Skitnet: Il Malware Economico che Sta Sostituendo QakBot nei Gruppi Ransomware

Redazione RHC : 10 Giugno 2025 15:20

Nella primavera del 2024, uno strumento poco conosciuto chiamato Skitnet , noto anche come “Bossnet“, è apparso sui forum di hacker underground. Nel giro di pochi mesi, è diventato un successo nell’arsenale dei gruppi ransomware, sostituendo strumenti familiari che erano stati colpiti da operazioni internazionali come Operation Endgame.

Quest’ultima, aveva causato gravi danni alle reti QakBot e IcedID nel maggio 2024 , lasciando i criminali informatici senza i loro consueti canali di distribuzione del malware.

Un nuovo strumento multi-fase nelle mani dei RaaS

Skitnet, uno strumento dannoso multi-fase sviluppato da un aggressore con lo pseudonimo LARVA306, si è rapidamente imposto nella nicchia emergente. Ha iniziato a essere utilizzato attivamente da gruppi noti come Black Basta e Cactus.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo gli analisti di WardenShield, il loro interesse è dovuto non solo alle capacità tecnologiche, ma anche alla disponibilità della soluzione. Skitnet è economico, modulare e riesce a eludere abilmente il rilevamento, il che lo rende particolarmente interessante nel contesto della crescente concorrenza nel settore del Ransomware-as-a-Service.

Skitnet è diventato particolarmente utile nelle campagne incentrate sulla doppia estorsione. I gruppi prima rubano dati sensibili, poi crittografano l’infrastruttura della vittima, aumentando la pressione con la promessa di divulgazione pubblica. Questa tattica è utilizzata da tempo, ma Skitnet la rende ancora più complessa grazie a un post-exploit persistente e furtivo.

Una delle caratteristiche principali del malware è la sua architettura complessa. È basato su una combinazione dei linguaggi Rust e Nim , il che ne complica l’analisi e il rilevamento.

Infezione e comunicazione con il C2 di Skitnet

L’infezione inizia con un loader Rust, che inietta nella RAM un binario Nim crittografato con l’algoritmo ChaCha20. Per il caricamento viene utilizzata la libreria DInvoke-rs, che consente l’esecuzione del codice direttamente dalla memoria, senza scrittura su disco. Questo ha di fatto aggirato la protezione delle firme degli antivirus .

La comunicazione con il server di controllo avviene tramite un canale non standard: una DNS reverse shell. Il meccanismo utilizza query DNS casuali mascherate da normale traffico di rete. Tre thread paralleli nel binario Nim forniscono segnali a impulsi, la ricezione dei comandi e la trasmissione dell’output all’operatore, bypassando completamente i normali sistemi di filtraggio di rete.

È importante anche il modo in cui Skitnet si insinua nel sistema. Quando viene attivato il comando di avvio, sul computer infetto appare una nuova directory “C:\ProgramData\huo”, dove il malware scarica tre componenti contemporaneamente. Uno di questi è un file eseguibile legittimo di ASUS chiamato “ISP.exe”. È firmato digitalmente, il che contribuisce a evitare sospetti. Insieme a esso, vengono scaricati la libreria dannosa “SnxHidLib.DLL” e lo script “pas.ps1” su PowerShell, che garantisce la comunicazione con il server degli aggressori.

Skitnet crea quindi un collegamento a “ISP.exe” nella cartella di avvio di Windows. Al riavvio del sistema, avvia il file eseguibile firmato, che a sua volta carica una libreria fittizia. La DLL avvia l’avvio di uno script di PowerShell, ristabilendo la comunicazione con il centro di comando e garantendo la presenza a lungo termine nel sistema.

I forum underground ne parlano. I RaaS ascoltano

Di particolare interesse è la scelta dell’infrastruttura di distribuzione: Skitnet è venduto sul popolare marketplace di servizi per la criminalità informatica RAMP . Questo evidenzia la crescente industrializzazione del segmento ombra, dove anche i partecipanti inesperti possono accedere a strumenti sofisticati a un costo relativamente contenuto.

Skitnet non è quindi solo un nuovo malware, ma il sintomo di una tendenza più ampia: la sua ampia diffusione, l’elevata tecnologia e l’enfasi sulla fase di post-sfruttamento lo rendono una minaccia che potrebbe rimanere a lungo negli arsenali dei ransomware.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli