Rust e Go: la nuova frontiera del malware

L’adozione crescente dei linguaggi di programmazione Rust e Go nell’ambito dello sviluppo di malware rappresenta una sfida paradigmatica per i professionisti della sicurezza informatica contemporanea. Questi linguaggi, caratterizzati da efficienza nella gestione della memoria e resistenza intrinseca al reverse engineering, stanno rapidamente diventando la scelta preferenziale per gli sviluppatori di ransomware e malware sofisticato. La convergenza di tali tecnologie con algoritmi crittografici quantum-resistant come NTRU configura uno scenario operativo di complessità senza precedenti, richiedendo un ripensamento radicale delle metodologie di analisi e detection tradizionali.

Introduzione: l’evoluzione del threat landscape

Il panorama delle minacce informatiche ha subito una trasformazione sostanziale negli ultimi anni, caratterizzata dal progressivo abbandono dei linguaggi di programmazione tradizionali come C/C++ in favore di alternative moderne. Threat actors hanno iniziato a migrare verso linguaggi compilati più moderni, inclusi Golang, Rust e Nim, che offrono la capacità di compilare programmi per Linux e Windows con modifiche minime o nulle del codice.

Secondo il report midyear 2024 di Trend Micro, gruppi ransomware come Agenda hanno rilasciato nuove versioni del loro ransomware scritte in Rust, utilizzate per colpire aziende manifatturiere e del settore IT. Questa migrazione non è casuale, ma rappresenta una strategia calcolata per eludere i sistemi di detection esistenti e complicare le attività di reverse engineering.

Caratteristiche tecniche distintive di Rust e Go

Rust: memoria sicura e performance ottimali

Rust si distingue per il suo sistema di ownership unico, che garantisce memory safety senza garbage collection runtime. Il modello di ownership di Rust stabilisce che un valore può avere un solo proprietario, che può essere qualsiasi entità come una variabile, struttura o parametro di funzione. Quando il proprietario esce dal suo scope, Rust dealloca automaticamente la memoria posseduta.

Rust mira a fornire al programmatore il controllo completo dell’hardware sottostante, rendendo possibile ottimizzare i programmi Rust per essere molto vicini alle performance teoriche massime della macchina. Questa caratteristica, combinata con l’assenza di garbage collection, garantisce prestazioni consistenti e prevedibili.

Go: semplicità e concorrenza native

Go, sviluppato da Google, privilegia la semplicità di sviluppo e la compilazione rapida. Il compilatore Go non dedica molto tempo a generare il codice macchina più efficiente possibile; si preoccupa di più di compilare grandi quantità di codice rapidamente. La sua architettura include goroutines native e canali per operazioni di concorrenza, rendendolo ideale per applicazioni distribuite e networking.

Adozione nel malware: analisi del fenomeno

Trend statistici e casi d’uso

Gruppi ransomware come BlackCat, Hive e RansomExx hanno adottato Rust per lo sviluppo del loro malware. Microsoft ha rivelato che il gruppo ransomware Hive ha riscritto quasi interamente il suo payload omonimo in Rust, abbandonando Go.

Nel 2024 sono stati registrati oltre 5.263 attacchi, il numero più alto mai registrato dal NCC da quando ha iniziato il monitoraggio nel 2021. Il pagamento medio del riscatto è salito a 2,73 milioni di dollari nel 2024, quasi raddoppiando rispetto all’anno precedente.

Motivazioni strategiche degli sviluppatori malicious

Le ragioni dell’adozione di Rust e Go nell’ambiente malware sono molteplici e strategicamente articolate:

Evasione delle signature tradizionali: I nuovi linguaggi, come Rust, sono relativamente veloci e possono eludere l’analisi statica di molti sistemi di rilevamento malware. Molti prodotti di sicurezza sono stati progettati per anni basandosi sulle signature di linguaggi ben noti e ampiamente utilizzati.

Gestione ottimale della memoria: Rust cerca di fornire una migliore gestione della memoria tramite il suo storage unico in memoria e il compile time. Rust afferma di essere più veloce ed efficiente di C e C++, aspetti vantaggiosi anche per gli sviluppatori di malware, poiché il malware cerca di rimanere operativo ed efficiente.

Resistenza al reverse engineering: Il compilatore di Rust è responsabile di questa caratteristica. A causa del modo relativamente complesso in cui il codice Rust viene compilato in codice leggibile dalla macchina, il linguaggio rende difficile per gli analisti visualizzare il funzionamento interno del programma.

Sfide per il reverse engineering

Limitazioni degli strumenti esistenti

Gli strumenti di reverse engineering tradizionali come Ghidra e IDA Free non riescono a disassemblare efficacemente i binari Rust rispetto a C/C++. I risultati della sperimentazione mostrano che gli strumenti attuali sono comparativamente meno efficaci nell’analizzare e nel reverse engineering del malware scritto nel linguaggio di programmazione Rust rispetto a quelli scritti in C.

Complessità strutturale

Rust memorizza le stringhe in modo diverso dalla maggior parte dei compilatori, senza terminazione NULL tra le stringhe, quindi le referenzia tramite una tabella. Le stringhe vengono memorizzate come stringhe multiple tutte insieme senza terminatori NULL. Questa peculiarità rende l’analisi statica significativamente più complessa.

Le stesse caratteristiche di Rust che amano gli ingegneri, come la memory safety, le ottimizzazioni aggressive del compilatore, il borrowing, i tipi intricati e i traits, si traducono in un groviglio perplesso di codice che supera persino C++ nella complessità delle sue astrazioni.

Crittografia quantum-resistant: NTRU e implicazioni

Fondamenti tecnici di NTRU

NTRUEncrypt è basato su lattice e non è noto per essere decifrabile nemmeno con computer quantistici. I crittosistemi comunemente utilizzati come RSA o ECC, d’altra parte, verranno violati se e quando i computer quantistici diventeranno disponibili.

NTRU è un crittosistema a chiave pubblica open-source che utilizza la crittografia basata su lattice per crittografare e decrittografare i dati. È composto da due algoritmi: NTRUEncrypt per la crittografia e NTRUSign per le firme digitali.

Implementazioni in Rust

Le implementazioni Rust di NTRU forniscono sicurezza post-quantistica nativa, con ntrust-native che offre una implementazione sicura pura-Rust dello schema NTRU post-quantistico. NTRU Prime è un crittosistema basato su lattice che mira a migliorare la sicurezza degli schemi lattice a costo minimo. È considerato resistente agli avanzamenti del calcolo quantistico, in particolare all’algoritmo di Shor.

Convergenza tecnologica e implicazioni

La combinazione di Rust con algoritmi quantum-resistant come NTRU crea un ecosistema di malware potenzialmente resiliente tanto alle tecniche di analisi tradizionali quanto a quelle future basate su quantum computing. La crittografia post-quantistica si concentra principalmente su sei approcci diversi, inclusi sistemi crittografici come learning with errors, ring learning with errors, NTRU, che sono stati studiati per molti anni senza che nessuno abbia trovato un attacco fattibile.

Contromisure e strategie di mitigazione

Evoluzione degli strumenti di analisi

SentinelOne e Intezer hanno lanciato il progetto OxA11C per sviluppare una metodologia che renda il reverse engineering del malware Rust più accessibile e coinvolgere la community di sicurezza nella creazione di strumenti per affrontare il problema.

La ricerca aggiuntiva sul reverse engineering di Rust può essere condotta attraverso mezzi più dinamici come debugging, emulazione e sandbox di analisi comportamentale. Questo può fornire intuizioni più rapide sulle capacità di un campione malware sconosciuto rispetto all’analisi statica.

Approcci metodologici innovativi

Analisi comportamentale avanzata: La piattaforma SOCRadar fornisce una comprensione proattiva della sicurezza e può assistere con l’analisi comportamentale piuttosto che con misure di sicurezza statiche.

Detection basata su pattern: L’identificazione di pattern comportamentali specifici dei linguaggi Rust e Go può compensare le limitazioni dell’analisi statica tradizionale.

Threat intelligence collaborativa: La condivisione di IOC (Indicators of Compromise) specifici per malware scritto in linguaggi moderni accelera lo sviluppo di contromisure efficaci.

Implicazioni per l’industria della cybersecurity

Necessità di skill specialistiche

Con l’adozione di Rust da parte delle organizzazioni criminali, gli esperti di sicurezza avvertono che le aziende hanno bisogno di sviluppatori qualificati che siano competenti in Rust e comprendano le sue implicazioni di sicurezza.

Attualmente, ci sono meno strumenti ed esperti altamente qualificati nel reverse engineering di malware scritto in Rust, rendendolo un’opzione attraente per gli attaccanti, almeno per ora.

Investimenti in R&D

Le organizzazioni devono investire in:

• Training specialistico per analisti di malware
• Sviluppo di strumenti di analisi specifici per Rust e Go
• Ricerca collaborativa con istituzioni accademiche
• Implementazione di soluzioni di threat intelligence avanzate

Prospettive future e raccomandazioni

Evoluzione del threat landscape

Gli attacchi ransomware nel 2025 sono più veloci, più intelligenti e più costosi. Gruppi come Qilin, Akira e Medusa stanno dominando la scena con doppia estorsione, infiltrazione furtiva e targeting specifico per settore.

L’integrazione crescente di AI generativa nella creazione di malware, combinata con l’adozione di linguaggi resistenti al reverse engineering, configura un futuro caratterizzato da minacce di complessità esponenzialmente crescente.

Raccomandazioni strategiche

Per le organizzazioni:

1. Implementare soluzioni di detection comportamentale avanzate
2. Investire in formazione specialistica per team di sicurezza
3. Adottare approcci zero-trust e assume breach
4. Sviluppare partnership strategiche con vendor di sicurezza specializzati

Per la community di ricerca:

1. Accelerare lo sviluppo di strumenti di analisi per linguaggi moderni
2. Promuovere la condivisione di threat intelligence
3. Investire in ricerca sulla crittografia post-quantistica
4. Sviluppare metodologie di detection basate su ML/AI

Conclusioni

L’adozione di Rust e Go nello sviluppo di malware rappresenta un’evoluzione naturale ma preoccupante del cybercrime moderno. L’Android development team ha rivelato che nel 2019, il 76% delle vulnerabilità Android erano problemi di memory safety. Nel 2024, dopo che il team è passato a Rust, questo numero è sceso al 24%. Paradossalmente, le stesse caratteristiche che rendono questi linguaggi sicuri per lo sviluppo legittimo li rendono attraenti per applicazioni malicious.

La convergenza con algoritmi quantum-resistant come NTRU amplifica ulteriormente la complessità del panorama delle minacce, richiedendo un approccio olistico che integri competenze tecniche avanzate, strumenti specializzati e metodologie innovative.

Il futuro della cybersecurity dipenderà dalla capacità della community di difesa di adattarsi rapidamente a questi cambiamenti paradigmatici, sviluppando contromisure efficaci prima che il gap tra attaccanti e difensori diventi incolmabile. L’investimento in ricerca, formazione e collaborazione internazionale rappresenta l’unica via percorribile per mantenere un equilibrio accettabile nel continuo confronto tra protezioni e minacce nel cyberdominio.

Fonti

Bitfield Consulting. “Rust vs Go in 2025.” Bitfield Consulting, 2025. https://bitfieldconsulting.com/posts/rust-vs-go

IT Pro. “Why are ransomware gangs pivoting to Rust?” IT Pro, July 7, 2022. https://www.itpro.com/security/ransomware/368476/why-are-ransomware-gangs-pivoting-to-rust

Trend Micro. “Pushing the Outer Limits: Trend Micro 2024 Midyear Cybersecurity Threat Report.” Trend Micro, 2024. https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/pushing-the-outer-limits-trend-micro-2024-midyear-cybersecurity-threat-report

The New Stack. “As Malware Embraces Rust, a New Effort Emerges to Fight Back.” The New Stack, August 16, 2024. https://thenewstack.io/as-malware-embraces-rust-a-new-effort-emerges-to-fight-back/

DEV Community. “The Rise of Rust in Cybersecurity: What You Need to Know.” DEV Community, October 9, 2024. https://dev.to/bekbrace/the-rise-of-rust-in-cybersecurity-what-you-need-to-know-56dh

SOCRadar. “Why Ransomware Groups Switch to Rust Programming Language?” SOCRadar, October 22, 2024. https://socradar.io/why-ransomware-groups-switch-to-rust-programming-language/

Apriorit. “How Rust Improves Software Security: Features and Use Cases.” Apriorit, December 3, 2024. https://www.apriorit.com/dev-blog/rust-for-cybersecurity

NTRU Cryptosystems. “NTRU: Quantum-Resistant High Performance Cryptography.” https://tbuktu.github.io/ntru/

Wikipedia. “NTRU.” Wikipedia, April 20, 2025. https://en.wikipedia.org/wiki/NTRU

Wikipedia. “Post-quantum cryptography.” Wikipedia, 2025. https://en.wikipedia.org/wiki/Post-quantum_cryptography

GitHub. “ntrust-native: A safe pure-rust implementation of the NTRU post-quantum scheme.” https://github.com/prokls/ntrust-native

GitHub. “Streamlined-NTRU-Prime: A pure rust implementation of the post-quantum streamlined ntruprime algorithm.” https://github.com/mberry/Streamlined-NTRU-Prime

Cryptography.rs. “Awesome Rust Cryptography.” https://cryptography.rs/

IEEE Xplore. “Lattice-Based Cryptography and NTRU: Quantum-Resistant Encryption Algorithms.” https://ieeexplore.ieee.org/document/10481608/

Binary Defense. “Digging through Rust to find Gold: Extracting Secrets from Rust Malware.” Binary Defense, October 1, 2024. https://www.binarydefense.com/resources/blog/digging-through-rust-to-find-gold-extracting-secrets-from-rust-malware/

Bishop Fox. “Rust for Malware Development.” Bishop Fox, March 24, 2025. https://bishopfox.com/blog/rust-for-malware-development

SentinelOne. “SentinelOne® and Intezer Team to Simplify Reverse Engineering of Rust Malware.” SentinelOne, August 6, 2024. https://www.sentinelone.com/press/sentinelone-and-intezer-team-to-simplify-reverse-engineering-of-rust-malware/

G Data. “Reborn in Rust: AsyncRAT authors try to thwart malware analysis.” G Data, 2025. https://www.gdatasoftware.com/blog/2025/05/38207-asyncrat-rust

Rochester Institute of Technology. “A Comparative Analysis of Malware Written in the C and Rust Programming Languages.” RIT, 2023. https://repository.rit.edu/theses/11484/

Malware Hell. “A Reverse Engineering Guide for Rust Binaries.” Malware Hell, August 4, 2022. https://c3rb3ru5d3d53c.github.io/2022/08/malware-reversing-rust/

Spacelift. “50+ Ransomware Statistics for 2025.” Spacelift, 2025. https://spacelift.io/blog/ransomware-statistics

DeepStrike. “Ransomware Attack Statistics 2025: Latest Trends & Threats.” DeepStrike, May 15, 2025. https://deepstrike.io/blog/ransomware-statistics-2025

G2. “85+ Ransomware Statistics Shaping 2025 Security Trends.” G2, 2025. https://learn.g2.com/ransomware-statistics