La botnet Tsundere rappresenta una nuova e crescente minaccia per gli utenti Windows. Attiva dalla metà del 2025, questa botnet è progettata per eseguire codice JavaScript arbitrario fornito da un server di comando e controllo (C2). Il suo funzionamento sfrutta diversi vettori di infezione, tra cui installatori MSI camuffati da giochi popolari come Valorant, Rainbow Six Siege e Counter-Strike 2. Gli utenti che cercano versioni pirata di questi giochi sono particolarmente a rischio, poiché i file infetti vengono distribuiti tramite siti compromessi o con il supporto di strumenti legittimi di monitoraggio remoto.
Il processo di infezione prevede l'installazione di Node.js, seguita dall'esecuzione automatica di uno script loader che decripta ed esegue il payload principale della botnet. Per garantire la persistenza e la resilienza sul sistema, il malware scarica librerie legittime come ws, ethers e pm2 attraverso il comando npm install. In particolare, la libreria pm2 viene usata per mantenere attivo il bot Tsundere e garantire il riavvio automatico all’avvio di Windows.
Oltre agli installer MSI, Tsundere si propaga anche tramite script PowerShell, che replicano la sequenza di installazione e configurano la persistenza tramite chiavi di registro, assicurando l’esecuzione del bot a ogni login dell’utente.
Utilizzo della blockchain Ethereum
Una delle caratteristiche innovative di questa botnet è l’utilizzo della blockchain Ethereum per la gestione del server C2. Attraverso smart contract pubblici, gli operatori della botnet possono aggiornare in modo dinamico l’indirizzo del server WebSocket utilizzato per ricevere i comandi, rendendo più difficile il blocco delle comunicazioni e la disattivazione dell’infrastruttura.
Pannello di controllo e origini
Il pannello di controllo della botnet consente agli attaccanti di generare nuovi artefatti malevoli, gestire la rete di bot, trasformare i dispositivi infetti in proxy e persino vendere o acquistare botnet tramite un marketplace dedicato. Le analisi mostrano che la botnet e i relativi strumenti sono riconducibili a sviluppatori di lingua russa, come evidenziato dalla presenza di testo russo nel codice sorgente e dalle restrizioni imposte all’uso del malware in Russia e nei paesi CIS.
La flessibilità nell’infezione tramite file MSI e PowerShell, unita all’uso di esche legate ai videogiochi e alla resilienza garantita dalla blockchain Ethereum, rende Tsundere una delle minacce più insidiose nel panorama attuale del malware per Windows, capace di adattarsi a diverse strategie di attacco e di eludere i sistemi di difesa tradizionali.