Smash-and-Grab digitale: la misteriosa ascesa e caduta di ‘Arkanix Stealer’

È arrivato in fretta, ha colpito duro e poi è scomparso senza lasciare traccia. ‘Arkanix Stealer’, un nuovo malware sofisticato, è esploso nel sottobosco del cybercrimine alla fine del 2025, promettendo un punto unico per il furto digitale. Ma con la stessa rapidità con cui è emerso, questa operazione malware-as-a-service (MaaS) è svanita, lasciando dietro di sé una domanda inquietante: è stata una prova generale, un colpo mordi e fuggi, o il preludio a qualcosa di più grande?

Secondo Kaspersky, Arkanix Stealer era un infostealer “full-service”, progettato per cybercriminali che volevano massimizzare i danni con il minimo sforzo. Lo sviluppatore del malware lo offriva come piattaforma MaaS, completa di un pannello di controllo facile da usare, payload personalizzabili e un programma di referral per attirare nuovi clienti. In un panorama in cui le campagne malware di lunga durata sono la norma, l’approccio a raffica di Arkanix spicca.

Dal punto di vista tecnico, Arkanix non era affatto un peso piuma. Il suo nucleo era disponibile in due varianti: una nativa in C++ e una in Python. La build in C++ includeva misure avanzate anti-analisi, utilizzava VMProtect per eludere il rilevamento e implementava persino uno strumento di post-sfruttamento del browser chiamato ChromElevator. Nel frattempo, la variante Python era facilmente impacchettabile con strumenti come PyInstaller o Nuitka, consentendole di modificare la propria configurazione al volo recuperando nuove impostazioni da server remoti.

L’appetito del malware per i dati era vorace. Prendeva di mira 22 browser diversi, rastrellando credenziali, cookie, dati di compilazione automatica e token OAuth2. Andava a caccia di credenziali VPN dei principali servizi come NordVPN ed ExpressVPN. Saccheggiava account Discord e Telegram, esfiltrava file dalle directory utente e raccoglieva persino credenziali di gioco e dettagli di desktop remoto (RDP). Per non farsi mancare nulla, Arkanix poteva diffondersi inviando messaggi ai contatti Discord della vittima, massimizzando la portata con il minimo sforzo.

Dietro le quinte, l’infrastruttura di Arkanix era curata ma di breve durata. Due server gestivano il pannello di controllo e il monitoraggio delle vittime, entrambi protetti da pagine di login. Lo sviluppatore manteneva un canale Discord per supporto e aggiornamenti. Ma entro dicembre 2025, sia il pannello sia Discord sono scomparsi, senza spiegazioni e senza alcun segno di ulteriore sviluppo. I ricercatori di sicurezza sospettano che si sia trattato di un “mordi e fuggi” deliberato - un tentativo calcolato di raccogliere quanti più dati (e denaro) possibile prima di sparire e sottrarsi all’attenzione delle forze dell’ordine.

Sebbene il regno di Arkanix Stealer sia stato breve, il suo impatto è un promemoria inquietante: il panorama delle minacce sta evolvendo, con i cybercriminali che ora privilegiano campagne rapide e ad alto impatto rispetto a operazioni prolungate. L’improvvisa scomparsa di Arkanix lascia un’incertezza persistente - il suo codice riemergerà, affinato e ribattezzato, o è stato semplicemente un test per qualcosa di ancora più ambizioso?

WIKICROOK

• Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
• Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
• VMProtect: VMProtect è uno strumento che nasconde il codice software dal reverse engineering, comunemente usato sia da sviluppatori legittimi sia da autori di malware per proteggere o occultare il codice.
• Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, veicolata tramite email o file malevoli quando una vittima interagisce con essi.
• Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.