Il mondo digitale non ha confini visibili. Per ogni sito che consultiamo, per ogni applicazione che usiamo ogni giorno, esistono intere porzioni di rete nascoste, invisibili ai motori di ricerca e protette da alti livelli di anonimato e di cifratura. Tra queste, quella che affascina di più il pubblico dei non addetti ai lavori è quella che chiamiamo Dark Web. Un universo parallelo fatto di forum chiusi, marketplace sotterranei e archivi di dati rubati. Un luogo dove si muovono figure con nomi in codice, dove l’economia si regge sulle criptovalute e sulla fiducia fra criminali, e dove il Threat Intelligencer trova uno dei suoi campi di azione fra i più delicati.

Contrariamente all’immaginario collettivo, il Dark Web non è un unico “posto”. È composto da una moltitudine di servizi, spesso ospitati sulla rete Tor, che operano al di fuori del web tradizionale. Ci sono forum come Exploit, Breached (nella sua forma originale e nelle sue reincarnazioni) o XSS, che funzionano come hub di discussione tra cybercriminali, scambiando consigli su exploit, malware e tecniche di evasione. Ci sono marketplace come Genesis Market (oggi smantellato dall’FBI ma rinato sotto altre forme), specializzati nella vendita di “identità digitali” complete, raccolte tramite infostealer come RedLine o Raccoon.

A rendere questi ambienti particolarmente difficili da investigare è la combinazione di tre elementi: l’anonimato garantito dai network onion, l’uso estensivo di criptovalute, e le barriere d’ingresso sociali. Non basta conoscere l’indirizzo di un sito onion: in molti casi, l’accesso è vincolato a inviti, referenze, una prova delle proprie competenze tecniche (come il coding di un malware funzionante) o un pagamento di “entry fee” non rimborsabili. Alcuni forum prevedono un meccanismo di reputation scoring interno, che impedisce a chiunque di partecipare a discussioni avanzate senza aver prima dimostrato affidabilità criminale.

In queste community, la figura del mediatore (escrow) è cruciale. Agisce come una sorta di notaio informale, garantendo che il venditore non sparisca con il pagamento prima della consegna. L’uso dell’escrow è comune anche per servizi illeciti: campagne Phishing-as-a-Service, accessi a reti RDP compromesse, botnet noleggiate per attacchi DDoS, e perfino custom builds di ransomware pronti per essere usati da operatori affiliati.

Uno degli strumenti più evidenti del crimine informatico moderno è il leak site, ovvero un sito pubblico (ma comunque ospitato nel Dark Web) dove gruppi ransomware pubblicano i dati sottratti alle vittime che si rifiutano di pagare un riscatto. L’elenco è lungo e in continua espansione: LockBit, ALPHV/BlackCat, Cl0p, RansomedVC, per citare i più attivi del 2024.

Ogni leak site è strutturato in modo simile: una homepage che elenca le vittime recenti con countdown alla pubblicazione completa, una sezione “sample” dove vengono mostrati i primi file come prova dell’avvenuta compromissione, e in alcuni casi un motore di ricerca interno per accedere ai dati già pubblicati. Questi contenuti, oltre a violare la privacy delle vittime e danneggiare la reputazione delle aziende, forniscono anche materia prima per ulteriori campagne criminali: spear phishing, furti d’identità, truffe a catena.
1 esempio di leak site

Monitorare questi ambienti è uno degli aspetti centrali della Threat Intelligence (TI) moderna. Le aziende che investono in un programma TI maturo sanno che un’attività reattiva – basata su antivirus e firewall – non è più sufficiente. Occorre essere proattivi: sapere chi sono gli attori ostili, come operano, quali strumenti stanno usando e quali obiettivi stanno prendendo di mira.
2 esempio di data leak di una banca. Notare la coppia di chiavi RSA

Un team di Threat Intelligencers non si limita a leggere quello che accade: colleziona, analizza e correla informazioni ottenute da fonti OSINT (open source), da feed commerciali, ma soprattutto da fonti chiuse del Dark Web. Questo lavoro è svolto con l’ausilio di strumenti specializzati ed utilizzando anche personas digitali: identità fittizie costruite per infiltrarsi nei forum senza destare sospetti.

Gli analisti cercano segnali deboli: una discussione che suggerisce l’interesse verso un certo settore industriale, un account che vende accessi VPN con il nome della propria azienda tra le vittime, un malware che sembra progettato per bypassare le protezioni di un sistema specifico. In questi casi, il tempo è essenziale. La possibilità di reagire prima della fase di attacco, la cosiddetta left of boom, può significare evitare un disastro.

Nel 2024, una multinazionale del settore sanitario ha rilevato l’offerta di accessi privilegiati alla propria rete interna su un forum underground. Grazie al monitoraggio attivo, il team TI ha scoperto che si trattava di credenziali compromesse di un fornitore terzo. In 36 ore sono riusciti a revocare gli accessi, notificare il fornitore e rafforzare le difese. Quell’accesso era destinato a un attacco ransomware. È stato disinnescato prima ancora che il gruppo criminale potesse agire.

Un altro caso significativo riguarda l’uso di doxing: la pratica di pubblicare informazioni sensibili su dipendenti di alto livello per esercitare pressione. In un attacco del gruppo RansomedVC a una banca europea, sono state rese pubbliche le email interne tra il CEO e il consiglio d’amministrazione, nel tentativo di spingerli a pagare in fretta. Il team TI, monitorando i leak site e i canali Telegram affiliati al gruppo, ha potuto anticipare la pubblicazione completa e preparare una strategia di comunicazione e risposta.

Il Dark Web non è solo un mondo oscuro da cui difendersi, ma una finestra sulla minaccia futura. Un osservatorio privilegiato che permette di capire in anticipo cosa bolle in pentola. Nuove vulnerabilità (come la CVE-2024-21413, sfruttata appena pubblicata per compromettere Microsoft Outlook), tool automatizzati per attacchi massivi, servizi di phishing con modelli generati dall’AI in tempo reale. Tutto questo nasce e si evolve in quei forum. Ignorarli significa lasciare che l’avversario giochi sempre in anticipo.

Per questo sempre più aziende italiane stanno integrando la Threat Intelligence nei propri processi di sicurezza, trasformandola da attività specialistica a componente strategica della gestione del rischio. Non si tratta solo di danni tecnici: un attacco informatico può compromettere il brand, la fiducia dei clienti e la continuità operativa, rendendo essenziale includere queste attività nel Business as Usual. Il lato oscuro della rete è reale, affollato e in continua evoluzione. Con gli strumenti giusti, le competenze adeguate e un approccio metodico, il lavoro quotidiano e silente del Threat Intelligencer vi mette in grado non solo di difendervi, ma anche di guardare il nemico negli occhi prima che sia lui a bussare alla vostra porta.

L'articolo Dentro il Dark Web. Threat Intelligencer At work proviene da il blog della sicurezza informatica.

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa.

Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel contesto di un account di servizio. Dopo l’esecuzione, gli aggressori hanno temporaneamente interrotto le loro attività. Tuttavia, hanno presto iniziato a utilizzare credenziali ad alto privilegio rubate per aumentare i diritti e spostarsi lateralmente sulla rete, anche utilizzando lo strumento Cobalt Strike, implementato tramite la tecnica DLL Sideloading

La particolarità delle librerie dannose è che controllano le impostazioni della lingua di sistema e interrompono l’esecuzione se vengono rilevati pacchetti di lingua cinese (sia semplificato che tradizionale), giapponese o coreano. Questa misura è chiaramente mirata a evitare l’infezione dei computer nei paesi in cui hanno sede gli sviluppatori.

Gli aggressori hanno anche utilizzato SharePoint Server come centro di controllo nell’infrastruttura della vittima, camuffando l’attività dannosa come normale attività aziendale. È stato utilizzato per trasmettere comandi eseguiti da un trojan scritto in C#, che ha ottenuto l’accesso al sistema tramite i file “agents.exe” e “agentx.exe” trasmessi tramite il protocollo SMB. Questi file eseguibili interagivano con la web shell CommandHandler.aspx installata su SharePoint, eseguendo i comandi degli aggressori.

L’attacco combina comuni tecniche di penetrazione con tattiche ” Living off the Land “, che utilizzano servizi aziendali legittimi come strumenti di controllo. Queste tecniche sono coerenti con gli standard MITRE ATT&CK T1071.001 e T1047, il che le rende particolarmente difficili da rilevare con i mezzi tradizionali.

Dopo la ricognizione iniziale, gli aggressori si sono concentrati sulle macchine di interesse. Da lì, hanno avviato script tramite “cmd.exe” che scaricavano file HTA dannosi da una fonte esterna, il cui dominio era camuffato da una risorsa ufficiale di GitHub. Sebbene l’esatta funzionalità del contenuto scaricato sia ancora sconosciuta, è noto che uno degli script utilizzati in precedenza avviava una reverse shell, fornendo il pieno controllo remoto del sistema.

Per raccogliere informazioni è stata utilizzata un’ampia gamma di strumenti. Una versione modificata dello strumento Pillager ha consentito il furto di credenziali di accesso da browser e terminali, file, corrispondenza, e-mail, screenshot e altre informazioni sensibili. Lo strumento Checkout ha raccolto informazioni sui file scaricati e sui dati di pagamento, inclusi dati provenienti da browser come Chrome, Opera, Brave e altri. L’utility RawCopy è stata utilizzata per estrarre i file di registro non elaborati, mentre Mimikatz è stato utilizzato per scaricare le credenziali utente.

APT41 ha dimostrato un elevato livello di adattabilità, adattando i suoi moduli malware alle specifiche dell’infrastruttura della vittima. Inoltre, gli aggressori hanno utilizzato attivamente una combinazione di strumenti legittimi e proprietari, inclusi strumenti di penetration testing, per camuffare l’attacco come azioni di dipendenti interni.

Questa operazione in Africa segna un cambiamento nell’attenzione geografica di APT41 e mette in luce la crescente attenzione delle unità informatiche cinesi verso regioni precedentemente inesplorate dai loro obiettivi. Secondo Trend Micro, i primi segnali di attività in questa direzione sono stati osservati già alla fine del 2022. L’utilizzo di servizi aziendali interni come canali di controllo e raccolta dati conferma un’evoluzione negli approcci in cui il confine tra pentest e attacchi reali è praticamente annullato.

L'articolo Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani proviene da il blog della sicurezza informatica.

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di abbandonare la complessa produzione manuale di organismi cibernetici in miniatura e di passare a prodotti standardizzati con caratteristiche più stabili. Tali vantaggi avvicinano l’impiego di sciami di insetti cyborg a fini di ispezione, ricognizione e soccorso in caso di calamità.

Uno dei principali fattori di interesse per gli insetti cyborg è la loro elevata autonomia: le batterie moderne non offrono ancora una capacità sufficiente in dimensioni compatte. Uno scarafaggio ben nutrito può percorrere distanze maggiori e più a lungo di un robot in miniatura con una batteria completamente carica, anche se la batteria è molto avanzata.

Gli scarafaggi cyborg possono penetrare strutture e meccanismi complessi senza doverli smontare o distruggere. Muovendosi in sciame, sono in grado di esplorare rapidamente vasti territori difficilmente accessibili a persone e attrezzature. Non è un caso che una parte significativa del nuovo bilancio della Bundeswehr della Germania sarà destinata allo sviluppo di intelligenza artificiale e insetti biomeccanici: anche questo è un settore di importanza strategica per l’esercito.

youtube.com/embed/EnynzjO2-kU?…

Per un utilizzo su larga scala dei cyberinsetti, è importante avviare una produzione industriale. Per sviluppare il processo, gli scienziati hanno scelto uno degli scarafaggi più grandi del mondo: la blatta sibilante del Madagascar, che può raggiungere i 7 cm di lunghezza. I componenti elettronici moderni sono ancora troppo pesanti per la maggior parte degli insetti, e in questo caso le dimensioni contano.

L’elemento chiave della catena di montaggio era il manipolatore industriale Universal Robot UR3e con pinza, nonché un sistema di visione artificiale basato sulla telecamera di profondità Intel RealSense. L’anidride carbonica veniva utilizzata come anestetico per gli insetti.

L’elettronica era posizionata su una piccola piattaforma, che, come uno zaino, era fissata al dorso dello scarafaggio. Per stimolare il sistema nervoso, venivano utilizzati due elettrodi bipolari con aghi e uncini alle estremità, inseriti e fissati nel corpo dell’insetto nella zona delle zampe anteriori.

L’assemblaggio di un cyborg ha richiesto 68 secondi.

I test hanno dimostrato che gli insetti assemblati manualmente e su una linea robotica venivano controllati con la stessa efficienza. La rotazione veniva effettuata stimolando una delle zampe anteriori, l’arresto stimolandole entrambe.

Un esperimento sul controllo degli sciami ha dimostrato che quattro scarafaggi cyborg hanno esaminato quasi l’intero territorio specificato in un tempo inaccessibile a un singolo insetto. Questa tecnologia ha buone prospettive: come minimo, l’automazione dell’assemblaggio accelererà ulteriori ricerche in questa direzione.

L'articolo Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo proviene da il blog della sicurezza informatica.

A wristwatch featuring the TDA7000 FM radio receiver IC. (Credit: Philips Technical Review)
During the 1980s a lot of consumer devices suddenly got a lot smaller as large-scale integration using semiconductor technology took off. This included radios, with Philips’ TDA7000 FM radio receiver IC being the first to cram most of what you’d need for an FM radio receiver into a single chip. Recently, [Ken Shirriff] had a poke at analyzing a die shot of the TDA7000, reverse-engineering its functional blocks. How did the Philips engineers manage to miniaturize an FM radio? [Ken] will show you.

The IC was designed in 1977 by two engineers and released in 1983 after some Japanese companies showed strong interest in the IC. While 100 transistors would hardly be LSI today, it was enough to provide a lot of advanced functionality, ranging from differential amplifiers and current mirrors to Gilbert cell mixers. Since it’s an analog chip, it features capacitors in its design in the form of junction capacitors.

In [Ken]’s article, he delves into the process of how the FM signal is processed, amplified, and ultimately turned into a signal that can be sent to an output like headphones or speakers. Although LSI and transistorization are often associated with digitalization and computer technology, analog circuitry like this benefited from it just as much, finally granting humankind the ability to put an entire radio in a single SOIC-packaged chip.

A watch not your thing? How about a credit card? These days a one-chip radio is probably an SDR.

hackaday.com/2025/08/03/revers…

In questo episodio ci occupiamo dell'applicazione degli strumenti di intelligenza artificiale generativa per migliorare la scrittura creativa.

zerodays.podbean.com/e/io-e-ch…

@Roma

Oltre un milione di persone presenti a Tor Vergata per il Giubileo dei Giovani "è un numero più che attendibile perché le aree, come si vede dall'aereo, sono tutte piene e sono aree che possono contenere" quel numero.

Così il prefetto di Roma, Lamberto Giannini, parlando con i cronisti nella sala grandi eventi della Questura di Roma.

ansa.it/sito/notizie/topnews/2…

Prefetto Roma, 'oltre un milione di persone a Tor Vergata' - Ultima ora - Ansa.it

Oltre un milione di persone presenti a Tor Vergata per il Giubileo dei Giovani "è un numero più che attendibile perché le aree, come si vede dall'aereo, sono tutte piene e sono aree che possono contenere" quel numero. (ANSA)

^{Agenzia ANSA}

Comincio a credere si potrebbe fare un "baby-verso", ovvero un fediverso circoscritto a istanze che mostrano solo contenuti per minori.

Un bacino social in cui farsi le ossa prima di cominciare a navigare in mare aperto.

La senatrice Segre parlando di quanto sta facendo Israele ai palestinesi usa termini forti, "abominio", "disumanità", "squadrismo" non fa certo sconti, ma il genocidio ancora non lo vede, oppure lo vede ma ancora non riesce a denunciarlo.

È una persona che ha attraversato l'inferno scalza e probabilmente dopo averlo fatto risulta troppo difficile ammettere che quell'inferno è ancora lì e che adesso ad alimentarne il fuoco sono "i salvati", il gruppo di cui ci siamo sentiti parte per una vita intera.

Usare il termine "genocidio" per lei è troppo ma quello che dice a me basta.

Credo siano altri quelli a cui dobbiamo chiedere conto delle loro reticenze.

rainews.it/articoli/2025/08/ga…

Gaza, Segre sull'ammonimento di Grossman: “La parola genocidio è troppo carica di odio”

La senatrice a vita ha commentato le parole dello scrittore israeliano: “Per anni ho rifiutato di utilizzare questa parola ('genocidio'). Adesso non posso trattenermi dall'usarla”

^{Redazione di Rainews (RaiNews)}