L’ecosistema delle minacce si arricchisce di un campione che unisce vecchie tecniche e strumenti di anonimato moderni. Il team di Microsoft Threat Intelligence ha portato alla luce un worm in grado di diffondersi automaticamente via USB e di rubare criptovalute senza mai toccare il file system in modo appariscente. Basta una chiavetta infetta e un attimo di distrazione perché l’agente silenzioso inizi a osservare gli appunti di Windows.

Come agisce il worm

Il malware si installa sul sistema attraverso l’esecuzione automatica o l’ingegneria sociale legata ai supporti rimovibili. Una volta attivo, scandisce di continuo il contenuto del clipboard alla ricerca di pattern riconducibili a indirizzi di wallet Bitcoin, Ethereum e altre criptovalute. Non si ferma qui: è programmato per riconoscere anche le frasi seed, quelle sequenze di parole che permettono di ricostruire l’intero portafoglio. Quando individua un dato valido, lo sostituisce silenziosamente con un indirizzo controllato dagli attaccanti, oppure lo esfiltra. La vera particolarità sta nel canale di uscita: tutto il traffico rubato viene instradato attraverso un client Tor portatile integrato nel worm, rendendo molto più difficile per i sistemi di monitoraggio di rete tracciare la destinazione finale.

Perché l’uso di Tor cambia le carte in tavola

Invece di connettersi a un server C2 tradizionale, il malware genera circuiti Tor direttamente dalla macchina compromessa. Questo approccio aggira molti filtri perimetrali, perché il traffico appare come normale navigazione verso nodi Tor, spesso non bloccati nelle reti aziendali. Per chi gestisce infrastrutture on‑premise, il messaggio è chiaro: il perimetro di rete classico non basta. La presenza di un client Tor all’interno di un eseguibile dannoso rende inutili le blacklist DNS e complica l’analisi forense.

Il fronte on‑premise e il nodo dei supporti removibili

L’episodio tocca un nervo scoperto per le organizzazioni che mantengono server self‑hosted, laboratori air‑gapped o postazioni dedicate all’inference di LLM su hardware locale. In questi contesti, le unità USB sono spesso l’unico mezzo per trasferire modelli, dataset o aggiornamenti, creando un canale fisico che i sistemi di endpoint protection faticano a ispezionare in tempo reale. Se un worm di questo tipo raggiungesse un nodo di elaborazione, potrebbe non solo sottrarre credenziali ma anche esfiltrare porzioni di dati sensibili, minando la sovranità informativa tanto cercata con il deployment locale. Non è fantasia: la cronaca degli attacchi alle supply chain mostra che i supporti removibili sono tornati protagonisti, complice l’aumento del lavoro ibrido e la gestione distribuita delle risorse.

Cosa significa per chi disegna architetture self‑hosted

L’arrivo di questa variante non impone di abbandonare i supporti fisici, ma obbliga a ripensare le policy di sicurezza. Disabilitare l’autorun, adottare software di controllo periferiche e abilitare la registrazione degli eventi del clipboard a livello di sistema diventano contromisure minime. In un’ottica di difesa a strati, chi gestisce cluster per il training o l’inference dovrebbe considerare l’isolamento delle macchine che manipolano wallet o frasi seed, separandole nettamente dai nodi di calcolo generici. La lezione è coerente con quanto già emerso in ambito industriale: la sicurezza fisica e quella logica non vanno mai scollegate.

L’analisi di Microsoft conferma che la campagna è attiva almeno da febbraio 2026, un arco temporale sufficiente perché il codice si evolva. Il fatto che gli attaccanti abbiano investito nell’integrazione di Tor segnala una ricerca deliberata della persistenza e della furtività, caratteristica di gruppi con un modello economico ben definito. Per chi progetta e protegge infrastrutture on‑premise, l’invito è a non dare per scontato che la localizzazione dei dati garantisca da sola la riservatezza: la superficie d’attacco si allarga sempre dove meno la si aspetta.