Il team Global Research and Analysis Team (GReAT) di Kaspersky ha individuato una nuova botnet, denominata Tsundere, attribuita con alta probabilità a un autore di minacce già noto e riapparso nel luglio 2025. La campagna è attiva e in espansione, con infezioni documentate in Messico, Cile, Russia e Kazakistan, e punta in particolare agli utenti Windows attraverso un approccio particolarmente insidioso.
Falsi installer per videogiochi popolari
La strategia di distribuzione sfrutta un meccanismo molto efficace: falsi setup MSI di giochi conosciuti, tra cui Valorant, CS2 e R6x, insieme a pacchetti software contraffatti. L’utente, convinto di installare un videogioco, attiva invece un file MSI infetto o uno script PowerShell che genera automaticamente impianti malevoli. Questi installer depositano un bot persistente, capace di eseguire codice JavaScript ricevuto dinamicamente da un server C2 attraverso un canale WebSocket crittografato.
Uso della blockchain per mascherare e stabilizzare l’infrastruttura
Uno degli elementi più rilevanti della botnet Tsundere è l’adozione di tecniche avanzate basate su smart contract Web3, usati per memorizzare indirizzi di comando e controllo. Questo meccanismo, sempre più popolare nel cybercrimine, rende l’infrastruttura del malware più flessibile, difficile da bloccare e resiliente.
Il sistema prevede riferimenti fissi su blockchain Ethereum, associati a un wallet e a un contratto specifico. Cambiare l’indirizzo C2 richiede una singola transazione che aggiorna la variabile di stato del contratto, evitando così interventi infrastrutturali complessi.
La ricerca evidenzia inoltre la presenza di un pannello di controllo e di un marketplace integrato, accessibili tramite la stessa interfaccia, con funzioni che suggeriscono un modello operativo strutturato e facilmente scalabile.
Possibili collegamenti con il malware “123 Stealer”
Le analisi condotte da Kaspersky indicano con elevata certezza che l’autore dietro Tsundere sia un soggetto di lingua russa, come dimostrato dal codice interamente scritto in russo e da elementi riconducibili ad attacchi precedenti. Il team GReAT ipotizza una relazione tecnica tra Tsundere e il malware 123 Stealer, creato dallo sviluppatore noto come “koneko” e venduto per 120 dollari al mese su forum clandestini.
Secondo Lisandro Ubiedo, Senior Security Expert del GReAT, Tsundere rappresenta un passo avanti importante nelle capacità dell’autore: “La migrazione verso meccanismi Web3 rende l’infrastruttura più elastica e resistente. Stiamo già osservando una diffusione attiva attraverso falsi installer di videogiochi, e la botnet mostra caratteristiche che suggeriscono un’evoluzione imminente.”
Come proteggersi dalla botnet Tsundere
Le raccomandazioni di Kaspersky si concentrano su comportamenti essenziali per ridurre il rischio di infezione:
- Utilizzo di software ufficiali con licenza e piattaforme di gaming certificate, in modo da evitare installer manomessi.
- Installazione di soluzioni di sicurezza affidabili, capaci di bloccare automaticamente la maggior parte delle minacce e segnalare attività sospette.
- Evitare il download di file eseguibili da fonti non verificate, una delle principali vie di infezione individuate nella campagna Tsundere.
- Attenzione alle email di phishing, spesso utilizzate come vettori secondari per distribuire installer fasulli.
- Adozione delle best practice di sicurezza, tra cui aggiornamenti regolari, password complesse, autenticazione a due fattori e monitoraggio costante dei dispositivi.
Per informazioni tecniche, indicatori di compromissione e campioni analizzati, Kaspersky rimanda all’approfondimento pubblicato su Securelist.com.
