Ransomware a livello CPU: la minaccia oltre il software

Il primo proof-of-concept di ransomware iniettato nel microcodice della CPU: una minaccia invisibile che sfugge a ogni difesa tradizionale.

La fiducia nelle tecnologia non proviene da certezze assolute, ma da una serie di abitudini consolidate nel tempo. Ormai diamo per scontato che il processore del nostro PC, o del nostro smartphone, funzioni sempre secondo delle logiche immodificabili. Siamo anche fermamente convinti che il codice a basso livello sia impenetrabile e che molte leggi siano inviolabili. Questi presupposti sono i pilastri su cui poggia l’intera industria informatica da decenni.

Ma cosa accadrebbe se queste nostre convinzioni venissero sovvertite?

Ransomware nel microcodice della CPU
Iniezione nel microcodice: la logica malevola nella CPU
Vettori di infezione firmware-level

ransomware cpu microcodice minaccia firmware image

Ci sono dei punti del sistema dove il software tradizionale non può arrivare e in cui nessun antivirus è in grado di intervenire. Luoghi in cui ci illudiamo di avere il controllo, ma che in realtà non fanno che eseguire istruzioni lontano dai nostri occhi. Qui è dove si sta progressivamente spostando il confine della minaccia. Questo perché esiste un progetto che ha chiaramente dimostrato il prossimo step evolutivo delle minacce informatiche: il primo ransomware a livello CPU.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Ransomware nel microcodice della CPU

Il 14 maggio 2025, il ricercatore Christiaan Beek di Rapid7 ha presentato al mondo il proof-of-concept di un ransomware che agisce a livello del processore. Per la prima volta in assoluto, il payload malevolo non risiede nel disco locale, o nella memoria: è iniettato direttamente nel microcodice della CPU. Questo, collocato al livello ISA (Instruction Set Architecture) del modello ISO/OSI, agisce come un vero e proprio firmware, in quanto è responsabile della traduzione delle istruzioni a basso livello. Per cui è completamente isolato dalla portata degli strumenti di sicurezza tradizionali.

Il progetto di Beek ha dimostrato la possibilità di caricare patch di microcodice non firmate su una vasta gamma di processori AMD, dall’architettura Zen 1 a Zen 5. Questo codice malevolo, una volta iniettato, si esegue nel cuore stesso della CPU, eludendo ogni controllo operato dagli antivirus, EDR e hypervisors. Il sistema infetto continua a funzionare normalmente, ma a basso livello viene eseguito un processo crittografico quasi del tutto invisibile.

Il concetto di invisibilità diviene strutturale, poiché non sono generati log, né PID da tracciare, né tantomeno file sospetti, poiché il ransomware è installato in un’area dell’hardware concepita per essere trasparente al sistema operativo. In questo caso, la sua persistenza è massima, dato che un normale riavvio non cancella il suo processo, arrivando a sopravvivere anche a una formattazione completa.

Iniezione nel microcodice: la logica malevola nella CPU

Il microcodice delle CPU AMD Zen può essere aggiornato tramite patch binarie caricate dal firmware UEFI o dal sistema operativo durante la fase di boot. Beek ha sfruttato una vulnerabilità documentata: su alcune versioni, la CPU accetta anche patch non firmate. Questo permette di iniettare codice arbitrario all’interno del core logico del processore, senza che alcun controllo di integrità venga eseguito.

Il proof-of-concept utilizza un loader che ridefinisce alcune micro-operazioni nei path di esecuzione della CPU, alterando il comportamento nativo delle istruzioni. Il ransomware non esiste come file o processo, ma come logica inscritta nei micro-op. Cicli crittografici sono avviati in background senza lasciare tracce nei registri di sistema. La modifica resta volatile, ma sopravvive per tutta la durata dell’alimentazione e può essere ricaricata ad ogni avvio, tramite firmware infetto o attacco DMA (Direct Memory Access).

Da ciò si evince la natura devastante di una minaccia del genere. Se combinata con tecniche di manipolazione del firmware, potrebbe sfociare in un livello di persistenza senza precedenti. In tal caso, il microcodice verrebbe ricaricato ad ogni accensione, rendendo vano qualsiasi tentativo di bonifica convenzionale.

Vettori di infezione firmware-level

Il microcodice non è l’unico punto vulnerabile nell’infrastruttura di sistema. Il firmware UEFI e il BIOS rappresentano i successivi obiettivi naturali per chi cerca persistenza fuori dal perimetro operativo. Stando alle dichiarazioni di Beek, tra i gruppi ransomware e APT, esisterebbero già rootkit capaci di scrivere in queste aree, eludendo i controlli e riattivandosi a ogni avvio, ben prima che il sistema operativo entri in gioco. Tali affermazioni risalirebbero addirittura al 2022, quando il ricercatore intercettò una chat criptata di un collettivo ransomware, i cui membri discutevano di un tool del genere in fase sperimentale.

In uno scenario del genere, un attaccante potrebbe combinare la modifica del microcodice con una scrittura diretta nel BIOS. Ciò è possibile ricorrendo a strumenti come Flashrom, o le interfacce SPI e JTAG, già ampiamente utilizzati per aggiornare il firmware legittimamente. Un ransomware installato in questa fase diventerebbe parte del processo di bootstrap stesso.

Intuendo la pericolosità del suo proof-of-concept, Beek ha deciso di non renderlo pubblico. La tecnica funziona ed è riproducibile, ma la sua diffusione aprirebbe scenari troppo pericolosi, specialmente in un momento storico in cui i gruppi APT e ransomware stanno già investendo nella compromissione del firmware. Il suo obiettivo non era dimostrare un exploit, ma lanciare un segnale chiaro: il confine tra software e hardware non esiste più.

In conclusione

In base a quanto discusso, dobbiamo accettare una verità scomoda: in un prossimo futuro le minacce non avranno più bisogno del sistema operativo per agire. Se già un esperimento ha dimostrato la sua capacità di annidarsi nel microcodice, domani potrebbe prendere d’assalto in maniera permanente il firmware stesso. Ecco che quindi ogni nostra certezza architetturale viene messa in discussione.

La persistenza hardware non è un’ipotesi remota, ma un obiettivo dichiarato da chi sviluppa ransomware avanzati. Il fatto che esistano già tool sperimentali in grado di agire su BIOS e UEFI dimostra che l’interesse c’è, unito al desiderio di colpire per davvero. La dimostrazione di Christian Beek è un segnale che ci lascia intuire cosa potremmo affrontare nel giro di qualche anno.

Il vero perimetro della sicurezza non è più l’endpoint, né tantomeno la rete: è l’hardware. Ed è lì che, volenti o nolenti, bisognerà cominciare a difendersi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.