A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su rete TOR. Nessun avviso ufficiale, nessuna comunicazione dagli amministratori. Solo silenzio ed il laconico “No such device or address” sul sito checkhost.

Le prime ipotesi circolano da qualche ora su X (ex Twitter) da alcuni noti profili del settore OSINT e threat intelligence. Il post più interessante arriva da LEAKD, che suggerisce l’esistenza di un documento classificato dell’FBI che menzionerebbe un’operazione sotto copertura denominata Operation Spectral Tango. Secondo la ricostruzione, si tratterebbe di una manovra coordinata per prendere il controllo del forum e monitorare dall’interno le attività criminali in corso, trasformando de facto BreachForums in un honeypot federale.

Nel documento – che non è stato confermato ufficialmente ma che circola da ore nelle board russe – si accenna a un coinvolgimento diretto del Federal Bureau of Investigation in collaborazione con partner internazionali, con lo scopo di profilare, tracciare e identificare i key players nel mercato nero digitale.

Approfondiamo la questione con un’ipotesi che circola: IntelBroker arrestato?

Abbiamo provato ad approfondire ed in particolare su “Cracked” – un forum recentemente tornato attivo – emergono dettagli ancora più pesanti. Nella chat board, decine di utenti confermano (meglio dire ipotizzano) l’arresto di IntelBroker, uno degli amministratori di BreachForums.

IntelBroker era noto per aver pubblicato leak clamorosi, inclusi documenti militari e sanitari statunitensi, e negli ultimi mesi era diventato un punto di riferimento nel forum. La sua assenza improvvisa, insieme al down completo del sito, rende plausibile lo scenario di un’operazione repressiva in corso.

Cosa si dice nel gruppo Jacuzzi

Il gruppo Jacuzzi, covo noto dei criminali informatici che frequentano Breach Forums, nella giornata di oggi si è ravvivato mostrando moltissimi messaggi inerenti la mancata raggiungibilità di breach Forums.

Un utente luna ha riportato “Questo è solo l’inizio, nuovi arresti pioveranno, dopo mesi scoprirete la verità. Per ora posso solo dire che il forum tornerà presto, il circo sta per riempirsi di comici.”

Nel mentre altri criminali informatici, nel covo dei criminali pubblicizzano ulteriori forum underground o canali telegram per migrare gli utenti di breach forums. Ma di questo modo di agire ne abbiamo parlato molto tempo fa quando alcuni forum underground vollero prendere il posto di Raidforums e poi Breachforums, senza riuscire nell’intento.

Altre evidenze: la nascita del canale telegram BreachForumsV4

Approfondendo le nostre ricerche ci imbattiamo in un canale telegram che sembra essere creato ad-hoc per dare aggiornamenti sulla vicenda ma contemporaneamente per “pubblicizzare” la nascita di un nuovo dominio breachforums.cc battezzato “BreachForums V4”. Sul canale un unico messaggio pubblicato alle 12:39 del 15 aprile:

“IntelBroker arrested. No other infos yet. Stay tuned, I’ll share some good infos. – new domain o breachforums.cc”

Il dominio breachforums.cc è effettivamente online. Si presenta come un’istanza “V4” del forum, ma con registrazioni chiuse e accesso solo tramite pagamento. Per unirsi, si viene invitati a contattare un utente identificato come BAPCOMET.

Al momento non è possibile verificare con certezza se si tratti di una vera migrazione, di un tentativo di truffa o – ipotesi più inquietante – di un progetto controllato da forze dell’ordine.

Questo è uno scenario in evoluzione, e come tale va trattato. Se confermato, sarebbe il secondo grande smantellamento del forum dopo la chiusura del predecessore RaidForums e l’arresto di Pompompurin. Ma la domanda resta sempre la stessa: quando un forum underground muore, è davvero morto… o sta solo cambiando pelle?

Stay tuned – aggiorneremo questo articolo con ulteriori sviluppi.

L'articolo Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio? proviene da il blog della sicurezza informatica.

Image by [akavel] via GitHubReader [akavel] was kind enough to notify me about Clawtype, which is a custom wearable chorded keyboard/mouse combo based on the Chordite by [John W. McKown].

First of all, I love the brass rails — they give it that lovely circuit sculpture vibe. This bad boy was written in Rust and currently runs on a SparkFun ProMicro RP2040 board. For the mouse portion of the program, there’s an MPU6050 gyro/accelerometer.

[akavel]’s intent was to pair it with XR glasses, which sounds like a great combination to me. While typing is still a bit slow, [akavel] is improving at a noticeable pace and does some vim coding during hobby time.

In the future, [akavel] plans to try a BLE version, maybe even running off a single AA Ni-MH cell, and probably using an nRF52840. As for the 3D-printed shape, that was designed and printed by [akavel]’s dear friend [Cunfusu], who has made the files available over at Printables. Be sure to check it out in the brief demo video after the break.

youtube.com/embed/N2PSiOl-auM?…

Wooden You Like To Use the Typewriter?

Image by [bilbonbigos] via redditI feel a bit late to the party on this one, but that’s okay, I made an nice entrance. The Typewriter is [bilbonbigos]’ lovely distraction-free writing instrument that happens to be primarily constructed of wood. In fact, [bilbonbigos] didn’t use any screws or nails — the whole thing is glued together.

The Typewriter uses a Raspberry Pi 3B+, and [bilbonbigos] is FocusWriter to get real work done on it. it runs off of a 10,000 mAh power bank and uses a 7.9″ Waveshare display.

The 60% mechanical keyboard was supposed to be Bluetooth but turned out not to be when it arrived, so that’s why you might notice a cable sticking out.

The whole thing all closed up is about the size of a ream of A4, and [bilbonbigos] intends to add a shoulder strap in order to make it more portable.

That cool notebook shelf doubles as a mousing surface, which is pretty swell and rounds out the build nicely. Still, there are some things [bilbonbigos] would change — a new Raspi, or a lighter different physical support for the screen, and a cooling system.

The Centerfold: A Keyboard For Your House In Palm Springs

Image by [the_real_jamied] via redditCan’t you feel the space age Palm Springs breezes just looking at this thing? No? Well, at least admit that it looks quite atomic-age with that font and those life-preserver modifier keycaps. This baby would look great on one of those giant Steelcase office desks. Just don’t spill your La Croix on it, or whatever they drink in Palm Springs.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Odell Typewriter

First of all, the machine pictured here is not the true Odell number 1 model, which has a pair of seals’ feet at each end of the base and is referred to as the “Seal-Foot Odell“. Ye olde Seal-Foot was only produced briefly in 1889.
Image via The Antikey Chop
But then inventor Levi Judson Odell completely redesigned the thing into what you see here — model 1b, for which he was awarded a patent in 1890. I particularly like the markings on the base. The nickel-plated, rimless model you see here was not typical; most had gold bases.

These babies cost 1/5th of a standard typewriter, and were quite easy to use to boot. With everything laid out in a line, it was far easier to use a slide mechanism than your ten fingers to select each character. On top of everything else, these machines were small enough to take with you.

No matter their appearance, or whether they typed upper case only or both, Odells were all linear index typewriters. The print element is called a type-rail. There is a fabric roller under the type-rail that applies ink to the characters as they pass. Pinch levers on the sides of the carriage did double duty as the carriage advance mechanism and the escapement.

Round-based Odells went by the wayside in 1906 and were replaced by square-based New American No. 5 models. They functioned the same, but looked quite different.

Finally, John Lennon’s Typewriter Is For Sale

Image via Just Collecting
Got an extra ten grand lying around? You could own an interesting piece of history.

This image comes courtesy of Paul Fraser Collectibles, who are selling this typewriter once owned and used by the legendary Beatle himself. While Lennon composed poems and songs on the machine, it’s unclear whether he secretly wanted to be a paperback writer.

This machine, an SCM (Smith-Corona Marchant) Electra 120, is an interesting one; it’s electric, but the carriage return is still manual. I myself have an SCM Secretarial 300, which looks very much the same, but has a frightening ‘Power Return’ that sends the carriage back toward the right with enough power to shake the floor, depending upon the fortitude of your table.

Apparently Lennon would use the machine when traveling, but gave it to a close friend in the music industry when he upgraded or otherwise no longer needed it. A booking agent named Irwin Pate worked with this friend and obtained the typewriter from him, and Irwin and his wife Clarine held on to it until they sold it to Paul Fraser Collectibles. I find it interesting that this didn’t go to auction at Christie’s — I think it would ultimately go for more, but I’m a writer, not an auction-ologist.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/04/15/keebin…

In un momento in cui la sicurezza della supply chain digitale è sotto i riflettori, dopo l’attacco che ha coinvolto la piattaforma MyCicero e le aziende utilizzatrici come ATM Milano, Bus Italia e TUA Abruzzo, WIIT interviene per chiarire la propria posizione.

La società, leader europeo nel cloud computing e fornitore dell’infrastruttura su cui si basa la piattaforma compromessa, ha emesso un comunicato ufficiale in cui afferma la propria totale estraneità all’incidente informatico.

WIIT sottolinea che non è stata in alcun modo coinvolta né direttamente né indirettamente nell’attacco informatico, precisando che i propri servizi Cloud non sono stati oggetto di compromissione. Da quanto riporta WIIT, l’azienda ha infatti fornito esclusivamente il private cloud a Pluservice S.r.l., responsabile dello sviluppo, della gestione applicativa e della sicurezza della piattaforma MyCicero. La protezione contro i cyber attacchi, ribadisce WIIT, non rientra tra i servizi erogati nei rapporti contrattuali.

Secondo quanto dichiarato, l’attacco ha avuto origine al di fuori dei domini WIIT. Grazie all’alto livello di segregazione e protezione delle infrastrutture, nessun altro cliente WIIT ha subito danni o violazioni. Inoltre, WIIT riporta nel comunicato che non è coinvolta nella gestione o nel trattamento dei dati personali contenuti negli archivi MyCicero.

WIIT ha anche rivelato di aver rilevato comportamenti anomali tramite i propri sistemi di monitoraggio e di aver prontamente avvisato le aziende, suggerendo l’immediato isolamento del servizio. Tale intervento tempestivo ha contribuito a limitare la propagazione del danno. L’azienda coglie l’occasione per ribadire la propria strategia Secure Cloud, che unisce resilienza infrastrutturale e cyber security avanzata. Un modello scelto dalla maggior parte dei clienti WIIT.
COMUNICATO STAMPA

WIIT chiarisce di essere esente da ogni responsabilità in relazione all’attacco hacker che ha
coinvolto la piattaforma MyCicero e i suoi utlizzatori (es. ATM Milano). I servizi Cloud di WIIT non sono stati oggetto di alcun attacco informatico; nessun’altro cliente di WIIT è stato né direttamente né indirettamente coinvolto.

Milano, 15 aprile 2025 – Con riferimento alle recenti notizie rela.ve all’attacco hacker che ha coinvolto la piattaforma MyCicero gestita da Pluservice S.r.l. e gli archivi da. delle aziende utilizzatrici della piattaforma (es. ATM Milano), WIIT S.p.A. (“WIIT” o la “Società”; ISIN IT0005440893; WIIT.MI) chiarisce di essere esente da ogni responsabilità e, al fine di rettifcare alcune informazioni non corrette, rende noto quanto segue, riservandosi ogni valutazione e iniziativa a tutela dei propri diritti.

WIIT fornisce a Pluservice esclusivamente l’infrastruttura su cui è ospitata la piattaforma MyCicero e provvede quindi alla gestione dei servizi tecnologici di base (c.d. private cloud), senza fornire alcun servizio di sicurezza e prevenzione da attacchi cyber. Pertanto, la gestione applicativa della piattaforma nonché l’attività di cyber security a protezione della piattaforma e dei domini sono svolte da Pluservice, direttamente o mediante terzi diversi da WIIT.

Ciò premesso, l’attacco hacker ha avuto ad oggetto direttamente la piattaforma gestita da Pluservice, provenendo dall’esterno dei domini WIIT, mentre i servizi Cloud di WIIT non sono stati oggetto di alcun attacco informatico; nessun’altro cliente di WIIT è stato né direttamente né indirettamente impattato dall’attacco subito dalla piattaforma MyCicero, grazie ad un alto livello di segregazione e di protezione. WIIT non gestisce né è responsabile del trattamento dei dati personali contenuti negli archivi MyCicero.

In particolare, WIIT, dopo aver identificato attraverso i propri sistemi di monitoraggio comportamenti anomali sulle infrastrutture ospitate, ne ha ricondotto l’origine al perimetro di Pluservice e ha quindi suggerito al cliente l’immediato isolamento e sospensione del servizio MyCicero, cosa che è stata attuata tempestivamente. La strategia di riavvio della piattaforma e del servizio è stata decisa in autonomia dal cliente il quale ha manlevato formalmente ed integralmente WIIT da tutti i possibili rischi e danni conseguenti.

WIIT conferma il proprio totale supporto ai cliente che hanno deciso di utilizzare infrastrutture altamente resilienti all’interno di Datacenter di livello Tier IV che garantiscono un più alto livello di resilienza. La necessità ormai imprescindibile di affiancare ad infrastrutture resilienti anche altri livelli di copertura di Cyber Security è il motivo per cui, nella maggioranza dei casi, i clienti adottano il modello di Secure Cloud che integra al suo interno alta resilienza infrastrutturale e di datacenter, gestione attiva dei sistemi e alti livelli di sicurezza attraverso una estesa piattaforma di Cyber Security.

WIIT S.p.A.
WIIT S.p.A., società quotata sul segmento Euronext Star Milan (“STAR”), è leader nel mercato del Cloud Computing. Attraverso un footprint paneuropeo, è presente in mercati chiave quali Italia, Germania e Svizzera, posizionandosi tra i player primari nell’erogazione di soluzioni tecnologiche innovative di Private and Hybrid Cloud. WIIT opera attraverso processi gestione risorse specializzate e asset tecnologici tra cui datacenter di proprietà distribuiti in 7 Regioni: 4 in Germania, 1 in Svizzera e 2 in Italia, di cui 3 abilitate con Premium Zone, ossia con garanzia di alta disponibilità, massimi livelli di resilienza e security by design; di queste, due
ospitano datacenter certificati Tier IV dall’Uptme Instiute. WIIT dispone di 6 certificazioni SAP ai massimi livelli di specializzazione. L’approccio end-to-end consente l’erogazione, alle aziende partner, di servizi personalizzati ad alto valore aggiunto, con elevatissimi standard di sicurezza e qualità, per la gestone di critical application e business continuity, oltre a garantire massima affidabilità nella gestione delle principali piattaforme applicative internazionali (SAP, Oracle e Microsoft`). Dal 2022 il Gruppo WIIT ha aderito all’UN Global Compact delle Nazioni Unite. (www.wiit.cloud)
L'articolo Attacco Informatico a MyCicero: WIIT invia un comunicato stampa a RHC. Nessuna Violazione proviene da il blog della sicurezza informatica.

We’re probably all familiar with the Hall Effect, at least to the extent that it can be used to make solid-state sensors for magnetic fields. It’s a cool bit of applied physics, but there are other ways to sense magnetic fields, including leveraging the weird world of quantum physics with this diamond, laser, and microwave open-source sensor.

Having never heard of quantum sensors before, we took the plunge and read up on the topic using some of the material provided by [Mark C] and his colleagues at Quantum Village. The gist of it seems to be that certain lab-grown diamonds can be manufactured with impurities such as nitrogen, which disrupt the normally very orderly lattice of carbon atoms and create a “nitrogen vacancy,” small pockets within the diamond with extra electrons. Shining a green laser on N-V diamonds can stimulate those electrons to jump up to higher energy states, releasing red light when they return to the ground state. Turning this into a sensor involves sweeping the N-V diamond with microwave energy in the presence of a magnetic field, which modifies which spin states of the electrons and hence how much red light is emitted.

Building a practical version of this quantum sensor isn’t as difficult as it sounds. The trickiest part seems to be building the diamond assembly, which has the N-V diamond — about the size of a grain of sand and actually not that expensive — potted in clear epoxy along with a loop of copper wire for the microwave antenna, a photodiode, and a small fleck of red filter material. The electronics primarily consist of an ADF4531 phase-locked loop RF signal generator and a 40-dB RF amplifier to generate the microwave signals, a green laser diode module, and an ESP32 dev board.

All the design files and firmware have been open-sourced, and everything about the build seems quite approachable. The write-up emphasizes Quantum Village’s desire to make this quantum technology’s “Apple II moment,” which we heartily endorse. We’ve seen N-V sensors detailed before, but this project might make it easier to play with quantum physics at home.

hackaday.com/2025/04/15/shine-…

Per settimane, gli attaccanti sono riusciti a mantenere un accesso nascosto alle reti compromesse, sottraendo informazioni sensibili ed eludendo i sistemi di rilevamento grazie a un’infrastruttura di comando e controllo (C2) multistrato e all’impiego di strumenti avanzati per la cancellazione dei log.

Queste attività fanno parte di una campagna partita alla fine di marzo 2025, che sfrutta due vulnerabilità critiche – CVE-2025-0282 e CVE-2025-22457 – entrambe falle di tipo stack-based buffer overflow con un punteggio CVSS massimo di 9.0. Le falle sono state utilizzate per distribuire SPAWNCHIMERA, una suite malware modulare progettata per ottenere accesso remoto e persistente ai dispositivi compromessi.

Secondo un rapporto diffuso da TeamT5 dietro l’attacco ci sarebbe un gruppo APT legato agli interessi statali cinesi, che ha colpito organizzazioni attive in 12 paesi e in 20 settori industriali, sfruttando le falle nei dispositivi Ivanti Connect Secure VPN.

Il gruppo APT, valutato anche da Mandiant e monitorato come UNC5221 e legato agli interessi dello stato cinese, ha sfruttato le vulnerabilità di Ivanti per ottenere l’esecuzione di codice remoto non autenticato (RCE).

Una volta all’interno, gli aggressori hanno implementato SPAWNCHIMERA, un ecosistema malware modulare progettato specificamente per le appliance Ivanti. I componenti chiave includono:

• SPAWNANT : un programma di installazione stealth che aggira i controlli di integrità;
• SPAWNMOLE : un proxy SOCKS5 per il tunneling del traffico;
• SPAWNSNAIL : una backdoor SSH per l’accesso persistente;
• SPAWNSLOTH : uno strumento di cancellazione dei registri per eliminare le prove forensi.

La capacità di patching dinamico del malware consente di modificare i componenti Ivanti vulnerabili nella memoria, garantendone lo sfruttamento continuo anche dopo l’applicazione delle patch.

Gli analisti della sicurezza di Rapid7 hanno confermato la sfruttabilità delle vulnerabilità, osservando che CVE-2025-22457 inizialmente si presentava come un bug di negazione del servizio a basso rischio, ma è stato successivamente stato sfruttato come una potente RCE. TeamT5 esorta le organizzazioni interessate a:

1. Applicare immediatamente le patch della versione 22.7R2.5 di Ivanti;
2. Eseguire analisi forensi complete della rete per identificare malware dormienti;
3. Reimposta i dispositivi VPN e revoca le credenziali esposte durante le violazioni.

La campagna sottolinea i rischi persistenti dei dispositivi edge di rete non aggiornati, in particolare i gateway VPN. Poiché gli APT cinesi prendono sempre più di mira i sistemi legacy, il CISA ha imposto alle agenzie federali di correggere le vulnerabilità di Ivanti entro il 15 gennaio 2025, una scadenza che molti hanno mancato, aggravando la crisi.

L'articolo APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto proviene da il blog della sicurezza informatica.

There are a number of reasons you might want to build your own smart speaker virtual assistant. Usually, getting your weather forecast from a snarky, malicious AI potato isn’t one of them, unless you’re a huge Portal fan like [Binh Pham].

[Binh Pham] built the potato incarnation of GLaDOS from the Portal 2 video game with the help of a ReSpeaker Light kit, an ESP32-based board designed for speech recognition and voice control, and as an interface for home assistant running on a Raspberry Pi.

He resisted the temptation to use a real potato as an enclosure and wisely opted instead to print one from a 3D file he found on Thingiverse of the original GLaDOS potato. Providing the assistant with the iconic synthetic voice of GLaDOS was a matter of repackaging an existing voice model for use with Home Assistant.

Of course all of this attention to detail would be for not if you had to refer to the assistant as “Google” or “Alexa” to get its attention. A bit of custom modelling and on-device wake word detection, and the cyborg tuber was ready to switch lights on and off with it’s signature sinister wit.

We’ve seen a number of projects that brought Portal objects to life for fans of the franchise to enjoy, even an assistant based on another version of the GLaDOS the character. This one adds a dimension of absurdity to the collection.

youtube.com/embed/cL3-J8UTgvc?…

hackaday.com/2025/04/15/this-p…

Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day per firewall Fortinet, che permetterebbe l’accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è comparso sul forum underground exploit.in nella sezione dedicata a malware e exploit commerciali. L’attacco di tipo Unauthenticated Remote Code Execution (RCE) consentirebbe l’accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit? 6.500 dollari.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’annuncio, estremamente dettagliato, elenca i file e le informazioni che il tool in vendita sarebbe in grado di estrarre:

• Account VPN e GUI (file local_users.json)
• Credenziali e permessi degli amministratori (admin_accounts.json)
• Stato e configurazione del 2FA (two_factor.json)
• Tutte le policy firewall, NAT, VIP, indirizzi ecc
• Configurazioni SSL-VPN e IPsec, incluse sessioni attive
• Backup completi del sistema (config_backup.conf, backup_full)
• Routing, tabelle ARP, log di sistema, certificati e script CLI
• Certificati SSL utilizzati nei vari contesti dei firewall
• Licenze per le subscription Fortiguard

L’autore sottolinea che non sono necessarie credenziali per sfruttare l’exploit e ottenere il pieno controllo del dispositivo. Al momento, non esiste una conferma ufficiale da parte di Fortinet sull’autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato fanno ipotizzare che si tratti di una minaccia concreta.

Il contesto in cui si presenta questa nuova minaccia per Fortinet

Il 10 Aprile (qualche giorno prima dell’apparsa del post sullo 0-Day) Fortinet, sul blog ufficiale del PSIRT, ha pubblicato un approfondimento relativo all’analisi di un attacco ad alcuni dispositivi vulnerabili alle CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 (già note e patchate).

Nel post ufficiale Fortinet descrive come gli hacker, dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, abbiamo creato un link simbolico, che collega il filesystem dell’utente con il filesystem di root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica i threat actor hanno potuto mantenere un’accesso in read-only ai firewall compromessi sebbene questi fossero stati aggiornati. L’offuscamento del link simbolico nel filesytem dell’utente ha impedito inizialmente la rilevazione di queste modifiche.

Fortinet è riuscita successivamente a mitigare l’accaduto, aggiornando le proprie firme Antivirus/IPS per individuare e pulire i link sospetti. Apportando modifiche alle ultime versioni per rilevare e rimuovere il collegamento simbolico e garantire che il portale SSL-VPN serva solo i file previsti.

Fortinet ha rilasciato patch e mitigazioni per impedire l’abuso di queste tecniche e consiglia l’aggiornamento immediato a:

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16

In allarme tutti i CERT e le agenzie di cyber security

Il Computer Emergency Response Team francese (CERT-FR) ha rivelato, nel suo bollettino di sicurezza, che questa tecnica è stata utilizzata in una massiccia ondata di attacchi a partire dall’inizio del 2023. Ed invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e porre in atto tutte le mitigazioni indicate.

Il CISA americano ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale legate al report di Fortinet al proprio Centro Operativo attivo 24/7.

Il CSIRT Italiano pubblica un bollettino relativo alle tecniche di post-sfruttamento e invita all’aggiornamento immediato dei dispositivi.

Abbiamo condotto una ricerca su shadowserver per renderci conto dei numeri dei dispostivi ad oggi vulnerabili alle 3 CVE in esame. Eccetto la CVE più “anziana” che conta pochi dispositivi, le altre due riportano numeri sull’ordine delle migliaia.

Conclusione

Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l’analisi di Fortinet dimostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistente invisibili, anche a seguito di aggiornamenti.

Le due vicende non sono direttamente collegate, ma condividono un comune denominatore: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per attacchi avanzati.

Che si tratti dunque di uno zero-day sconosciuto o di vulnerabilità già note, il pattern è chiaro: i firewall non sono più solo dispositivi di protezione, ma bersagli ad alto valore strategico.

Fonti

• FORTINET PSIRT: fortinet.com/blog/psirt-blogs/…
• CERT-FR: cert.ssi.gouv.fr/alerte/CERTFR…
• CISA: cisa.gov/news-events/alerts/20…
• CSIRT-IT: acn.gov.it/portale/w/rilevato-…
• BLEEPING COMPUTER: bleepingcomputer.com/news/secu…
• SHADOWSERVER CVE-2022-42475: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2023-27997: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2024-21762: dashboard.shadowserver.org/sta…

L'articolo Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari proviene da il blog della sicurezza informatica.

Se vedi la Madonna sei un allucinato, ma a quanto pare se "senti la AGI" e scrivi codice seguendo il vibe sei un genio della Silicon Valley.

spreaker.com/episode/dk-9x26-s…

Il gruppo OverFlame, in collaborazione con il team Sector16, ha recentemente annunciato di aver ottenuto il pieno accesso al sistema di gestione SCADA di una azienda italiana, situata nella celebre isola di Capri. Attraverso il sistema compromesso, i gruppi sono riusciti a interferire con il funzionamento di riscaldamento e condizionamento degli ambienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Post pubblicato da overflame all’interno dei suoi canali telegram
È importante sottolineare che, come dichiarato dagli stessi attori, l’accesso al sistema è avvenuto legalmente, tramite un accordo diretto con il soggetto proprietario della rete. Questo fa pensare a un’attività di red teaming o di pen test autorizzato, piuttosto che a un’azione malevola.
Post dove si afferma che l’accesso al sistema è avvenuto legalmente.
Gli ambienti SCADA, tradizionalmente utilizzati in ambito industriale, trovano applicazione anche nella gestione delle infrastrutture alberghiere di alto livello. La sicurezza di questi sistemi, spesso trascurata, rappresenta una falla critica che può impattare direttamente sul comfort degli ospiti, sulla reputazione e sui costi operativi.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

Le implicazioni

• Dimostrazione pratica di vulnerabilità nelle infrastrutture critiche anche in ambiti non industriali.
• Importanza crescente dei test di sicurezza proattivi su sistemi SCADA.
• Maggiore consapevolezza sulla necessità di proteggere anche settori come l’hospitality, spesso meno preparati contro minacce cyber.

Pannello scada del sistema violato

Conclusioni

Questo evento sottolinea ancora una volta quanto i sistemi SCADA e di building management siano spesso esposti a vulnerabilità critiche, specialmente in settori come l’ospitalità di lusso.
Anche quando l’accesso avviene in modo concordato, resta evidente l’importanza di investire nella protezione delle infrastrutture digitali, adottando strategie di cybersecurity proattive e programmi di monitoraggio continuo.

Gli hotel e i resort, in particolare, devono comprendere che una violazione non si traduce solo in problemi tecnici, ma può anche avere gravi ripercussioni sull’immagine e sulla fiducia dei clienti.
Affidarsi a team di esperti per condurre test di penetrazione regolari può fare la differenza tra una vulnerabilità gestita in sicurezza e un disastro pubblico.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Altro pannello scada del sistema violato

L'articolo Attacco al sistema SCADA di un hotel a Capri: OverFlame e Sector16 ottengono pieno accesso proviene da il blog della sicurezza informatica.

Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-commerce attivo nel settore della telefonia che, secondo i dati condivisi, ha generato vendite per oltre 11 milioni di euro.

L’inserzione è concisa ma chiarissima:

“Escrow accepted, Access type: Magento web access, priv: admin, Italy shop, total selles: €11,006,570.52, admin access, Orders: 42786, Category: Phone store.
Price: 500$”

La richiesta? Solo 500 dollari per un accesso amministrativo completo alla piattaforma Magento del sito. Una cifra irrisoria se paragonata al potenziale valore dell’accesso in termini di impatto commerciale e reputazionale.

I dati esposti

Oltre all’indirizzo web del portale, l’annuncio fornisce dettagli che lasciano poco spazio a dubbi:

• Piattaforma: Magento
• Privilegi: accesso admin
• Ordini elaborati: 42.786
• Vendite totali: €11.006.570,52
• Settore: Telefonia

Se confermato, si tratterebbe di un accesso critico, in grado di compromettere completamente il backend del sito: gestione ordini, dati clienti, catalogo prodotti e persino l’interfaccia di pagamento.

Come avviene la compromissione?

Magento, pur essendo una piattaforma potente e diffusa nel mondo e-commerce, è anche notoriamente bersaglio di attacchi informatici. Le principali vulnerabilità sfruttate negli ultimi anni includono:

• Exploit di versioni non aggiornate
• Plugin o temi compromessi
• Credential stuffing
• Backdoor PHP iniettate via upload

Senza una corretta postura di sicurezza (WAF, aggiornamenti regolari, MFA per accessi amministrativi), l’intera infrastruttura può diventare un bersaglio facile.

I rischi concreti

L’accesso admin a un Magento compromesso apre le porte a numerosi scenari:

• Esfiltrazione dei dati dei clienti (nome, indirizzo, email, telefono e storici acquisti)
• Modifica delle impostazioni di pagamento, ad esempio per reindirizzare i pagamenti su conti controllati dagli attaccanti
• Installazione di malware o skimmer lato client (Magecart-style attack)
• Vendita del database o uso per phishing mirati

L’offerta vista su Exploit.in non è un caso isolato, ma l’ennesimo segnale di un mercato nero digitale florido, in cui accessi privilegiati si scambiano al pari di merci qualsiasi. Dall’inzio del 2025 il numero di accessi in vendita a siti basati su tecnologia magento sono stati 36.

Il ruolo della Cyber Threat Intelligence

In questo contesto, la Cyber Threat Intelligence (CTI) può giocare un ruolo chiave nella prevenzione e mitigazione di attacchi come quello ipotizzato. Un programma di CTI ben strutturato permette di:

• Monitorare in tempo reale i forum e marketplace del dark web, come Exploit.in, per individuare inserzioni sospette legate al proprio brand o dominio.
• Identificare precocemente segnali di compromissione (IOC, tecniche TTP, exploit zero-day legati alla piattaforma in uso).
• Allertare i team interni per attivare contromisure immediate prima che l’accesso venga venduto o sfruttato.

Un dato particolarmente rilevante emerso da analisi CTI su dump di credenziali provenienti da infostealer è la presenza di un accesso amministrativo riconducibile al sito in questione, su un archivio condiviso su BreachForum a metà dicembre 2024.

Non si tratta quindi solo di raccogliere dati, ma di trasformarli in intelligence azionabile, utile a ridurre la finestra di esposizione e a proteggere asset critici in ambienti ad alta esposizione come l’e-commerce.

Considerazioni finali

Al momento, non è noto se il sito in oggetto abbia rilevato o mitigato la violazione. Il sito è ancora online e funzionante. Tuttavia, se la vendita andasse a buon fine, le conseguenze potrebbero essere devastanti per l’azienda e i suoi clienti.

Nel frattempo, la vendita dell’accesso rimane pubblica, visibile a chiunque frequenti il forum. E il prezzo – 500$ – è il segnale più preoccupante: le barriere all’ingresso per compromettere aziende italiane non sono mai state così basse.

L'articolo Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$ proviene da il blog della sicurezza informatica.

A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che l’operazione Endgame è stata condotta l’anno scorso e vi hanno preso parte rappresentanti delle forze di polizia di Germania, Stati Uniti, Gran Bretagna, Francia, Danimarca e Paesi Bassi.

Inoltre, esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD hanno fornito informazioni operative alle autorità, condividendo con le forze dell’ordine informazioni sull’infrastruttura della botnet e sul funzionamento interno del malware.

All’epoca, fu segnalato che erano stati sequestrati più di 100 server utilizzati dai principali downloader di malware, tra cui IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC. Tali dropper vengono utilizzati per ottenere l’accesso iniziale ai dispositivi delle vittime e per distribuire payload aggiuntivi.

In un nuovo comunicato stampa pubblicato questa settimana dall’Europol si afferma che l’operazione è in corso e che le forze dell’ordine stanno analizzando i dati provenienti dai server sequestrati e rintracciando i client del malware in questione.

Gli investigatori affermano che Smokeloader era gestito da un individuo noto come Superstar, che offriva la sua botnet ad altri aggressori come servizio a pagamento per l’installazione, al fine di ottenere l’accesso ai computer delle vittime. “A seguito di una serie di azioni coordinate, i clienti della botnet Smokeloader, gestita dall’aggressore noto come Superstar, hanno dovuto affrontare conseguenze quali detenzioni, perquisizioni domiciliari, mandati di arresto e colloqui preventivi”, ha affermato Europol.

Si dice che Smokeloader sia stato utilizzato anche per un’ampia gamma di reati informatici, dall’impiego di ransomware all’esecuzione di miner, fino all’accesso alle webcam e all’intercettazione delle sequenze di tasti premuti sui computer delle vittime.

Un database sequestrato durante l’operazione Endgame conteneva i dettagli dei clienti di Smokeloader, consentendo alla polizia di identificare gli hacker collegando i loro nickname alle identità reali. Si è notato che alcuni degli indagati hanno accettato di collaborare con le forze dell’ordine e hanno consentito che venissero esaminate le prove digitali presenti sui loro dispositivi personali. Molti di loro rivendevano i servizi di Smokeloader con un sovrapprezzo.

Mentre l’operazione prosegue, Europol ha creato un sito web dedicato per pubblicare le ultime notizie a riguardo. L’Europol ha inoltre pubblicato sul suo sito web una serie di video animati che mostrano le attività degli agenti delle forze dell’ordine e il modo in cui rintracciano i clienti e i partner di Smokeloader.

L'articolo L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti proviene da il blog della sicurezza informatica.

A tornado can be an awe-inspiring sight, but it can also flip your car, trash your house, and otherwise injure you with flying debris. If you’d like to look at swirling air currents in a safer context, you might appreciate this tornado tower build from [Gary Boyd].

[Gary]’s build was inspired by museum demonstrations and the tornado machine designs of [Harald Edens]. His build generates a vortex that spans 1 meter tall in a semi-open cylindrical chamber. A fan in the top of the device sucks in air from the chamber, and exhausts it through a vertical column of holes in the wall of the cylinder. This creates a vortex in the air, though it’s not something you can see on its own. To visualize the flow, the cylindrical chamber is also fitted with an ultrasonic mist generator in the base. The vortex in the chamber is able to pick up this mist, and it can be seen swirling upwards as it is sucked towards the fan at the top.

It’s a nice educational build, and one that’s as nice to look at as it is to study. It produces a thick white vortex that we’re sure someone could turn into an admirable lamp or clock or something, this being Hackaday, after all. In any case, vortexes are well worth your study. If you’re cooking up neat projects with this physical principle, you should absolutely let us know!

hackaday.com/2025/04/14/buildi…

A major bottleneck with high-frequency wireless communications is the conversion from radio frequencies to optical signals and vice versa. This is performed by an electro-optic modulator (EOM), which generally are limited to GHz-level signals. To reach THz speeds, a new approach was needed, which researchers at ETH Zurich in Switzerland claim to have found in the form of a plasmonic phase modulator.

Although sounding like something from a Star Trek episode, plasmonics is a very real field, which involves the interaction between optical frequencies along metal-dielectric interfaces. The original 2015 paper by [Yannick Salamin] et al. as published in Nano Letters provides the foundations of the achievement, with the recent paper in Optica by [Yannik Horst] et al. covering the THz plasmonic EOM demonstration.

The demonstrated prototype can achieve 1.14 THz, though signal degradation begins to occur around 1 THz. This is achieved by using plasmons (quanta of electron oscillators) generated on the gold surface, who affect the optical beam as it passes small slots in the gold surface that contain a nonlinear organic electro optic material that ‘writes’ the original wireless signal onto the optical beam.

hackaday.com/2025/04/14/plasmo…

Amazing as volumetric displays are, they have one major drawback: interacting with them is complicated. A 3D mouse is nice, but unless you’ve done a lot of CAD work, it’s a bit unintuitive. Researchers from the Public University of Navarra, however, have developed a touchable volumetric display, bringing touchscreen-like interactions to the third dimension (preprint paper).

At the core, this is a swept-volume volumetric display: a light-diffusing screen oscillates along one axis, while from below a projector displays cross-sections of the scene in synchrony with the position of the screen. These researchers replaced the normal screen with six strips of elastic material. The finger of someone touching the display deforms one or more of the strips, allowing the touch to be detected, while also not damaging the display.

The actual hardware is surprisingly hacker-friendly: for the screen material, the researchers settled on elastic bands intended for clothing, and two modified subwoofers drove the screen’s oscillation. Indeed, some aspects of the design actually cite this Hackaday article. While the citation misattributes the design, we’re glad to see a hacker inspiring professional research.) The most exotic component is a very high-speed projector (on the order of 3,000 fps), but the previously-cited project deals with this by hacking a DLP projector, as does another project we’ve covered.

While interacting with the display does introduce some optical distortions, we think the video below speaks for itself. If you’re interested in other volumetric displays, check out this project, which displays images with a levitating styrofoam bead.

youtube.com/embed/4wwKOXxX9Ck?…

[Thanks to Xavi for the tip!]

hackaday.com/2025/04/14/elasti…