Aggiornamenti recenti Gennaio 5th, 2026 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Nel 2026 sempre più attacchi autonomi AI-driven e deepfake: le previsioni di sicurezza di ClearSkies
- Grave vulnerabilità nei chip Bluetooth Airoha: molti i marchi colpiti
- Kaspersky: così funziona il mercato del lavoro nel dark web
- Kaspersky: il cybercrime finanziario ha alzato il livello nel 2025
- CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS
Shadowpad è una Backdoor in Xmanager, Xshell, Xftp e Xlpd: aggiornare subito!
Kaspersky Lab ha identificato Shadowpad, una backdoor nascosta in alcuni software della società Netsarang tramite la compromissione del loro sistema di aggiornamento.
Ha fatto molto scalpore, qualche tempo fa, il modo in cui NotPetya è stato distribuito a una serie di aziende, ma quella di sfruttare gli aggiornamenti per infettare software leciti è una tecnica usata da molti anni dai criminali informatici e Kaspersky ha appena scovato una nuova campagna che prendeva di mira aziende di medie e grandi dimensioni.
La campagna d’attacco Shadowpad consisteva nell’infiltrare, tramite un aggiornamento “lecito”, una backdoor nei programmi Xmanager, Xshell, Xftp e Xlpd prodotti dalla società Netsarang.
Questi software di amministrazione sono attualmente usati in molte aziende attive nei settori della finanza, dell’istruzione, delle telecomunicazioni, della produzione industriale, dell’energia e dei trasporti.
L’aggiornamento incriminato, nei quali i malintenzionati sono stati in grado di inoculare il modulo malevolo, è del 18 luglio e al momento sembra che il software sia stato attivato solo in un’azienda di Hong Kong, mentre le altre installazioni sono rimaste “dormienti”.
Il modulo base di Shadowpad, infatti, si limita a inviare a intervalli di otto ore una serie di informazioni di base sui sistemi colpiti (dominio, dati sull’hardware e sulla rete) a un server di comando e controllo. I criminali deciderebbero poi, in base a quanto raccolto, quali sono i target potenzialmente interessanti, attivando su di questi il download di altri moduli che permettono di prendere il controllo totale del sistema infetto.
La scoperta del malware è avvenuta grazie a un software di analisi del traffico di rete interno che ha sollevato un alert relativo alle richieste DNS che il modulo malevolo inviava ciclicamente all’esterno.
I sistemisti del sistema colpito si sono insospettiti e hanno chiesto supporto a Kaspersky Lab che, dopo aver chiesto lumi al produttore sugli strani contatti all’esterno, ha attivato il suo team di analisi (Great) e scoperto “l’intruso”.
Quando abbiamo visto in questa campagna risolleva l’importanza di avere una struttura di sicurezza a più livelli che possa far fronte a casi in cui la compromissione arrivi da fonti insospettabili. La celerità con cui la campagna Shadowpad è stata scoperta ha giocato un ruolo essenziale nel limitare i danni causati.
Chi avesse uno o più dei software di Netsarang installati in azienda dovrebbe aggiornare appena possibile e verificare che il primo modulo non abbia già attivato ulteriori malware.
Sul blog Securelist si trova un approfondimento sul malware dal quale risulta che l’ipotesi attualmente più probabile sull’origine di Shadowpad è quella che sia stato prodotto da uno dei gruppi cinesi specializzati in cyberspionaggio.
Alcune similitudini nel codice del modulo, infatti, richiamano qualcosa di già visto in altri malware creati dai gruppi PlugX e Winnti, ma il ricercatore specifica che le congruenze sono comunque piuttosto limitate e non danno certezze sull’attribuzione.
Condividi l'articolo
- Giancarlo Calzetta, Great, infiltrazione, Kaspersky lab, malware, Shadowpad, sicurezza informatica, supply chain attack
Ransomware: IKARUSdilapidated sfugge agli antivirus e attacca le aziende
Microsoft teme il garante europeo e aggiusta il tiro su win 10
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un
-
Grave vulnerabilità nei chip Bluetooth Airoha: molti i... Il Bluetooth è di nuovo al centro di una grave... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è...
-
CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS Nel corso della settimana appena analizzata, il CERT-AGID... -
Una vulnerabilità di ASUS Live Update di sette anni fa... Una vecchia vulnerabilità di ASUS Live Update è ancora...
Ransomware: la serie
No posts found.