Domenica 05 Luglio 2026 18:48:30 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Intelligence & Threat Trends

Sparizione: L’ascesa di Singularity, il rootkit Linux che acceca i difensori

Pubblicato: 18 Dicembre 2025 00:14Categoria: Cyber Intelligence & Threat TrendsAutore: AGONY

Una nuova generazione di rootkit stealth sta riscrivendo le regole della difesa Linux, superando anche gli strumenti di rilevamento più avanzati grazie a un’elusione chirurgica dei log.

Nel gioco del gatto e del topo della difesa informatica, un nuovo avversario è entrato in scena-uno che non si limita a nascondersi nell’ombra, ma le cancella del tutto. Ecco Singularity, un rootkit del kernel Linux progettato non solo per eludere, ma per annullare gli stessi strumenti su cui fanno affidamento i difensori. Con il suo recente aggiornamento per l’elusione dei log, Singularity sta fissando un nuovo standard di invisibilità sui sistemi Linux moderni-e sta facendo scattare l’allarme nella comunità DFIR (Digital Forensics and Incident Response).

Il nemico invisibile

Singularity si presenta come il “boss finale” per i difensori Linux-un’affermazione che, per molti, è inquietantemente vicina alla realtà. A differenza della maggior parte dei rootkit, che si concentrano sul nascondere file o processi, il nuovo trucco di Singularity è la sanitizzazione attiva dei log. Intercettando i log di sistema e kernel alla fonte, impedisce che qualsiasi menzione della propria presenza-o di quella dei suoi operatori-raggiunga lo user space. Questo significa che gli analisti di sicurezza che utilizzano strumenti come dmesg, journalctl o qualsiasi programma basato su klogctl non vedranno nulla di sospetto, anche quando il rootkit è in piena attività.

La magia tecnica non si ferma qui. Singularity opera a livello di kernel, agganciandosi a syscall e funzioni di base tramite ftrace. Una volta caricato, è bloccato-la rimozione richiede un riavvio completo del sistema. Si nasconde attivamente dalle liste dei moduli, cancella le proprie tracce da /proc e può occultare interi alberi di processi, file e connessioni di rete, tutto in base a pattern definiti dall’operatore.

Cecità difensiva

L’elusione dei log è solo una delle armi nell’arsenale di Singularity. Blocca i tentativi di osservare l’attività del kernel tramite eBPF, ftrace e io_uring, neutralizzando strumenti di sicurezza popolari come Tracee, bpftrace e vari EDR (Endpoint Detection and Response). Anche il monitoraggio di rete viene vanificato: il rootkit può filtrare il traffico, nascondere porte e avviare una reverse shell tramite ICMP per un accesso remoto occulto.

L’escalation dei privilegi è integrata, permettendo agli attaccanti di diventare root impostando una variabile d’ambiente segreta o inviando un segnale appositamente costruito. Tutti questi meccanismi sono personalizzabili, rendendo quasi impossibile il rilevamento basato su firme.

Lezioni dure per i difensori

Le implicazioni sono nette. Casi di studio mostrano già Singularity bypassare i principali prodotti EDR, e la sua rapida evoluzione evidenzia la corsa agli armamenti tra attaccanti e difensori. Sebbene l’autore ammetta che nessun rootkit sia davvero impossibile da rilevare, la capacità di Singularity di alterare i log, neutralizzare l’osservabilità e persistere attraverso i riavvii impone ai difensori di ripensare le proprie strategie. Affidarsi ai log tradizionali o al rilevamento in user space non basta più-le minacce a livello kernel richiedono vigilanza a livello kernel.

Mentre Linux continua ad alimentare infrastrutture critiche in tutto il mondo, l’emergere di Singularity è un campanello d’allarme. Le ombre si fanno più profonde, ma la caccia a ciò che vi si nasconde è appena iniziata.

WIKICROOK

  • Rootkit: Un rootkit è un malware stealth che si nasconde su un dispositivo, permettendo agli attaccanti di controllare il sistema in segreto ed eludere il rilevamento.
  • klogctl: klogctl è una chiamata di sistema Linux per leggere, cancellare e configurare i log del kernel, utile per il monitoraggio e il debug del sistema tramite l’accesso al ring buffer del kernel.
  • eBPF: eBPF è una tecnologia del kernel Linux per eseguire programmi sicuri e isolati, abilitando funzionalità avanzate di monitoraggio, tracciamento e sicurezza senza modifiche al kernel.
  • ftrace: ftrace è uno strumento del kernel Linux per tracciare e fare debug di funzioni e chiamate di sistema, utile per analizzare le prestazioni, risolvere problemi e verificare la sicurezza del sistema.
  • EDR: Gli strumenti EDR rilevano, investigano e rispondono alle minacce sugli endpoint, offrendo sicurezza in tempo reale e risposta rapida agli incidenti per le organizzazioni.