Negli ultimi anni mi sono reso conto di una cosa che chi lavora in cybersecurity ormai dà quasi per scontata: il furto di credenziali è diventato la benzina che alimenta una buona parte del cybercrime. Non perché sia un’operazione complessa o geniale, ma proprio per il motivo opposto. Funziona, su larga scala, e richiede pochissimo sforzo rispetto a un’intrusione vera e propria. Per molti attaccanti è molto più conveniente comprare un accesso già pronto piuttosto che faticare per ottenerlo.
Il cuore di questo modello sono gli infostealer, piccoli malware che non devono fare nulla di spettacolare. Devono solo raccogliere tutto ciò che vale: password salvate nel browser, cookie di sessione, token, credenziali VPN, wallet crypto, dati di compilazione automatica. Una specie di aspirapolvere digitale che non si preoccupa di essere elegante, ma efficace.
Negli ultimi mesi si è vista una nuova ondata di famiglie in circolazione. Nomi come Arkanix, CharlieKirk GRABBER, ComSuon, DarkCloud, MawaStealer e MioLab (chiamato anche NovaStealer) ricorrono spesso nelle analisi. Non sono malware particolarmente raffinati, e in fondo non hanno bisogno di esserlo. La loro utilità sta nella quantità: più macchine infettano, più log producono, più carburano l’enorme mercato nero che ruota attorno agli accessi rubati.
Quando l’intelligenza artificiale mette le mani nello sviluppo malware
Fra tutte le famiglie recenti, Arkanix è quella che ha attirato più attenzioni. Non tanto per le sue capacità, quanto per il modo in cui sembra essere nato: come esperimento di sviluppo basato su modelli linguistici. Tradotto, parte del codice potrebbe essere stata generata con strumenti simili a quelli che usiamo ogni giorno per scrivere testo o produrre snippet di codice.
E qui la cosa diventa interessante. Perché se un tempo servivano settimane per produrre nuove varianti, oggi bastano pochi prompt. Non è un dettaglio. Significa che chiunque abbia un minimo di competenze può creare un infostealer personalizzato in tempi ridicoli. È un campanello d’allarme molto chiaro: la barriera di ingresso per sviluppare malware si sta abbassando rapidamente.
Arkanix è apparso sui forum underground nell’ottobre 2025 come servizio a pagamento. L’infrastruttura però è sparita nel giro di pochi mesi. Non importa il motivo. Importa il messaggio che lascia: creare un infostealer non è mai stato così facile.
Il vero business non è il malware, sono i log
Una volta raccolti, i dati rubati non vengono buttati in qualche archivio pubblico. Vengono selezionati, controllati, puliti. Un singolo computer infetto può contenere centinaia di accessi, e spesso dentro ci sono servizi aziendali, account cloud, credenziali VPN o sessioni browser ancora valide.
C’è chi si limita a infettare macchine. Chi analizza i log alla ricerca di domini interessanti. Chi impacchetta tutto e lo vende. E poi ci sono i broker dell’initial access che acquistano questi pacchetti per rivenderli ad attori più strutturati che useranno quegli accessi come punto di ingresso per intrusioni più complesse, ransomware compresi.
È una filiera vera, con ruoli precisi e specializzazione verticale. Non è molto diversa da un ecosistema industriale. Solo che qui il prodotto sono le nostre credenziali.
La catena del valore del cybercrime
Da tempo i forum underground hanno smesso di essere semplici luoghi di scambio di opinioni. Oggi sembrano marketplace veri, con sistemi di reputazione, escrow, assistenza clienti, listini prezzi e vendor specializzati.
L’efficienza è sorprendente. Chi gestisce le campagne di distribuzione infetta migliaia di dispositivi. Un’altra figura estrae i dati e li cataloga. Un altro ancora vende accessi curati e filtrati. E infine, c’è chi si occupa della fase finale: l’intrusione. Tutti fanno la loro parte, tutti guadagnano, e tutto gira molto velocemente.
Questo modello a catena è ciò che rende gli infostealer ancora oggi uno dei vettori più sottovalutati ma più impattanti.
Perché gli infostealer continuano a dominare
La risposta è semplice. Funzionano sempre. Sono economici da distribuire, facili da personalizzare, velocissimi da monetizzare. Un singolo infetto può aprire decine di porte diverse, e basta un solo account con privilegi elevati per trasformare un log da pochi dollari in un accesso dal valore enorme.
L’intero sistema si autoalimenta: infetti, rubi, vendi, qualcun altro compra e sfrutta. Nessuna parte della catena è complicata, tutte sono estremamente profittevoli.
Cosa significa per le aziende
Molte organizzazioni continuano a vedere gli infostealer come un fastidio tecnico, quando in realtà sono una minaccia strategica. Non è tanto il malware in sé a fare danno, ma ciò che lascia dietro. Una credenziale rubata oggi può essere sfruttata tra sei mesi, quando finirà in un marketplace dedicato.
Le difese utili non sono solo tecniche, ma di processo. Controllare se le proprie credenziali finiscono nei log stealer, ruotare le password, gestire con attenzione le sessioni attive, usare MFA solida, monitorare comportamenti anomali. Tutto ciò serve a una cosa sola: ridurre il valore economico degli accessi rubati. Perché se quegli accessi smettono di valere, tutta la filiera inizia a scricchiolare.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
