Redazione RHC : 26 Settembre 2025 17:15
Rhadamanthys è uno stealer di informazioni avanzato comparso per la prima volta nel 2022. Caratterizzato da un ciclo di sviluppo rapido — con almeno dieci rilascio diversi dall’esordio — il malware viene promosso e commercializzato nei forum sotterranei.
Nonostante il divieto imposto per il suo uso contro soggetti russi e/o di ex repubbliche sovietiche, il prodotto è ancora disponibile sul mercato clandestino; il prezzo parte da 250 dollari per 30 giorni di accesso, cifra che ne favorisce la diffusione tra i criminali informatici.
Rhadamanthys è progettato per raccogliere una vasta gamma di dati: informazioni di sistema, credenziali, wallet di criptovalute, password memorizzate nei browser, cookie e dati provenienti da numerose applicazioni. Integra numerose contromisure anti-analisi che complicano l’osservazione del codice e ne ostacolano l’esecuzione in ambienti sandbox.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Insikt Group di Recorded Future, ha acquisito e analizzato l’ultima release, la 0.7.0, evidenziando diverse novità. L’innovazione più significativa riguarda l’uso dell’intelligenza artificiale: tramite riconoscimento ottico dei caratteri (OCR), Rhadamanthys è ora in grado di individuare e estrarre automaticamente le “seed phrase” dei portafogli di criptovalute presenti in immagini. La funzione è suddivisa in componenti client e server: il client individua potenziali immagini contenenti seed phrase e, una volta esfiltrate al server di comando e controllo, il back-end esegue l’estrazione completa.
Tra le altre aggiunte, la versione 0.7.0 consente agli attori di minaccia di eseguire e installare pacchetti Microsoft Installer (MSI), un vettore che può eludere i controlli di sicurezza tradizionali perché i file MSI sono spesso associati a installazioni legittime. Inoltre, lo sviluppatore ha reso più resistente e “tamper-proof” la funzione che impedisce la riesecuzione del malware entro un intervallo di tempo configurabile, aggiornandola con meccanismi di cifratura e hashing.
Il malware è popolare nella comunità criminale; la sua rapida evoluzione e le funzionalità emergenti ne fanno una minaccia concreta per le organizzazioni. Il principale sviluppatore, noto con lo pseudonimo “kingcrete2022”, è stato bannato sia su XSS sia su Exploit Forums a causa delle accuse relative all’indirizzare soggetti russi e/o di ex repubbliche dell’URSS. Nonostante i divieti, l’autore continua a pubblicizzare nuove versioni attraverso messaggistica privata su TOX, Telegram e Jabber.
Nel rapporto di Insikt Group sono indicate strategie di mitigazione che le organizzazioni dovrebbero adottare. Sono inoltre disponibili rilevazioni per individuare Rhadamanthys e, come misura preventiva, è stato descritto un “killswitch” basato sull’impostazione di mutex noti sui sistemi non infetti per bloccarne l’esecuzione e proteggere macchine a rischio.
Gli infostealer rappresentano un pericolo significativo per la sicurezza aziendale: la pratica diffusa del riutilizzo delle password facilita l’escalation dall’ambito personale a quello professionale. Credenziali sottratte da account privati — ad esempio da un social network — possono consentire l’accesso non autorizzato a account lavorativi, soprattutto quando indirizzi e-mail professionali sono facilmente reperibili su piattaforme di networking. Inoltre, l’uso promiscuo di dispositivi per attività personali e professionali aumenta il rischio di infezione: l’apertura di link malevoli o la navigazione su siti compromessi da parte di dipendenti o familiari può esporre credenziali aziendali.
Per questi motivi il rapporto sottolinea l’importanza di politiche di password robuste, formazione continua del personale su pratiche di navigazione sicura e controlli di accesso rigorosi per ridurre l’impatto degli infostealer.
Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.
RedazioneNumerosi apprezzamenti stanno arrivando per Elon Musk, che continua a guidare con destrezza le molteplici attività del suo impero, tra cui Tesla, SpaceX, xAI e Starlink, mantenendo salda la sua posiz...
Tre ex dipendenti di DigitalMint, che hanno indagato sugli incidenti ransomware e negoziato con i gruppi di ransomware, sono accusati di aver hackerato le reti di cinque aziende americane. Secondo il ...
Cisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
