La parte più inquietante della sicurezza informatica non è il tizio col cappuccio nel seminterrato. È quando scarichi un programma dal sito ufficiale, con firma digitale valida, e dentro ci trovi comunque una backdoor. Praticamente il malware con il badge da dipendente del mese.
Secondo Kaspersky, TechCrunch e Ars Technica, gli installer Windows di Daemon Tools, storico software per montare immagini disco, sarebbero stati compromessi in un attacco alla catena di distribuzione iniziato l’8 aprile 2026 e rimasto inosservato per circa un mese. Versioni citate: dalla 12.5.0.2421 alla 12.5.0.2434. Traduzione per chi non colleziona numeri di build: un pezzo di software legittimo è diventato un taxi per codice malevolo.
La cosa tossica è il metodo. Gli installer arrivavano dal dominio ufficiale e risultavano firmati con certificati dello sviluppatore. Quindi sì: il vecchio consiglio “scarica solo dal sito del produttore” resta sensato, ma ormai suona anche come “attraversa sulle strisce, sperando che il camion rispetti la fisica sociale”.
Kaspersky parla di migliaia di tentativi di infezione in oltre 100 Paesi. La maggior parte dei sistemi avrebbe ricevuto un payload di raccolta informazioni: nomi host, processi, software installato, dettagli di rete, il classico inventario da “ciao, sto solo guardando casa tua prima di decidere se rubare”. Su circa una dozzina di macchine, invece, sarebbero arrivati payload successivi più pesanti, inclusi backdoor e RAT, in settori come governo, manifattura, retail, ricerca e persino istruzione.
Qui arriva il punto da incorniciare con ansia: non sembra una spruzzata casuale di malware per fare numeri. Sembra una campagna larga all’ingresso e selettiva dopo, tipo casting della compromissione. Prima infetti tanti, poi scegli i bersagli più succosi. Cybersecurity come talent show, ma il premio è perdere il controllo del PC.
Gli indizi tecnici citati da Kaspersky includono un dominio di comando e controllo che imitava quello legittimo di Daemon Tools, codice malevolo inserito nei binari e comunicazioni verso infrastrutture controllate dagli attaccanti. Alcune stringhe in cinese hanno portato i ricercatori a parlare di un possibile gruppo sinofono, ma attenzione al salto carpiato: questo non equivale automaticamente a “è stato Pechino”. Nel 2026 anche l’attribuzione geopolitica dovrebbe avere il diritto di non essere trattata come una caption di TikTok.
La lezione, invece, è molto meno esotica e molto più deprimente: la supply chain software è diventata uno dei bersagli preferiti perché funziona. Se comprometti l’aggiornamento, l’installer o il canale ufficiale, non devi convincere l’utente a fare una sciocchezza. Gli fai fare una cosa ragionevole. È social engineering senza social: sfrutti la fiducia già depositata.
Per aziende e utenti che hanno installato Daemon Tools in quel periodo, il consiglio pratico non è “respira e aggiorna il wallpaper”. È controllare le versioni installate, isolare macchine sospette, cercare attività anomale dal 8 aprile in poi e seguire gli indicatori tecnici pubblicati da Kaspersky. La nostalgia dei vecchi tool Windows è carina, finché non diventa archeologia con backdoor inclusa.
Morale: abbiamo passato anni a temere il file allegato chiamato fattura_finale_vera_definitiva.exe. Poi arriva il 2026 e ci ricorda che il problema può chiamarsi anche installer ufficiale, certificato valido, download pulito. La fiducia, a quanto pare, non è più una policy di sicurezza. È una superficie d’attacco con un sorriso educato.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.