Notizie (IT)

L’attacco informatico colpisce 14.000 router del marchio ASUS con il malware KadNap altamente resistente

Di Redação Mix Vale 14 marzo 2026 7 min de leitura
WhatsApp Twitter Facebook Segui su Google E-mail
Asus
Foto: Asus - mysirikwan/ Shutterstock.com

I ricercatori di sicurezza informatica hanno rilevato una campagna di infezione su larga scala che ha compromesso circa 14.000 router in diverse regioni. La maggior parte delle apparecchiature interessate appartengono al produttore ASUS, il che indica che gli attacchi sono stati mirati specificamente a sfruttare le lacune presenti nel firmware di quel marchio.

L’agente responsabile di questa massiccia invasione è il malware identificato come KadNap, un codice dannoso che si distingue per l’estrema difficoltà di debellamento. Una volta installato sul dispositivo di rete, il programma trasforma l’apparecchiatura in un nodo attivo di una botnet, che opera di nascosto dal proprietario della connessione Internet.

La scoperta di questa rete zombie è avvenuta durante il monitoraggio di routine del traffico Internet anomalo, quando gli esperti hanno notato modelli di comunicazione sospetti provenienti da connessioni domestiche e di piccole imprese. L’attrezzatura continua a funzionare normalmente per la navigazione quotidiana, il che ritarda la consapevolezza del problema da parte delle vittime.

Struttura tecnica dell’invasione delle apparecchiature

Dall’analisi del comportamento di KadNap emerge che l’infezione avviene principalmente attraverso lo sfruttamento di porte di comunicazione verso Internet aperte in modo improprio. Gli aggressori eseguono scansioni automatizzate alla ricerca di router che utilizzano ancora credenziali di accesso predefinite in fabbrica o che presentano difetti di sicurezza noti e senza patch.

Dopo aver individuato un bersaglio vulnerabile, lo script dannoso inietta il suo carico direttamente nella memoria del dispositivo, stabilendo una comunicazione immediata con i server di comando e controllo gestiti dai criminali informatici. Da quel momento in poi, il router inizia a ricevere istruzioni remote per eseguire una serie di azioni illecite nell’ambiente digitale.

Il volume di 14mila unità compromesse dimostra l’efficacia del metodo di propagazione automatizzata utilizzato dagli sviluppatori della minaccia. La concentrazione sui modelli ASUS suggerisce che i criminali abbiano mappato in dettaglio l’architettura software di questi dispositivi per massimizzare il tasso di successo delle intrusioni silenziose.

Persistenza del codice e meccanismi di occultamento

Il principale elemento di differenziazione tecnica di KadNap dalle altre minacce che prendono di mira i dispositivi di rete è la sua sopravvivenza avanzata sul sistema host. Il malware è stato progettato per integrarsi profondamente nei processi firmware essenziali del router, creando meccanismi di ridondanza che ne rendono difficile la rimozione con i metodi tradizionali. Quando un utente esegue un semplice riavvio del dispositivo, il codice dannoso è in grado di riattivarsi immediatamente durante il processo di avvio, garantendo che il dispositivo rimanga sotto il controllo della botnet senza interruzioni significative nella comunicazione con i server esterni.

Oltre alla resistenza al riavvio, i ricercatori hanno osservato che i tentativi di ripristinare le impostazioni di fabbrica non sono sempre sufficienti per eliminare definitivamente l’infezione. KadNap utilizza tecniche di offuscamento per nascondere i propri file e processi agli strumenti diagnostici nativi dell’apparecchiatura. L’invisibilità operativa di Essa consente alla rete zombie di mantenere dimensioni e potenza di elaborazione stabili nel tempo, frustrando i tentativi iniziali di mitigazione effettuati da utenti con conoscenze tecniche di base e richiedendo interventi più profondi nel sistema.

Utilizzo dell’infrastruttura per attacchi distribuiti

La creazione di una botnet con migliaia di router domestici e aziendali fornisce ai criminali una solida infrastruttura per sferrare attacchi denial-of-service distribuiti. Gli attacchi Esses consistono nell’invio simultaneo di un enorme volume di richieste a un server o sito Web specifico, con l’obiettivo di sovraccaricarlo e renderlo inaccessibile.

L’utilizzo delle connessioni domestiche per queste attività illecite rende difficile il lavoro degli strumenti di difesa informatica, poiché il traffico malevolo ha origine da indirizzi IP legittimi e geograficamente dispersi. La funzionalità Essa maschera la vera fonte dell’attacco e complica l’implementazione del blocco basato sulla posizione.

Leia Tambem
Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys

Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys

Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4

Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4

L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti

L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti

Oltre agli attacchi Denial of Service, i router infettati da KadNap possono essere utilizzati come proxy per nascondere l’identità dei criminali durante frodi finanziarie o intrusioni nei sistemi aziendali. L’attrezzatura della vittima funge da ponte, inoltrando il traffico dannoso come se si trattasse di una normale navigazione.

La capacità di elaborazione combinata di 14mila dispositivi consente anche l’esecuzione di campagne di forza bruta su larga scala. La rete zombie testa migliaia di combinazioni di password al minuto contro server di posta elettronica, database e altre piattaforme online, ampliando la portata delle operazioni criminali.

Procedure tecniche per contenere la minaccia

La disinfezione di un router compromesso tramite KadNap richiede un approccio metodico e rigoroso da parte degli amministratori di rete e degli utenti domestici. Il primo passo fondamentale consiste nell’isolare immediatamente il dispositivo, disconnettendolo fisicamente dal modem internet per interrompere la comunicazione con i server di comando e controllo della botnet. Successivamente è necessario accedere al pannello di amministrazione del dispositivo tramite una rete locale sicura ed aggiornare manualmente il firmware, utilizzando esclusivamente i file ufficiali disponibili sul sito ASUS. Como il malware ha un’elevata persistenza, la semplice applicazione dell’aggiornamento potrebbe non essere sufficiente; Gli esperti raccomandano che il processo sia accompagnato da una pulizia completa della memoria interna dell’apparecchiatura, seguita da una riconfigurazione manuale di tutti i parametri di rete. Durante questa riconfigurazione, è imperativo sostituire le password di amministrazione con credenziali complesse, disabilitare i servizi di gestione remota via internet e chiudere le porte di comunicazione non strettamente necessarie al funzionamento della rete locale. Il controllo continuo dei registri di accesso nelle settimane successive alla procedura aiuta a confermare che l’eliminazione del codice dannoso è riuscita e che il traffico dati è tornato alla normalità.

Vulnerabilità nell’ecosistema dell’Internet delle cose

L’incidente che ha coinvolto le apparecchiature ASUS evidenzia un problema strutturale nella sicurezza dei dispositivi che compongono il cosiddetto internet delle cose. Roteadores, le telecamere di sicurezza e gli apparecchi connessi spesso arrivano sul mercato con configurazioni mirate alla facilità di installazione, trascurando protocolli di protezione più rigidi. Anche il ciclo di vita di questi prodotti peggiora la situazione, poiché molti produttori interrompono anticipatamente il supporto ufficiale.

La mancanza di un sistema di aggiornamento della sicurezza automatizzato e obbligatorio lascia milioni di dispositivi esposti a difetti scoperti mesi o anni dopo la loro produzione. I criminali informatici sfruttano questa finestra di vulnerabilità nelle apparecchiature legacy per espandere le proprie reti zombie con il minimo sforzo e un elevato ritorno operativo, mantenendo il controllo sui dispositivi dimenticati dai proprietari.

Monitoraggio continuo del traffico dati

Il rilevamento precoce di infezioni silenziose come KadNap dipende dall’implementazione di strumenti di monitoraggio della rete in grado di identificare anomalie nel flusso di dati. Picos caricamenti ingiustificati durante le prime ore del mattino o connessioni costanti a indirizzi IP situati in regioni sospette sono forti indicatori di compromissione dell’infrastruttura locale.

Le società di telecomunicazioni e i fornitori di servizi Internet svolgono un ruolo centrale nell’identificazione di queste minacce su larga scala. La collaborazione tra ISP e produttori di hardware accelera il blocco dei server dannosi e la notifica ai clienti interessati prima che gli attacchi causino danni maggiori.

Indicazioni sulla sicurezza per gli amministratori

I professionisti della sicurezza informatica sottolineano che la manutenzione preventiva è l’unica barriera efficace contro il malware altamente persistente. L’adozione di rigide politiche di controllo degli accessi, la segmentazione delle reti aziendali, l’implementazione di sistemi di rilevamento delle intrusioni e il controllo periodico delle configurazioni dei router riducono drasticamente la superficie di attacco disponibile per le minacce automatizzate su Internet.