Negli ultimi mesi e sempre piu spesso nel 2026, le campagne di malware puntano su un vettore semplice ma efficace: strumenti per il gaming modificati e distribuiti come se fossero utility legittime. Il risultato e la diffusione di un Remote Access Trojan basato su Java, capace di ottenere controllo remoto sul PC Windows, rubare dati e scaricare ulteriori payload. La distribuzione avviene tramite browser e piattaforme di chat, canali dove gli utenti tendono a fidarsi di link e allegati condivisi in gruppi e community.

La catena di infezione descritta ruota attorno a un downloader malevolo che prepara un runtime Java portatile e poi esegue un file JAR con nome ingannevole, progettato per sembrare uno strumento comune. Per ridurre la visibilita, vengono impiegati PowerShell e tecniche living off the land, sfruttando binari di Windows gia presenti nel sistema come cmstp exe. Questo approccio consente esecuzioni piu silenziose e rende piu difficile distinguere le attivita lecite da quelle malevole.

Un passaggio chiave e l evasione dei controlli: il downloader iniziale viene eliminato dopo l avvio e vengono configurate esclusioni in Microsoft Defender per evitare che i componenti del RAT vengano rilevati. La persistenza viene ottenuta con un attivita pianificata e uno script di avvio di Windows, ad esempio un file VBS con nome generico, cosi il malware puo riattivarsi a ogni riavvio.

Una volta attivo, il RAT stabilisce comunicazioni con un server esterno di comando e controllo, consentendo agli operatori di esfiltrare dati e distribuire moduli aggiuntivi. In parallelo, cresce l interesse per nuove famiglie di Windows RAT come Steaelite, pubblicizzate nei forum criminali come strumenti difficili da rilevare e pensati per Windows 10 e Windows 11. Questi pannelli unificano furto credenziali, keylogging, gestione file, bypass UAC, funzioni di sorveglianza e persino ransomware, abilitando scenari di doppia estorsione da un unica dashboard.

Per la difesa endpoint, e fondamentale controllare le esclusioni di Microsoft Defender, verificare attivita pianificate e script di startup sospetti, isolare le macchine compromesse e reimpostare le credenziali degli utenti che hanno operato sui sistemi infetti.