Il tuo mouse ti spia? La suite di gestione che conteneva un Trojan

Un grave incidente di sicurezza ha colpito Endgame Gear, nota azienda produttrice di periferiche per il gaming sponsorizzata da numerosi giocatori professionisti. Secondo numerose segnalazioni raccolte nel forum MouseReview di Reddit e condivise da Igor's Lab che è stato il primo a notare le segnalazioni, il software di gestione per il mouse OP1w 4K V2 è stato compromesso e conteneva il malware XRed. Il file infetto era scaricabile direttamente dal sito ufficiale del produttore, tra il 2 e il 17 luglio 2025.

La scoperta è stata resa pubblica dall’utente Admirable-Raccoon597, che ha raccontato di aver scaricato il tool direttamente dalla pagina ufficiale. Inizialmente non aveva sospettato nulla, ma dopo alcuni comportamenti anomali del sistema operativo, ha effettuato un'analisi tramite piattaforme come VirusTotal e Tria.ge.

I risultati hanno confermato la presenza di XRed, un malware classificato come Remote Access Trojan (RAT), in grado di raccogliere informazioni di sistema e inviarle tramite e-mail a terzi, oltre a mantenere la persistenza nel sistema infetto e propagarsi anche via USB.

La versione compromessa del file si installa con il nome “Synaptics.exe” in una directory nascosta di sistema e si avvia automaticamente all’accensione del PC. Diversi utenti hanno inoltre segnalato che ulteriori file eseguibili, soprattutto nella cartella “Download”, risultavano infetti. Alcune versioni precedenti del software (v1.03 e v1.04) mostravano punteggi elevati di rischio nei test su HybridAnalysis, con indizi di possibili funzioni da keylogger.

Particolarmente preoccupante è il fatto che il file venisse distribuito attraverso il Content Delivery Network (CDN) ufficiale di Endgame Gear. Due archivi con lo stesso nome confermano che la modifica del file sia avvenuta proprio in quel periodo. Le ipotesi sulle cause della compromissione sono due: o un dispositivo di sviluppo interno è stato infettato, oppure le impostazioni del bucket AWS dell’azienda erano configurate in modo insicuro, consentendo l’accesso pubblico in scrittura.

Non si è fatta attendere la risposta dell'azienda che ha dichiarato quanto segue:

"Rilasciamo questa dichiarazione per informarvi di un isolato incidente di sicurezza che ha coinvolto una versione infetta da malware del nostro strumento di configurazione per il mouse OP1w 4k v2. Questo file compromesso è stato distribuito tramite la pagina del prodotto OP1w 4k v2 sul nostro store tra il 26 giugno e il 9 luglio, esclusivamente su questo dominio: www.endgamegear.com/gaming-mice/op1w-4k-v2".

"Come risposta immediata, abbiamo controllato attentamente tutti i file software e firmware ospitati alla ricerca di malware e possiamo confermare che nessun altro file era infetto. Mentre le nostre indagini sul punto esatto della compromissione sono in corso, abbiamo già implementato e continuiamo a implementare diversi miglioramenti significativi della sicurezza:

• "Implementazione di ulteriori scansioni anti-malware per tutti i file, sia prima che dopo il caricamento sui nostri server (fatto)
• Rafforzamento delle protezioni anti-malware sui nostri server di hosting (fatto)
• Interruzione dei download specifici per pagina prodotto e centralizzazione di tutti i download software nella nostra pagina Download principale (in corso)
• Aggiunta della verifica dell'integrità: fornitura di hash SHA per tutti i download per consentire agli utenti di verificare l'integrità dei file (in corso)
• Aggiunta di firme digitali a tutti i nostri file software per confermarne l'autenticità (implementazione prevista il prima possibile)"

Alcuni utenti hanno sottolineato che antivirus come Windows Defender e Chrome avevano segnalato il file come pericoloso già al momento del download. Tuttavia, anche una minima percentuale di utenti che abbiano eseguito il file resta un rischio significativo.

Ad ogni modo, il suggerimento è di verificare se sul proprio PC siano presenti file infetti. In tal caso, il nome prodotto verrà indicato come "Synaptics Pointing Device Driver", mentre nel caso in cui la suite sia pulita verrà visualizzato il nome del mouse, il tutto nella scheda "Dettagli" del menù "Proprietà" della periferica.

Se rientrate nel primo caso, il suggerimento è quello di disinstallare il software, cercare e rimuovere la cartella Synaptics e infine eseguire una scansione completa con l'antivirus per assicurarsi che il RAT sia stato definitivamente rimosso.