Gli analisti di Microsoft hanno scoperto una backdoor Windows chiamata GigaWiper che combina tre famiglie di malware, capace di spiare, rubare dati e distruggere informazioni in modi diversi. Registrato per la prima volta nell'ottobre 2025, il malware è scritto in Go e può eseguire funzioni individuali a comando.
Gli analisti di Microsoft hanno riportato la scoperta di una nuova backdoor Windows chiamata GigaWiper, che combina almeno tre famiglie di malware.
Il malware è in grado di spiare la vittima, rubare file, controllare da remoto il sistema infetto e distruggere permanentemente i dati in diversi modi contemporaneamente.
Gli specialisti di Microsoft Threat Intelligence hanno registrato per la prima volta gli attacchi utilizzando GigaWiper nell’ottobre 2025. Riferiscono che il malware è scritto in Go e i suoi operatori possono eseguire funzioni individuali a comando, scegliendo tra spionaggio, esfiltrazione e distruzione di informazioni sulla macchina infetta.
Advertising
I ricercatori hanno scoperto due varianti del malware. La prima è un normale cleaner che funziona a livello del disco fisico. Questa versione utilizza Windows Management Instrumentation (WMI) per identificare la partizione di sistema Windows, elimina la tabella delle partizioni, quindi sovrascrive il contenuto del disco, distrugge i metadati e riavvia il sistema.
Il secondo campione è una backdoor modulare a tutti gli effetti, uno dei componenti in effetti è un vero e proprio viper.
Per proteggersi nel sistema, si maschera da OneDrive, crea un’attività di pianificazione degli aggiornamenti di OneDrive che viene eseguito ogni minuto e archivia i dati del servizio nella chiave di registro HKCU\SOFTWARE\OneDrive\Environment.
GigaWiper dispone di altri due modi per distruggere i dati. Uno dei moduli malware si basa quindi sul codice del ransomware.
Crittografa i file, aggiunge loro l’estensione .candy e cambia lo sfondo del desktop. In questo caso, il malware non salva la chiave e non lascia una richiesta di riscatto, il che significa che è impossibile decrittografare i dati interessati.
Advertising
L’altro componente è FlockWiper il quale è stato riscritto in Go. Sovrascrive ripetutamente il disco di sistema utilizzando modelli diversi. Inoltre, un comando separato disabilita l’ambiente di ripristino di Windows e provoca una schermata blu, dopo la quale il dispositivo smette di avviarsi.
GigaWiper ha molto più che semplici capacità distruttive: la backdoor è in grado di acquisire screenshot da tutti i monitor, registrare continuamente lo schermo di una macchina infetta e aprire una sessione VNC nascosta, consentendo agli aggressori di controllare la tastiera e il mouse della vittima.
Il malware può anche eseguire comandi PowerShell, raccogliere informazioni sul sistema infetto, gestire processi e servizi, modificare il registro e cancellare i registri eventi di Windows. Quel che è peggio è che nei campioni analizzati gli esperti hanno scoperto preparativi finora inutilizzati per un keylogger e ulteriori metodi di distruzione dei dati.
Va notato che i precedenti ricercatori di Binary Defense avevano già scoperto questo malware e gli avevano dato il nome BLUERABBIT. Successivamente gli esperti hanno collegato il malware a un gruppo di hacker iraniano che attaccava organizzazioni israeliane.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.