Netcrook Logo
👤 AGONY
🗓️ 17 Oct 2025  

Il ladro che non muore mai: i nuovi trucchi raffinati di Rhadamanthys minacciano tutti noi

I cybercriminali stanno facendo un salto di qualità: Rhadamanthys Stealer ora offre fingerprinting dei dispositivi e payload nascosti, segnando una nuova era di malware professionali e persistenti.

In breve

  • Rhadamanthys Stealer è uno dei principali strumenti malware-as-a-service (MaaS), ora alla versione 0.9.2.
  • Le nuove funzionalità includono fingerprinting avanzato di dispositivi/browser e la capacità di nascondere codice dannoso all’interno di immagini PNG.
  • Venduto in pacchetti mensili a più livelli a partire da 299 dollari, viene commercializzato come un software legittimo.
  • Gli sviluppatori utilizzano branding e infrastrutture in stile aziendale, rendendo questa minaccia persistente e adattabile.
  • I payload vengono distribuiti tramite steganografia, eludendo gli strumenti di sicurezza tradizionali.

Un impero del malware in costruzione

Immagina un ladro mutaforma che non solo ruba i tuoi beni, ma studia anche la tua casa, impara le tue abitudini e torna ogni volta con nuovi trucchi. Questa è la realtà che i difensori della cybersecurity affrontano con Rhadamanthys Stealer - una famiglia di malware evoluta da semplice infostealer a sofisticata operazione di cybercrimine professionale. Comparso per la prima volta nel 2022, Rhadamanthys era inizialmente solo un altro nome nei forum underground, ma il suo sviluppatore, noto come "kingcrete2022", aveva ambizioni più grandi.

A differenza della maggior parte dei progetti malware di breve durata, Rhadamanthys viene venduto tramite siti web eleganti e in stile aziendale con nomi come "RHAD security" e "Mythical Origin Labs". I creatori pubblicizzano anche strumenti complementari come Elysium Proxy Bot e Crypt Service, offrendo una suite completa di soluzioni per il cybercrimine. Il malware viene distribuito come servizio, con piani in abbonamento che vanno da 299 a 499 dollari al mese, e un’esclusiva versione Enterprise disponibile su richiesta - rendendo chiaro che non si tratta di un passatempo da dilettanti.

Trucchi tecnici: furtività, steganografia e fingerprinting

Ciò che distingue l’ultimo aggiornamento di Rhadamanthys non è solo l’aggiunta di nuove funzionalità, ma il modo ingegnoso in cui vengono implementate. Lo stealer ora raccoglie "impronte digitali" dettagliate dei dispositivi e dei browser web infetti - come se stesse studiando il terreno prima del furto vero e proprio. Queste informazioni aiutano gli attaccanti a personalizzare gli attacchi e a superare le difese.

Forse l’aspetto più insidioso è l’uso della steganografia da parte di Rhadamanthys: nasconde i suoi payload dannosi all’interno di file immagine PNG, WAV o JPEG dall’aspetto innocuo. Per estrarre la vera minaccia serve una chiave segreta, rendendo la rilevazione molto più difficile per gli antivirus tradizionali. Il malware controlla anche se viene osservato o testato - confrontando immagini di sfondo e nomi utente con quelli noti degli ambienti sandbox, e rilasciando tutte le sue capacità solo quando ritiene di essere al sicuro.

Per restare un passo avanti ai difensori, Rhadamanthys modifica costantemente l’offuscamento del codice e i nomi dei moduli, e imita persino funzionalità di malware rivali come Lumma, ma con varianti tecniche proprie. Gli esperti di sicurezza di Check Point e Recorded Future hanno monitorato questi cambiamenti, avvertendo che tale professionalizzazione significa che Rhadamanthys - e la sua crescente base di clienti - sono destinati a restare.

Perché è importante: il business del cybercrimine

Rhadamanthys è emblematico di una tendenza più ampia: il malware non è più opera di singoli hacker, ma di gruppi organizzati e orientati al business che vendono le loro creazioni su scala globale. Con branding accattivante, supporto clienti e modelli in abbonamento, questi operatori confondono i confini tra startup di software legittime e imprese criminali. Per i difensori, questo significa che la minaccia è persistente, in evoluzione e molto più difficile da sradicare.

Man mano che Rhadamanthys continua a perfezionare il suo arsenale, la corsa agli armamenti tra cybercriminali e difensori si intensifica. La capacità dello stealer di adattarsi, nascondersi e professionalizzarsi segnala un futuro in cui il malware non è solo un problema tecnico, ma anche un problema di business e sociale. In questa nuova era, vigilanza e adattabilità sono le uniche armi per restare un passo avanti.

WIKICROOK

  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Steganografia: La steganografia nasconde messaggi segreti o codice all’interno di file comuni, come immagini o audio, rendendo difficile individuare le informazioni nascoste.
  • Device Fingerprinting: Il device fingerprinting raccoglie dettagli unici dal tuo dispositivo per identificarlo o tracciarlo online, spesso usato per la sicurezza, la pubblicità o per aggirare i controlli sulla privacy.
  • Offuscamento: L’offuscamento è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare da parte di persone o strumenti di sicurezza.
  • Sandbox: Una sandbox è un ambiente sicuro e isolato in cui gli esperti analizzano in sicurezza file o programmi sospetti senza mettere a rischio sistemi o dati reali.
AGONY AGONY
Elite Offensive Security Commander
← Back to news