Lunedi 06 Luglio 2026 08:24:45 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware & Botnet

Ethereum diventa un canale nascosto per il controllo delle botnet

Pubblicato: 20 Maggio 2026 10:06Categoria: Malware & BotnetAutore: NEXUSGUARDIAN

Si dice che Void utilizzi smart contract per il comando e controllo, un design che può rendere l'interruzione più difficile rispetto a una normale infrastruttura ospitata.

Una botnet non ha bisogno di una tradizionale farm di server per restare connessa. Nel caso di Void, il dettaglio rilevante non è solo il coinvolgimento di malware, ma il fatto che il livello di controllo sia segnalato su Ethereum, dove i comandi possono essere incorporati in un ambiente blockchain pubblico anziché in un singolo host vulnerabile a un takedown. Questo sposta il problema del difensore dal bloccare una macchina al monitorare un sistema distribuito alla ricerca di segnali di controllo sospetti.

Fatti rapidi

  • Void è segnalata come una botnet recentemente identificata.
  • Il suo livello di comando e controllo si dice utilizzi smart contract di Ethereum.
  • Il design è pensato per essere resiliente e più difficile da interrompere con i normali metodi di takedown.
  • Il caso viene confrontato con una precedente campagna blockchain-C2 collegata ad Aeternum.
  • Il formato esatto dei comandi e la portata operativa completa non sono ancora stati stabiliti pubblicamente.

Perché il C2 su blockchain conta

Gli smart contract non sono segreti per impostazione predefinita. Sono frammenti di codice pubblici e indirizzabili su una blockchain, e questa visibilità può essere piegata a vantaggio da operatori che vogliono un punto di rendezvous durevole. Per i difensori, la sfida è che il piano di controllo potrebbe non dipendere più da un singolo nome di dominio o da un server noleggiato che può essere sequestrato, bloccato o messo in sinkhole.

Questo non rende la botnet intoccabile. Cambia però il modello di ricerca. Invece di cercare solo infrastrutture non più attive, gli analisti potrebbero dover correlare telemetria di rete, interazioni blockchain e comportamento degli endpoint. In pratica, ciò significa cercare traffico JSON-RPC insolito, polling periodico di endpoint blockchain o processi che normalmente non dovrebbero comunicare con un servizio di catena pubblica.

La lezione più ampia è che gli attaccanti spesso prendono in prestito caratteristiche di affidabilità da sistemi legittimi. Le blockchain pubbliche sono progettate per la persistenza e l'alta disponibilità, ed è proprio per questo che possono risultare attraenti come livello di controllo. Dal punto di vista difensivo, il vero rischio non è che ogni botnet basata su blockchain sia identica, ma che un singolo canale interrotto possa non bastare se l'operatore ha integrato percorsi alternativi o logiche di fallback.

Al momento della stesura, il percorso tecnico completo utilizzato da Void resta poco chiaro, incluso se la logica di controllo risieda sulla mainnet o in un altro ambiente compatibile con EVM. Questa incertezza è importante. Gli analisti dovrebbero considerare il caso come un promemoria a verificare le ipotesi, evitare un'eccessiva dipendenza dal blocco dei domini ed estendere il rilevamento a comportamenti che sembrano un uso legittimo della blockchain ma compaiono nel punto sbagliato della rete.

Conclusione

Void è un altro segnale che l'infrastruttura del cybercrime sta imparando a nascondersi dentro sistemi progettati per durare. Il punto importante non è che Ethereum sia “il problema”, ma che qualsiasi tecnologia affidabile possa essere riadattata in un'infrastruttura resiliente per malware quando i difensori si concentrano troppo strettamente sui vecchi indicatori. In questo spazio, la resilienza è la superficie d'attacco.

WIKICROOK

  • Smart contract: Un programma distribuito su una blockchain che può contenere logica e stato in un indirizzo pubblico.
  • Command-and-control (C2): Il canale di comunicazione che il malware usa per ricevere istruzioni e coordinare l'attività.
  • Botnet: Un gruppo di dispositivi infetti controllati da remoto come parte di un'operazione malevola più ampia.
  • JSON-RPC: Un formato di richiesta spesso usato dal software per interagire con nodi e servizi blockchain.
  • Ethereum: Una piattaforma blockchain pubblica che supporta smart contract ed esecuzione basata su transazioni.