YOLO can mean many things, but in the context of [be_riddickulous]’s AI Talking Robot Dinosaur it refers to the “You Only Look Once” YOLOv11 object-detection algorithm by Ultralytics, the method by which this adorable dino recognizes colors and shapes to teach them to children.

If you’re new to using YOLO or object recognition more generally, [be_riddiculous]’s tutorial is not a bad place to get started. She goes through how many images you’ll need and what types to get the shape-and-color recognition needed for this project, as well as how to annotate them and train the model, either locally or in the cloud.

The project itself is an adorable paper-mache dinosaur with a servo-actuated mouth hiding some LEDs and a Raspberry Pi camera module to provide images. In operation, the dinosaur “talks” to children using pre-recorded voice lines, inviting them to play a game and put a specific shape, or shape of a specific color (or both) in its mouth. Then the aforementioned object detection (running on a laptop) goes “YOLO” and identifies the shape so the toy can provide feedback on the child’s choice via a speaker in the belly of the beast.

The link to the game code is currently not valid, but it looks like they used PyGame for the audio output code. A servo motor controls the mouth, but without that code it’s not entirely clear to us what it’s doing. We expect by the time you read this there’s good odds [be_riddickulous] will have fixed that link and you can see for yourself.

The only thing that holds this back from being a great toy to put in every Kindergarten class is the need to have a laptop close by to plug the webcam into. A Raspberry Pi 5 ought to have the horsepower to run YOLOv11, so with a little extra effort the whole thing could be standalone — there might even be room in there for batteries.We’ve had other hacks aimed at little ones, like a kid-friendly computer to relive the glory days of the school computer lab or one of the many iterations of the RFID jukebox idea. If you want to wow the kiddos with AI, perhaps take a look at this talking Santa plush.

Got a cool project, AI, kid-related, or otherwise? Don’t forget to toss us a tip!

hackaday.com/2025/06/17/robot-…

Una vulnerabilità nel modulo di recupero del nome utente legacy di Google permetteva di indovinare il numero di telefono completo associato a un account, conoscendo solo il nome visualizzato e parte del numero. Questa falla aumentava notevolmente il rischio di attacchi mirati, dal phishing al furto di SIM card.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BruteCat, divenuto famoso in precedenza per essere riuscito a violare gli indirizzi email privati ​​dei proprietari di account YouTube. Questa volta, ha trovato un modo per aggirare le restrizioni del modulo di recupero del nome utente di Google, progettato per browser senza supporto JavaScript. A differenza della versione attuale, il vecchio modulo non includeva meccanismi moderni di protezione contro le azioni automatiche e rimaneva accessibile alle richieste.

BruteCat notò che il modulo gli permetteva di scoprire se un determinato numero di telefono fosse associato a un account Google specifico, conoscendo il nome del profilo e parte del numero. Iniziò a inviare richieste POST, sostituendo diverse combinazioni, e riuscì ad aggirare con successo la limitazione di base sul numero di tentativi. Per riuscirci, utilizzò la rotazione scalabile degli indirizzi IPv6: grazie alle subnet /64, era possibile generare un numero virtualmente infinito di IP univoci senza attivare blocchi.

Il ricercatore ha anche trovato un modo per aggirare la protezione CAPTCHA assegnando un token BotGuard valido, ottenuto dalla versione JavaScript dello stesso modulo, al parametro “bgresponse=js_disabled”. Ha estratto questo token automaticamente utilizzando il browser Chrome headless, scrivendo uno script separato per la generazione.

Queste tecniche sono state utilizzate per creare uno strumento chiamato gpb, che ha forzato in brute force i numeri di telefono rispetto a pattern specifici di diversi paesi, utilizzando la libreria libphonenumber di Google stessa e un database predefinito di maschere. A una velocità di 40.000 query al secondo, ci sono voluti circa 20 minuti per trovare un numero completo negli Stati Uniti, 4 minuti nel Regno Unito e meno di 15 secondi nei Paesi Bassi.

Per avviare l’attacco, era necessario conoscere l’indirizzo email della vittima, ma BruteCat ha aggirato anche questo ostacolo. Ha creato un documento in Looker Studio e ha trasferito la proprietà dell’account della vittima.

Non restava che specificare il numero, e qui entrarono in gioco altri servizi. Ad esempio, quando si cerca di reimpostare una password su PayPal, si possono vedere più cifre di un numero di telefono di quante ne mostri Google: questo era sufficiente per restringere l’intervallo di valori possibili. Quindi BruteCat ha raccolto i numeri completi associati agli account e, secondo lui, nella stragrande maggioranza dei casi si trattava dei numeri di telefono principali dei proprietari.

I dati ottenuti hanno dato al ricercatore di sicurezza l’opportunità di effettuare attacchi mirati, dall’ingegneria sociale al furto di un numero di telefono tramite più operatori. Questo approccio è diventato particolarmente pericoloso se combinato con e-mail e altre fughe di notizie precedentemente divulgate.

Il ricercatore ha segnalato la vulnerabilità a Google il 14 aprile 2025. Inizialmente, l’azienda ha valutato il rischio come basso, ma un mese dopo, il 22 maggio, ha aumentato il livello di minaccia a medio e ha implementato misure di mitigazione temporanee. BruteCat ha ricevuto una ricompensa di 5.000 dollari per la sua ricerca.

Il 6 giugno, Google ha disattivato completamente la vulnerabilità, rendendo impossibile qualsiasi ulteriore sfruttamento. Tuttavia, non è ancora noto se questa tecnica sia stata utilizzata da qualcuno prima che la vulnerabilità venisse ufficialmente chiusa.

L'articolo BruteCat buca Google: scoperti numeri di telefono nascosti con un semplice script proviene da il blog della sicurezza informatica.

During Apple’s late-90s struggles with profitability, it made a few overtures toward licensing its software to other computer manufacturers, while at the same time trying to modernize its operating system, which was threatening to slip behind Windows. While Apple eventually scrapped their licensing plans, an interesting product of the situation was Rhapsody OS. Although Apple was still building PowerPC computers, Rhapsody also had compatibility with Intel processors, which [Omores] put to good use by running it on a relatively modern i7-3770 CPU.

[Omores] selected a Gigabyte GA-Z68A-D3-B3 motherboard because it supports IDE emulation for SATA drives, a protocol which Rhapsody requires. The operating system installer needs to run from two floppy disks, one for boot and one for drivers. The Gigabyte motherboard doesn’t support a floppy disk drive, so [Omores] used an older Asus P5E motherboard with a floppy drive to install Rhapsody onto an SSD, then transferred the SSD to the Gigabyte board. The installation initially had a kernel panic during installation caused by finding too much memory available. Limiting the physical RAM available to the OS by setting the maxmem value solved this issue.

After this, the graphical installation went fairly smoothly. A serial mouse was essential here, since Rhapsody doesn’t support USB. It detected the video card immediately, and eventually worked with one of [Omores]’s ethernet cards. [Omores] also took a brief look at Rhapsody’s interface. By default, there were no graphical programs for web browsing, decompressing files, or installing programs, so some command line work was necessary to install applications. Of course, the highlight of the video was the installation of a Doom port (RhapsoDoom).

This isn’t the first obscure Apple operating system we’ve seen; some of them have even involved updates to Apple’s original releases. We’ve also seen people build Apple hardware.

youtube.com/embed/uE6qp94InBM?…

Thanks to [Stephen Walters] for the tip!

hackaday.com/2025/06/16/bringi…

Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identificato con lo pseudonimo “samy01”, ha pubblicato su un forum underground molto frequentato un’inserzione dal titolo: “RDWeb / Italy / 24 kk / Domain User”.

Il post, come di consueto, riporta la tipologia di accessi in vendita e informazioni sul target. In particolare:

• Settore: Industrial Machinery & Equipment Manufacturing
• Tipologia di accesso: RDWeb (Remote Desktop Web Access)
• Tipologia di utenze: Domain User
• Informazioni sul dominio Active Directory:
  
  • 2 Domain Controller
  • 1 Trust attivo
  • 568 computer di dominio

  
  

• Tipologia di antivirus: SentinelOne

La dimensione dell’infrastruttura compromessa – con quasi 600 postazione di lavoro – suggerisce che si tratti di un’azienda strutturata, con una dimensione importante e una classe di fatturato (come riportato nel post) di circa 24 miliardi di dollari.

Il venditore samy01 risulta registrato da marzo 2024 ed ha all’attivo 13 post sul forum. La dicitura “Autogarant: 2” indica che ha già concluso due transazioni tramite il sistema di escrow automatico offerto da Exploit.in, a conferma dell’affidabilità come venditore sulla piattaforma.

L’inserzione è stata messa all’asta, con le seguenti condizioni:

• Prezzo di partenza: 1.000$
• Incremento minimo: 250$
• Blitz price (acquisto immediato): 2.000$
• Forum escrow disponibile per la transazione
• Contatto via PPS (point-to-point secure chat) disponibile 24 ore su 24

Il fatto che si tratti di un’azienda appartenente alla meccanica industriale la rende un obiettivo particolarmente sensibile, sia per il valore della proprietà intellettuale, sia per la possibilità di propagare attacchi verso clienti o fornitori.

Inoltre, la menzione di RDWeb come punto di accesso suggerisce che l’attaccante abbia compromesso un servizio esposto pubblicamente su Internet, probabilmente attraverso vulnerabilità note o brute force su credenziali deboli.

La presenza di SentinelOne indica che l’azienda è dotata di soluzioni di EDR (Endpoint Detection and Response), ma questo non ha impedito l’infiltrazione iniziale, a dimostrazione del fatto che la difesa perimetrale da sola non è sufficiente senza un efficace controllo degli accessi e monitoraggio continuo.

Rdp Esposto su Internet, fate attenzione!

L’esposizione del protocollo RDP (Remote Desktop Protocol) direttamente su Internet rappresenta una delle superfici d’attacco più comuni e pericolose. Gli attaccanti sfruttano costantemente motori di scansione automatizzati per individuare sistemi RDP accessibili pubblicamente, tentando poi attacchi brute-force o sfruttando vulnerabilità note.

Esporre RDP senza adeguate contromisure equivale a lasciare una porta d’ingresso aperta verso l’intera infrastruttura IT.

Gli strumenti di amministrazione remota non devono mai essere raggiungibili direttamente da Internet. Se è necessario accedervi da remoto, occorre implementare una VPN dedicata esclusivamente al management, protetta da un sistema di doppia autenticazione (2FA).

Questo approccio riduce drasticamente il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali. Una VPN di management ben configurata rappresenta una barriera fondamentale contro attacchi come ransomware, intrusioni mirate e movimenti laterali nella rete.

Un mercato fiorente per accessi corporate

L’Italia continua a rappresentare un mercato interessante per gli Initial Access Broker. Nel solo 2025, sono già decine i casi tracciati da Red Hot Cyber di aziende italiane i cui accessi sono stati messi in vendita.

Questo nuovo caso è l’ennesimo campanello d’allarme per il settore industriale italiano: l’accesso remoto deve essere protetto da MFA, i servizi esposti pubblicamente devono essere monitorati attivamente, e ogni anomalia deve essere considerata potenzialmente sintomatica di compromissione.

Il tempo che intercorre tra la vendita di un accesso e il deployment di un ransomware si misura in ore o (come osservato di recente) in minuti. La prevenzione, la segmentazione della rete e la formazione del personale sono ormai imprescindibili.

L'articolo Gli accessi ad una grande azienda italiana della meccanica industriale in vendita nel Dark Web proviene da il blog della sicurezza informatica.

A volte, è utile guardare indietro per comprendere meglio le minacce attuali. Un esempio ci arriva da una vecchia, ma sempre attuale, vulnerabilità di PHP Object Injection che interessa vBulletin 4.x.

Circa un decennio fa, il popolare software per forum web, vBulletin 4.x, fu interessato da una vulnerabilità di PHP Object Injection. Questa falla critica è stata trovata e documentata dal ricercatore di sicurezza Egidio Romano (EgiX) che ha recentemente rilevato un’altra vulnerabilità su vBulletin.

Curiosamente, questa falla fu introdotta da una patch di sicurezza del 2014 che, nel tentativo di migliorare la protezione, sostituì serialize() con json_encode(), creando involontariamente un nuovo vettore di attacco: la possibilità di eseguire una PHP Object Injection.

Questa modifica potrebbe permettere agli aggressori di firmare payload serializzati codificati in base64, portando potenzialmente ad attacchi di esecuzione di codice remoto (RCE) tramite chiamate malevole a /private.php.

La vulnerabilità risiede nella funzione verify_client_string(), progettata per prevenire la manomissione dei dati lato client. Tuttavia, a causa del modo in cui json_encode() e base64_decode() gestiscono i dati, gli aggressori possono aggirare questi controlli. Un payload ben congegnato, iniettato attraverso il parametro POST messageids in /private.php, può portare alla deserializzazione di oggetti malevoli.

L’analisi ha rivelato che, combinando questa iniezione, è possibile costruire una “POP chain” (Property Oriented Programming chain). Una POP chain è una sequenza di oggetti serializzati, che grazie a chiamate a metodi magici di PHP (__wakeup(), __destruct(), __call(), ecc.) che vengono invocate automaticamente durante la deserializzazione o la manipolazione di oggetti, potrebbero permettere all’attaccante di eseguire codice arbitrario.

In questo caso specifico, è stata sfruttata la classe DateTime di PHP, che, in combinazione con le strutture di classe di vBulletin, ha consentito l’esecuzione arbitraria di codice sul server. La vulnerabilità è stata testata e confermata su vBulletin versione 4.2.3 Patch Level 2, 4.2.3 e 4.2.2 con le “security patches” applicate, su PHP versione 5.6.5. Si noti infatti che questa “POP chain” funziona solo con alcune vecchie versioni di PHP (5.3.0. – 5.3.29, 5.4.0 – 5.4.37, 5.5.0 – 5.5.21, e 5.6.0 – 5.6.5).

Questa storia evidenzia i pericoli della deserializzazione insicura e i rischi derivanti dall’applicazione di patch di sicurezza affrettate a codice legacy. Anche nei sistemi più datati, le moderne tecniche di exploit possono essere estremamente efficaci. Le vulnerabilità di vBulletin, sia quelle più datate che quelle più recenti, ci ricordano l’importanza di mantenere i sistemi aggiornati e di adottare pratiche di sviluppo sicure per proteggersi da attacchi potenzialmente devastanti.

L'articolo La Macchina del Tempo delle Vulnerabilità: vBulletin 4.x e PHP Object Injection proviene da il blog della sicurezza informatica.

Nacque a Livorno il 16 giugno 1901 con il nome di Federazione Italiana Operai Metallurgici.[2] Nel 1906 partecipò alla fondazione della Confederazione Generale del Lavoro (CGdL, oggi CGIL).

Dopo il fascismo fu rifondata, nell'ambito della nuova CGIL unitaria, con il IX Congresso che si tenne a Torino nel 1946, presieduto da Giovanni Roveda, e durante il quale cambiò il proprio nome in Federazione Impiegati Operai Metallurgici, lasciando invariata la sigla ma allargando la propria rappresentanza.

it.wikipedia.org/wiki/Federazi…

sindacato di categoria affiliato alla CGIL

^{Contributori ai progetti Wikimedia (Wikimedia Foundation, Inc.)}

Così mi dice il sito di Poste Italiane dopo aver inserito il mio indirizzo di posta elettronica in risposta a questo invito.

Inserendo il tuo numero di cellulare e/o indirizzo di posta elettronica, Poste Italiane, titolare del trattamento dei dati, potrà informarti sulla consegna della tua spedizione.

Ho controllato, l'indirizzo è giusto e non ci sono spazi né prima né dopo.

Errore semantico...

Su richiesta dell'amico Gianni Tadolini esprimo il mio parere modesto (e inutile) sulla sitiazione della guerra Israele-iraniana (vi avverto che è lungo... 😪).

ISRAELE E LA GUERRA CON L’IRAN

Non è mai facile parlare di una situazione in divenire che non si sa come potrebbe finire ed in cui l’emotività del momento potrebbe portarti a considerazioni sbagliate, per cui mi scuserete se non sarò solo un cronista di fatti avvenuti ma cercherò di essere comunque il più obiettivo possibile.
Premetto che le considerazioni sulla guerra che Israele ha scatenato contro l’Iran, verso la quale si può essere contro o a favore, non hanno alcuna connessione diretta (ma indiretta ovviamente sì) con il massacro che il governo Netanyahu ha scatenato nei confronti degli abitanti di Gaza, con la premessa dell’eradicazione di Hamas, ma nel quale onestamente non vedo né una strategia coerente né una prospettiva edificante ma solo un desiderio di vendetta indiscriminato.

Detto questo veniamo però ai fatti: è indubbio, nonostante non esistano prove certe (per ora), che l’Iran, nonostante le promesse e gli accordi, si volesse dotare di testate atomiche da usare sicuramente contro Israele ma contemporaneamente esercitando, di fatto, una egemonica minaccia su tutto il medio-oriente.
La situazione è così lampante che non solo Rafael Grossi (Direttore della AIEA, agenzia internazionale per l’energia atomica) aveva lanciato un “warning” sui sotterfugi dell’Iran che stava nascondendo siti in cui arricchiva l’uranio, ma anche gli americani, sapendolo, cercavano di mediare una soluzione di compromesso perché l’Iran rinunciasse all’atomica.
Bisogna ammettere che mentre fino a 10 anni fa circa, tutto il mondo arabo era contro Israele, gli Accordi di Abramo del 2020 (con Emirati Arabi Uniti e Barhein,) avevano “normalizzato” i rapporti con lo stato ebraico e non si erano più visti tentativi di aggressioni o le oceaniche manifestazioni anti-Israele (e anti-americane) nelle piazze mediorientali.

L’unico vero nemico , che non ha mai accettato alcuna “normalizzazione“ (anche non scritta) è rimasto l’Iran, che non solo ha messo nella sua Costituzione l’obbligo di cancellare Israele dalla faccia della terra, ma ha di fatto fomentato negli ultimi vent’anni almeno, ogni sorta di terrorismo antisionista finanziando massicciamente Hamas, gli Hezbollah (e di fatto controllando il Libano) e gli Houti nello Yemen.
Di fatto il terrorismo antiebraico ha agito da detonatore continuo rendendo da sempre il medio oriente una polveriera instabile.
Alla luce di quanto sopra, ha fatto bene Israele a bombardare siti militari e nucleari iraniani uccidendo capi militari e scienziati (con purtroppo l’inevitabile corredo anche di morti civili)?
In punta di diritto internazionale sicuramente no anche se, per gli inutili “polemici” (che definirei in altro modo) allora anche la Russia aveva ragione di invadere l’Ucraina, con la sola differenza che l’Ucraina non aveva fatto niente contro la Russia (e la famosa guerra del Donbass era solo un pretesto), mentre l’Iran ha utilizzato per anni le braccia armate del terrorismo per distruggere Israele.

Quindi se da un punto di vista di diritto internazionale, Israele è evidentemente condannabile (io onestamente lo condannerei molto di più per i continui insediamenti abusivi in Cisgiordania), dal punto di vista strategico personale, Israele ha cercato semplicemente di tagliare la testa al serpente, la cui coda ricresceva continuamente!
Tutti si chiedono se tale guerra (che non sappiamo per quanto durerà ma vista la risposta iraniana, non sembra possa prolungarsi più di tanto) sia al preludio di una guerra totale in Medio-Oriente.
Io francamente credo di no.
E’ un dato di fatto che aldilà delle visioni religiose “nemiche” (l’Iran è sciita e gli altri paesi mediorientali sunniti), la presenza di una potenza atomica nella regione, avrebbe creato problemi a tutti e consentito all’Iran di dettare legge in quella porzione di mondo.
La distruzione del programma atomico bellico iraniano, fa tirare un sospiro di sollievo a tutti i paesi arabi e ciò è ampiamente dimostrato dal fatto che sia per Gaza, sia per il precedente bombardamenti israeliano del 19 aprile 2024, sia per l’attuale conflitto, non si sono viste né proteste né segnali di vendetta nei confronti di Israele, se non formali e blande dichiarazioni (la più preoccupata sembra la Russia perché perderebbe il supporto dell’Iran, co-produttore dei droni Shahed finora massicciamente forniti alla forze armare russe).

Il rovesciamento della teocrazia iraniana, farebbe comodo a tutti nella regione perché sicuramente agirebbe da “normalizzatore” nei difficili rapporti tra le diverse fazioni ed eliminerebbe forze terroristiche di difficile controllo (basti pensare al problema che gli Houti causano alle petroliere con danno economico sia per i paesi occidentali che per quelli arabi che il petrolio devono venderlo).
Io pertanto, allo stato attuale, poi purtroppo la guerra è imprevedibile, non vedo alcun rischio di coinvolgimento do altri paesi che si terranno ben distanti da questo conflitto.
Ovviamente, e qui apro un altro capitolo, l’eventuale raggiungimento dell’obiettivo israeliano (con il rovesciamento o almeno il grande ridimensionamento della minaccia iraniana) non ci deve far dimenticare la grave situazione palestinese che deve trovare una soluzione accettabile e dignitosa (come per l’Ucraina), con il rispetto assoluto dei confini ed il riconoscimento reciproco dei paesi confinanti.
Tale situazione deve però passare attraverso l’eliminazione “totale” di Hamas”, non certo eliminata dalla ferocia indiscriminata dell’esercito israeliano, ma, come proposto dal Presidente dell’Autorità palestinese Abbās, da una forza di polizia internazionale ONU che deve sradicare il taglieggiamento da parte dei terroristi nei confronti del popolo gazawi.

Se si pensa che ancora oggi il 60% dei viveri e medicinali forniti con aiuti internazionali viene intercettato o prelevato da Hamas, allo scopo di rivenderlo alla popolazione, si capisce come anche in un dramma come questo, il movimento terroristico rappresenti un problema soprattutto per la popolazione palestinese.
Anche noi europei, americani e molti altri paesi mondiali compresi gli arabi, abbiamo contribuito non solo alla mancata soluzione del problema palestinese ma anche al mantenimento del movimento terroristico, ignorando il problema, lasciando che Israele se lo risolvesse da solo ed andando solo in piazza con le bandiere e gli slogan “Free Palestine”.

Abbiamo contribuito a creare un popolo di improduttivi, che hanno imparato a vivere solo di sussidi internazionali senza creare posti di lavoro e lasciando che i soldi, generosamente regalati ogni mese dalla Banca di Ramallah ad ogni cittadino palestinese, finissero in buona parte per alimentare il movimento terroristico che continuava a comprare armi ed addestrare soldati.
Solo da 1993 e il 2021 secondo l’OECD (Organizzazione per la cooperazione e lo sviluppo economico) i soldi ufficialmente donati alla Palestina ammontano a oltre 42 miliardi di dollari per una popolazione totale di poco di 4 milioni e mezzo (ma la cifra è molto più altra grazie a donazioni occulte provenienti da associazioni arabe pro-palestina).

La soluzione del riconoscimento e della creazione di uno stato palestinese, deve consentire un vero sviluppo del popolo economico e sociale e deve necessariamente passare per l’eliminazione dei movimenti terroristici, ma anche per un rispetto di Israele verso un altro popolo in osservanza delle determinazioni ONU (sull’espansione di Israele), fin qui completamente ignorate dallo stato ebraico.
Se la distruzione del potenziale bellico iraniano potesse essere il preludio ad una “pacificazione e normalizzazione” dell’ area, allora anche questa guerra potrebbe avere un risvolto positivo, ma tutto ciò è ancora da vedere e successivamente da verificare.
Enrico Bernini Carri (15 giugno 2025)

Christ On A Crutch: Chaos.

This album rejects sacrifice.
It chooses to save the innocent sacrifical lamb,
while the guilty humanity falls into chaos.
Reveals the ritual of repudiation, war, ritual sacrifice, denied redemption, fragile freedom, and the final descent into XAOC.

Composed and performed on Game Boy DMG. Recorded live direct to Tascam; no mastering applied.

Tracklist:
[1.]
الرفض RIPUDIO
[2.]
كل حرب OGNI GUERRA (777)
[3.]
كل تضحية طقسية OGNI SACRIFICIO RITUALE. (prine 2025)
[4.]
البريء L'INNOCENTE (Star of Betlehem)
[5.]
لا يُكَفِّر NON ESPIA.
[6.]
أنا أُنقِذ الحمل SALVO L'AGNELLO.
[7.]
لا أُخَلِّص NON REDIMO
[8.]
نفسي ME STESSO
[9.]
الدَّم COL SANGUE.
[10.]
الحمل يَمْضِي L'AGNELLO VA VIA (vitela)
[11.]
حُرًّا، على عُكَّاز LIBERO, SULLA STAMPELLA (berehit 2025)
[12.]
فقط العالَم المُذنِب SOLO IL MONDO COLPEVOLE (p 2025)
[13.]
يَسقُط في الفَوضى CADE NEL XAOC.

released May 31, 2025
Pixelart illustration by biiterat www.instagram.com/biiterat/
No AI used in any part of this album.

werto.bandcamp.com/album/xaoc

XAOC, by werto

14 track album

^werto