Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Non è un bug, non è nemmeno un capriccio della TV.
È qualcosa di più sottile. A metà marzo 2026, mentre molti guardavano serie in streaming senza pensarci troppo, un nuovo attore entrava in scena sfruttando proprio quei dispositivi economici che nessuno controlla davvero. Il salto rispetto al passato è evidente già dai primi dettagli. Non più codice rudimentale, ma un’architettura pensata per restare, adattarsi, e soprattutto osservare. Non è un problema domestico, anche se nasce lì.
CECbot è una botnet che prende di mira i box Android TV, evoluzione diretta di Katana ma senza ereditarne il codice. Cambia tutto: comunicazioni cifrate avanzate, gestione nativa Android, e una struttura molto più sofisticata rispetto ai classici malware IoT. La distribuzione sfrutta una catena già nota: proxy residenziali e accessi ADB esposti. Una combinazione che permette di installarsi direttamente nella rete locale della vittima, senza bisogno di propagarsi da sola. Una volta dentro, però, il gioco cambia.
Il cuore del problema è duplice. Da un lato, undici tecniche di attacco DDoS, incluse operazioni HTTP/2 con TLS dinamico. Dall’altro, una capacità molto più inquietante: la scansione completa della rete domestica tramite subnet e ARP. In pratica, quel piccolo box sotto la TV diventa un punto di osservazione privilegiato. Rileva dispositivi, servizi attivi, configurazioni di rete. Non è più solo traffico da sfruttare, ma informazioni da raccogliere con metodo.
Poi c’è il dettaglio che spiazza. L’uso del protocollo HDMI-CEC. CECbot può inviare comandi direttamente al televisore, fino a spegnerlo. Non è automatizzato, serve un input dell’operatore, ma la funzione esiste e cambia la dinamica. Spegnere la TV significa ridurre la probabilità che qualcuno noti anomalie. Schermo nero, nessun sospetto immediato. Nel frattempo, il dispositivo continua a lavorare in background, invisibile.
La persistenza è costruita con nove livelli diversi. Servizi in foreground, job schedulati, watchdog nativi, modifiche di sistema e perfino blocco della disinstallazione. Una presenza difficile da rimuovere, anche per utenti esperti. C’è un altro aspetto che passa quasi inosservato. Il malware disattiva aggiornamenti OTA e verifiche di sicurezza. Il dispositivo smette di ricevere patch, restando vulnerabile nel tempo. Una scelta precisa, non un effetto collaterale.
E forse è proprio questo il punto più scomodo. Non è un attacco sofisticato contro bersagli di alto profilo. È una minaccia costruita su dispositivi economici, riportano i ricercatori, diffusi ovunque, spesso ignorati. E quindi perfetti.
Per la community di Red Hot Cyber: ignorare l’endpoint “meno importante” è sempre l’errore più comune. Qui diventa un varco sistemico. La vera domanda non è quanto sia diffusa questa botnet, ma quanti dispositivi simili stanno già facendo lo stesso, senza nome.
