PuTTY, il cavallo di Troia perfetto: come gli hacker si nascondono nei tool più usati dagli IT

Gli hacker amano sfruttare i tool più innocui per infiltrarsi nelle reti dei loro obiettivi e questo noi tutti lo sappiamo.

E, in questo caso, stanno puntando a PuTTY, il client SSH popolare. È come usare un travestimento per confondersi tra i “buoni”. Loro, gli hacker criminali, lo preferiscono perché è come un agente doppio: gli permette di mescolare azioni dannose con quelle normali, rendendo difficile la rilevazione.

Si è quindi scoperto un trucco per smascherarli: seguendo le tracce lasciate involontariamente nel registro di Windows. Gli aggressori stanno eseguono file binari PuTTY come plink.exe o pscp.exe per passare da un sistema all’altro tramite tunnel SSH e sottrarre file sensibili senza distribuire malware personalizzato.

Recentemente, campagne malware che abusano del download di PuTTY hanno diffuso la backdoor Oyster, mostrano chiaramente queste possano portare a modifiche della rete e a esfiltrazioni di dati attraverso richieste HTTP POST.

Ne ha parlato recentemente l’esperto di sicurezza Maurice Fielenbach riportando che nonostante l’aggressiva pulizia dei log e degli artefatti, PuTTY memorizza le chiavi host SSH nel registro in HKCUSoftwareSimonTathamPuTTYSshHostKeys .

La memorizzazione comprende gli indirizzi IP delle destinazioni, le porte e le firme digitali delle connessioni, rappresentando una sorta di “cronologia digitale”. Mediante la correlazione di questi dati con i registri di autenticazione e i flussi di rete, gli investigatori riescono a ripristinare i percorsi compiuti dagli aggressori, anche nel caso in cui i registri degli eventi siano insufficienti.

Ricordiamo che nel corso del 2025, gli amministratori Windows sono stati presi di mira da ondate di malware di versioni trojanizzate di PuTTY, favorendo una rapida propagazione laterale. La rilevazione di tali minacce risulta problematica in quanto PuTTY fa parte dei normali flussi di lavoro IT; tuttavia, spesso è possibile identificare la presenza di strumenti malevoli attraverso la rilevazione di scansioni RDP anomale o traffico SSH irregolare successivo alla compromissione.

Per contrastare operazioni elusive, è fondamentale che le aziende limitino l’utilizzo di PuTTY agli host autorizzati e ruotino regolarmente le chiavi SSH. Ricerche di chiavi di registro e attività SSH su porte non standard dovrebbe essere una priorità di analisi per i team di sicurezza.

Inoltre, la possibilità di sfruttare vulnerabilità di PuTTY, come CVE-2024-31497, che permettono il recupero delle chiavi favorendo la persistenza, può essere annullata applicando le relative patch.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.