Skitnet è un nuovo e sofisticato malware multistadio usato dai cybercriminali per attacchi mirati: tecniche stealth, persistenza e payload personalizzati.
Autore: Redazione SecurityOpenLab
L’ottimizzazione e la combinazione di tecniche collaudate in architetture sempre più stratificate, con una evoluzione che si manifesta in campagne multistadio che si adattano dinamicamente alle difese delle vittime, stanno rendendo gli attacchi sempre più difficili da individuare e bloccare. L’emergere di Skitnet (o Bossnet) segna un ulteriore salto di qualità: si tratta di un malware multistadio altamente sofisticato, che incarna la nuova generazione di minacce cyber in cui la combinazione di tecniche stealth avanzate, modularità e capacità di adattamento rende la difesa un compito decisamente arduo.
La lotta contro Skitnet e contro questa nuova ondata di attacchi richiede una stretta collaborazione tra analisti, vendor e organizzazioni, oltre a un costante aggiornamento tecnologico e formativo. L’analisi proposta da Catalyst fa comprendere che solo un approccio integrato e proattivo può garantire la resilienza necessaria per contrastare efficacemente minacce che, come Skitnet, sono progettate per sfuggire alla security tradizionale e mantenere la persistenza nei sistemi infetti.
Come accennato, Skitnet è un malware multistrato progettato per evitare la detection e stabilire una persistenza duratura nei sistemi infetti. Sebbene le informazioni sul gruppo che lo ha sviluppato siano limitate, le analisi suggeriscono un livello di sofisticazione tipico degli APT o di gruppi criminali altamente organizzati.
Una prima analisi rivela che lo sviluppo fa capo al gruppo di lingua russa LARVA-306, che lo propone su forum underground dal 19 aprile 2024 sia come malware che come “pacchetto compatto” e lo pubblicizza come un'installazione completamente automatizzata. È esplicitamente progettato per essere uno strumento versatile ed evasivo, che fa uso di più linguaggi di programmazione e metodi di crittografia. Dall'inizio del 2025 è usato da diversi operatori di ransomware in attacchi reali.
Skitnet impiega una catena di infezione stratificata: i primi stadi coinvolgono l’uso di strumenti di codifica e offuscamento per nascondere il payload iniziale, spesso distribuito tramite email di phishing o drive-by download (visitando una pagina web compromessa). Una volta avviato, il malware sfrutta processi legittimi di Windows come per esempio RegAsm.exe o RegSvcs.exe per iniettare il suo codice, mimando attività normali così da mascherare la presenza anomala.
La persistenza è garantita da meccanismi come la modifica del registro di Windows o l’uso di task schedulati. Invece, l’elusione dei controlli si basa sulla suddivisione del codice in segmenti eseguiti dinamicamente, così da non allertare i sistemi di sicurezza tradizionali. Così facendo Skitnet sopravvive a riavvii del sistema e aggiornamenti di sicurezza.
Tra le funzionalità documentate di questo malware risultano la raccolta di credenziali (furto di informazioni di autenticazione da browser e applicazioni), cifratura di file sensibili tramite componenti ransomware spesso accompagnata da minacce di diffusione dei dati sottratti, e infine l’installazione di strumenti per il controllo remoto del sistema compromesso, che consentono agli attaccanti di mantenere un accesso persistente e gestire le attività malevole a distanza.
Gli attacchi mirano principalmente a organizzazioni con infrastrutture Windows non aggiornate o prive di strumenti di monitoraggio avanzati, sebbene non siano esclusi attacchi mirati a specifici settori.
Skitnet non introduce strumenti nuovi; piuttosto ottimizza tecniche già testate in campagne precedenti. Tuttavia, sono l’architettura modulare e la capacità di adattarsi dinamicamente alle difese che lo rendono particolarmente insidioso.
Il processo di attacco si articola in quattro fasi principali: l’infezione iniziale rappresenta il primo stadio, durante il quale il malware viene avviato tramite un file dannoso (per esempio .JSE o .EXE), solitamente scaricato da link malevoli o allegati a email di phishing. Offuscamento e decodifica costituiscono la seconda fase, in cui il codice maligno viene decodificato direttamente in memoria per non lasciare tracce sul disco e ridurre il rischio di rilevamento. L’esecuzione in processi legittimi è la fase critica in cui Skitnet inietta il suo codice in eseguibili Windows autentici, mimetizzando l’attività malevola. L’ultima fase è la comunicazione con i server di comando e controllo, che permette la trasmissione di dati rubati e la ricezione di istruzioni per ulteriori azioni, come il download di payload secondari o l’escalation dei privilegi.
La combinazione di tecniche avanzate e di moduli intercambiabili conferisce a Skitnet una significativa flessibilità operativa. La personalizzazione dinamica del payload, che viene modificato in base alla configurazione del sistema target, consente attacchi sia generici che mirati a particolari vittime.
Contrastare Skitnet richiede una combinazione di strumenti tecnologici e consapevolezza umana. Uno dei pilastri della difesa è il monitoraggio del comportamento: occorre attivare soluzioni EDR che analizzino anomalie in processi legittimi come quelli indicati sopra. Occorrono poi tecniche di sandboxing per l’isolamento e l’ispezione di codici sospetti, e reverse engineering per decifrare strati di offuscamento. Chiudono il quadro della difesa gli aggiornamenti e patch per la chiusura di tempestiva di vulnerabilità note.