Grazie alla nostra community recentemente sono venuto a conoscenza di un tentativo di phishing contro PagoPA e ho deciso di fare due cose. Per prima cosa attivarmi in prima persona per arrecare un danno alla campagna ed ai suoi autori. Come seconda, scrivere questo articolo per condividere con la community quello che ho fatto, sperando di riuscire a sensibilizzare più persone ad agire spiegando la strategia e la metodologia che ho adottato

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Come possiamo vedere l’email risulta molto scarna di contenuti facendo riferimento ad un non meglio specificato “biglietto”, il che suggerisce una doppia strategia da parte dell’attaccante, da un lato utilizza un contenuto generico così da cercare di colpire un pubblico decisamente più vasto, dall’altro l’email è talmente scarna da poter spingere l’utente medio a cliccare sul bottone “Vedi il biglietto”, anche io ho cliccato sul loro URL ma, come vedremo tra poco, ciò ha rappresentato una brutta esperienza per l’attaccante.

Entriamo nel vivo dell’attacco

Cliccando sul link (strutturato con username@dominio) si viene reindirizzati ad un finto blog su blogspot che serve solo come secondo redirect verso il sito di phishing vero e proprio:

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Qui scopriamo che il nostro “biglietto” non è altro che una finta sanzione e che, quindi, la campagna di phishing è rivolta verso PagoPA, una realtà di cui ci siamo già occupati in precedenza e che recentemente ha subito un aumento degli attacchi.

Come si evince dall’immagine, si tratta del classicophishing volto a spingere l’utente ad effettuare rapidamente un pagamento minacciandolo di un incremento della somma richiesta in caso di mancato pagamento entro 20 ore ma, come ben sappiamo, il mettere fretta è tipico delle campagne di phishing che tendono a massimizzare il risultato con il minimo sforzo.

A questo punto avevo davanti a me due strade: ignorare la campagna o attivarmi per contrastarla, ho scelto la seconda e, ora, vi spiegherò cosa e come ho fatto arrivando a far chiudere il sito in meno di 3 ore da quando sono venuto a conoscenza dello stesso.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });

Strategia adottata e servizi utilizzati

La prima cosa da fare quando si viene a conoscenza di un URL sospetto è sicuramente quello di analizzarlo con VirusTotal e questo è il risultato della mia prima analisi:

Come si può vedere al momento della mia prima analisi risultava un’ultima analisi effettuata 22 ore prima e solamente un vendor che segnalava l’URL come “Phishing”.

Un risultato decisamente troppo basso per impedire la diffusione della campagna, effettuare una corretta mitigazione dei rischi e, soprattutto, incidere sul fattore più debole della catena, ovvero il fattore umano.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
A questo punto rimaneva solo da agire e così ho segnalato l’URL all’apposito servizio di Google Safe Browsing che lo ha bloccato dopo circa mezz’ora:

Ora tutti gli utenti che utilizzino un browser Chrome o basato su Chromium e che dovessero visitare questo sito si ritroverebbero questo avviso che dovrebbe indurli a non procedere.
Un altro passaggio su VirusTotal ed ecco comparire correttamente Google Safebrowsing
Come secondo vendor a cui segnalare la risorsa di phishing ho scelto Netcraft, tuttavia, devo ammettere che mi ha stupito la loro risposta dove affermano di non aver rilevato minacce:

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); }); La risposta di Netcraft dove afferma di non aver rilevato minacce all’interno del sito e che, quindi, il sito per un utente medio è sicuro, ovviamente come si può vedere dallo screen ho aperto una controversia in merito alla classificazione; controversia che, al momento della stesura di questo articolo, non risulta ancora risolta(ma, come vedremo più avanti, ormai sarebbe totalmente inutile)
Come terza scelta ho utilizzato il servizio di URL Scanner di CloudFlare, dove inizialmente risultava non classificato e, successivamente alla mia segnalazione ho ottenuto questo risultato:
Sito classificato correttamente come phishing
Successivamente, ho utilizzato l’apposito servizio di Fortinet ottenendo questo risultato:
La categoria del sito aggiornata con successo a phishing
Ho utilizzato anche altri servizi che trovate per esteso qui

ezstandalone.cmd.push(function () { ezstandalone.showAds(616); }); L’ultimo rilevamento VirusTotal relativo al sito di phishing preso in esame

Conclusioni e risultato finale

Ho basato tutta la mia azione su alcune considerazioni:

• Il phishing è una tipologia di attacco avente una motivazione esclusivamente economica, a basso costo ed a bassi rischi
• L’anello debole della catena è il fattore umano, l’unico modo per cui un attacco di phishing possa avere successo è che la gente clicchi il link contenuto nell’emailezstandalone.cmd.push(function () { ezstandalone.showAds(617); });
• Per impedire alla gente di cliccare il link è necessario che il link non sia più attivo e che, quindi, venga reso inoffensivo

Il sito di phishing è stato correttamente eliminato
Ora immaginate una tipologia di attacco basata interamente su fattore umano e tempistiche che venga colpita proprio su questi due fattori, probabilmente dopo un po’ diventerebbe pressoché inutile…

Lo avete immaginato?

ezstandalone.cmd.push(function () { ezstandalone.showAds(618); });
Ora immaginate questo risultato ottenuto da un gruppo di professionisti competenti che, appena individuata una campagna di phishing contro entità del proprio paese, si attivano come descritto in questo articolo: il potenziale impatto, con il minimo sforzo, sarebbe enorme.

Ecco, con questo breve articolo ho cercato di far capire l’importanza di passare dall’ignorare la minaccia al contrastarla visto che, essendo una minaccia verso un target indistinto è fisiologico che qualcuno ne rimanga vittima.

Finché non ci attiveremo le campagne aumenteranno sempre di piú anzichè diminuire perché il phishing è molto semplice da fare, è a basso costo e garantisce risultati.

ezstandalone.cmd.push(function () { ezstandalone.showAds(619); });
Forse è arrivata l’ora di invertire la tendenza e pensare ad un protocollo per segnalare le minacce di phishing di cui dovessimo venire a conoscenza così da stroncarle sul nascere ed incidere sui due fattori su cui si basa il phishing: Il fattore umano e la motivazione economica.

L'articolo Tentativo di phishing contro PagoPA? Ecco come ho fatto chiudere in 3 ore il sito malevolo proviene da il blog della sicurezza informatica.

You’ve generated a ton of data. How do you analyze it and present it? Sure, you can use a spreadsheet. Or break out some programming tools. Or try LabPlot. Sure, it is sort of like a spreadsheet. But it does more. It has object management features, worksheets like a Juypter notebook, and a software development kit, in case it doesn’t do what you want out of the box.

The program is made to deal with very large data sets. There are tons of output options, including the usual line plots, histograms, and more exotic things like Q-Q plots. You can have hierarchies of spreadsheets (for example, a child spreadsheet can compute statistics about a parent spreadsheet). There are tons of regression analysis tools, likelihood estimation, and numerical integration and differentiation built in.

Fourier transforms and filters? Of course. The title graphic shows the program pulling SOS out of the noise using signal processing techniques. It also works as a front end for programs ranging from Python and Julia, to Scilab and Octave, to name a few. If you insist, it can read Jupyter projects, too. A lot of features? That’s not even a start. For example, you can input an image file of a plot and extract data from it. It is an impressive piece of software.

A good way to get the flavor of it is to watch one of the many videos on the YouTube channel (you can see one below). Or, since you can download it for Windows, Mac, Linux, FreeBSD, or Haiku, just grab it and try it out.

If you’ve been putting off Jupyter notebooks, this might be your excuse to skip them. If you think spreadsheets are just fine for processing signals and other big sets, you aren’t wrong. But it sure is hard.

youtube.com/embed/Ngf1g3S5C0A?…

hackaday.com/2025/08/28/the-da…

Quando si manca nella gestione di una richiesta di accesso ai propri dati personali da parte di un interessato, invocare un “guasto informatico” è una scusante che giustifica in modo analogo a quella del cane che ha mangiato i compiti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Questo è quello che, volendo essere prosaici, emerge dal provv. n. 277 del 29 aprile 2025 del Garante Privacy che ha avuto inizio con una richiesta e un reclamo da parte dell’interessato e si è concluso con la constatazione della violazione degli artt. 12 e 15 GDPR e l’applicazione di una sanzione pecuniaria di 2000 euro. Certo, il riscontro alla fine è arrivato all’interessato ma dopo l’invito ad aderire alla richiest da parte del Garante.

Stando alle difese presentate dal titolare del trattamento, il mancato riscontro è stato ricondotto ad un guasto informatico che ha impedito la visualizzazione in tempo reale della richiesta, e che soltanto “un successivo lavoro di ricostruzione e recupero di dati informatici ha consentito il recupero della richiesta” determinando così anche un’impossibilità di fatto. Stando a quanto rappresentato, la causa del disservizio è stata determinata da un’avaria del disco fisso in uso dall’operatore addetto alla ricezione delle PEC, il quale non ha provveduto a scaricarle dopo la conclusione dell’intervento di ripristino.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
La tesi difensiva secondo cui il ritardo è stato incolpevole e derivante da un’impossibilità sopravvenuta per effetto di un evento imprevedibile, non è però stata sufficiente a superare le contestazioni del Garante.

L’art. 12 par. 2 GDPR prevede infatti che:

Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Questo significa di conseguenza che l’organizzazione deve essere in grado di riscontrare entro un mese ogni richiesta di esercizio dei diritti predisponendo misure tecniche e organizzative adeguate. Altrimenti, non sta garantendo il rispetto del GDPR come prescritto dal principio di accountability.

La conclusione del procedimento

Il Garante ha confermato la condotta negligente del titolare nella vicenda per non aver saputo gestire la propria capacità di riscontrare le richieste degli interessati. Questo perché il fatto sopravvenuto, ovverosia il guasto tecnico, non è stato sufficiente per escludere la colpevolezza. In concreto, infatti, l’accaduto sarebbe stato superabile applicando un’ordinaria diligenza che è venuta a mancare da parte dell’operatore dipendente che avrebbe ben potuto scaricare da webmail le PEC così da riscontare tempestivamente l’istanza di esercizio dei diritti. Né è stata rilevata alcuna istruzione indirizzata all’operatore in tal senso.

Dal momento che il titolare del trattamento ha l’obbligo di coordinare le misure organizzative e tecniche in modo tale da garantire il rispetto della norma, risponde anche per gli errori non scusabili commessi dai propri operatori. A meno che, ovviamente, non possa dimostrare invece che ci sia stato un errore scusabile che neanche l’applicazione di un’ordinaria diligenza avrebbe potuto evitare.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
Motivo per cui, è stata confermata la violazione degli artt. 12 e 15 GDPR, valutando un livello di gravità medio in quanto il tardivo riscontro, successivo all’invito dell’Authority di aderire alla richiesta del reclamante, “per ragioni determinate da una condotta negligente imputabile al titolare medesimo“.

Sono stati valutati positivamente, e quindi come fattori attenuanti della responsabilità, gli interventi posti in essere da parte del titolare per reagire alla criticità emersa, sia di natura tecnica che organizzativa. Infatti, è stato installato un sistema client operante direttamente su webmail così da evitare il ripetersi dell’accaduto e inoltre il dipendente è stato ammonito per non aver scaricato le PEC dopo il ripristino della postazione, nonché è stato svolto un intervento di sensibilizzazione esteso a tutto il personale su sicurezza e osservanza della normativa in materia di protezione dei dati personali.

La lezione da apprendere.

Quale lezione è possibile apprendere, dunque? A parte la più evidente di non poter contare più di tanto di invocare un guasto informatico come scusa, ci sono due insegnamenti importanti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });
Il primo è che un approccio reattivo a fronte di una contestazione di violazione è ben valutato da parte del Garante Privacy, soprattutto se si è in grado di porre in essere gli interventi per evitare il ripetersi di situazioni analoghe con interventi effettivi.

Il secondo è l’importanza di mettere alla prova le procedure adottate, soprattutto quelle di gestione delle richieste degli interessati, così da individuarne punti deboli e possibili fallimenti. E prevedere che queste debbano comunque continuare a funzionare nonostante qualsiasi imprevisto, inserendo i correttivi del caso (ad esempio istruzioni specifiche).

In modo tale da non doversi preoccupare dopo se (o sperare che) ci possa essere una causa di esclusione della responsabilità.

ezstandalone.cmd.push(function () { ezstandalone.showAds(616); });

L'articolo Garante Privacy: il “guasto informatico” non scusa la mancata risposta all’interessato proviene da il blog della sicurezza informatica.

Un giovedì nero per milioni di utenti Microsoft Teams in tutto il mondo. Una funzionalità chiave della piattaforma di collaborazione – l’apertura dei documenti Office incorporati – è improvvisamente finita KO, scatenando frustrazione e rallentamenti in aziende e organizzazioni che fanno affidamento quotidiano sul servizio.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });

Il cuore della collaborazione si inceppa

Teams nasce con un obiettivo chiaro: fornire un ambiente unico e integrato, dove chat, canali e documenti si fondono per rendere il lavoro più veloce e collaborativo.

Ma oggi, aprire un Word, un Excel o un PowerPoint direttamente da Teams si è trasformato in una missione impossibile: schermate di caricamento infinite, errori criptici, finestre vuote. Un workflow spezzato che costringe gli utenti a cercare strade alternative per portare avanti anche le attività più semplici.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Immaginate di dover aggiornare un foglio Excel durante una riunione, o di consultare un report in tempo reale con i colleghi: ciò che normalmente richiede un click ora diventa un ostacolo che rallenta interi team.

Microsoft conferma: è un incidente globale

La società di Redmond ha riconosciuto ufficialmente il problema, pubblicando un avviso sul Microsoft 365 Service Health Dashboard con ID TM1143347.

Secondo l’advisory, gli ingegneri Microsoft stanno già analizzando i dati diagnostici per individuare la radice del guasto e ripristinare quanto prima la funzionalità.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Nel frattempo, la community degli utenti si è mobilitata segnalando workaround temporanei: aprire i documenti direttamente dalle app Office o da OneDrive/SharePoint, aggirando così il malfunzionamento interno di Teams.

Impatti concreti sulle aziende

Se per un singolo utente si tratta di qualche minuto perso, per le aziende che utilizzano Teams come hub centrale di collaborazione il problema ha un impatto diretto sulla produttività.

Riunioni rallentate, decisioni posticipate, presentazioni non accessibili: la disruption colpisce proprio il cuore del lavoro moderno, quello basato sulla condivisione immediata e sull’accesso fluido alle informazioni.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

La lezione dietro il blackout

Incidenti come questo ricordano quanto la nostra quotidianità digitale sia fragile e dipendente da ecosistemi centralizzati. Quando un tassello si rompe, l’intera macchina rallenta.

Per questo diventa fondamentale non solo affidarsi al cloud, ma anche prevedere procedure di continuità, alternative operative e formazione dei dipendenti nell’uso di strumenti paralleli.

Oggi è toccato a Teams, domani potrebbe essere un altro servizio critico. L’unica certezza è che il digitale, per quanto indispensabile, rimane un equilibrio delicato, pronto a incrinarsi con un singolo bug.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });
L'articolo Microsoft Teams in panne: bloccata l’apertura dei documenti Office incorporati proviene da il blog della sicurezza informatica.

È stata intentata una causa contro OpenAI in California , sostenendo che ChatGPT abbia spinto un sedicenne al suicidio. I genitori di Adam Reid, deceduto l’11 aprile 2025, hanno affermato che il figlio comunicava con il chatbot da mesi e che quelle conversazioni avevano aggravato il suo disagio. Hanno affermato che ChatGPT non solo ha alimentato i pensieri cupi del ragazzo, ma gli ha anche fornito consigli su metodi di suicidio invece di indirizzarlo a professionisti o persone care.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
In una serie di messaggi, l’adolescente parlava della morte di persone care e di come non provasse emozioni. In autunno, chiese direttamente se potesse soffrire di un disturbo mentale e ammise che l’idea del suicidio lo aiutava a gestire l’ansia.

Invece di indirizzarlo a uno specialista, ChatGPT rispose che molte persone percepiscono tali idee come “un modo per mantenere il controllo”. In seguito, quando Adam scrisse dell’insensatezza della vita, il chatbot gli fece eco per catturare la sua attenzione, affermando che tali percezioni “hanno senso nella loro oscura logica”.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Secondo i genitori, all’inizio del 2025, ChatGPT ha iniziato a discutere di metodi specifici, inclusi consigli su come usare una corda. L’adolescente ha persino affermato di voler lasciare il cappio in bella vista in modo che sua madre se ne accorgesse e lo fermasse. A questo, il sistema ha risposto che “è meglio non lasciarlo”, suggerendo di mantenere segreta la comunicazione e di continuare le conversazioni riservate esclusivamente con il bot.

Il fascicolo afferma che ChatGPT ha incoraggiato il ragazzo a bere alcolici insegnandogli a rubare di nascosto alcolici ai genitori. Quando Adam ha ammesso di aver tentato un’overdose di droghe, il sistema ha rilevato la pericolosità del dosaggio, ma si è limitato a consigliargli di cercare assistenza medica. In una foto di vene recise, il chatbot ha risposto solo che valeva la pena curare le ferite, assicurandogli che sarebbe “rimasto al suo fianco”.

Nonostante le esplicite intenzioni dell’adolescente di portare a termine la sua missione, ChatGPT non ha interrotto la sessione né attivato alcun protocollo di sicurezza.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Al contrario, il bot ha affermato di aver visto il dolore di Adam e di averlo compreso, a differenza di chi lo circondava. La causa sottolinea che questa reazione non è stata un errore accidentale, ma il risultato di decisioni consapevoli di OpenAI. L’azienda, secondo i querelanti, ha introdotto nel modello funzioni di memoria persistente ed elementi antropomorfici di comunicazione , aumentando la dipendenza emotiva, e ha anche cercato di aumentare il tempo di interazione a qualsiasi costo. Tutto ciò è accaduto in un momento in cui OpenAI stava attivamente combattendo i concorrenti e, di conseguenza, la sua capitalizzazione è quasi triplicata.

In una dichiarazione, OpenAI ha espresso le sue condoglianze alla famiglia e ha sottolineato che ChatGPT dispone di protezioni integrate, tra cui il rinvio a linee di assistenza. Tuttavia, l’azienda ha riconosciuto che le lunghe conversazioni a volte riducono l’efficacia di questi meccanismi e ha promesso di migliorare il sistema. Ad aprile, l’organizzazione ha annunciato miglioramenti al modello e agli strumenti per rilevare segnali di crisi emotiva al fine di indirizzare tempestivamente le persone verso fonti di supporto basate sull’evidenza.

Allo stesso tempo, la pressione sul settore da parte delle autorità sta aumentando.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
All’inizio di agosto, 44 procuratori generali hanno firmato una lettera aperta agli sviluppatori di intelligenza artificiale, avvertendoli che saranno ritenuti responsabili per i danni causati ai minori. Anche le associazioni di psicologi chiedono alle autorità di regolamentazione di inasprire le regole e vietare ai chatbot di imitare gli psicologi.

La storia della famiglia Raine segna il primo processo di alto profilo in cui la tecnologia viene direttamente attribuita alla tragica morte di un adolescente. Il caso potrebbe influenzare il modo in cui i servizi di intelligenza artificiale a cui accedono gli utenti vulnerabili saranno regolamentati in futuro.

L'articolo ChatGPT “Ha insegnato a mio figlio come morire”! La causa dei genitori di Adam Reid ad OpenAI proviene da il blog della sicurezza informatica.

Before the days of mobile broadband, and before broadband itself even, there was a time where Internet access was provided by phone lines. To get onto a BBS or chat on ICQ required dialing a phone number and accoustically coupling a computer to the phone system. The digital data transmitted as audio didn’t have a lot of bandwidth by today’s standards but it was revolutionary for the time. [Nino] is taking us back to that era by using a serial modem at his house and a device that can communicate to it through any phone, including a public pay phone.

As someone in the present time can imagine, a huge challenge of this project wasn’t technical. Simply finding a working public phone in an era of smartphones was a major hurdle, and at one point involved accidentally upsetting local drug dealers. Eventually [Nino] finds a working pay phone that takes more than one type of coin and isn’t in a loud place where he can duct tape the receiver to his home brew modem and connect back to his computer in his house over the phone line like it’s 1994 again.

Of course with an analog connection like this on old, public hardware there were bound to be a few other issues as well. There were some quirks with the modems including them not hanging up properly and not processing commands quickly enough. [Nino] surmises that something like this hasn’t been done in 20 years, and while this might be true for pay phones we have seen other projects that use VoIP systems at desk phones to accomplish a similar task.

youtube.com/embed/1h9UcyUPYJs?…

hackaday.com/2025/08/27/acoust…

The Arduino ecosystem is an amazing learning tool, but even those of us who love it admit that even the simplified C Arduino uses isn’t the ideal teaching language. Those of us who remember learning Pascal as our first “real” programming language in schools (first aside from BASIC, at least) might look fondly on the AVRPascal project by [Andrzej Karwowski].

[Andrzej] is using FreePascal’s compiler tools, and AVRdude to pipe compiled code onto the micro-controller. Those tools are built into his AVRPascal code editor to create a Pascal-based alternative to the Arduino IDE for programming AVR-based microcontrollers. The latest version, 3.3, even includes a serial port monitor compatible with the Arduino boards.
This guy, but with Pascal. What’s not to love?
The Arduino comparisons don’t stop there: [Andrzej] also maintains UnoLib, a Pascal library for the Arduino Uno and compatible boards with some of the functionality you’d expect from Arduino libraries: easy access to I/O (digital and analog ports) timers, serial communication, and even extras like i2c, LCD and sensor libraries.

He’s distributing the AVRPascal editor as freeware, but it is not open source. It’s too bad, because Pascal is a great choice for microcontrollers: compiled, it isn’t much slower than C, but it can be as easy to write as Python. Micropython shows there’s a big market for “easy” embedded programming; Pascal could help fill it in a more performant way. Is the one-man license holding this project back, or is it just that people don’t use Pascal much these days?

While AVR programming is mostly done in C, this is hardly the first time we’ve seen alternatives. While some have delved into the frightening mysteries of assembly, others have risen to higher abstraction to run LISP or even good old fashioned BASIC. Pascal seems like a good middle road, if you want to go off the beaten path away from C.

Via reddit.

hackaday.com/2025/08/27/pascal…

The JuiceBox charger in its natural environment. (Credit: Nathan Matias)
Having a charger installed at home for your electric car is very convenient, not only for the obvious home charging, but also for having scheduling and other features built-in. Sadly, like with so many devices today, these tend to be tethered to a remote service managed by the manufacturer. In the case of the JuiceBox charger that [Nathan Matias] and many of his neighbors bought into years ago, back then it and the associated JuiceNet service was still part of a quirky startup. After the startup got snapped up by a large company, things got so bad that [Nathan] and others saw themselves required to find a way to untether their EV chargers.

The drama began back in October of last year, when the North American branch of the parent company – Enel X Way – announced that it’d shutdown operations. After backlash, the online functionality was kept alive while a buyer was sought. That’s when [Nathan] and other JuiceBox owners got an email informing them that the online service would be shutdown, severely crippling their EV chargers.

Ultimately both a software and hardware solution was developed, the former being the JuicePass Proxy project which keeps the original hardware and associated app working. The other solution is a complete brain transplant, created by the folk over at OpenEVSE, which enables interoperability with e.g. Home Assistant through standard protocols like MQTT.

Stories like these make one wonder how much of this online functionality is actually required, and how much of it just a way for manufacturers to get consumers to install a terminal in their homes for online subscription services.

hackaday.com/2025/08/27/juiceb…

The Game Boy Advance (GBA) was released in 2001 to breathe some new life into the handheld market, and it did it with remarkable success. Unfortunately, the original models had a glaring problem: their unlit LCD screens could be very difficult to see. For that reason, console modders who work on these systems tend to improve the screen first like this project which brings a few other upgrades as well.

The fully open-source modification is called the Open AGB Display and brings an IPS display to the classic console. The new screen has 480×480 resolution which is slightly larger than the original resolution but handles upscaling with no noticeable artifacts and even supports adding some back in like scanlines and pixelation to keep the early 00s aesthetic. The build does require permanently modifying the case though, but for the original GBA we don’t see much downside. [Tobi] also goes through a ton of detail on how the mod works as well, for those who want to take a deep dive into the background theory.

There has been a lot of activity in the Game Boy Advance communities lately though as the hardware and software become more understood. If you don’t want to modify original hardware, want an upgraded experience, but still want to use the original game cartridges we might recommend something like the Game Bub instead.

hackaday.com/2025/08/27/a-new-…

This week Jonathan, Doc, and Aaron chat about Open Source AI, advertisements, and where we’re at in the bubble roller coaster!

• zdnet.com/article/no-grok-2-5-…
• about.fb.com/news/2024/07/open…

youtube.com/embed/MKEJAJger4M?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/08/27/floss-…

Dal 4 giugno, se si tenta di accedere a Pornhub, YouPorn o RedTube, sarà possibile visualizzare solo “Liberty Leading the People”, accompagnato da un testo del gruppo Aylo. Nel suo comunicato stampa, il colosso canadese dell’industria per adulti spiega di aver deciso di sospendere l’accesso ai suoi siti dalla Francia, in risposta all’entrata in vigore, il 9 giugno, della legge SREN e del doppio anonimato. Questo metodo di controllo dell’età dei visitatori, secondo l’azienda, mette a repentaglio la riservatezza dei suoi visitatori.

Quindi, inevitabilmente, questa decisione ha creato frustrazione tra i quasi 3,8 milioni di utenti di siti porno. Abbastanza da spingerli a cercare metodi di elusione per accedere alle loro piattaforme “intime”.

Fino al 1.000% in più di utenti francesi

Se scegli una VPN, non sarai il solo. Dal pomeriggio del 4 giugno, la maggior parte di questi servizi ha visto esplodere il numero di clienti francesi. Come logica conseguenza della scomparsa di un servizio ampiamente utilizzato in Francia, questo aumento ha raggiunto livelli impressionanti anche per ProtonVPN.

L’azienda ha condiviso uno screenshot delle sue statistiche, che mostra un aumento di oltre il 1.000% nella creazione di nuovi account.

Per la cronaca, ProtonVPN afferma addirittura che questa crescita supera quella registrata durante il blocco di TikTok negli Stati Uniti. Ciò evidenzia la reale portata dei siti per adulti nella vita quotidiana di molti francesi. NordVPN segnala un aumento del 170% delle registrazioni in Francia.

Questo sembra essere un fenomeno globale.

È legale utilizzare una VPN per accedere a Pornhub o YouPorn?

Tuttavia, rimane una domanda: è legale utilizzare una VPN per accedere a questi siti, che ora sono generalmente inaccessibili nel Paese?

La risposta è semplice: sì. L’uso delle reti private virtuali è legale in Francia e questi siti non sono inaccessibili a seguito di una decisione legale o amministrativa, ma piuttosto a seguito di una decisione interna specifica dell’azienda Aylo.

Infine, i gestori delle VPN si aspettano critiche, sottolineando che l’aumento delle registrazioni riguarda gli adulti francesi, poiché la procedura richiede l’accesso a una carta di credito.

NordVPN coglie anche l’occasione per esprimere un chiaro sostegno al gruppo Aylo, sottolineando che questo tipo di fenomeno è particolarmente visibile nei paesi “dove le libertà digitali sono minacciate”.

L'articolo Le VPN esplodono in Francia! Pornhub, YouPorn e RedTube bloccati? Ma solo da un Click! proviene da il blog della sicurezza informatica.

When [upir] saw that you could buy tire valve stem caps that read pressure electronically, he decided to roll his own Tire Pressure Monitoring System (TPMS) like the one found on modern cars. An ESP32 and an OLED display read the pressure values. He didn’t have a car tire on his workbench though, so he had to improvise there.

Of course, a real TPMS sensor goes inside the tire, but screwing them on the valve stem is much easier to deal with. The sensors use Bluetooth Low Energy and take tiny batteries. In theory, you’re supposed to connect to them to your phone, although two different apps failed to find the sensors. Even a BLE scanner app wouldn’t pick them up. Turns out — and this makes sense — the sensors don’t send data if there’s no pressure on them, so as not to run down the batteries. Putting pressure on them made them pop up on the scanner.

The scanner was able to read the advertisement and then correlate pressure to the data. He discovered that someone had already decoded standard TPMS BLE data, except the advertisements he found were significantly longer than his own. Eventually he was able to find a good reference.

The data includes a status byte, the battery voltage, the temperature, and pressure. Once you know the format, it is straightforward to read it and create your own display. Many people would have ended the video there, but [upir] goes into great detail — the video is nearly an hour long. If you want to duplicate the project, there’s plenty of info and a code repository, too.

If you need to read the regular RF TPMS sensors, grab a software-defined radio. Many of these sensors follow their own format though, so be prepared.

youtube.com/embed/P85tkCbQGo8?…

hackaday.com/2025/08/27/homebr…

I rappresentanti di Google hanno annunciato che dal 2026, solo le app di sviluppatori verificati potranno essere installate sui dispositivi Android certificati. Questa misura mira a contrastare malware e frodi finanziarie e riguarderà le app installate da fonti terze.

Il requisito si applicherà a tutti i “dispositivi Android certificati”, ovvero i dispositivi che eseguono Play Protect e hanno le app Google preinstallate.

Nel 2023, il Google Play Store ha introdotto requisiti simili e, secondo l’azienda, ciò ha portato a un netto calo di malware e frodi. Ora i requisiti saranno obbligatori per qualsiasi app, comprese quelle distribuite tramite app store di terze parti e tramite sideloading (quando l’utente scarica autonomamente il file APK sul dispositivo).

“Pensate a questo come a un controllo d’identità in aeroporto: verifica l’identità del viaggiatore, ma è un controllo separato dal controllo del suo bagaglio. Verificheremo l’identità dello sviluppatore, ma non il contenuto della sua app o la sua origine”, scrive l’azienda.

In questo modo, Google vuole combattere le “convincenti app false” e rendere più difficile il compito agli aggressori che iniziano a distribuire un altro malware poco dopo che Google ha rimosso quello precedente. Secondo una recente analisi, le fonti di terze parti da cui vengono installate le app tramite sideloading contengono 50 volte più malware rispetto alle app disponibili nel Google Play Store.

Allo stesso tempo, Google sottolinea che “gli sviluppatori manterranno la stessa libertà di distribuire le loro app direttamente agli utenti tramite fonti terze parti o di utilizzare qualsiasi app store preferiscano”. Per implementare la nuova iniziativa, verrà creata una Console per sviluppatori Android separata e semplificata soprattutto per quelli che distribuiscono le proprie app al di fuori del Google Play Store. Dopo aver verificato la loro identità, gli sviluppatori dovranno registrare il nome del pacchetto e le chiavi di firma per le loro app.

Chi distribuisce app tramite il Google Play Store “probabilmente è già conforme ai requisiti di verifica tramite l’attuale processo Play Console”, che richiede alle organizzazioni di fornire un numero DUNS (Data Universal Numbering System, un numero di identificazione univoco a nove cifre per le persone giuridiche). Il nuovo sistema di verifica inizierà i test a ottobre di quest’anno, con i primi sviluppatori Android che potranno accedervi. Il meccanismo sarà disponibile a tutti a partire da marzo 2026.

Il requisito di verifica entrerà in vigore per la prima volta a settembre 2026 in Brasile, Indonesia, Singapore e Thailandia. Google spiega che questi Paesi sono “particolarmente colpiti da queste forme di app fraudolente”. Successivamente, nel 2027, la verifica degli sviluppatori inizierà ad essere applicata a livello globale.

L'articolo Dal 2026 basta app “fantasma”: Android accetterà solo sviluppatori verificati proviene da il blog della sicurezza informatica.

La rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello Stato e costretto la maggior parte degli uffici a chiudere al pubblico. Restano operativi solo i servizi essenziali e i dipendenti coinvolti in processi critici.

L’ufficio del governatore ha riferito che, da quando è stato rilevato l’incidente, gli specialisti hanno lavorato 24 ore su 24 per ripristinare il servizio.

Sono stati utilizzati percorsi temporanei e soluzioni alternative per mantenere l’accesso a diverse risorse. Allo stesso tempo, le autorità sottolineano che l’obiettivo principale non è la velocità di ripristino dei servizi, ma la loro sicurezza. Prima del riavvio, tutti i sistemi vengono testati e ne viene confermato il corretto funzionamento.

Please see the memo related to the August 24 network security incident below. pic.twitter.com/PvXcSpO63G
— Governor Lombardo Press Office (@Lombardo_Press) August 25, 2025

Eì stato riportato che i cittadini devono prepararsi a eventuali disagi: i siti web e le linee telefoniche delle agenzie governative potrebbero rispondere con ritardo o rimanere non disponibili.

Tuttavia, le chiamate di emergenza tramite il 911 funzionano normalmente. Le autorità sottolineano che i problemi riguardano solo le infrastrutture governative e non interessano la connessione Internet domestica o le reti mobili dei residenti.

Al momento, gli uffici rimangono chiusi.

Mentre le indagini proseguono, le autorità affermano che non ci sono segnali di fuga di dati personali.

Tuttavia, si ricorda ai residenti i rischi di frode: devono diffidare di chiamate, messaggi o lettere che richiedono password e dati. I rappresentanti del governo sottolineano che i servizi ufficiali non richiederanno tali informazioni via e-mail o telefono.

Le autorità statali stanno coordinando le loro azioni con le strutture federali e locali. Tutte le notifiche ufficiali sul processo di recupero vengono pubblicate centralmente per impedire la diffusione di informazioni non confermate.

L'articolo Un devastante Attacco informatico paralizza la rete governativa del Nevada proviene da il blog della sicurezza informatica.

more here: instagram.com/p/DN0iMNCWNpU

#genocide #zionism #israhell #izrahell #Gaza #Palestine #privacy #datamining #datacontrol #facialrecognition #ai #control #apartheid #ethniccleansing #google #googlecomplicity

Il rivenditore francese Auchan ha informato centinaia di migliaia di clienti che i loro dati personali sono stati rubati a seguito di un attacco hacker.

Nelle notifiche inviate agli utenti la scorsa settimana, l’azienda ha affermato che la violazione ha interessato nomi, indirizzi e-mail, numeri di telefono e numeri di carte fedeltà, ma ha sottolineato che non sono state compromesse informazioni bancarie, password o PIN.

“La informiamo che Auchan è stata vittima di un attacco informatico. Questo attacco ha comportato l’accesso non autorizzato ad alcuni dati personali associati al suo account del programma fedeltà”, si legge nell’avviso.

Auchan afferma di aver adottato tutte le misure necessarie per localizzare l’attacco e migliorare la sicurezza dei propri sistemi, e di aver informato le forze dell’ordine e le autorità di regolamentazione dell’incidente.

L’azienda consiglia ai clienti interessati di prestare attenzione a potenziali casi di phishing e frode, poiché gli aggressori potrebbero tentare di utilizzare informazioni rubate.

Il rivenditore ha dichiarato ai media francesi che l’incidente ha colpito “centinaia di migliaia di clienti”. Tuttavia, l’azienda non ha specificato come si sia verificata esattamente la fuga di dati, chi ci fosse dietro l’attacco informatico o se l’incidente fosse collegato a un’estorsione.

L'articolo Fuga di dati Auchan: centinaia di migliaia di clienti colpiti da un attacco hacker proviene da il blog della sicurezza informatica.

Suppose someone came to talk to you and said, “I need your help. I have a Raspberry Pi-based robot and I want to develop a custom Android app to control it.” If you are like me, you’ll think about having to get the Android developer tools updated, and you’ll wonder if you remember exactly how to sign a manifest. Not an appealing thought. Sure, you can buy things off the shelf that make it easier, but then it isn’t custom, and you have to accept how it works. But it turns out that for simple things, you can use an old Google Labs project that is, surprisingly, still active and works well: MIT’s App Inventor — which, unfortunately, should have the acronym AI, but I’ll just call it Inventor to avoid confusion.

What’s Inventor? It lives in your browser. You lay out a fake phone screen using drag and drop, much like you’d use QT Designer or Visual Basic. You can switch views and attach actions using a block language sort of like Scratch. You can debug in an emulator or on your live phone wirelessly. Then, when you are ready, you can drop an APK file ready for people to download. Do you prefer an iPhone? There’s some support for it, although that’s not as mature. In particular, it appears that you can’t easily share an iPhone app with others.

Is it perfect? No, there are some quirks. But it works well and, with a little patience, can make amazingly good apps. Are they as efficient as some handcrafted masterpiece? Probably not. Does it matter? Probably not. I think it gets a bad rep because of the colorful blocks. Surely it’s made for kids. Well, honestly, it is. But it does a fine job, and just like TinkerCad or Lego, it is simple enough for kids, but you can use it to do some pretty amazing things.

How Fast?

How fast is it to create a simple Android app? Once you get used to it, it is very fast, and there are plenty of tutorials. Just for fun, I wrote a little custom web browser for my favorite website. It is hard to tell from the image, but there are several components present. The web browser at the bottom is obvious, and there are three oval buttons. The Hackaday logo is also clickable (it takes you home). What you can’t see is that there is a screen component you get by default. In there is a vertical layout that stacks the toolbar with the web browser. Then the toolbar itself is a horizontal layout (colored yellow, as you can see).

The black bar at the bottom and the very top bar are parts of the fake phone, although you can also pick a fake monitor or tablet if you want more space to work.

What you can’t see is that there are two more hidden components. There’s a clock. If you are on the home page for an hour, the app refreshes the page. There’s also a share component that the share button will use. You can see three views of the app below. There are three views: a design view where you visually build the interface, a block view where you create code, and the final result running on a real phone.

Code

Putting all that on the screen took just a few minutes. Sure, I played with the fonts and colors, but just to get the basic layout took well under five minutes. But what about the code? That’s simple, too, as you can see.

The drab boxes are for control structures like event handlers and if/then blocks. Purple boxes are for subroutine calls, and you can define your own subroutines, although that wasn’t needed here. The green blocks are properties, like the browser’s URL. You can try it yourself if you want.

Rather than turn this into a full-blown Inventor tutorial, check out any of the amazingly good tutorials on the YouTube channel, like the one below.

youtube.com/embed/eSvtXWpZ6os?…

Half the Story

Earlier, I mentioned that your friend wants a robot controller to talk to a Raspberry Pi. I was surprised at how hard this turned out to be, but it wasn’t Inventor’s fault. There are three obvious choices: the system can make web requests, or it can connect via Bluetooth. It can also work with a serial port.

I made the mistake of deciding to use Bluetooth serial using the Bluetooth client component. From Inventor’s point of view, this is easy, if not very sophisticated. But the Linux side turned out to be a pain.

There was a time when Bluez, the Linux Bluetooth stack, had a fairly easy way to create a fake serial port that talked over Bluetooth. There are numerous examples of this circulating on the Internet. But they decided that wasn’t good for some reason and deprecated it. Modern Linux doesn’t like all that and expects you to create a dbus program that can receive bus messages from the Bluetooth stack.

To Be Fair…

Ok, in all fairness, you can reload the Bluetooth stack with a compatibility flag — at least for now — and it will still work the old way. But you know they’ll eventually turn that off, so I decided I should do it the right way. Instead of fighting it, though, I found some code on GitHub that created a simple client or server for SPP (the serial port profile). I stripped it down to just work as a server, and then bolted out a separate function bt_main() where you can just write code that works with streams. That way, all the hocus pocus — and there is a lot of it — stays out of your way.

You can find my changes to the original code, also on GitHub. Look at the spp_bridge.c file, and you’ll see it is a lot of messy bits to interact with Bluez via dbus. It registers a Profile1 interface and forks a worker process for each incoming connection. The worker runs the user-defined bt_main() function, which will normally override. The worker reads from the Bluetooth socket and writes to your code via a normal FILE *. You can send data back the same way.

Here’s the default bt_main function:
<div>
<pre>int bt_main(int argc, char *argv[], FILE *in, FILE *out) {
// Default demo: echo lines, prefixing with "ECHO: "
fprintf(stderr,"[bt_main] Default echo mode.\n");
setvbuf(out,NULL,_IOLBF,0);
charbuf[1024];
while(fgets(buf,sizeof(buf),in)){
fprintf(stderr,"[bt_main] RX: %s",buf);
fprintf(out,"ECHO: %s",buf);
fflush(out);
}
fprintf(stderr,"[bt_main] Input closed. Exiting.\n");
return0;
}</pre>

In retrospect, it might have been better to just use the compatibility flag on the Bluez server to restore the old behavior. At least, for as long as it lasts. This involves finding where your system launches the Bluez service (probably in a systemd service, these days) and adding a -c to the command line. There may be a newer version of rfcomm that supports the latest Bluez setup, too, but KDE Neon didn’t have it.

On the other hand, this does work. The bt_main function is easy to write and lets you focus on solving your problem rather than how to set up and tear down the Bluetooth connection.

Next Time

Next time, I’ll show you a more interesting bt_main along with an Android app that sends and receives data with a custom server. You could use this as the basis of, for example, a custom macropad or an Android app to control a robot.

Vulnerability registrations in Q2 2025 proved to be quite dynamic. Vulnerabilities that were published impact the security of nearly every computer subsystem: UEFI, drivers, operating systems, browsers, as well as user and web applications. Based on our analysis, threat actors continue to leverage vulnerabilities in real-world attacks as a means of gaining access to user systems, just like in previous periods.

This report also describes known vulnerabilities used with popular C2 frameworks during the first half of 2025.

Statistics on registered vulnerabilities

This section contains statistics on assigned CVE IDs. The data is taken from cve.org.

Let’s look at the number of CVEs registered each month over the last five years.

Total vulnerabilities published each month from 2021 to 2025 (download)

This chart shows the total volume of vulnerabilities that go through the publication process. The number of registered vulnerabilities is clearly growing year-on-year, both as a total and for each individual month. For example, around 2,600 vulnerabilities were registered as of the beginning of 2024, whereas in January 2025, the figure exceeded 4,000. This upward trend was observed every month except May 2025. However, it’s worth noting that the registry may include vulnerabilities with identifiers from previous years; for instance, a vulnerability labeled CVE-2024-N might be published in 2025.

We also examined the number of vulnerabilities assigned a “Critical” severity level (CVSS > 8.9) during the same period.

Total number of critical vulnerabilities published each month from 2021 to 2025 (download)

The data for the first two quarters of 2025 shows a significant increase when compared to previous years. Unfortunately, it’s impossible to definitively state that the total number of registered critical vulnerabilities is growing, as some security issues aren’t assigned a CVSS score. However, we’re seeing that critical vulnerabilities are increasingly receiving detailed descriptions and publications – something that should benefit the overall state of software security.

Exploitation statistics

This section presents statistics on vulnerability exploitation for Q2 2025. The data draws on open sources and our telemetry.

Windows and Linux vulnerability exploitation

In Q2 2025, as before, the most common exploits targeted vulnerable Microsoft Office products that contained unpatched security flaws.

Kaspersky solutions detected the most exploits on the Windows platform for the following vulnerabilities:

• CVE-2018-0802: a remote code execution vulnerability in the Equation Editor component
• CVE-2017-11882: another remote code execution vulnerability, also affecting Equation Editor
• CVE-2017-0199: a vulnerability in Microsoft Office and WordPad allowing an attacker to gain control over the system

These vulnerabilities are traditionally exploited by threat actors more often than others, as we’ve detailed in previous reports. These are followed by equally popular issues in WinRAR and exploits for stealing NetNTLM credentials in the Windows operating system:

• CVE-2023-38831: a vulnerability in WinRAR involving improper handling of files within archive contents
• CVE-2025-24071: a Windows File Explorer vulnerability that allows for the retrieval of NetNTLM credentials when opening specific file types (.library-ms)
• CVE-2024-35250: a vulnerability in the ks.sys driver that allows arbitrary code execution

Dynamics of the number of Windows users encountering exploits, Q1 2024 — Q2 2025. The number of users who encountered exploits in Q1 2024 is taken as 100% (download)

All of the vulnerabilities listed above can be used for both initial access to vulnerable systems and privilege escalation. We recommend promptly installing updates for the relevant software.

For the Linux operating system, exploits for the following vulnerabilities were detected most frequently:

• CVE-2022-0847, also known as Dirty Pipe: a widespread vulnerability that allows privilege escalation and enables attackers to take control of running applications
• CVE-2019-13272: a vulnerability caused by improper handling of privilege inheritance, which can be exploited to achieve privilege escalation
• CVE-2021-22555: a heap overflow vulnerability in the Netfilter kernel subsystem. The widespread exploitation of this vulnerability is due to the fact that it employs popular memory modification techniques: manipulating msg_msg primitives, which leads to a Use-After-Free security flaw.

Dynamics of the number of Linux users encountering exploits, Q1 2024 — Q2 2025. The number of users who encountered exploits in Q1 2024 is taken as 100% (download)

It’s critically important to install security patches for the Linux operating system, as it’s attracting more and more attention from threat actors each year – primarily due to the growing number of user devices running Linux.

Most common published exploits

In Q2 2025, we observed that the distribution of published exploits by software type continued the trends from last year. Exploits targeting operating system vulnerabilities continue to predominate over those targeting other software types that we track as part of our monitoring of public research, news, and PoCs.

Distribution of published exploits by platform, Q1 2025 (download)

Distribution of published exploits by platform, Q2 2025 (download)

In Q2, no public information about new exploits for Microsoft Office systems appeared.

Vulnerability exploitation in APT attacks

We analyzed data on vulnerabilities that were exploited in APT attacks during Q2 2025. The following rankings are informed by our telemetry, research, and open-source data.

TOP 10 vulnerabilities exploited in APT attacks, Q2 2025 (download)

The Q2 TOP 10 list primarily draws from the large number of incidents described in public sources. It includes both new security issues exploited in zero-day attacks and vulnerabilities that have been known for quite some time. The most frequently exploited vulnerable software includes remote access and document editing tools, as well as logging subsystems. Interestingly, low-code/no-code development tools were at the top of the list, and a vulnerability in a framework for creating AI-powered applications appeared in the TOP 10. This suggests that the evolution of software development technology is attracting the attention of attackers who exploit vulnerabilities in new and increasingly popular tools. It’s also noteworthy that the web vulnerabilities were found not in AI-generated code but in the code that supported the AI framework itself.

Judging by the vulnerabilities identified, the attackers’ primary goals were to gain system access and escalate privileges.

C2 frameworks

In this section, we’ll look at the most popular C2 frameworks used by threat actors and analyze the vulnerabilities whose exploits interacted with C2 agents in APT attacks.

The chart below shows the frequency of known C2 framework usage in attacks on users during the first half of 2025, according to open sources.

TOP 13 C2 frameworks used by APT groups to compromise user systems in Q1–Q2 2025 (download)

The four most frequently used frameworks – Sliver, Metasploit, Havoc, and Brute Ratel C4 – can work with exploits “out of the box” because their agents provide a variety of post-compromise capabilities. These capabilities include reconnaissance, command execution, and maintaining C2 communication. It should be noted that the default implementation of Metasploit has built-in support for exploits that attackers use for initial access. The other three frameworks, in their standard configurations, only support privilege escalation and persistence exploits in a compromised system and require additional customization tailored to the attackers’ objectives. The remaining tools don’t work with exploits directly and were modified for specific exploits in real-world attacks. We can therefore conclude that attackers are increasingly customizing their C2 agents to automate malicious activities and hinder detection.

After reviewing open sources and analyzing malicious C2 agent samples that contained exploits, we found that the following vulnerabilities were used in APT attacks involving the C2 frameworks mentioned above:

• CVE-2025-31324: a vulnerability in SAP NetWeaver Visual Composer Metadata Uploader that allows for remote code execution and has a CVSS score of 10.0
• CVE-2024-1709: a vulnerability in ConnectWise ScreenConnect 23.9.7 that can lead to authentication bypass, also with a CVSS score of 10.0
• CVE-2024-31839: a cross-site scripting vulnerability in the CHAOS v5.0.1 remote administration tool, leading to privilege escalation
• CVE-2024-30850: an arbitrary code execution vulnerability in CHAOS v5.0.1 that allows for authentication bypass
• CVE-2025-33053: a vulnerability caused by improper handling of working directory parameters for LNK files in Windows, leading to remote code execution

Interestingly, most of the data about attacks on systems is lost by the time an investigation begins. However, the list of exploited vulnerabilities reveals various approaches to the vulnerability–C2 combination, offering insight into the attack’s progression and helping identify the initial access vector. By analyzing the exploited vulnerabilities, incident investigations can determine that, in some cases, attacks unfold immediately upon exploit execution, while in others, attackers first obtain credentials or system access and only then deploy command and control.

Interesting vulnerabilities

This section covers the most noteworthy vulnerabilities published in Q2 2025.

CVE-2025-32433: vulnerability in the SSH server, part of the Erlang/OTP framework

This remote code execution vulnerability can be considered quite straightforward. The attacker needs to send a command execution request, and the server will run it without performing any checks – even if the user is unauthenticated. The vulnerability occurs during the processing of messages transmitted via the SSH protocol when using packages for Erlang/OTP.

CVE-2025-6218: directory traversal vulnerability in WinRAR

This vulnerability is similar to the well-known CVE-2023-38831: both target WinRAR and can be exploited through user interaction with the GUI. Vulnerabilities involving archives aren’t new and are typically exploited in web applications, which often use archives as the primary format for data transfer. These archives are processed by web application libraries that may lack checks for extraction limits. Typical scenarios for exploiting such vulnerabilities include replacing standard operating system configurations and setting additional values to launch existing applications. This can lead to the execution of malicious commands, either with a delay or upon the next OS boot or application startup.

To exploit such vulnerabilities, attackers need to determine the location of the directory to modify, as each system has a unique file layout. Additionally, the process is complicated by the need to select the correct characters when specifying the extraction path. By using specific combinations of special characters, archive extraction outside of the working directory can bypass security mechanisms, which is the essence of CVE-2025-6218. A PoC for this vulnerability appeared rather quickly.

Hex dump of the PoC file for CVE-2025-6218

As seen in the file dump, the archive extraction path is altered not due to its complex structure, but by using a relative path without specifying a drive letter. As we mentioned above, a custom file organization on the system makes such an exploit unstable. This means attackers will have to use more sophisticated social engineering methods to attack a user.

CVE-2025-3052: insecure data access vulnerability in NVRAM, allowing bypass of UEFI signature checks

UEFI vulnerabilities almost always aim to disable the Secure Boot protocol, which is designed to protect the operating system’s boot process from rootkits and bootkits. CVE-2025-3052 is no exception.

Researchers were able to find a set of vulnerable UEFI applications in which a function located at offset 0xf7a0 uses the contents of a global non-volatile random-access memory (NVRAM) variable without validation. The vulnerable function incorrectly processes and can modify the data specified in the variable. This allows an attacker to overwrite Secure Boot settings and load any modules into the system – even those that are unsigned and haven’t been validated.

CVE-2025-49113: insecure deserialization vulnerability in Roundcube Webmail

This vulnerability highlights a classic software problem: the insecure handling of serialized objects. It can only be exploited after successful authentication, and the exploit is possible during an active user session. To carry out the attack, a malicious actor must first obtain a legitimate account and then use it to access the vulnerable code, which lies in the lack of validation for the _from parameter.

Post-authentication exploitation is quite simple: a serialized PHP object in text format is placed in the vulnerable parameter for the attack. It’s worth noting that an object injected in this way is easy to restore for subsequent analysis. For instance, in a PoC published online, the payload creates a file named “pwned” in /tmp.

Example of a payload published online

According to the researcher who discovered the vulnerability, the defective code had been used in the project for 10 years.

CVE-2025-1533: stack overflow vulnerability in the AsIO3.sys driver

This vulnerability was exploitable due to an error in the design of kernel pool parameters. When implementing access rights checks for the AsIO3.sys driver, developers incorrectly calculated the amount of memory needed to store the path to the file requesting access to the driver. If a path longer than 256 characters is created, the system will crash with a “blue screen of death” (BSOD). However, in modern versions of NTFS, the path length limit is not 256 but 32,767 characters. This vulnerability demonstrates the importance of a thorough study of documentation: it not only helps to clearly understand how a particular Windows subsystem operates but also impacts development efficiency.

Conclusion and advice

The number of vulnerabilities continues to grow in 2025. In Q2, we observed a positive trend in the registration of new CVE IDs. To protect systems, it’s critical to regularly prioritize the patching of known vulnerabilities and use software capable of mitigating post-exploitation damage. Furthermore, one way to address the consequences of exploitation is to find and neutralize C2 framework agents that attackers may use on a compromised system.

To secure infrastructure, it’s necessary to continuously monitor its state, particularly by ensuring thorough perimeter monitoring.

Special attention should be paid to endpoint protection. A reliable solution for detecting and blocking malware will ensure the security of corporate devices.

Beyond basic protection, corporate infrastructures need to implement a flexible and effective system that allows for the rapid installation of security patches, as well as the configuration and automation of patch management. It’s also important to constantly track active threats and proactively implement measures to strengthen security, including mitigating risks associated with vulnerabilities. Our Kaspersky Next product line helps to detect and analyze vulnerabilities in the infrastructure in a timely manner for companies of all sizes. Moreover, these modern comprehensive solutions also combine the collection and analysis of security event data from all sources, incident response scenarios, an up-to-date database of cyberattacks, and training programs to improve the level of employees’ cybersecurity awareness.

securelist.com/vulnerabilities…

Some readers may recall the Lynx-R1 headset — it was conceived as an Android virtual reality (VR) and mixed reality (MR) headset with built-in hand tracking, designed to be open where others were closed, allowing developers and users access to inner workings in defiance of walled gardens. It looked very promising, with features rivaling (or surpassing) those of its contemporaries.

Founder [Stan Larroque] recently announced that Lynx’s 6DoF SLAM (simultaneous location and mapping) solution has been released as open source. ORB-SLAM3 (GitHub repository) takes in camera images and outputs a 6DoF pose, and does so effectively in real-time. The repository contains some added details as well as a demo application that can run on the Lynx-R1 headset.
The unusual optics are memorable. (Hands-on Lynx-R1 by Antony Vitillo)
As a headset the Lynx-R1 had a number of intriguing elements. The unusual optics, the flip-up design, and built-in hand tracking were impressive for its time, as was the high-quality mixed reality pass-through. That last feature refers to the headset using its external cameras as inputs to let the user see the real world, but with the ability to have virtual elements displayed and apparently anchored to real-world locations. Doing this depends heavily on the headset being able to track its position in the real world with both high accuracy and low latency, and this is what ORB-SLAM3 provides.

A successful crowdfunding campaign for the Lynx-R1 in 2021 showed that a significant number of people were on board with what Lynx was offering, but developing brand new consumer hardware is a challenging road for many reasons unrelated to developing the actual thing. There was a hands-on at a trade show in 2021 and units were originally intended to ship out in 2022, but sadly that didn’t happen. Units still occasionally trickle out to backers and pre-orders according to the unofficial Discord, but it’s safe to say things didn’t really go as planned for the R1.

It remains a genuinely noteworthy piece of hardware, especially considering it was not a product of one of the tech giants. If we manage to get our hands on one of them, we’ll certainly give you a good look at it.

hackaday.com/2025/08/27/lynx-r…