I ricercatori di sicurezza hanno identificato un threat emergente chiamato CrystalX, un kit malevolo commercializzato a pagamento su Telegram e promosso anche su YouTube. Questo prodotto viene offerto tramite un modello di abbonamento e comprende un pannello che permette agli operatori di configurare le azioni desiderate prima della diffusione. Tra le capacità disponibili figurano il furto di dati, l’accesso remoto e comandi di disturbo non distruttivi spesso indicati come prankware, ciascuno attivabile singolarmente o in combinazione per scenari d’attacco diversi.
CrystalX è emerso su Telegram a gennaio 2026 con il nome iniziale Webcrystal RAT, per poi aggiornare la sua etichetta in CrystalX RAT. Il pannello di controllo consente di escludere specifici paesi dagli attacchi e di aggiungere moduli anti-analisi, rendendo l’operatività più flessibile e difficilmente tracciabile.
Al momento dell’esecuzione il kit inizia generalmente con la componente di infostealer, progettata per estrarre credenziali e dati memorizzati dai browser e da applicazioni come Telegram, Steam e Discord, inviando il materiale a un server di comando e controllo (C2).
Cosa è incluso nel kit e come agisce
Il pacchetto di CrystalX è composto da moduli distinti che svolgono funzioni specifiche. Il keylogger cattura sequenze di tasti mentre il modulo per gli appunti effettua il clipboard hijacking con l’obiettivo di intercettare e sostituire indirizzi di portafogli di criptovalute: questa tecnica manda i fondi alle chiavi controllate dai criminali. La componente RAT permette l’esecuzione remota di comandi, l’esfiltrazione di file e il controllo del desktop tramite VNC, mentre i moduli spyware possono attivare microfono e webcam per registrazioni audio e video.
Meccaniche di attacco e comandi di disturbo
Oltre alle funzioni di spionaggio e furto, CrystalX include una serie di comandi progettati per creare disagio agli utenti senza necessariamente distruggere dati: il prankware. Tra le azioni disponibili ci sono il cambio dello sfondo, la rotazione dello schermo, lo spegnimento forzato, l’inversione dei tasti del mouse, il blocco degli input di tastiera e mouse, la visualizzazione di notifiche e messaggi e la rimozione dall’interfaccia di elementi di sistema come Task Manager e barra delle applicazioni. Queste opzioni servono spesso a mascherare operazioni più gravi o semplicemente a causare confusione.
Infostealer e manipolazione dei wallet
La componente definita infostealer è attivata immediatamente nella maggior parte dei campioni analizzati e si concentra sui browser basati su Chromium e su applicazioni diffuse.
Essa raccoglie credenziali salvate, cookie e dati di sessione, inviando il tutto al C2. Particolarmente insidioso è il comportamento sul clipboard: quando identifica un indirizzo di portafoglio, il malware lo sostituisce con un indirizzo controllato dagli attori malevoli, in modo che eventuali trasferimenti di criptovalute finiscano direttamente nelle loro mani.
RAT, spyware e controlli remoti
Il modulo RAT offre la possibilità di eseguire comandi arbitrari, trasferire o copiare file e prendere il controllo del display della vittima attraverso VNC, consentendo all’operatore di vedere e intervenire sul sistema in tempo reale. Le funzioni spyware includono la registrazione dell’audio tramite microfono e la cattura video dalla webcam. Il pannello amministrativo integra anche opzioni anti-analisi per eludere sandbox e strumenti di rilevamento, oltre alla possibilità di configurare liste di esclusione geografica.
Finora le infezioni accertate risultano limitate alla Russia, ma il progetto è in sviluppo attivo con più versioni rilasciate, quindi la probabilità di diffusione in altri Paesi è alta. Data la modularità e la commercializzazione a pagamento, si prevede che la facilità d’uso attirerà nuovi operatori, rendendo necessario aggiornare strumenti di difesa e pratiche di igiene digitale per utenti e organizzazioni.
