🛡️ Executive Summary
- Gigawiper combina funzionalità di wiper, ransomware e backdoor in un’unica piattaforma modulare sviluppata in Golang.
- Il malware riutilizza codice proveniente da Crucio e FlockWiper, permettendo agli operatori di scegliere dinamicamente il tipo di sabotaggio.
- L’infrastruttura di comando utilizza RabbitMQ e Redis, mentre la persistenza viene mascherata come aggiornamento di OneDrive.
Le moderne campagne distruttive stanno abbandonando l’approccio tradizionale basato su strumenti separati per adottare malware modulari capaci di adattarsi rapidamente agli obiettivi dell’operazione. È questo il quadro delineato da Microsoft Threat Intelligence, che ha pubblicato un’analisi approfondita di Gigawiper, una piattaforma sviluppata in Golang capace di integrare funzionalità di backdoor, distruzione fisica dei dischi, ransomware irreversibile e sabotaggio dei sistemi Windows. Più che un singolo malware, Gigawiper rappresenta un framework costruito riutilizzando componenti provenienti da diverse famiglie già note, consentendo agli operatori di attivare soltanto i moduli necessari durante ogni fase dell’attacco. L’approccio aumenta la flessibilità operativa, riduce la necessità di distribuire strumenti aggiuntivi e rende più complessa sia l’attribuzione sia il rilevamento da parte delle soluzioni di sicurezza.
Cosa leggere
Un malware costruito assemblando più famiglie conosciute

L’analisi di Microsoft mostra che Gigawiper nasce dalla combinazione di codice proveniente da almeno tre differenti famiglie di malware. Il componente dedicato alla distruzione fisica dei dischi deriva da un precedente wiper standalone, mentre la funzione di ransomware riprende direttamente parti di Crucio, malware già noto alla comunità di sicurezza. A queste si aggiunge la logica di cancellazione multi-pass sviluppata originariamente in FlockWiper, successivamente riscritta in Golang e adattata all’architettura del nuovo framework. Le correlazioni emergono attraverso nomi di funzioni, stringhe condivise e riferimenti presenti nei percorsi di compilazione, elementi che suggeriscono il riutilizzo sistematico di componenti già esistenti piuttosto che la realizzazione di un codice completamente nuovo. Questa struttura modulare permette agli operatori di attivare selettivamente le funzionalità necessarie senza distribuire più payload indipendenti, rendendo l’intera operazione più discreta e flessibile.
Wiping del disco e ransomware irreversibile convivono nello stesso backdoor

Tra le funzionalità più pericolose figura il wiping fisico dei dischi, eseguito attraverso chiamate dirette alle API di basso livello di Windows. Il malware individua le unità presenti nel sistema, modifica i metadati delle partizioni non di sistema e procede successivamente alla sovrascrittura dei dati in blocchi di grandi dimensioni, compromettendo il contenuto dei dischi prima di riavviare automaticamente il computer. Accanto a questa modalità è disponibile anche un processo di cancellazione multipla che sovrascrive ripetutamente il contenuto dell’unità principale utilizzando sequenze di zeri, valori 0xFF e dati casuali, tecnica progettata per rendere estremamente difficile qualsiasi tentativo di recupero forense. Gigawiper integra inoltre una componente derivata da Crucio ransomware, capace di cifrare i file con AES-CBC, rinominarli con estensione .candy e modificare lo sfondo del desktop. A differenza dei ransomware tradizionali, però, le chiavi di cifratura non vengono conservate, trasformando l’operazione in un vero e proprio strumento distruttivo anziché in un meccanismo di estorsione economica.
Strumenti di controllo remoto e sabotaggio del sistema
Oltre alle capacità di distruzione dei dati, il malware incorpora una serie di funzionalità che consentono il pieno controllo del sistema compromesso. Tra queste figurano l’esecuzione di comandi da shell, la gestione di processi e servizi Windows, la modifica del registro di sistema e un componente assimilabile a un server VNC, attraverso il quale gli operatori possono interagire direttamente con la macchina remota. Gigawiper è inoltre in grado di acquisire screenshot di tutti i monitor collegati, registrare brevi sessioni video dello schermo, eliminare i log eventi di Windows e provocare intenzionalmente schermate blu (BSOD) per interrompere il funzionamento del sistema. L’insieme di queste funzionalità conferma che il malware non è progettato esclusivamente per cancellare dati, ma costituisce una piattaforma completa per il controllo dell’infrastruttura prima dell’attivazione dei moduli distruttivi.
RabbitMQ, Redis e persistenza nascosta dietro OneDrive
Dal punto di vista dell’infrastruttura, Gigawiper utilizza un sistema di comando e controllo basato su RabbitMQ e Redis, scelta relativamente insolita rispetto ai tradizionali server HTTP o HTTPS utilizzati da molte campagne malware. Le comunicazioni sfruttano il protocollo AMQP, con uno scambio di tipo fanout destinato all’invio simultaneo dei comandi verso tutti i client compromessi e un secondo scambio dedicato ai messaggi mirati. Redis viene invece impiegato per raccogliere i risultati delle operazioni e lo stato dei comandi eseguiti. Per garantire la persistenza, il malware registra informazioni nel registro di sistema sotto chiavi riconducibili a OneDrive e crea un’attività pianificata denominata OneDrive Update, configurata per essere eseguita automaticamente a ogni avvio del sistema e successivamente con intervalli di circa un minuto. Questa scelta consente di mascherare la presenza del malware dietro componenti apparentemente legittimi del sistema operativo, aumentando le probabilità di rimanere inosservato.
Un’evoluzione significativa dei malware distruttivi
Secondo Microsoft Threat Intelligence, attività riconducibili a Gigawiper sono state osservate almeno dall’ottobre 2025, confermando che il malware è già stato impiegato in operazioni reali. La sua architettura dimostra come gli attori delle minacce stiano progressivamente abbandonando strumenti monolitici a favore di framework modulari che integrano codice proveniente da campagne precedenti. Questo approccio accelera lo sviluppo, permette di riutilizzare componenti già collaudati e rende più difficile attribuire le operazioni a uno specifico gruppo criminale o statale. Per le organizzazioni diventa quindi fondamentale monitorare indicatori comportamentali piuttosto che singole firme malware, prestando particolare attenzione a connessioni anomale verso infrastrutture RabbitMQ e Redis, registrazioni sospette di attività pianificate, modifiche ai metodi di persistenza e operazioni di basso livello sui dischi. La capacità di combinare controllo remoto, sabotaggio e distruzione irreversibile dei dati rende Gigawiper uno degli esempi più avanzati dell’attuale evoluzione dei malware orientati al danneggiamento delle infrastrutture informatiche.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









