GigaWiper è un backdoor Windows scritto in Go che unifica in un'unica piattaforma modulare tre capacità distruttive selezionabili dall'operatore: wiping del disco fisico, fake ransomware e multi-pass wiper dei drive Windows. Rivelato pubblicamente il 9 luglio 2026 da The Hacker News sulla base di analisi Microsoft e Binary Defense, il malware rappresenta un'evoluzione qualitativa nei wipers post-compromissione: l'intento distruttivo non è più leggibile dal codice, ma deciso in remoto dopo l'infiltrazione.
- GigaWiper combina in comandi numerati raw disk wiper, fake ransomware Crucio e multi-pass wiper Windows, più spyware integrato
- Condivide 4 hash identici e 2 server C2 (185.182.193[.]21 e 212.8.248[.]104) con il malware BLUERABBIT segnalato da Binary Defense
- Il canale di comando sfrutta servizi legittimi aziendali: RabbitMQ per tasking, Redis per risultati, MinIO per esfiltrazione
- Microsoft data l'attività distruttiva a ottobre 2025; Binary Defense ha osservato i campioni come BLUERABBIT a marzo 2026
La piattaforma che camuffa l'intento dietro comandi numerati
La struttura modulare di GigaWiper si articola in comandi selezionabili dall'operatore via C2. Il primo è un raw disk wiper che sovrascrive il disco fisico e la tabella delle partizioni. Il secondo è un fake ransomware basato su Crucio: cifra i file con estensione .candy, cambia lo wallpaper, ma non salva la chiave di decrittazione né lascia ransom note. Il terzo è un multi-pass wiper del drive Windows, riscrittura in Go di FlockWiper.
A questi si aggiunge un pacchetto di spyware: screenshot multi-monitor, registrazione dello schermo, sessione VNC nascosta, raccolta dettagli di sistema, gestione processi e servizi, modifica del registro e cancellazione dei log eventi Windows. La fonte non specifica la natura dei dati esfiltrati né l'ampiezza delle campagne.
Mascheramento e persistenza da applicazione legittima
GigaWiper si presenta come un aggiornamento di OneDrive. Crea un task pianificato denominato "OneDrive Update" che esegue ogni minuto, registrandosi in HKCU\SOFTWARE\OneDrive\Environment. Aggiunge inoltre una regola firewall con etichetta "Microsoft.Windows.CloudExperienceHost" per fondersi nel traffico di sistema.
La comunicazione con il server di comando non utilizza protocolli proprietari evidenti, ma appoggiati su infrastrutture legittime: RabbitMQ per il tasking operativo, Redis per la raccolta dei risultati, MinIO per l'esfiltrazione dei dati. Questa scelta architetturale mira a mimetizzarsi nel traffico aziendale standard, riducendo la visibilità per i sistemi di monitoraggio basati su anomalie di protocollo.
Coincidenza con BLUERABBIT e linee di collegamento al contesto Iran
Microsoft e Binary Defense hanno analizzato campioni che condividono 4 hash identici e server di comando corrispondenti. Microsoft ha denominato il malware GigaWiper; Binary Defense lo aveva precedentemente catalogato come BLUERABBIT. The Hacker News ha contattato entrambi i vendor per conferma diretta della coincidenza, senza ricevere risposta al momento della pubblicazione.
Binary Defense, citando Google Threat Intelligence Group, collega BLUERABBIT a un gruppo probabilmente legato all'Iran con obiettivi israeliani. Microsoft non nomina alcun paese nella propria analisi. Un elemento di collegamento indiretto emerge dal codice: Microsoft riscontra nel fake-ransomware Crucio un tag "GRAT" ricorrente, presente anche nel multi-pass wiper FlockWiper. Crucio è menzionato in un advisory CISA di dicembre 2023 su CyberAv3ngers, gruppo collegato all'IRGC iraniano. Il significato esatto del tag "GRAT" non è documentato.
"GigaWiper is what an attacker runs after they are already inside, which makes early detection and clean, offline backups the real defense"
Un'architettura che sfida la risposta incident tradizionale
La caratteristica distintiva di GigaWiper non è la singola capacità distruttiva, ma la loro unificazione in una piattaforma post-compromissione. In un modello classico, il tipo di malware trovato nell'ambiente informa l'analista sull'intento dell'attaccante: ransomware suggerisce estorsione, wiper indica sabotaggio. Qui l'operatore sceglie la modalità dopo aver già ottenuto l'accesso.
Come osserva la fonte: "You used to read intent from the malware you found; here, the operator decides after they are already inside". Questo sposta il problema difensivo dall'identificazione del payload alla detection dell'accesso iniziale e alla segmentazione del network. Il dossier non documenta il vettore di accesso iniziale utilizzato prima del deploy di GigaWiper.
The Hacker News segnala inoltre la presenza di "stub" di comandi ancora non attivati nel codice, tra cui un keylogger non completamente implementato. La fonte interpreta questo come indicazione che lo strumento è "still being built out". L'estensione futura delle capability rimane non verificata.
Perché è importante
Il brief non documenta misure correttive specifiche indicate dai vendor. La fonte non specifica patch, configurazioni di sicurezza o workflow di risposta raccomandati da Microsoft o Binary Defense.
Il dossier non chiarisce inoltre: il numero e l'identità delle vittime effettive; il vettore di accesso iniziale che precede il deploy di GigaWiper; la conferma diretta della coincidenza GigaWiper-BLUERABBIT da parte dei vendor; la relazione precisa con gruppi IRGC o altri attori statuali; la natura del componente associato al tag "GRAT" e l'evoluzione delle capability dormienti.
L'assenza di raccomandazioni operative ufficiali nel brief limita la sezione azionabile. Il focus resta sulla rilevazione dell'architettura modulare e sulle sue implicazioni per la risposta agli incidenti.
Timeline e convergenza delle fonti
Microsoft data l'attività distruttiva di GigaWiper a ottobre 2025. Binary Defense ha osservato i campioni come BLUERABBIT a marzo 2026. Questa distanza temporale, se confermata, potrebbe indicare un periodo di gestazione o test prima dell'attivazione delle funzioni distruttive, oppure campagne distinte con stessa base di codice.
I due server C2 noti — 185.182.193[.]21 e 212.8.248[.]104 — sono documentati dalla fonte primaria come punti di convergenza tra le due denominazioni del malware. La persistenza del task pianificato "OneDrive Update" a intervalli di un minuto rappresenta un'indicatore comportamentale verificabile, sebbene replicabile da altri strumenti legittimi o malevoli.
Lettura redazionale
La modularità di GigaWiper non è un miglioramento incrementale dei wipers, ma una riconfigurazione del problema. Quando il medesimo accesso compromesso può produrre sabotaggio, finta estorsione o spionaggio, la classificazione dell'incidente per famiglia di malware perde valore predittivo. Il costo difensivo si sposta inevitabilmente a monte: rilevare l'anomalia nel momento dell'accesso iniziale, presumere la compromissione come probabile e costruire resilienza su backup offline e segmentazione funzionale.
Il dato più significativo potrebbe essere quello meno tecnico: che due vendor di sicurezza abbano analizzato lo stesso campione con nomi diversi, e che la conferma della coincidenza sia ancora in attesa. Questo ritardo nella condivisione di indicazioni tra attori industriali è esso stesso un punto di frizione nel sistema di allerta.
Fonti
- https://thehackernews.com/2026/07/new-gigawiper-windows-backdoor-bundles.html
- https://www.helpnetsecurity.com/2026/07/09/malicious-ai-agent-skills-scan/
- https://nvd.nist.gov/vuln/detail/CVE-2026-50656
- https://www.microsoft.com/en-us/security/blog/threat-intelligence/ransomware/
- https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-release-notes?requestVersion=1.445.323.0
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.