Koske, il nuovo malware Linux nascosto nelle immagini di panda: minaccia evoluta con IA

Nel panorama sempre più complesso della sicurezza informatica, una nuova minaccia si sta facendo strada, destando particolare preoccupazione tra gli esperti del settore. Si tratta di Koske, un sofisticato malware Linux che sfrutta tecniche avanzate di offuscamento e automazione, ponendo una sfida senza precedenti per la comunità di difesa cibernetica. La sua peculiarità? Nascondere il proprio codice malevolo all’interno di innocue immagini di panda, celando attività dannose dietro volti apparentemente innocui.

Come avviene l'attacco

L’allarme è stato lanciato dai ricercatori di AquaSec, che hanno analizzato nel dettaglio le strategie adottate da Koske per infiltrarsi nei sistemi target. Questo malware Linux si distingue per la capacità di diffondersi attraverso configurazioni vulnerabili di JupyterLab, una piattaforma ampiamente utilizzata da sviluppatori e data scientist.

L’attacco avviene mediante il caricamento di polyglot files, file in grado di essere interpretati contemporaneamente come immagini e come codice eseguibile, superando così le barriere della semplice steganografia.

Le immagini dei panda

Le immagini dei panda ospitate su servizi apparentemente affidabili come OVH images, freeimage e postimage, diventano così il veicolo di infezione. All’interno di ciascuna immagine, Koske nasconde due payload distinti che vengono attivati in parallelo.

Il primo è un rootkit sviluppato in linguaggio C, che viene compilato direttamente in memoria, eludendo le comuni misure di sicurezza. Il secondo è un shell script estremamente discreto, che sfrutta strumenti nativi di Linux e lascia tracce minime sul sistema compromesso.

Un malware molto resiliente

Uno degli aspetti più preoccupanti di questa minaccia è la sua resilienza. Per garantirsi la persistenza, Koske crea cron job che si attivano ogni trenta minuti e implementa servizi systemd personalizzati, assicurandosi così che il malware Linux rimanga attivo anche dopo eventuali riavvii.

Inoltre, adotta tecniche di hardening della rete: sovrascrive i DNS di sistema con quelli di Cloudflare e Google, protegge il file di configurazione tramite il comando chattr +i, elimina le regole iptables e neutralizza le impostazioni proxy, rendendo più difficile la sua rimozione.

La tecnica del rootkit

Il rootkit si avvale di una tecnica particolarmente sofisticata: utilizza la variabile di ambiente LD PRELOAD per alterare la funzione readdir(), nascondendo così file e processi legati al malware Linux agli strumenti di monitoraggio e rilevamento.

Una volta assicurata la propria presenza sul sistema, Koske procede a scaricare un cryptominer da repository pubblici come GitHub. Prima di avviare l’attività di mining, valuta le caratteristiche hardware del computer compromesso per selezionare il miner più adatto, tra oltre 18 criptovalute supportate, massimizzando così i profitti degli attaccanti.

Integrazione con l'AI?

Nonostante siano stati individuati indizi che suggeriscono una possibile connessione con operatori serbi o slovacchi – come riferimenti linguistici all’interno degli script e dei repository GitHub utilizzati – gli esperti sottolineano che, al momento, non è possibile attribuire con certezza l’attacco a un gruppo specifico. Questa incertezza aumenta il livello di rischio e la complessità della risposta difensiva.

Ma ciò che rende Koske particolarmente inquietante è la probabile integrazione dell'intelligenza artificiale nei suoi processi. Gli analisti di AquaSec ipotizzano che il malware Linux sia stato sviluppato sfruttando large language models o avanzati framework di automazione, consentendo al codice di adattarsi dinamicamente all’ambiente in cui viene eseguito.

Questa capacità di apprendimento e adattamento automatico potrebbe rappresentare un punto di svolta nel panorama delle minacce informatiche, aprendo la strada a una nuova generazione di attacchi sempre più difficili da contrastare.