Fast16: scoperto malware pre-Stuxnet che riscrive la storia del cyber-sabotaggio

Scopri anche

• CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware
• ShinyHunters colpisce ADT e Rockstar: analisi della doppia violazione
• UNC6692: nuova minaccia Teams colpisce decisori aziendali
• Pack2TheRoot: vulnerabilità critica Linux root senza password
• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
• App UE verifica età hackerata in 2 minuti: il gap tra promesse e realtà
• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• Exploit su LMDeploy CVE-2026-33626: attacco SSRF immediato dopo disclosure
• Ransomware The Gentlemen: 1.570 reti violate nell'ombra
• Malware Lotus wiper: analisi della minaccia cyber in Venezuela
• Retrospettiva NGate: il malware Android che ha aperto la strada al relay NFC
• Zero-Day SharePoint: perché il CVSS 6.5 è ingannevole
• Scattered Spider: hacker Buchanan si dichiara colpevole, rischia 22 anni
• Phishing Apple 2026: attacchi sincronizzati eludono iOS 26
• Attacco hacker a Booking.com: dati utenti esposti e rischio phishing mirato
• BRIDGE:BREAK: 22 vulnerabilità critiche scoperte in convertitori Serial-to-IP Lantronix e Silex
• Aggiornamenti software e cybersecurity: analisi dei rischi e strategie di mitigazione
• Apache ActiveMQ: zero-day sfruttato attivamente, patch urgente
• Malware e minacce digitali: l'evoluzione delle tecniche di attacco e le strategie di difesa
• Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword

Fast16: scoperto malware pre-Stuxnet che riscrive la storia del cyber-sabotaggio

Esisteva un'operazione di cyber-sabotaggio statale sofisticata ben prima di Stuxnet? La scoperta di Fast16, un malware che risale al 2005, suggerisce che la risposta sia affermativa e costringe gli storici della cybersecurity a rivedere la cronologia delle operazioni informatiche offensive.

Ricercatori di SentinelOne hanno analizzato un campione di malware denominato fast16 con componenti compilati nel luglio 2005, ovvero almeno cinque anni prima che Stuxnet venisse schierato per la prima volta in Iran secondo alcune fonti. La scoperta, resa nota il 25 aprile 2026, porta alla luce tecniche di sabotaggio avanzato che si ritenevano sviluppate solo in un secondo momento.

Cosa sappiamo su Fast16: datazione e componenti

L'analisi tecnica ha identificato due componenti principali con timestamp precisi. Il driver kernel fast16.sys presenta una data di compilazione del 19 luglio 2005, mentre il campione eseguibile svcmgmt.exe reca un timestamp di creazione file del 30 agosto 2005.

Questi dati collocano Fast16 in una finestra temporale che lo rende il malware di sabotaggio Windows più antico mai scoperto con tecniche di questo livello di sofisticazione. Juan Andrés Guerrero-Saade ha trovato il campione su VirusTotal nel 2019, dove era stato caricato originariamente nell'ottobre 2016.

Il motore Lua: innovazione tecnica anticipata

Uno degli elementi tecnicamente più rilevanti riguarda l'architettura del malware. Fast16 incorpora un motore Lua 5.0, risultando il primo malware Windows noto a utilizzare questo linguaggio di scripting embedded. Fino a questa scoperta, si riteneva che l'impiego di motori Lua avanzati fosse una caratteristica introdotta successivamente.

L'uso di Lua permetteva agli sviluppatori di creare un framework flessibile e modulare, capace di adattare il proprio carico utile (payload) a diversi scenari operativi senza dover ricompilare l'intero malware.

Il bersaglio: software di calcolo ad alta precisione

Secondo il report di SentinelOne, Fast16 prendeva di mira software di calcolo ad alta precisione, tra cui LS-DYNA, utilizzato per simulazioni ingegneristiche complesse. L'obiettivo non era la distruzione dei dati o il furto di informazioni, ma l'alterazione subdola dei risultati delle simulazioni.

La strategia mirava a introdurre errori sistematici nei calcoli, con conseguenze potenzialmente devastanti per progetti ingegneristici o scientifici che si basassero su quei risultati.

Il collegamento con i leak dell'NSA

Un elemento che ha attirato l'attenzione dei ricercatori è il ritrovamento di un riferimento al nome 'fast16' nel leak dei Shadow Brokers del 2017. Il file drv_list.txt conteneva un elenco di driver associati a strumenti di cyber-offensiva, tra cui compariva proprio fast16.

La presenza di Fast16 in questo contesto ha portato gli analisti a ipotizzare un legame con operazioni governative, probabilmente degli Stati Uniti o di un alleato.

La connessione con il programma nucleare iraniano

Wired ha riportato che il malware è probabilmente stato creato dal governo USA o da un alleato con l'obiettivo di colpire il programma nucleare iraniano. Questa ipotesi colloca Fast16 nel contesto delle operazioni di cyber-sabotaggio contro le centrifughe di arricchimento dell'uranio iraniane.

Juan Andrés Guerrero-Saade ha commentato: "It's not beyond the pale that what we're looking at is an early predecessor to Olympic Games. It fits the bill, right?". L'ipotesi di un precursore di Stuxnet trova conferma nella datazione dei componenti e nelle tecniche impiegate.

La discrepanza temporale con Stuxnet

Le fonti presentano un elemento di discordanza significativo sulla cronologia. Mentre Wired data il primo dispiegamento di Stuxnet in Iran al 2007, SentinelOne afferma che Fast16 (2005) precede Stuxnet di "almeno cinque anni". Quest'ultima affermazione implicherebbe una datazione di Stuxnet al 2010 o successiva, in contrasto con le ricostruzioni che collocano le prime versioni del worm già nel 2007.

In ogni caso, Fast16 rimane l'antecedente documentato più antico di operazioni di cyber-sabotaggio statale sofisticato.

Le implicazioni per la storia della cybersecurity

La scoperta di Fast16 riscrive la storia delle operazioni informatiche statali, dimostrando che la capacità di intraprendere sabotaggi sofisticati e mirati era già pienamente sviluppata nella prima metà degli anni 2000.

Come Fast16 eludeva il rilevamento

La scelta di utilizzare un driver kernel (fast16.sys) e un motore di scripting Lua incorporato offriva diversi vantaggi operativi. Il driver kernel permetteva l'esecuzione a un livello di privilegi sufficiente per intercettare e modificare i calcoli in tempo reale, mentre Lua garantiva flessibilità e aggiornabilità del payload senza necessità di ridistribuire il malware.

L'approccio alla alterazione subdola dei risultati, piuttosto che alla loro distruzione, rappresentava un cambio di paradigma rispetto alle minacce convenzionali, rendendo il sabotaggio difficilmente attribuibile e quasi impossibile da rilevare in tempo reale.

Domande frequenti

Cos'è Fast16 e quando è stato creato?

Fast16 è un malware di sabotaggio scoperto nel 2026 ma con componenti compilati nel 2005. È il malware Windows più antico noto a utilizzare un motore Lua per alterare calcoli ad alta precisione.

In che modo Fast16 differisce da Stuxnet?

Fast16 precede Stuxnet di almeno cinque anni secondo SentinelOne e utilizza tecniche di sabotaggio simili, ma si concentra sull'alterazione di calcoli scientifici e ingegneristici piuttosto che sul danneggiamento fisico di centrifughe.

Chi ha creato Fast16?

Secondo Wired e le analisi dei ricercatori, il malware è probabilmente stato sviluppato dal governo degli Stati Uniti o da un alleato, con l'obiettivo di colpire il programma nucleare iraniano.

Dove è stato trovato il campione di Fast16?

Guerrero-Saade ha localizzato il campione su VirusTotal nel 2019, dove era stato caricato originariamente nell'ottobre 2016. Un riferimento al nome 'fast16' era presente anche nel leak dei Shadow Brokers del 2017.

Perché la scoperta di Fast16 è importante per la cybersecurity?

La scoperta dimostra che operazioni di cyber-sabotaggio statale sofisticato erano attive già nel 2005, anticipando di anni la cronologia accettata e rivelando che tecniche come il motore Lua erano già sviluppate.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Letture correlate

• CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware
• UNC6692: nuova minaccia Teams colpisce decisori aziendali
• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale

Fonti

• https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/
• https://www.securityweek.com/pre-stuxnet-sabotage-malware-fast16-linked-to-us-iran-cyber-tensions/
• https://itmagazine.com/2026/04/24/newly-revealed-sabotage-malware-a-potential-threat-to-irans-nuclear-program-preceding-stuxnet/
• https://thehackernews.com/2026/04/researchers-uncover-pre-stuxnet-fast16.html
• https://radar.offseq.com/threat/pre-stuxnet-sabotage-malware-fast16-linked-to-us-i-5e800738