Botnet alle porte: come CondiBot e Monaco Miner sfruttano i punti ciechi nelle difese di rete
Nuovi ceppi di malware trasformano router e dispositivi IoT in armi, mettendo a nudo vulnerabilità invisibili ai margini delle reti aziendali.
Quando la maggior parte dei team IT immagina un attacco informatico, pensa a laptop o server sotto assedio. Ma nel 2026, la vera azione si svolge nell’ombra-dentro router, VPN e firewall che, in silenzio, mantengono connesse le organizzazioni. Le recenti scoperte di una nuova variante di CondiBot e del cryptominer “Monaco” mostrano come questi dispositivi trascurati siano diventati terreno di conquista per i criminali informatici, spostando la prima linea della guerra digitale fino al margine stesso della rete.
Dati rapidi
- Gli attacchi ai dispositivi di rete sono aumentati di quasi otto volte negli ultimi anni e oggi sono implicati in oltre il 20% delle violazioni.
- La nuova variante di CondiBot prende di mira un’ampia gamma di router e dispositivi IoT basati su Linux, non solo i grandi vendor.
- “Monaco” è un brute-forcer SSH a scansione di massa e miner di Monero, che compromette miliardi di IP con credenziali deboli.
- Gli attaccanti sfruttano profondi “gap di visibilità” nell’infrastruttura di rete, mantenendo la persistenza sotto il sistema operativo ed eludendo gli strumenti di sicurezza tradizionali.
- L’infrastruttura di comando e controllo è spesso ospitata su servizi cloud pubblici, a testimonianza dell’evoluzione delle tattiche degli attaccanti.
La nuova frontiera: dispositivi di rete sotto assedio
Secondo le più recenti informazioni di threat intelligence, il campo di battaglia degli attacchi informatici è cambiato drasticamente. Non più soddisfatti di colpire gli endpoint degli utenti, gli attaccanti stanno abusando di router, VPN e firewall-dispositivi collocati in punti ad altissima leva e spesso invisibili ai normali sistemi di monitoraggio della sicurezza. I dati di Verizon e Google mostrano un’impennata allarmante degli attacchi contro questi apparati, con vulnerabilità zero-day e falle in software di terze parti che ormai superano le password deboli come vettori d’ingresso preferiti.
L’ultima prova arriva dalla cattura, da parte di Eclypsium, di un nuovo campione di CondiBot. Questo malware, discendente della famigerata botnet Mirai, è progettato per arruolare dispositivi basati su Linux in vasti eserciti DDoS (Distributed Denial of Service). Il suo design multi-architettura significa che può infettare di tutto, dai router domestici agli apparati di rete enterprise, usando una distribuzione del payload robusta e tattiche aggressive per disabilitare i rivali e radicarsi in profondità nel sistema. Una volta dentro, CondiBot può sopravvivere a riavvii e ripristini, restando in attesa di comandi dai suoi server di controllo.
Accanto a CondiBot, i ricercatori hanno individuato “Monaco”, un cryptominer basato su Go che scansiona miliardi di indirizzi IP, forzando gli accessi SSH con una lista hardcoded di credenziali deboli. Una volta ottenuto l’accesso, Monaco distribuisce un miner di Monero, elimina malware concorrenti e invia le credenziali rubate al suo centro di comando remoto-spesso ospitato su infrastrutture cloud commerciali. Le sue directory aperte e le build di debug suggeriscono un focus sullo sfruttamento di massa più che sulla furtività, probabilmente orchestrato da attori in cerca di guadagni rapidi.
Queste campagne sfruttano un punto cieco critico: la maggior parte delle organizzazioni ha poca o nessuna visibilità sul firmware o sul software embedded in esecuzione sui propri dispositivi di rete. Gli attaccanti sfruttano questo “gap di visibilità” per superare le difese, mantenere la persistenza senza essere rilevati e usare l’hardware compromesso come trampolino per ulteriori attacchi-compreso il passaggio dagli ambienti IT a quelli di tecnologia operativa (OT).
Cosa ci aspetta per la sicurezza di rete?
L’ascesa di malware come CondiBot e Monaco evidenzia una realtà scomoda: mentre le aziende irrobustiscono i propri endpoint, gli attaccanti si spostano semplicemente dove le difese sono più deboli. Il messaggio per i difensori è chiaro-l’infrastruttura di rete non può più essere trattata come una scatola nera fuori dal perimetro delle operazioni di sicurezza. Al contrario, le organizzazioni devono estendere monitoraggio, rilevamento delle minacce e risposta agli incidenti fino al margine stesso dei loro ambienti, trattando router e firewall come gli endpoint critici che sono davvero.
WIKICROOK
- Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da criminali informatici, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
- DDoS (Distributed Denial of Service): Un attacco DDoS sommerge un sito web o un servizio con traffico eccessivo, interrompendo le normali operazioni e rendendolo indisponibile per gli utenti reali.
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
- Persistenza: La persistenza comprende le tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
- Cryptojacking: Il cryptojacking è quando gli hacker usano di nascosto il tuo dispositivo per minare criptovalute, rallentandolo e aumentando i costi dell’elettricità a tua insaputa.




