Negli ultimi mesi il panorama della sicurezza informatica è stato scosso dall’emergere di una nuova minaccia: il malware Skitnet, utilizzato da diversi gruppi ransomware per il furto di dati e il controllo remoto di sistemi compromessi. Skitnet, conosciuto anche come Bossnet, si è rapidamente diffuso a partire dall’aprile 2024, quando è stato messo in vendita su forum underground come RAMP. Nel 2025 sono state osservate numerose campagne reali in cui Skitnet è stato impiegato da operatori ransomware, tra cui il gruppo Black Basta, che lo ha sfruttato in attacchi di phishing a tema Teams rivolti ad aziende.

Skitnet: struttura e funzionalità

Skitnet si distingue per una struttura modulare e multi-fase: le sue componenti principali sono scritte in Rust e Nim, due linguaggi scelti appositamente per eludere i sistemi di rilevamento tradizionali e rendere l’analisi più complessa. Il malware viene inizialmente distribuito come eseguibile Rust, che decripta e lancia un payload realizzato in Nim. Il compito di quest’ultimo è stabilire una reverse shell tramite DNS, consentendo agli attaccanti di controllare la vittima senza destare sospetti e aggirando i filtri di sicurezza.

Tra le funzionalità avanzate di Skitnet vi sono:

• Persistenza tramite la creazione di collegamenti all’avvio
• Cattura di screenshot del desktop della vittima
• Installazione di software di accesso remoto legittimo come AnyDesk o Remote Utilities
• Esecuzione di comandi PowerShell
• Raccolta di informazioni sui prodotti di sicurezza installati
• Download di un ulteriore loader .NET per veicolare altri payload

La comunicazione con il server di comando e controllo (C2) avviene tramite richieste DNS a intervalli regolari, con le istruzioni inviate attraverso un pannello di gestione che consente agli attaccanti di impartire comandi in tempo reale sui sistemi infetti. Skitnet adotta inoltre tecniche di risoluzione dinamica delle API di sistema, riducendo ulteriormente la possibilità di essere intercettato dai software di difesa.

Nuovi loader e tecniche di diffusione

Parallelamente, la scena ransomware vede l’emersione di nuovi loader come TransferLoader, utilizzato per distribuire varianti di ransomware tra cui Morpheus. Anche questi strumenti sfruttano tecniche di offuscamento avanzate e canali alternativi come la rete peer-to-peer IPFS per aggiornare i server di controllo, rendendo sempre più complessa l’attività di contrasto da parte dei team di sicurezza.