Passa ai contenuti principali

Stacheldraht, quando dominare IRC significava avere più "shell"

I bei tempi andati (fine anni ’90 - primi 2000)

C’erano una volta i tempi in cui bastava linkare una shell, magari con telnet aperto o tramite exploit banale su sistemi Unix-like, per sentirsi il re del canale IRC. E Stacheldraht era il coltellino svizzero dei lamer organizzati.

Cos’era Stacheldraht?
  • Un DDoS toolkit nato intorno al 1999.
  • Scritto in C, girava su Linux e Solaris.
  • Combinava funzioni di Trinoo, TFN (Tribe Flood Network) e TFN2K.
  • Aveva una struttura client-master-agent, con comunicazioni criptate (semplici XOR).
  • Gli attacchi includevano: UDP flood, TCP SYN flood, ICMP flood, e smurf.
Come funzionava:
  • Lo “zombie” era un sistema compromesso (la famosa shell). 
  • Il “master” controllava gli zombie e prendeva ordini da un client.
  • Il controllo poteva avvenire via IRC oppure connessioni dirette.
  • Più shell avevi, più banda avevi a disposizione per far male.
Dal Telnet alle IoT, le evoluzioni moderne. Oggi chi sono gli eredi di Stacheldraht?

Mirai e le sue mille varianti
  • Creato nel 2016, scritto in C, ha infettato centinaia di migliaia di dispositivi IoT. 
  • Usa credenziali di default e scanner per espandersi.
  • Ha causato attacchi record (es. DynDNS nel 2016).
  • Le varianti (Satori, Okiru, etc.) sono ancora attive nel 2025.
Sliver, Mythic, Empire
  • Framework modulari per C2, usati da Red Team ma spesso riadattati. 
  • Offrono crittografia seria, canali multipli (HTTPS, DNS, mTLS), payload fileless.
Mozi, BotenaGo, Dark.IoT
  • Botnet moderne P2P-based.
  • Senza C2 fisso: si propagano come worm, parlano tra loro.
  • Usano DHT, blockchain e self-updating scripts.
E oggi, come si “comanda” una botnet? Da IRC a Telegram, da shell a API REST
  • I nuovi “comandi” arrivano tramite Telegram bot, Twitter, DNS TXT, o hidden services Tor.
  • Le nuove “shell” sono telecamere IP, router casalinghi, NAS obsoleti, stampanti di rete.
  • Le botnet sono usate anche per: Attacchi DDoS-as-a-Service, Estorsioni, Mining crypto, Spam & phishing
Stacheldraht ci ricorda l’epoca delle botnet romantiche, ma il presente ci impone serietà e consapevolezza. Il codice si è fatto più raffinato, le reti più blindate, ma la guerra resta la stessa: controllare il maggior numero di nodi possibile.
Tag:

Commenti

Posta un commento

Popolari

IPv6, come siamo passati dai camuffamenti (tunnel broker) su IRCNet alle sfide di sicurezza di oggi

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva pe...
Posta un commento
Continua a leggere »

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »