Nel panorama della cybersecurity è stato individuato un nuovo malware denominato YiBackdoor che suscita grande attenzione tra gli esperti del settore. La sua particolarità risiede nelle marcate somiglianze di codice con i ben noti malware IcedID e Latrodectus, suggerendo che possa essere opera degli stessi sviluppatori. YiBackdoor si distingue per la capacità di eseguire comandi arbitrari, raccogliere informazioni di sistema, catturare screenshot e gestire plugin che ne espandono dinamicamente le funzionalità.
Il malware è stato identificato per la prima volta a giugno 2025 e le sue campagne sembrano ancora limitate, il che fa supporre che sia in una fase di sviluppo o test. Tuttavia, il suo utilizzo potrebbe servire come punto di accesso iniziale per attacchi ransomware o per altre attività malevole più avanzate. Nonostante la relazione esatta con IcedID e Latrodectus non sia ancora completamente chiara, è certo che YiBackdoor sfrutta buona parte delle tecniche e del codice delle altre due famiglie malware, tra cui il metodo di iniezione del codice, la gestione delle chiavi di decrittazione e il sistema di plugin.
Strategie di evasione e persistenza
Tra le strategie adottate da YiBackdoor per eludere le difese di sicurezza si riscontrano semplici tecniche anti-analisi per evitare ambienti virtualizzati o sandbox. Il malware si auto-copia in una nuova directory con un nome casuale, manipola il registro di Windows per ottenere persistenza e si auto-elimina per ostacolare le analisi forensi. Una volta attivo, YiBackdoor decripta una configurazione interna per ricavare l’indirizzo del server di comando e controllo, al quale si connette tramite HTTP per ricevere istruzioni.
Funzionalità principali e design modulare
I comandi supportati includono la raccolta di metadati di sistema, l’acquisizione di screenshot, l’esecuzione di comandi tramite cmd.exe o PowerShell e la gestione di plugin, che possono essere caricati anche in modo cifrato e codificato in Base64. Questo design modulare consente agli attaccanti di ampliare le funzionalità di YiBackdoor a seconda delle necessità operative.
ZLoader: evoluzioni recenti
Parallelamente, sono state individuate nuove versioni del malware ZLoader (conosciuto anche come DELoader, Terdot o Silent Night), che introducono ulteriori tecniche di offuscamento, potenziamenti nelle comunicazioni di rete e nuovi sistemi di evasione come il supporto ai WebSocket per il canale di comando e controllo. ZLoader continua a evolversi, con campagne di infezione sempre più mirate e sofisticate.
Il quadro che emerge è quello di un cybercrime sempre più attento alla modularità, al riuso di codice e alle tecniche anti-analisi, sia nelle nuove famiglie malware come YiBackdoor sia nei loader consolidati come ZLoader.