Il panorama delle minacce informatiche si arricchisce di un nuovo protagonista: ChaosBot, un sofisticato malware scritto in Rust che sfrutta la piattaforma Discord per il comando e controllo dei sistemi infetti. Individuato per la prima volta a settembre 2025 nell’ambito di servizi finanziari, ChaosBot si distingue per la sua capacità di eludere le difese tradizionali e per l’utilizzo creativo di canali Discord come mezzo di comunicazione tra l’attaccante e i dispositivi compromessi.

Gli attaccanti, sfruttando credenziali compromesse sia per VPN Cisco che per account Active Directory sovra-privilegiati, sono riusciti a propagare ChaosBot attraverso la rete mediante l’esecuzione remota di comandi via WMI. Il malware arriva anche tramite campagne di phishing, dove un file LNK malevolo avvia l’esecuzione di uno script PowerShell che scarica ChaosBot, mostrando contemporaneamente un PDF-truffa per distrarre la vittima.

Una volta attivo, ChaosBot sideloada una DLL dannosa tramite un eseguibile legittimo di Microsoft Edge, esegue ricognizione sul sistema e scarica un fast reverse proxy per mantenere l’accesso persistente. Gli operatori tentano anche di configurare Visual Studio Code Tunnel come ulteriore porta di accesso, ma la funzione principale resta il dialogo continuo con un canale Discord dedicato, che prende il nome dal computer della vittima.

Comandi e tecniche di evasione di ChaosBot

Tra i comandi supportati da ChaosBot ci sono l’esecuzione di istruzioni shell via PowerShell, la cattura di screenshot e il trasferimento di file tra dispositivo vittima e canale Discord. Le versioni più recenti integrano tecniche di evasione avanzate, come la modifica del comportamento di ETW (Event Tracing for Windows) e il rilevamento di ambienti virtualizzati tramite verifica degli indirizzi MAC, terminando l’esecuzione in presenza di macchine virtuali note.

Chaos-C++: la nuova variante ransomware

Parallelamente, è stata individuata una nuova variante ransomware della famiglia Chaos, denominata Chaos-C++, che aggiunge ulteriori capacità distruttive e di furto. Oltre a cancellare in modo irreversibile file di grandi dimensioni, manipola la clipboard dell’utente intercettando e sostituendo indirizzi Bitcoin con quelli controllati dagli attaccanti, favorendo così il furto di criptovalute. Chaos-C++ si diffonde spesso spacciandosi per strumenti legittimi come ottimizzatori di sistema o, in passato, come applicazioni AI come ChatGPT.

Il ransomware verifica la presenza di file-indicatore per evitare esecuzioni multiple e, se dotato di privilegi amministrativi, disabilita i meccanismi di ripristino di sistema prima di avviare la cifratura selettiva dei file. L’uso di tecniche di cifratura miste e routine XOR garantisce maggiore robustezza e resilienza contro le contromisure difensive.