Una campagna malevola attribuita al gruppo BlackCat sta sfruttando falsi siti di download di Notepad++ per distribuire malware e sottrarre dati sensibili agli utenti, mediante risultati manipolati sui motori di ricerca. L’attacco è stato scoperto da CNCERT e Microstep Online, che hanno ricostruito una filiera di compromissione basata su SEO malevolo, siti di phishing molto credibili e una catena di infezione multistadio finalizzata a furto di credenziali e keylogging. Nel mirino degli attacchi cui sono aziende e server esposti in rete; la finalità è alimentare una vasta botnet per il furto di informazioni e lo svolgimento di attività illecite a scopo economico.​

Secondo quanto pubblicato dai ricercatori, quando un utente avvia una ricerca con oggetto Notepad++ nei principali motori di ricerca, il secondo risultato lo indirizza verso un sito di download fasullo che ne imita in modo credibile l’aspetto e la struttura. Tale scelta di posizionamento non è casuale: facendo leva sulla fiducia che gli utenti ripongono nei risultati di ricerca, BlackCat manipola gli algoritmi SEO per favorire i propri domini nel ranking. I siti ingannevoli riproducono con precisione l’esperienza di quelli legittimi, così da completare il contesto di apparente autorevolezza che riduce le difese psicologiche della vittima. La ciliegina sulla torta consiste poi nell’ostacolare la detection evitando di servire direttamente un eseguibile malevolo. Invece, gli attaccanti attuano un processo di reindirizzamento a più stadi che include anche una efficace simulazione dell’interfaccia di GitHub.​

Il finto installer di Notepad++ crea sul desktop un collegamento che punta a una backdoor che a sua volta avvia il codice malevolo.​ Questa backdoor fa ampio uso di tecniche di DLL sideloading, sfruttando file cifrati, decifrati al volo e caricati in memoria tramite esecuzione riflessiva. Questa procedura riduce le tracce su disco e complicare l’attività di detection. Inoltre, il malware legge informazioni di configurazione preimpostate nel registro di sistema.​

Per la comunicazione con l’infrastruttura di comando e controllo, il trojan utilizza un dominio creato il 5 settembre 2025; l’analisi della risoluzione DNS mostra un’associazione esclusiva con l’infrastruttura BlackCat a partire dal 12 settembre 2025. Attraverso questo canale gli attaccanti possono impartire comandi, aggiornare il malware, estrarre dati e gestire in modo centralizzato la botnet costruita sfruttando i falsi download.​

Funzionalità del trojan e impatto della botnet

Le funzionalità del trojan sono finalizzate al furto di informazioni: il malware è in grado di sottrarre credenziali memorizzate nei browser, registrare la digitazione tramite keylogging, monitorare il contenuto degli appunti e raccogliere dati sensibili sull’host infetto. Le informazioni esfiltrate vengono archiviate in directory dedicate create dal malware e quindi inviate ai server controllati da BlackCat, dopo essersi garantito la persistenza mediante chiavi di avvio automatico nel registro.​

Gli analisti sottolineano che si tratta di una backdoor sviluppata ad hoc, non riconducibile a malware reperibile nei marketplace criminali: questo conferma l’investimento del gruppo nella creazione di strumenti proprietari per il furto di dati. Questa specificità ostacola la detection basata su firme note e richiede un approccio difensivo fondato sull’analisi comportamentale e sugli indicatori di compromissione legati all’infrastruttura C2.​

I dati di monitoraggio mostrano la portata della campagna: tra il 7 e il 20 dicembre 2025 in Cina sono stati rilevati circa 277.800 server compromessi. L’attività massima della botnet ha toccato quota 62.167 sistemi online contemporaneamente e fino a 437.700 connessioni giornaliere verso i server di comando e controllo.​

L’evoluzione di BlackCat

La campagna contro gli utenti di Notepad++ fa parte di una storia criminale che prende  il via almeno dal 2022 e che è stata caratterizzata da un particolare focus sul furto di dati e l’accesso remoto ai sistemi compromessi. Nel 2023 BlackCat è riuscito a sottrarre circa 160.000 dollari in criptovalute impersonando AICoin, una piattaforma di trading, attraverso siti di download fasulli che distribuivano software malevolo. L’anno successivo il gruppo ha sfruttato i risultati di Bing per diffondere versioni contraffatte del browser Chrome, veicolando malware per il furto dati e miner di criptovaluta.​

A giugno 2025 la stessa tecnica è stata estesa a popolari applicazioni come QQ International e iTools, distribuite tramite noti motori di ricerca domestici. Questo percorso evidenzia la capacità di adattamento dei cyber criminali, che riciclano lo stesso modello operativo applicandolo a software diversi e a più ampi bacini di potenziali vittime.​

Come proteggersi

Di fronte a una campagna di questa scala, i ricercatori raccomandano di scaricare software esclusivamente dai siti o repository ufficiali verificati e di verificare l’integrità dei file tramite hash e scansione antivirus prima dell’installazione. Alle aziende è caldeggiata l’adozione di soluzioni di protezione endpoint con scansioni regolari e policy rigorose che scoraggino l’uso di link di download non verificati e software di provenienza incerta.​

In caso di sospetta infezione da botnet, le indicazioni sono quelle già note:  avviare immediatamente procedure strutturate di incident response che includano analisi forense per identificare i vettori di compromissione, isolamento dei sistemi coinvolti e bonifica completa degli host.