Un nuovo malware sta facendo parlare di sé nel mondo della cybersicurezza: si chiama CrystalX e viene venduto in abbonamento direttamente su Telegram, con tanto di pubblicità su YouTube. I ricercatori di Kaspersky lo hanno individuato e analizzato, scoprendo un pacchetto decisamente versatile. Chi lo acquista può personalizzarlo attraverso un pannello di controllo e attivare diverse funzionalità: accesso remoto, furto di informazioni personali e persino una serie di “scherzi” pensati per infastidire le vittime. Sembra quasi surreale, eppure è tutto reale.
Il malware è comparso su Telegram a gennaio 2026 con il nome Webcrystal RAT, poi ribattezzato CrystalX RAT. Dal pannello di controllo è possibile selezionare i paesi da escludere dagli attacchi, aggiungere funzionalità anti analisi e scegliere quali moduli attivare. La prima capacità disponibile è quella da infostealer, che si attiva immediatamente al momento del lancio. CrystalX inizia a rubare dati dai browser basati su Chromium e le credenziali salvate su piattaforme come Telegram, Steam e Discord. Tutte queste informazioni vengono poi inviate al server C2, il cosiddetto server di comando e controllo usato dai cybercriminali per gestire le operazioni.
Keylogging, accesso remoto e spyware: cosa può fare CrystalX
Ma il furto di credenziali è solo la punta dell’iceberg. CrystalX registra anche i tasti premuti sulla tastiera tramite keylogging e accede agli appunti copiati dall’utente. Lo scopo principale di questa funzione è intercettare gli indirizzi dei wallet di criptovalute e sostituirli con quelli controllati dai criminali. In pratica, quando la vittima copia un indirizzo per inviare fondi, il malware lo cambia silenziosamente, dirottando il denaro digitale senza che nessuno se ne accorga.
C’è poi il modulo per l’accesso remoto, che consente di eseguire comandi sul computer infetto, rubare o copiare file e controllare tutto lo schermo tramite una connessione VNC. Il cybercriminale vede esattamente quello che appare sul monitor della vittima. CrystalX offre anche funzionalità da spyware: può registrare audio attraverso il microfono e video dalla webcam, se presente. Uno scenario inquietante, che trasforma qualsiasi computer compromesso in una finestra spalancata sulla vita privata dell’utente.
La funzione “prank” e la diffusione del malware
L’aspetto più bizzarro di CrystalX è forse la componente da prankware, ovvero una serie di comandi progettati esclusivamente per dare fastidio. I cybercriminali possono cambiare lo sfondo del desktop, ruotare lo schermo, spegnere il computer, invertire il tasto destro e sinistro del mouse, bloccare l’input di mouse e tastiera, mostrare notifiche a schermo, spostare il cursore in posizioni casuali e persino nascondere componenti di Windows come il Task Manager, la barra delle applicazioni e le icone del desktop. Possono anche inviare messaggi direttamente alla vittima. Nessun danno concreto, ma un livello di fastidio che rasenta il tormento.
