GoGra è la nuova backdoor per Linux che riceve comandi tramite... Outlook
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 23/04/2026, 07:33
- Pubblicato: 23/04/2026, 07:28
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Linux
Per tutti gli articoli e le guide che riguardano il sistema operativo open source per eccellenza, sfoglia il "Canale Linux".
Una backdoor scritta in Go che prende di mira i sistemi Linux e usa una casella di posta Outlook come canale di comando e controllo. Si chiama GoGra, e dimostra con disarmante chiarezza come gli attori malevoli abbiano imparato a trasformare l'infrastruttura cloud legittima in un vettore d'attacco invisibile ai tradizionali sistemi di difesa. Chi gestisce un server domestico Linux o lavora su desktop GNU/Linux convinto di essere al riparo dalle minacce più sofisticate farebbe bene a rivedere qualche certezza.
Come funziona GoGra
GoGra non distrugge dati, né cifra file per un riscatto. Il suo scopo è stabilire un accesso persistente al sistema compromesso e ricevere istruzioni dall'attaccante. Quello che lo distingue dalla massa è il meccanismo di comunicazione con il server di comando e controllo (C2).
Invece di contattare un'infrastruttura gestita direttamente dai criminali - un dominio sospetto, un indirizzo IP già noto alle blocklist - GoGra sfrutta Microsoft Graph API per dialogare attraverso una casella di posta Outlook. Il traffico generato è virtualmente indistinguibile da quello prodotto da qualsiasi applicazione che interagisce con Microsoft 365. Per un firewall, un filtro DNS o un sistema di reputazione IP, quei pacchetti provengono da endpoint Microsoft affidabili. Nulla di anomalo da segnalare.
Il risultato è un canale C2 che attraversa le difese di rete come se non esistessero. Regole basate su firme, liste di domini malevoli, analisi della reputazione degli indirizzi IP: tutto sostanzialmente inutile contro questo approccio.
Perché il bersaglio è Linux
L'esistenza di una variante compilata specificamente per Linux merita attenzione. La formulazione stessa - «variante Linux» - implica una versione precedente o parallela per altre piattaforme, presumibilmente Windows. Che gli sviluppatori abbiano investito tempo per adattarlo a Linux è una scelta deliberata, non un dettaglio tecnico.
Dal 2021 si osserva una tendenza crescente nello sviluppo di malware progettato per colpire sistemi che gestiscono infrastrutture critiche, e Linux è il sistema operativo dominante in quel segmento: server web, container, NAS domestici, dispositivi IoT industriali. Chi amministra un home server con Nextcloud, un media server con Jellyfin o qualsiasi servizio esposto alla rete dovrebbe interpretare GoGra come un pericolo concreto, non come un problema astratto.
La scelta di Go come linguaggio non è casuale. Go produce binari staticamente collegati e compilabili per architetture e sistemi operativi diversi con sforzo minimo. Un singolo codebase genera eseguibili per Linux, Windows e macOS senza riscritture significative - un vantaggio tutt'altro che trascurabile per chi sviluppa malware su larga scala.
Un problema sistemico, non un episodio
L'abuso di API cloud legittime come canale C2 è una tecnica consolidata e in espansione. GoGra non è il primo malware a sfruttare Microsoft Graph API per nascondersi nel traffico legittimo. Il principio è semplice: se il traffico malevolo viaggia sugli stessi canali e verso gli stessi server usati da milioni di utenti per la posta elettronica e la collaborazione aziendale, individuarlo richiede strumenti di analisi comportamentale molto più sofisticati di un comune filtro perimetrale.
Nello stesso periodo in cui è emerso GoGra, il panorama delle minacce ha offerto altri spunti poco rassicuranti.
Lotus Wiper, un malware distruttivo scoperto da Kaspersky, ha colpito organizzazioni del settore energetico in Venezuela. Una variante chiamata LOTUSLITE ha preso di mira il settore bancario indiano e circoli politici sudcoreani, comunicando tramite C2 basato su DNS dinamico e HTTPS, con funzionalità di shell remota e gestione file - un profilo chiaramente orientato allo spionaggio.
Il proxy malware SystemBC, collegato all'operazione ransomware-as-a-service "The Gentlemen", ha rivelato un server C2 associato a oltre 1.570 vittime.
Il filo conduttore è chiaro: il malware moderno è sempre più modulare, multipiattaforma e progettato per mimetizzarsi nell'infrastruttura esistente.
Cosa fare in pratica
Per gli utenti Linux domestici e gli amministratori di piccoli server, le difese perimetrali classiche non bastano più. Quando il traffico C2 transita su endpoint Microsoft legittimi, bloccare indirizzi IP o domini sospetti serve a poco. L'attenzione va spostata sul comportamento dei processi locali.
Un primo passo ragionevole è monitorare i processi che effettuano chiamate HTTP/HTTPS verso le API Microsoft senza che l'utente abbia configurato alcun servizio Microsoft. Strumenti come auditd, i log di sistema e soluzioni di rilevamento endpoint - anche gratuite come OSSEC o Wazuh - possono identificare attività anomale prima che il danno sia fatto. Mantenere aggiornati il sistema operativo e le applicazioni esposte alla rete resta, come sempre, la prima linea di difesa.
GoGra ci ricorda una verità scomoda: il confine tra traffico legittimo e traffico malevolo si sta assottigliando. E Linux non è mai stato davvero, per definizione, un rifugio sicuro.
