Netcrook Logo
👤 NEONPALADIN
🗓️ 21 Nov 2025   🌍 Europe

Game Over: Come la botnet Tsundere potenzia il cybercrimine con la furtività della blockchain

Gli hacker attirano i gamer con download fasulli, poi prendono il controllo dei PC Windows usando centri di comando alimentati da Ethereum.

In breve

  • La botnet Tsundere prende di mira utenti Windows con falsi installer di videogiochi.
  • Utilizza la blockchain di Ethereum per aggiornare segretamente i suoi server di comando.
  • Gli aggressori sfruttano sia file MSI che script PowerShell per l’infezione.
  • Indizi in lingua russa suggeriscono un gruppo criminale russofono.
  • I PC delle vittime possono essere trasformati in proxy per traffico malevolo o venduti nei mercati underground.

L’esca digitale

Immaginate la scena: un gamer, ansioso di ottenere gratis l’ultimo sparatutto, clicca su un download promettente. Invece di una schermata di vittoria, il suo PC diventa silenziosamente un soldato della vasta botnet Tsundere - un esercito ombra che cresce rapidamente sfruttando la fame mondiale di videogiochi.

Dalla sua comparsa a metà 2025, Tsundere ha dimostrato abilità nel fondere vecchi trucchi con una furtività all’avanguardia. I suoi creatori mascherano il malware con i nomi di giochi popolari come Valorant, Rainbow Six Siege e Counter-Strike 2, puntando sull’attrattiva dei download pirata. Con un semplice clic, le vittime installano inconsapevolmente un software che apre la porta a un gioco ben più sinistro.

Come Tsundere conquista le sue vittime

Il processo d’infezione è ingannevolmente semplice. I file scaricati, camuffati da legittimi installer di giochi (file MSI) o subdoli script PowerShell, installano un ambiente Node.js - pensatelo come la costruzione di un palcoscenico su cui il malware può esibirsi. Per mantenere lo spettacolo attivo, uno strumento chiamato pm2 garantisce che il codice malevolo si riavvii automaticamente ogni volta che il PC viene acceso.

Ma il trucco più astuto di Tsundere è l’uso della blockchain di Ethereum. Invece di inserire direttamente gli indirizzi dei server di comando e controllo (C2), gli aggressori li memorizzano all’interno di uno smart contract su Ethereum. Questo significa che possono cambiare il centro di controllo della botnet a piacimento, semplicemente aggiornando un record sulla blockchain - rendendo molto più difficile per i difensori tagliare la testa al serpente.

Una volta installato, il software della botnet si collega a questi server segreti e attende istruzioni. Gli aggressori possono inviare nuovo codice in qualsiasi momento, trasformando i computer infetti in proxy per il cybercrimine, o addirittura vendendo l’accesso ad altri criminali tramite un mercato sotterraneo.

Echi di campagne passate - e un legame russo

Sebbene la variante blockchain della botnet Tsundere sia innovativa, il copione generale è ben noto. Attacchi simili - come quelli sulla supply chain npm dello scorso anno - hanno preso di mira sviluppatori e gamer con codice malevolo nascosto in pacchetti affidabili. I ricercatori di Checkmarx e Socket hanno individuato tattiche sovrapponibili, mentre l’infrastruttura che ospita Tsundere è stata collegata anche al famigerato malware 123 Stealer, venduto a 120 dollari al mese.

Linguaggio nel codice sorgente e severi divieti di colpire vittime russe o della CSI (Comunità degli Stati Indipendenti) suggeriscono una crew russofona, in linea con una lunga tradizione di alcuni gruppi cybercriminali di evitare problemi in patria.

Conclusione: le regole del gioco sono cambiate

La botnet Tsundere non è solo un’altra campagna malware - è uno sguardo sul futuro del cybercrimine, dove la blockchain aggiunge un livello di resilienza e agilità. Finché le tentazioni digitali abbondano e gli aggressori innovano con nuovi strumenti e canali, i confini tra gamer e vittima, utente e complice, continueranno a sfumare. La lezione è chiara: nel mondo ad alto rischio del cybercrimine, anche un semplice download può trasformarti in una pedina di un gioco globale.

WIKICROOK

  • Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da cybercriminali, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.
  • MSI Installer: Un MSI Installer è un formato di file Windows usato per installare, aggiornare o rimuovere software. Può anche essere sfruttato per distribuire programmi dannosi.
  • Ethereum Blockchain: La blockchain di Ethereum è un registro pubblico e decentralizzato che registra transazioni e abilita smart contract, talvolta usata per comunicazioni malware occulte.
  • Script PowerShell: Uno script PowerShell è una serie automatizzata di comandi per computer Windows, usata per gestire o modificare sistemi - talvolta sfruttata dagli aggressori.
Tsundere botnet Cybercrime Ethereum blockchain
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news