Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuove minacce

RingReaper e la zona d’ombra del kernel Linux: il nuovo volto dell’evasione EDR

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

RingReaper è un tool sviluppato con l’intento preciso di evadere i controlli EDR sfruttando un “angolo cieco” nel cuore stesso del kernel Linux. E ci insegna che non esistono solo vulnerabilità in senso stretto, ma anche zone grigie che, se ben sfruttate, diventano vere e proprie autostrade per gli attaccanti

Pubblicato il 8 lug 2025
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

RingReaper tool evasione EDR

C’è un nuovo spettro che si aggira nei sistemi Linux e si chiama RingReaper. Niente fantasmi, intendiamoci: si tratta di un tool sviluppato con l’intento preciso di evadere i controlli EDR (Endpoint Detection and Response) sfruttando un angolo cieco nel cuore stesso del kernel Linux e da qui avere campo libero per muoversi indisturbato nel sistema esposto.

Un angolo legittimo, documentato, addirittura pensato per migliorare le performance I/O: io_uring.

Chi si occupa seriamente di sicurezza informatica sa bene che non esistono solo vulnerabilità in senso stretto, ma anche zone grigie che, se ben sfruttate, diventano vere e proprie autostrade per gli attaccanti.

RingReaper è il veicolo che imbocca una di queste corsie preferenziali e lo fa con eleganza, precisione e soprattutto silenzio.

Il cavallo di Troia si chiama io_uring

Per capire la portata del problema bisogna addentrarsi nel funzionamento di io_uring, un’interfaccia introdotta in Linux a partire dalla versione 5.1 con l’obiettivo di migliorare le prestazioni nelle operazioni di input/output asincrono.

Fino a qui, tutto bene: è una tecnologia ben documentata, usata legittimamente da molti software server-side, container runtime e sistemi di storage ad alta efficienza. Ma è proprio qui che nasce il problema.

A differenza delle classiche system call – le ben note open(), read(), connect(), write() – che sono facilmente tracciabili e intercettabili da un EDR, le operazioni compiute tramite io_uring vengono gestite tramite submission e completion ring, una modalità che consente al processo utente di interagire col kernel in maniera estremamente efficiente, ma anche molto meno visibile.

RingReaper si inserisce in questo meccanismo con l’obiettivo di evadere i sistemi di detection tradizionali, che non monitorano (o non lo fanno adeguatamente) le attività interne ai ring di io_uring.

Il risultato è che, anche in presenza di un EDR, un attaccante può leggere, scrivere file, esfiltrare dati e persino comunicare in rete senza generare alcun evento rilevabile nei log.

RingReaper: una nuova frontiera per l’undetectable

RingReaper non è semplicemente un exploit. È un esempio perfetto di ciò che può succedere quando una tecnologia nasce per ottimizzare e finisce nelle mani sbagliate.

Gli sviluppatori del tool non hanno scoperto una vulnerabilità. Hanno solo letto con attenzione la documentazione del kernel e notato che, al momento, quasi nessun EDR commerciale tiene conto delle interazioni tramite io_uring. Da lì alla weaponizzazione, il passo è breve.

È una tecnica di evasione comportamentale, non basata sull’offuscamento del codice né sull’uso di rootkit: semplicemente, le azioni del malware non vengono intercettate perché eseguite in una zona cieca. Ed è qui che la sicurezza difensiva mostra tutte le sue crepe: troppa dipendenza da modelli statici, da signature e da eventi syscall-centrici.

Il risultato? Un EDR che vede tutto, tranne ciò che conta davvero.

Il punto debole delle nostre difese

La maggior parte degli strumenti di sicurezza per ambienti Linux – Falco, Auditd, le soluzioni commerciali di Endpoint Protection – si basano ancora su un paradigma syscall-driven. Questo significa che ciò che avviene nel contesto di io_uring non genera alert, non produce log, non solleva sospetti. Il tuo sistema può essere attaccato mentre mostra tutti i segni vitali in perfetta regola.

Eppure, le contromisure esistono. Esistono plugin e moduli eBPF che possono monitorare le system call io_uring_enter, o analizzare i contenuti dei ring. Alcune soluzioni moderne come Cilium/Tetragon iniziano ad affrontare il problema, ma con configurazioni non banali e spesso lontane dal ready-to-use.

La verità è che non siamo pronti, perché non abbiamo ancora maturato una cultura difensiva che tenga conto di queste dinamiche a basso livello. E chi lavora in ambienti cloud-native, dove Linux la fa da padrone, dovrebbe preoccuparsi sul serio.

RingReaper non è il futuro: è già adesso

RingReaper è la dimostrazione di un cambio di paradigma che non possiamo più ignorare.

L’attacco non arriva più con exploit rumorosi e malware eseguibili scritti in C offuscato. Arriva silenzioso, elegante, nascosto in un meccanismo pensato per fare bene. Non è un bug, è un design flaw della nostra sicurezza: ci siamo fidati troppo delle syscall, e adesso l’attaccante passa dalla porta di servizio.

Senza visibilità su io_uring, un SOC (security Operation Center) resta cieco. Senza formazione adeguata, un blue team resta disarmato. Senza aggiornamenti alle regole di detection, un EDR resta un placebo.

È ora di cambiare prospettiva: la sicurezza non è più una questione di “bloccare i file dannosi”, ma di vedere cosa fanno davvero i processi, anche quando usano strumenti “innocenti”.

Bisogna guardare anche dove non c’è luce

Chi lavora nella cybersecurity – vera, non quella delle slide da convegno – deve cominciare a guardare anche dove non c’è luce.

RingReaper ci ricorda che la sicurezza non è fatta solo di patch e antivirus, ma di comprensione profonda del sistema. E se oggi un tool come questo può bypassare l’intero stack EDR di un datacenter, allora vuol dire che qualcosa va rivisto, e in fretta.

Perché la guerra informatica non si vince con le regole di ieri. E chi resta indietro, stavolta, non avrà nemmeno il tempo di sentire l’allarme.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Metadati email e log di navigazione sanzione Regione Lombardia

  • garante privacy

    Metadati di e-mail e internet: regole operative sui tempi di conservazione

    25 Giu 2025

    di Riccardo Berti

    Condividi
  • ZTNA

  • guida

    ZTNA Zero Trust Network Access: cos'è e quali sono le migliori soluzioni

    06 Feb 2025

    di Federico Parravicini

    Condividi
  • Software di backup efficaci per aziende

  • Soluzioni data center

    Proteggi i tuoi dati: software di backup efficaci per aziende

    10 Feb 2025

    di Alessia Valentini

    Condividi
  • Cyberwar e cyberwarfare cosa sono: lo scenario

  • GUERRA IBRIDA

    Cyberwar: cos’è, tipologie di attacchi cibernetici e soluzioni per combattere la guerra ibrida

    13 Apr 2025

    di Alessandro Rubino

    Condividi