Malware dentro il malware: trovate backdoor nel RAT Sakura

Giu 04, 2025 Marina Londei Hacking, In evidenza, Malware, News, RSS 0

---

Gli hacker sono i peggiori nemici di se stessi: i ricercatori di Sophos hanno individuato diverse backdoor nel codice sorgente di Sakura, un RAT (Remote Access Trojan) open-source disponibile su GitHub.

Tutto è nato dalla richiesta di un cliente della compagnia di verificare se i propri sistemi fossero in grado di resistere a Sakura. Analizzando il repository del RAT, il team di Sophos ha scoperto che, oltre a eseguire codice malevolo, il malware contiene a sua volta altri RAT e infostealer che colpiscono chi compila il codice. 

Non solo: approfondendo la natura del malware, i ricercatori hanno scoperto che lo sviluppatore che gestisce il repository ne possiede oltre un altro centinaio, la maggior parte dei quali contenenti altre backdoor. I repository sono o altri malware e tool per eseguire attacchi, oppure cheat per videogiochi; l‘hacker dietro Sakura non vuole quindi colpire solo coloro che usano il suo RAT, ma anche i videogiocatori. 

“Quando abbiamo analizzato le backdoor, siamo finiti in una tana del bianconiglio di offuscamento, catene di infezione contorte, identificatori e molteplici varianti di backdoor. In sintesi, un attaccante sta creando repository backdoor su larga scala, mirando prevalentemente ai cheater dei videogiochi e agli attaccanti inesperti, e probabilmente lo sta facendo da qualche tempo“.

In totale, i ricercatori hanno individuato 141 repository legati all’hacker, dei quali 133 contenevano backdoor; di questi, 111 contenevano la stessa backdoor, creata per sfruttare l’evento PreBuildEvent di Visual Studio per scaricare e installare altri malware durante l’esecuzione del RAT.

Oltre a quella del PreBuildEvent, i repository contengono altri tre tipi di backdoor: una variante scritta in Python; dei file screensaver (.scr) mascherati da file .NET solution (.sln); infine, due backdoor JavaScript.

Dei repository con backdoor, la maggior parte di essi (58%) sono cheat per videogiochi, mentre il 24% contengono malware, exploit o tool per gli attacchi. I restanti si dividono tra progetti per la creazione di bot, tool per criptovalute e strumenti di vario genere. Per dare l’idea di repository validi e attivi, l’attaccante ha creato un flusso automatizzato che aggiunge commit a intervalli regolari.

Chi c’è dietro il RAT Sakura?

L’hacker che gestisce i repository GitHub, tale ischhfd83, sembra essere legato a diverse campagne, molte delle quali risalenti al 2024. Nella maggior parte dei casi si è riscontrata la presenza di repository GitHub malevoli e della backdoor legata al PreBuildEvent.

Secondo i ricercatori di Sophos, ischhfd83 potrebbe essere un nuovo cliente di Stargazer Goblin, un noto fornitore di servizi Distribution-as-a-service; in alternativa, la campagna dell’attaccante potrebbe invece essere figlia di una rivalità col gruppo.

Nel codice sorgente il team di Sophos ha trovato numerosi commenti scritti in russo, ma, sottolineano i ricercatori, l’hacker potrebbe aver copiato il codice da altre sorgenti senza averlo ripulito.

L’impatto della campagna di ischhfd83 non colpisce solo gli altri hacker o i cheater, ma anche i ricercatori: spesso infatti gli esperti di sicurezza scaricano ed eseguono malware per analizzarlo. “Sebbene la maggior parte dei ricercatori prenda precauzioni ragionevoli, come eseguire il malware solo in ambienti di analisi isolati, incoraggiamo i nostri colleghi del settore a controllare due volte i segni di infezione” avvertono Matt Wixey e Andrew O’Donnell di Sophos. “Vale anche la pena di notare che il malware di solito non si preoccupa di infetta e quindi anche altri gruppi potrebbero essere stati infettati, comprese le persone che sperimentano con irepository open-source per curiosità. Ancora una volta, invitiamo tutti coloro che pensano di essere stati colpiti a prestare attenzione agli indicatori di compromissione“.

 

---

• backdoor, GitHub, hacker, RAT, Sakura, Sophos

---

---