Il Wall Street Journal ha acquistato cinque dispositivi domestici economici, due cornici digitali da Amazon e tre box per lo streaming da Walmart, e li ha accesi in un ambiente controllato: tutti e cinque risultavano gi� connessi a reti di proxy residenziali di matrice criminale. Senza alcun intervento dell'utente, i dispositivi generavano traffico verso siti di gioco d'azzardo, pornografia e criptovalute, e tentavano di accedere agli account Outlook e Gmail dei giornalisti. Il software ostile apre quella che gli analisti descrivono come una porta nascosta verso la connessione domestica: chiunque, da remoto, pu� navigare in rete usando l'indirizzo IP di casa del proprietario ignaro, che diventa cos� il responsabile apparente di qualsiasi attivit� illecita. Non si tratta di una falla introdotta dopo l'acquisto: il codice � preinstallato nel firmware di fabbrica e non pu� essere eliminato con gli aggiornamenti successivi. I dispositivi privi della certificazione Android TV Play Protect, inoltre, restano fuori dalla portata delle contromisure antimalware di Google. L'FBI aveva gi� diffuso due avvisi formali nei mesi scorsi: a gennaio aveva indicato box streaming e cornici di fabbricazione cinese come principali vettori del botnet BADBOX 2.0, mentre a marzo, con il PSA Alert I-031226-PSA, aveva avvertito che la maggior parte dei dispositivi compromessi � prodotta in Cina. Un modello di business costruito sull'IP di casa Il meccanismo sfrutta SDK pre-integrati nel firmware di base. I produttori vengono pagati per includere il software, che alla prima accensione contatta un server di primo livello, ottiene i nodi di secondo livello e comincia a instradare traffico di terzi attraverso la connessione domestica. Per verificare la natura del comportamento, i ricercatori hanno isolato i dispositivi in una gabbia di Faraday: anche schermati, lanciavano attivamente attacchi DDoS e tentavano di accedere ai controlli hardware, segno di un'attivit� ostile e non di una semplice fuoriuscita passiva di dati. La redditivit� dipende dall'indirizzo IP, non dall'hardware: il dispositivo viene venduto sotto costo o a pareggio, e il margine arriva dalla rivendita dell'IP domestico del compratore alle reti proxy. � un'economia che spiega la scala del fenomeno, con stime che parlano di un numero di apparecchi infetti compreso fra le decine di milioni e oltre 500 milioni nel mondo, mentre la Digital Citizens Alliance calcola circa 20 milioni di dispositivi compromessi nei soli Stati Uniti. � utile ricordare che il Cyber Resilience Act europeo, in vigore da dicembre 2024 con piena conformit� entro dicembre 2027, impone standard minimi di sicurezza e trasparenza sul software per i dispositivi connessi venduti in Europa. Negli Stati Uniti, per i prodotti venduti tramite marketplace, non esiste un requisito equivalente. Dallo spionaggio di stato al record di 30 Tbps Le stesse reti servono attori sponsorizzati da stati. I gruppi cinesi Volt Typhoon e Flax Typhoon le usano per mascherare lo spionaggio contro infrastrutture critiche statunitensi, facendo apparire il traffico come proveniente da normali abitazioni americane: un cambio di tattica descritto in un advisory congiunto di aprile 2026 firmato da CISA, FBI, NSA e undici agenzie internazionali. Come ha sintetizzato uno degli esperti citati, sono state osservate offensive condotte da stati attraverso questo tipo di terminali, il che significa che �il dispositivo che sta in casa vostra fa parte di un attacco di uno stato contro un altro stato�. Sul fronte commerciale, IPIDEA, il servizio cinese di proxy residenziale dietro buona parte dell'infrastruttura, � stato smantellato da Google con un'azione legale a gennaio 2026: prima della chiusura gestiva circa 7.400 server di secondo livello e serviva oltre 550 gruppi ostili distinti. Un attore di questa economia � emerso a maggio 2026, quando l'Ontario Provincial Police ha arrestato Jacob Butler, 23 anni, di Ottawa, noto online come �Dort�, in base a un mandato di estradizione statunitense. � accusato di aver costruito e gestito la botnet KimWolf, che ha infettato oltre un milione di dispositivi e lanciato attacchi DDoS misurati fino a quasi 30 Terabit al secondo, il valore pi� alto mai documentato. La rete ha emesso oltre 25.000 comandi di attacco, ha causato perdite superiori al milione di dollari nei casi pi� gravi e ha colpito anche indirizzi IP della rete informatica del Department of Defense. KrebsOnSecurity aveva identificato e nominato pubblicamente Butler a febbraio 2026; dopo l'esposizione l'operatore ha continuato a lavorare e ha orchestrato almeno due episodi di swatting contro i ricercatori che ne avevano scoperto l'identit�, tra cui il fondatore della startup Synthient. KimWolf � stato smantellato il 19 marzo 2026 in un'operazione internazionale che ha coinvolto Stati Uniti, Canada, Germania e aziende private, fra cui Amazon, che ha contribuito a individuare l'infrastruttura di comando e a fare reverse engineering del malware; nella stessa azione sono caduti anche i botnet concorrenti Aisuru, JackSkid e Mossad. Per chi acquista, per�, restano poche difese a monte: n� Amazon n� Walmart chiedono ai venditori terzi di dichiarare il software preinstallato sui dispositivi connessi, e nessuno dei due dispone di strumenti per rilevare i client proxy installati in fabbrica prima della vendita. Entrambi affermano di intervenire solo dopo aver confermato la presenza di malware su un prodotto specifico. Gli esperti riuniti nelle conferenze di settore mettono in guardia: �abbiamo visto alcuni dei pi� grandi attacchi informatici mai registrati nella nostra storia digitale negli ultimi mesi�, e altri ancora pi� grandi sono attesi se il problema non verr� affrontato.
Backdoor di fabbrica: fino a 500 milioni di device domestici diventano armi per attacchi DDoS
Un'inchiesta del Wall Street Journal ha testato cinque dispositivi economici di Amazon e Walmart: tutti contattavano reti di proxy criminali gi� alla prima accensione, con il software ostile nel firmware di fabbrica e non rimovibile










