\/ciaoup.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=29765"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ciaoup.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=29765"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ciaoup.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=29765"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}