Il gruppo di cyberspionaggio Turla ha aggiornato il suo noto backdoor Kazuar, trasformandolo in un botnet modulare con architettura peer-to-peer. Questa evoluzione elimina la dipendenza da server di controllo centrali, consentendo ai sistemi infetti di comunicare tra loro in modo decentralizzato. Il cambiamento rende più difficile la rilevazione e la rimozione del malware, conferendogli una notevole resilienza in ambienti ad alta sicurezza.
Moduli intercambiabili e movimento laterale senza server centrale 🛡️
La nuova versione di Kazuar incorpora un design modulare che consente di scambiare componenti al volo. Ogni modulo amplia capacità specifiche, come la raccolta di credenziali, il furto di documenti o il movimento laterale all'interno della rete compromessa. Operando senza un singolo punto di guasto, il botnet diventa più difficile da neutralizzare. I ricercatori sottolineano che questa architettura P2P rappresenta un salto tattico significativo per mantenere un accesso persistente in infrastrutture critiche.
Turla si sposta nel quartiere: ora ogni PC è il proprio capo 😈
Sembra che Turla abbia deciso di prendere appunti dai social network e applicarli al malware. Se prima Kazuar aveva bisogno di un server centrale per ricevere ordini, ora ogni PC infetto è il proprio capo, come un adolescente con un'eredità anticipata. La decentralizzazione suona molto moderna, ma per gli amministratori della sicurezza significa dover inseguire non un leader, ma una moltitudine di agenti autonomi che si scambiano file come fossero figurine.