Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europei, premi in criptovalute.
Una macchina semplice, brutale, ma efficace.

Il suo punto di forza non è la sofisticazione tecnica, ma la capacità di mobilitare rapidamente migliaia di utenti, anche privi di esperienza, trasformandoli in cyber-mercenari occasionali. Bastano uno smartphone, un canale Telegram e un link di download per entrare nella “guerra patriottica”. Nessuna formazione, nessuna competenza, solo click automatizzati e una dashboard con i bersagli assegnati.

Poi è arrivata l’Operazione Eastwood, guidata [strong]nei giorni scorsi da Europol, che ha portato allo smantellamento di oltre 100 server in cinque Paesi europei, con arresti in Francia e Spagna.[/strong]

Ma ciò che emerge va oltre l’immagine dell’attivismo patriottico: prende forma un ecosistema dove propaganda, infrastrutture digitali e strumenti di controllo culturale si intrecciano. Un sistema che colpisce bersagli informatici, ma che — in parallelo — intercetta e indirizza identità, giovani e narrazioni.

L’illusione del volontariato: un comando silenzioso

Nei mesi scorsi, un pattern ricorrente ha sollevato sospetti. Più volte, una stessa macchina è apparsa in un database pubblico per attività di port scanning aggressivo, proprio nelle stesse ore in cui NoName057(16) rivendicava attacchi DDoS su Telegram. Un esempio emblematico: l’8 luglio e poi il 14 luglio. Stesso comportamento, stessa macchina, nuova rivendicazione. Analizzando il client DDoSia, distribuito ai volontari, emerge un dettaglio cruciale: un endpoint remoto non dichiarato nel codice. Questo serverC2 (Command and Control) agisce come un ‘cervello’ nascosto, inviando comandi criptati per coordinare attacchi simultanei.

Nessun annuncio pubblico, nessun messaggio su Telegram. Solo un task. Non è un attacco spontaneo. È un ordine distribuito.

Questo conferma, se mai ce ne fosse stato bisogno, che il client non è soltanto uno strumento distribuito per “volontari patriottici”, ma riflette una logica centralizzata e funzionale, che solleva dubbi sull’autonomia effettiva del collettivo.
NoName057(16) si configura così non solo come una community, ma come una possibile interfaccia tecnica di un sistema più esteso, in cui compaiono nomi, ruoli e infrastrutture riconducibili — direttamente o indirettamente — a contesti istituzionali

Oltre il client: chi c’è dietro?

Il sistema funziona. Il client attacca. Il messaggio circola.

Ma chi lo ha costruito? Chi lo comanda davvero?

Due nomi cominciano a emergere: Maxim Lupin e Mihail Burlakov.

Grazie all’operazione Eastwood, i mandati internazionali e le evidenze OSINT, emergono due figure chiave:

• Maxim Nikolaevič Lupin: Direttore Generale del CISM (Centro per lo Studio e il Monitoraggio dell’Ambiente Giovanile);
• Mihail Evgenyevich Burlakov: professore associato in cybersecurity all’Università aerospaziale di Samara, e vice-direttore dello stesso CISM.

Burlakov è noto nei canali Telegram del gruppo come ddosator3000 o @darkklogo. Risulta premiato nei ranking interni del malware DDoSia. Secondo Europol, ha progettato il codice del client, affittato server illegali per la gestione degli attacchi e partecipato attivamente alla distribuzione del software.

Il suo numero di telefono, pubblicato nei contatti ufficiali dell’università, è associato a un profilo Telegram registrato proprio con l’alias @darkklogo. Gli indirizzi IP collegati a quell’utenza risultano non anonimizzati e riconducibili a una zona ad alta densità istituzionale: il Cremlino

Nessuna precauzione. Nessun anonimato. Solo la certezza dell’impunità.

Meno esposto nei canali tecnici, ma centrale nella struttura, è Maxim Nikolaevič Lupin, direttore generale del CISM e figura istituzionale legata a progetti educativi, di sicurezza dell’informazione e “prevenzione ideologica”.

Lupin è accreditato presso la Presidenza della Federazione Russa. Ha lavorato come specialista in sicurezza informatica per l’organizzazione filogovernativa dei veterani Combat Brotherhood e come project manager per ZephyrLab, una società che sviluppa siti web per ministeri federali. È anche sospettato di gestire una piattaforma di trading online illegale.

Se Burlakov scrive il codice, Lupin ne decide l’uso

Il CISM: la macchina ideologica

Il Centro per lo Studio e il Monitoraggio della Gioventù (CISM) non è un centro studi.
Nato su impulso diretto del Cremlino, riceve oltre 2 miliardi di rubli per progetti che mirano, ufficialmente, a “proteggere i giovani da contenuti distruttivi”.

In realtà, è un’infrastruttura che fonde:

• algoritmi di sorveglianza,
• classificazione semantica automatica,
• schedatura psicopolitica.

Il cuore tecnologico del CISM è il sistema AIS “Prevenzione”, che scandaglia oltre 540 milioni di profili social analizzando post, like, emoji, commenti, hashtag, silenzi.

Ogni adolescente riceve due indici:

• un coefficiente di distruttività (comportamento, vocabolario, tono);
• un indice di opposizione (posizioni politiche, relazioni, appartenenze).

I dati vengono de-anonimizzati, profilati e segnalati.
Secondo i documenti trapelati dal Cremlino e analizzati nel progetto investigativo Kremlin Leaks — a cura di Der Spiegel, iStories, VSquare e Frontstory.pl — il sistema è attualmente attivo in almeno 44 regioni russe ed è in fase di integrazione con i database del Ministero dell’Interno.

È intelligenza artificiale al servizio dell’ideologia.

I bambini ucraini deportati

Il CISM lavora a stretto contatto con il Ministero dell’Istruzione e il Centro federale RPSP per gestire i minori deportati dai territori ucraini occupati.

Il modello è chiaro:

• identificazione,
• classificazione psicologica,
• rieducazione comportamentale.

Secondo documenti interni ottenuti da Meduza, il Ministero dell’Istruzione ha avviato un monitoraggio sistematico dei minori adottati provenienti dalle regioni occupate. Nella prima metà del 2023, almeno cinque bambini sono deceduti. In un caso documentato, si è trattato di suicidio. Le cause non sono state rese note.

In risposta, è stato attivato un “lavoro preventivo” che include il coinvolgimento diretto del CISM: dietro la retorica della tutela si cela un sistema di sorveglianza algoritmica. Il Centro elabora profili psico-sociali di rischio, ma non per offrire sostegno: l’obiettivo è classificare i minori in base alla loro “devianza”, “opposizione” o fragilità ideologica.

Ogni adolescente schedato riceve una scheda personale con dati identificativi, tracciamento online e indicatori predittivi generati da reti neurali, usati per segnalazioni alle autorità. Il risultato è una schedatura automatizzata basata su comportamenti digitali e opinioni politiche, che cancella ogni anonimato.

Non ci sono prove che il CISM, come istituzione, sia direttamente coinvolto negli attacchi. Ma quando sia il direttore che il vice direttore risultano legati alle stesse infrastrutture usate da NoName057(16), il confine tra “tutela giovanile” e operazioni cibernetiche diventa sempre più sottile. E sempre meno credibile.

Conclusione

NoName057(16), DDoSIA, CISM, AIS Prevenzione, @darkklogo, Maxim Lupin.
Questi nomi compaiono in contesti diversi, ma a volte si sfiorano, si sovrappongono, si parlano.

Non c’è una prova che li unisca in modo diretto.
Ma ci sono pattern, coincidenze temporali, ruoli doppi, infrastrutture condivise.
E soprattutto: assenze strategiche di anonimato, come se non fosse necessario nascondere nulla.

Forse non è un’operazione centralizzata. Forse sì.
Quel che è certo è che non tutto ciò che appare spontaneo lo è davvero.
Il rischio oggi non è solo tecnico, ma culturale.

E capire dove finisce il rumore digitale e dove comincia un disegno strutturato è il primo passo per difendere non solo i server, ma anche la nostra capacità di leggere il presente.

Perché quando algoritmi ideologici schedano i bambini come “oppositivi”, e quando gli stessi architetti digitali progettano sia strumenti di rieducazione che piattaforme d’attacco, il confine tra cybersicurezza e controllo sociale diventa troppo sottile per essere ignorato.

L'articolo Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin proviene da il blog della sicurezza informatica.

The flow battery is one of the more interesting ideas for grid energy storage – after all, how many batteries combine electron current with fluid current? If you’re interested in trying your hand at building one of these, the scientists behind the Flow Battery Research Collective just released the design and build instructions for a small zinc-iodide flow battery.

The battery consists of a central electrochemical cell, divided into two separated halves, with a reservoir and peristaltic pump on each side to push electrolyte through the cell. The cell uses brass-backed grafoil (compressed graphite sheets) as the current collectors, graphite felt as porous electrodes, and matte photo paper as the separator membrane between the electrolyte chambers. The cell frame itself and the reservoir tanks are 3D printed out of polypropylene for increased chemical resistance, while the supporting frame for the rest of the cell can be printed from any rigid filament.

The cell uses an open source potentiostat to control charge and discharge cycles, and an Arduino to control the peristaltic pumps. The electrolyte itself uses zinc chloride and potassium iodide as the main ingredients. During charge, zinc deposits on the cathode, while iodine and polyhalogen ions form in the anode compartment. During charge, zinc redissolves in what is now the anode compartment, while the iodine and polyhalogen ions are reduced back to iodides and chlorides. Considering the stains that iodide ions can leave, the researchers do advise testing the cell for leaks with distilled water before filling it with electrolyte.

If you decide to try one of these builds, there’s a forum available to document your progress or ask for advice. This may have the clearest instructions, but it isn’t the only homemade flow cell out there. It’s also possible to make these with very high energy densities.

hackaday.com/2025/07/23/an-ope…

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha confermato ufficialmente che il suo Public Security Incident Response Team (PSIRT) ha registrato tentativi di sfruttamento di queste vulnerabilità in condizioni reali. Stiamo parlando di violazioni nei prodotti Cisco Identity Services Engine (ISE) e nel modulo Passive Identity Connector (ISE-PIC).

Cisco ISE svolge un ruolo chiave nel controllo degli accessi: determina chi può connettersi alla rete aziendale e a quali condizioni. Compromettere l’integrità di questa piattaforma offre agli aggressori accesso illimitato ai sistemi interni dell’azienda, consentendo loro di aggirare i meccanismi di autenticazione e logging, trasformando di fatto il sistema di sicurezza in una porta aperta.

Nella notifica ufficiale, l’azienda ha elencato tre vulnerabilità critiche con il punteggio CVSS più alto, pari a 10 su 10. Tutte e tre consentono a un aggressore remoto non autorizzato di eseguire comandi su un dispositivo vulnerabile come utente root, ovvero con i diritti più elevati nel sistema:

• CVE-2025-20281 e CVE-2025-20337 sono correlate alla gestione delle richieste API. Una convalida insufficiente dell’input dell’utente consente a un aggressore di creare una richiesta appositamente creata che può essere utilizzata per eseguire codice arbitrario sul server ISE;
• CVE-2025-20282 riguarda un’API interna priva di un adeguato filtraggio dei file caricati, consentendo a un aggressore di caricare un file dannoso e di eseguirlo in una directory protetta, anche con privilegi di root.

Tecnicamente, queste vulnerabilità derivano dalla mancanza di convalida dell’input (nei primi due casi) e da un controllo insufficiente sui percorsi di caricamento dei file (nel terzo). Le opzioni di sfruttamento spaziano dall’invio di una richiesta API appositamente predisposta al caricamento di un file preparato su un server. In entrambi gli scenari, un aggressore può aggirare i meccanismi di autenticazione e ottenere il pieno controllo del dispositivo.

Nonostante vengano attivamente sfruttate, Cisco non ha ancora reso noto chi ne sia l’autore o quanto sia diffusa la situazione. Tuttavia, il fatto stesso che siano comparsi exploit sottolinea la gravità della situazione.

L’azienda ha rilasciato patch per risolvere tutte le vulnerabilità e raccomanda vivamente ai propri clienti di aggiornare immediatamente il software alle versioni più recenti. I sistemi privi di patch sono a rischio di attacchi di tipo “remote takeover” senza necessità di autenticazione, il che è particolarmente pericoloso per le reti che operano sotto un elevato carico normativo o per le infrastrutture critiche.

Oltre a installare gli aggiornamenti, gli esperti consigliano agli amministratori di sistema di analizzare attentamente i registri delle attività per individuare segnali di richieste API sospette o tentativi di scaricare file non autorizzati, soprattutto se i componenti ISE sono accessibili esternamente.

La situazione di Cisco ISE dimostra ancora una volta quanto possano essere vulnerabili anche gli elementi chiave di un’architettura di sicurezza se le interfacce e i controlli dei dati utente non vengono adeguatamente controllati. Data la prevalenza di queste soluzioni negli ambienti aziendali, la loro compromissione può essere fatale per la sicurezza dell’intera rete interna.

L'articolo Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari proviene da il blog della sicurezza informatica.

La Red Hot Cyber Conference ritorna!

Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per avvicinare i più giovani alle tecnologie digitali e, allo stesso tempo, una conferenza dedicata a professionisti ed esperti del settore.

La nuova edizione della RHC Conference 2026 si svolgerà a Roma, nella stessa location delle ultime due edizioni, presso la prestigiosa cornice del Teatro Italia nei giorni martedì 18 e mercoledì 19 maggio 2026. Il Teatro Italia si trova in Via Bari, 18 00161 Roma e può ospitare fino ad 800 persone.

La location risulta distante:

• 2 km dalla Stazione Termini o dall’Università La Sapienza, raggiungibile con una passeggiata a piedi di circa 20 minuti o con 6 minuti di Taxi;
• 600 metri dalla stazione della Metro B di Piazza Bologna, raggiungibile con una passeggiata di 6 minuti a piedi o con 3 minuti di Taxi.

youtube.com/embed/J1i9S4LOWSA?…
Video riassunto della Red Hot Cyber Conference 2025

La quarta edizione del 2025

La quarta edizione della Red Hot Cyber Conference si è svolta a Roma il 19 e 20 aprile 2024, registrando oltre 800 partecipanti effettivi e più di 1.400 iscrizioni complessive.

Durante le due entusiasmanti giornate, si sono tenuti workshop pratici ‘hands-on’, la competizione di hacking ‘Capture The Flag’ (CTF), e una conferenza in cui numerosi esperti italiani, provenienti sia dal settore privato che pubblico, hanno condiviso le loro conoscenze sul palco.

Di seguito potete trovare una serie di link che mostrano le due giornate del 2025, compresi i video degli interventi.

• I Workshop “Hands On”
• La Capture The Flag (CTF)
• Gli Ospiti
• La Conferenza
• I Video dell’evento

Accoglienza alla Red Hot Cyber Conference 2024 Persone in fila per l’accoglienza alla Red Hot Cyber Conference 2024 Una foto dello STAFF Al completo della Red Hot Cyber Conference 2024Immagini dell’evento del 2025

Come si articolerà la Red Hot Cyber Conference 2026

Visto il format vincente della scorsa edizione, il programma della Red Hot Cyber Conference 2026 sarà articolato in modo simile all’edizione del 2025.

A differenza delle prime tre edizioni, i workshop “hands-on” si terranno nella sola giornata di martedì 18 Maggio, mentre la Conferenza sarà l’unica protagonista della scena di mercoledì 19 Maggio. In entrambe le giornate, in una location parallela al teatro si terrà la capture the flag (CTF), con la premiazione prevista alla fine della giornata di mercoledì 19 maggio. Di seguito il programma (ancora in bozza) delle due giornate.

Martedì 18 Maggio

• Workshop “hands-on”: In tarda mattinata verranno avviati i Workshop pratici, incentrati nell’approccio “hands-on”. Durante questi workshop, verranno affrontati temi quali ethical hacking, intelligenza artificiale e altro ancora. I partecipanti, muniti del proprio laptop, avranno l’opportunità di ascoltare i workshop e poi cimentarsi nello svolgere gli esercizi pratici supervisionati dai nostri esperti per poter toccare con mano la tecnologia. I workshop termineranno la sera dell’18 maggio;
• Capture The Flag (CTF): Nel pomeriggio, partirà anche la Capture The Flag (CTF) che terminerà il 19 Maggio alle ore 17:00. Si tratta di una competizione tra hacker etici che si terrà sia online che presso il Teatro Italia. I partecipanti presenti presso il Teatro Italia (i quali avranno una sala dedicata per poter partecipare), avranno la possibilità di sfidarsi in “flag fisiche” appositamente progettate da Red Hot Cyber per cimentarsi in attacchi locali RF/IoT. Queste attività forniranno la possibilità di accumulare maggiore punteggio per salire nella classifica. Sarà possibile cimentarsi nelle flag fisiche in entrambe le giornate.

Mercoledì 19 maggio

• Red Hot Cyber Conference: La giornata sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00. Si precisa che i Workshop non saranno disponibili nella giornata di mercoledì 19 di maggio ma solo nella giornata di martedì 18 Maggio.

Il Programma Sponsor per la Red Hot Cyber Conference 2026

Come negli scorsi anni, sarà presente la possibilità di adesione come “sponsor sostenitore”. Si tratta delle prime aziende che crederanno in questa iniziativa e che permetteranno a Red Hot Cyber di avviare i lavori relativi alla conferenza.

Oltre agli sponsor sostenitori, come di consueto saranno presenti 3 livelli di sponsorizzazione che sono rispettivamente Platinum, Gold e Silver. Solo i Sostenitori e i Platinum avranno la possibilità di svolgere uno speech all’interno della conferenza. Abbinati ad ogni sponsorizzazione della conferenza, sarà sempre presente un pacchetto di Advertising che permetterà agli sponsor di disporre di una serie di vantaggi all’interno del circuito Red Hot Cyber.

Solo una azienda potrà aggiudicarsi la “Workshop Sponsorship”, un’opportunità unica per assumere un ruolo centrale nell’evento e collaborare fianco a fianco con Red Hot Cyber nell’organizzazione della giornata dedicata ai workshop pratici “hands-on” rivolti ai ragazzi. Anche per il 2026, per la terza edizione consecutiva, Accenture Italia sarà partner di Red Hot Cyber, con l’obiettivo di trasmettere ai giovani la passione per il mondo digitale.

Per richiedere informazioni per la sponsorizzazione della Red Hot Cyber Conference 2026 oltre che accedere al “Media Kit” e alle altre informazioni che riassumono i vantaggi della sponsorizzazione, scrivete a sponsor@redhotcyber.com.

La Red Hot Cyber Conference 2026 è orgogliosa di avere al suo fianco alcuni dei principali attori del panorama tecnologico e della cybersecurity, come Media Partner: i Fintech Awards Italia, Cyber Actors, Università E-Campus, Women4Cyber, Ri-Creazione, la Federazione Italiana Dei Combattenti Alleati e il Digital Security Summit e AIPSI. Queste collaborazioni rafforzano l’impegno comune nel promuovere la sicurezza digitale e la formazione per un futuro sempre più consapevole e sicuro.

L'articolo Red Hot Cyber Conference 2026. La Quinta edizione a Roma martedì 18 e mercoledì 19 Maggio proviene da il blog della sicurezza informatica.