Negli ultimi due anni il cyber ha smesso di essere una dimensione “tecnica” del conflitto ed è diventato infrastruttura strategica. La conseguenza è un effetto domino: parte dalla competizione USA-Cina sui semiconduttori e sull’AI, attraversa la guerra Russia-Ucraina (e i corridoi energetici del Mar Nero), e arriva alla governance europea, che prova a mettere ordine con regolazione e compliance mentre la minaccia accelera.


Questo articolo propone una lettura OSINT orientata ai meccanismi (non alle narrazioni), con indicatori pratici utili per chi lavora in cybersecurity, risk e intelligence economica.

USA–Cina: la supply chain dei chip AI come terreno di scontro

La competizione USA-Cina è sempre meno una gara commerciale e sempre più una partita sui colli di bottiglia: chip avanzati, tool di fabbricazione, cloud/AI e controlli export. Il fattore destabilizzante non è solo il “divieto”, ma la volatilità della policy: licenze, eccezioni, enforcement e ritorsioni diventano variabili operative per intere filiere.

Implicazione cyber: quando l’hardware diventa geopolitica, la sicurezza di filiera (provenance, audit, SBOM, trusted suppliers) non è più una best practice. È una condizione di accesso al mercato e una leva di resilienza nazionale.

Europa: governance e compliance mentre la minaccia corre

In Europa la risposta strutturale è regolatoria: NIS2 (governance e obblighi per settori/entità) e Cyber Resilience Act (sicurezza dei prodotti digitali “by design”). Il tema, però, è il tempo: recepimenti e implementazioni disomogenei producono una postura a macchia di leopardo, con differenze di obblighi, reporting ed enforcement tra Paesi.

Implicazione cyber: l’UE sta costruendo un perimetro serio, ma nel breve periodo molte organizzazioni devono alzare maturità e resilienza senza poter contare su un quadro uniforme in tutti i mercati in cui operano.

Mar Nero: energia, logistica e guerra ibrida

Il Mar Nero è un punto di contatto tra interessi militari, energetici e logistici. È anche l’area in cui cyber e ibrido si intrecciano: porti, raffinerie, shipping, assicurazioni, tracciamento, droni e sabotaggi.

In un contesto sanzionatorio, la pressione su rotte e snodi diventa leva economica e leva politica.
Implicazione cyber: la parola chiave è infrastruttura. Anche senza “hacking spettacolare”, basta rendere più costosi e rischiosi trasporto, assicurazione, manutenzione e compliance per ottenere effetti strategici.

Israele: stress operativo, ma il cyber resta un asset strategico

Il sistema israeliano è sotto stress per la situazione regionale, ma il comparto cyber continua a rappresentare un asset di capacità e di mercato: talenti, prodotti e M&A restano un magnete globale.

Questo produce, da un lato, accelerazione tecnologica; dall’altro, maggiore attenzione a export compliance, supply chain e rischio di escalation informativa.

Indicatori pratici (OSINT) per chi lavora in sicurezza

Se la dinamica geopolitica deve diventare una checklist operativa, alcuni indicatori ricorrenti sono:
Volatilità normativa su export controls e controlli tecnologici (licenze, eccezioni, enforcement).
Concentrazione dei colli di bottiglia (pochi fornitori per chip, tool, cloud, componenti critici).
Disruption fisica su nodi logistici ed energetici (porti, raffinerie, shipping) come segnali di guerra ibrida.

Frammentazione regolatoria nell’UE (divergenze di posture minime e responsabilità tra Stati).
Consolidamento del mercato su identity e cloud security come segnale di spostamento della superficie d’attacco.

Conclusione

La tesi è semplice: cyber e geopolitica condividono ormai la stessa supply chain. Gli Stati gestiscono tecnologia e infrastrutture come leve strategiche; le imprese devono trattare la cybersecurity come risk management geopolitico, non come sola IT security.

Per le organizzazioni, il vantaggio competitivo nei prossimi anni passerà dalla capacità di leggere policy, filiere e logistica con lo stesso rigore con cui si legge un threat report.

Questo articolo adotta un approccio OSINT e si basa su fonti pubbliche (atti e comunicazioni istituzionali UE, copertura stampa economico-finanziaria internazionale e report di settore su cyber/tech).

L'articolo Dalla guerra dei chip al Mar Nero: perché la geopolitica sta riscrivendo le regole del cyber proviene da Red Hot Cyber.

I ricercatori di sicurezza hanno scoperto una vulnerabilità in .NET che potrebbe colpire diversi prodotti aziendali e causare l’esecuzione di codice remoto. Il problema deriva dal modo in cui le applicazioni Microsoft basate su .NET gestiscono i messaggi SOAP e Microsoft, secondo i ricercatori, si rifiuta di risolvere il problema, scaricando la colpa su sviluppatori e utenti.

Piotr Bazydło di watchTowr ha segnalato la scoperta alla conferenza Black Hat Europe . Ha affermato che diverse soluzioni commerciali e interne sono vulnerabili agli attacchi di esecuzione di codice remoto ( RCE ) a causa di errori nella gestione dei messaggi SOAP nelle applicazioni .NET.

Il problema chiave era la classe SoapHttpClientProtocol. Il ricercatore ha spiegato che può essere utilizzata dagli aggressori in vari modi, a seconda dei loro obiettivi. Questa classe eredita da HttpWebClientProtocol, come altri client proxy, ma SoapHttpClientProtocol è la più comune nel codice sorgente, quindi watchTowr si è concentrato su di essa.

Sulla carta, tutto sembra innocuo: sia il nome della classe che la documentazione ufficiale indicano che dovrebbe gestire messaggi SOAP tramite HTTP. Uno scenario “semplice, prevedibile e sicuro” , come osserva ironicamente Bazydło. In pratica, le cose sono più complicate.

La classe è responsabile dell’impostazione dell’URL di destinazione del servizio SOAP e dell’invocazione del metodo SOAP. La vulnerabilità si verifica quando un aggressore riesce a influenzare questo URL e il modo in cui SoapHttpClientProtocol crea il client. Sebbene sia progettata per funzionare con richieste HTTP, utilizza internamente un meccanismo generalizzato che supporta più protocolli: HTTP/HTTPS, FTP e persino FILE.

Se un aggressore sostituisce l’indirizzo web con un URL del file system, la classe non genererà un errore, ma scriverà semplicemente la richiesta SOAP (inviata tramite il metodo POST) direttamente nel file. “Perché un proxy SOAP dovrebbe ‘inviare’ richieste a un file locale? Nessuna persona sana di mente si aspetterebbe di ricevere una risposta SOAP valida dal file system“, osserva il ricercatore.

Questo comportamento può essere sfruttato per scrivere file arbitrari, inclusi dati XML da una richiesta SOAP. Uno scenario meno distruttivo, ma comunque spiacevole, potrebbe riguardare attacchi di relay NTLM.

Bazydło ha inizialmente segnalato il problema a Microsoft tramite la Zero Day Initiative (ZDI). Secondo lui, l’azienda ha risposto che non avrebbe risolto il bug perché gli sviluppatori non dovrebbero consentire l’utilizzo di dati di input non attendibili.

“Come prevedibile, Microsoft ha considerato questa una ‘funzionalità’ piuttosto che una vulnerabilità “, scrive. “La risposta ha attribuito la colpa agli sviluppatori e agli utenti. Secondo Microsoft, l’URL passato a SoapHttpClientProtocol non dovrebbe mai essere controllato dall’utente e la convalida dell’input è interamente responsabilità dello sviluppatore.”

Bazydło aggiunge sarcasticamente che, ovviamente, “tutti gli sviluppatori decompilano regolarmente gli assembly .NET Framework e studiano l’implementazione interna, ben sapendo che un ‘proxy client HTTP’ può essere convinto a scrivere dati su disco. Come potrebbe essere altrimenti? “

Un anno dopo, il team di watchTowr ha iniziato ad analizzare Barracuda Service Center , una “piattaforma RMM ampiamente utilizzata”, anch’essa risultata vulnerabile alla tecnica descritta in precedenza. I ricercatori hanno scoperto che la sua API SOAP poteva essere chiamata senza autenticazione e hanno quindi trovato una via di exploit alternativa: importando file WSDL (Web Services Description Language).

Il punto chiave è che un aggressore può fornire a un’applicazione un URL che punta a un file WSDL sotto il suo controllo. L’applicazione vulnerabile utilizza questa descrizione per generare un proxy client HTTP, dopodiché Bazydło è riuscito a ottenere l’esecuzione di codice remoto in due modi: caricando una web shell ASPX sul server e inserendo il payload (una web shell CSHTML o uno script PowerShell) nello spazio dei nomi del corpo della richiesta SOAP.

Questa tecnica basata sullo spazio dei nomi, afferma, ha consentito lo sfruttamento efficace di Ivanti Endpoint Manager e Umbraco 8 CMS. Sebbene il rapporto di WatchTowr menzioni specificamente questi prodotti, i ricercatori sottolineano che l’elenco effettivo delle soluzioni interessate è molto più ampio.

L'articolo Vulnerabilità in .NET: eseguire codice remoto tramite messaggi SOAP proviene da Red Hot Cyber.

Most humans like games. But what are games, exactly? Not in a philosophical sense, but in the sense of “what exactly are their worky bits, so we know how to make them?” [Raph Koster] aims to answer that in a thoughtful blog post that talks all about game design from the perspective of what, exactly, makes them tick. And we are right into that, because we like to see things pulled apart to learn how they work.

On the one hand, it’s really not that complicated. What’s a game? It’s fun to play, and we generally feel we know a good one when we see it. But as with many apparently simple things, it starts to get tricky to nail down specifics. That’s what [Raph]’s article focuses on; it’s a twelve-step framework for how games work, and why they do (or don’t) succeed at what they set out to do.

[Raph] says the essentials of an engaging game boil down to giving players interesting problems to solve, providing meaningful and timely feedback, and understanding player motivation. The tricky part is that these aren’t really separate elements. Everything ties together in a complex interplay, and [Raph] provides insights into how to design and manage it.

It’s interesting food for thought on a subject that is, at the very least, hacker-adjacent. After all, many engaging convention activities boil down to being games of some kind, and folks wouldn’t be implementing DOOM on something like KiCAD’s PCB editor or creating first-person 3D games for the Commodore PET without being in possession of a healthy sense of playfulness.

hackaday.com/2025/12/13/why-ga…

Most of us are familiar with vinyl LPs, and even with the way in which they are made by stamping a hot puck of polyvinyl chloride (PVC) into a record. But [Technostalgism] takes us all the way back to the beginning, giving us a first-hand look at how a lacquer master is cut by a specialized recording lathe.
An uncut lacquer master is an aluminum base coated with a flawless layer of lacquer. It smells like fresh, drying paint.
Cutting a lacquer master is the intricate process by which lacquer disks, used as the masters for vinyl records, are created. These glossy black masters — still made by a company in Japan — are precision aluminum discs coated with a special lacquer to create a surface that resembles not-quite-cured nail polish and, reportedly, smells like fresh paint.

The cutting process itself remains largely unchanged over the decades, although the whole supporting setup is a bit more modernized than it would have been some seventy years ago. In the video (embedded below), we get a whole tour of the setup and watch a Neumann AM32B Master Stereo Disk Recording Lathe from 1958 cut the single unbroken groove that makes up the side of a record.

The actual cutting tool is a stylus whose movement combines the left and right channels and is heated to achieve the smoothest cuts possible. The result is something that impresses the heck out of [Technostalgism] with its cleanliness, clarity, and quality. Less obvious is the work that goes into arranging the whole thing. Every detail, every band between tracks, is the result of careful planning.

It’s very clear that not only is special equipment needed to cut a disk, but doing so effectively is a display of serious craftsmanship, experience, and skill. If you’re inclined to agree and are hungry for more details, then be sure to check out this DIY record-cutting lathe.

youtube.com/embed/p18SspdBx_4?…

hackaday.com/2025/12/13/watch-…

There are a few very different pathways to building a product, and we gotta applaud the developers taking care to take the open-source path. Today’s highlight is [Mentra], who is releasing an open-source smart glasses OS for their own and others’ devices, letting you develop your smart glasses ideas just once, a single codebase applicable for multiple models.

Currently, the compatibility list covers four models, two of them Mentra’s (Live and Mach 1), one from Vuzix (Z100), and one from Even Realities (G1) — some display-only, and some recording-only. The app store already has a few apps that cover the basics, the repository looks lively, and if the openness is anything to go by, our guess is that we’re sure to see more.

While smart glasses have their critics, many of those stem from closed-source software running on them, so the ability to easily develop your own is always welcome, and it’s even better to see it done in an open, cross-compatible manner. Want to learn more about the underlying tech? Check out this iFixit coverage of Meta’s Ray-Ban glasses display technology.

hackaday.com/2025/12/13/mentra…

Not a huge percentage of our readers probably get their heat from diesel fuel, but it’s not uncommon in remote areas where other fuels are hard to come-by. If you’re in one of those areas, this latest hack from [Hangin with the Hursts] could save you some change, or keep you ̶2̶0̶%̶ ̶c̶o̶o̶l̶e̶r̶ 25% warmer on the same fuel burn.

It’s bog simple: he takes his off-the-shelf hydronic diesel heater, which is already 71% efficient according to a previous test, and hooks its exhaust to a heat exchanger. Now, you don’t want to restrict the exhaust on one of these units, as that can mess with the air fuel mix, but [Hurst] gets around that with a 3″ intercooler meant for automotive intake. Sure, it’s not made for exhaust gas, but this is a clean-burning heater, and it wouldn’t be a hack if some of the parts weren’t out of spec.

Since it’s a hydronic heater, he’s able to use the exhaust gas to pre-heat the water going into the burner. The intercooler does a very good job of that, sucking enough heat out of the exhaust to turn this into a condensing furnace. That’s great for efficiency — he calculates 95%, a number so good he doesn’t trust it — but not so good for the longevity of the system, since this intercooler isn’t made to deal with the slightly-acidic condensation. The efficiency numbers are combustion efficiency, to be clear. He’s only accounting for the energy in the diesel fuel, not the energy that heats the water in his test, for the record; the electrical power going into the blower is considered free. That’s fair, since that’s how the numbers are calculated in the heating industry in general — the natural gas furnace keeping this author from freezing to death, for example, is a condensing unit that is also 95% efficient.

Another thing you can do to get the most from your diesel heating fuel is add some brains to the operation. Since this is a hydronic system, the cheapest option, long-term, might be to add some solar energy to the water. Sunlight is free, and diesel sure isn’t getting any cheaper.

youtube.com/embed/rjgOsJmnqYc?…

hackaday.com/2025/12/13/conden…

Cats can be wonderful companions, but they can also be aloof and boring to hang out with. If you want to get a little more out of the relationship, consider obsessively tracking your cat’s basic statistics with this display from [Matthew Sylvester].

The build is based around the Seeedstudio ReTerminal E1001/E1002 devices—basically an e-paper display with a programmable ESP32-S3 built right in. It’s upon this display that you will see all kinds of feline statistics being logged and graphed. The data itself comes from smart litterboxes, with [Matthew] figuring out how to grab data on weight and litterbox usage via APIs. In particular, he’s got the system working with PetKit gear as well as the Whisker Litter Robot 4. His dashboard can separately track data for four cats and merely needs the right account details to start pulling in data from the relevant cat cloud service.

For [Matthew], the build wasn’t just a bit of fun—it also proved very useful. When one of his cats had a medical issue recently, he was quickly able to pick up that something was wrong and seek the help required. That’s a pretty great result for any homebrew project. It’s unrelated, too, but Gnocci is a great name for a cat, so hats off for that one.

We’ve featured some other fun cat-tracking projects over the years, too. If you’re whipping up your own neat hardware to commune with, entertain, or otherwise interact with your cat, don’t hesitate to let us know on the tipsline.

hackaday.com/2025/12/13/get-st…

Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali vulnerabilità sono state individuate analizzando 39.080 record di Common Vulnerabilities and Exposures (CVE)riportati nell’anno in corso, al fine di segnalare le cause principali.

L’aumento delle minacce informatiche ha elevato l’importanza della classifica annuale, la quale elaborata in base a dati CVE reali, permette una più efficace identificazione e riduzione dei rischi all’interno delle organizzazioni.

Gli aggressori possono assumere il controllo del sistema, sottrarre dati sensibili o compromettere le applicazioni a causa di questi difetti pervasivi, che sono spesso facilmente individuabili e sfruttabili.

La classifica CWE Top 25 può aiutare a:

• Riduzione delle vulnerabilità : le informazioni sulle cause comuni alla radice forniscono un feedback prezioso per la pianificazione SDLC e architettonica dei fornitori, contribuendo a eliminare intere classi di difetti (ad esempio, sicurezza della memoria, iniezione)
• Risparmio sui costi : meno vulnerabilità nello sviluppo del prodotto significano meno problemi da gestire dopo la distribuzione, con conseguente risparmio di denaro e risorse
• Analisi delle tendenze : la comprensione delle tendenze dei dati consente alle organizzazioni di concentrare meglio gli sforzi di sicurezza
• Informazioni sullo sfruttabilità : alcune debolezze, come l’iniezione di comandi, attirano l’attenzione degli avversari, consentendo di stabilire le priorità del rischio.
• Fiducia del cliente : la trasparenza nel modo in cui le organizzazioni affrontano queste debolezze dimostra impegno per la sicurezza del prodotto

Le vulnerabilità legate alla sicurezza della memoria, come i buffer overflow, sono ricorrenti, il che sta portando all’adozione di linguaggi più sicuri come Rust. Nello stesso tempo, le applicazioni web devono far fronte a minacce e problemi di autenticazione. Inoltre, le vulnerabilità come Use After Free, rientranti nella categoria KEV, richiedono l’implementazione di un modello di controllo basato sullo zero-trust.

È fondamentale che le organizzazioni esaminino i propri codici in base a questo elenco, incorporino le verifiche CWE nelle loro pipeline di integrazione continua, insistano con i fornitori per garantire la trasparenza e sfruttino i contratti per imporre ai fornitori l’applicazione di standard rigorosi per la scrittura di codice sicuro..

L'articolo MITRE pubblica la lista delle TOP25 debolezze software più pericolose del 2025 proviene da Red Hot Cyber.

Al and I were talking on the podcast about the Home Assistant home automation hub software. In particular, about how devilishly well designed it is for extensibility. It’s designed to be added on to, and that makes all of the difference.
That doesn’t mean that it’s trivial to add your own wacky control or sensor elements to the system, but that it’s relatively straightforward, and that it accommodates you. If your use case isn’t already covered, there is probably good documentation available to help guide you in the right direction, and that’s all a hacker really needs. As evidence for why you might care, take the RTL-HAOS project that we covered this week, which adds nearly arbitrary software-defined radio functionality to your setup.

And contrast this with many commercial systems that are hard to hack on because they are instead focused on making sure that the least-common-denominator user is able to get stuff working without even reading a single page of documentation. They are so focused on making everything that’s in-scope easy that they spend no thought on expansion, or worse they actively prevent it.

Of course, it’s not trivial to make a system that’s both extremely flexible and relatively easy to use. We all know examples where the configuration of even the most basic cases is a nightmare simply because the designer wanted to accommodate everything. Somehow, Home Assistant has managed to walk the fine line in the middle, where it’s easy enough to use that you don’t have to be a wizard, but that you can make it do what you want if you are, and hence it got spontaneous hat-tips from both Al and myself. Food for thought if you’re working on a complex system that’s aimed at the DIY / hacker crowd.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/12/13/user-s…

Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti.

Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggioCVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione.

Il mondo informatico ha reagito con prontezza. Subito dopo la notizia pubblica, numerosi cluster di minacce sono stati sfruttati diffusamente, come rilevato dal Google Threat Intelligence Group (GTIG), che ha notato attività sia di gruppi di criminali informatici opportunisti fino a presunti operatori di spionaggio.

Poiché React e Next.js sono fondamentali per il web moderno, la superficie di attacco è enorme. “GTIG considera CVE-2025-55182 una vulnerabilità a rischio critico”. L’attività più allarmante identificata nel rapporto proviene da autori di minacce collegate alla Cina, che hanno rapidamente integrato l’exploit nei loro arsenali per distribuire malware specializzati. Il GTIG ha identificato diverse campagne distinte:

• Tunnelers di UNC6600: questo gruppo è stato visto utilizzare MINOCAT, un sofisticato tunneler. Hanno fatto di tutto per nascondere le proprie tracce, creando directory nascoste come $HOME/.systemd-utils e uccidendo spietatamente i processi legittimi per liberare risorse.
• C2 “legittimo” (UNC6603): questo autore ha implementato una versione aggiornata della backdoor HISONIC. In un’astuta mossa per mimetizzarsi, HISONIC “utilizza servizi cloud legittimi, come Cloudflare Pages e GitLab, per recuperare la sua configurazione crittografata”.
• The Masqueraders (UNC6595): Distribuendo un malware denominato ANGRYREBEL.LINUX, questo gruppo ha tentato di eludere il rilevamento “mascherando il malware come il legittimo demone OpenSSH (sshd) all’interno della directory /etc/” e utilizzando tecniche anti-forensi come il timestomping.
• Vim Impostor (UNC6588): in un’altra ondata di attacchi, gli autori hanno utilizzato l’exploit per scaricare COMPOOD, una backdoor che si camuffava da popolare editor di testo Vim per evitare sospetti.

“GTIG ha identificato campagne distinte che sfruttano questa vulnerabilità per distribuire un tunneler MINOCAT, un downloader SNOWLIGHT, una backdoor HISONIC e una backdoor COMPOOD, nonché miner di criptovalute XMRIG, alcune delle quali si sovrappongono all’attività precedentemente segnalata da Huntress“.

Oltre allo spionaggio, a partire dal 5 dicembre si sono uniti alla mischia anche criminali motivati da interessi finanziari, che hanno utilizzato i miner XMRig per dirottare le risorse del server e generare criptovalute.

Il caos è stato ulteriormente aggravato da un’ondata di disinformazione. Nelle prime ore successive alla divulgazione, Internet è stato inondato di exploit falsi. Un importante repository “che inizialmente sosteneva di essere un exploit funzionale legittimo, ha ora aggiornato il proprio file README per etichettare correttamente le affermazioni iniziali della ricerca come generate dall’intelligenza artificiale e non funzionali”.

L'articolo Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server proviene da Red Hot Cyber.

A significant fraction of people can’t handle lactose, like [HGModernism]. Rather than accept a cruel, ice cream free existence, she decided to do something you really shouldn’t try: biohacking her way to lactose tolerance.

The hack is very simple, and based on a peer reviewed study from the 1990s: consume lactose constantly, and suffer constantly, until… well, you can tolerate lactose. If you’re lactose intolerant, you’re probably horrified at the implications of the words “suffer constantly” in a way that those milk-digesting-weirdos could never understand. They probably think it is hyperbole; it is not. On the plus side, [HGModernism]’s symptoms began to decline after only one week.

The study dates back to the 1980s, and discusses a curious phenomenon where American powdered milk was cluelessly distributed during an African famine. Initially that did more harm than good, but after a few weeks mainlining the white stuff, the lactose-intolerant Africans stopped bellyaching about their bellyaches.

Humans all start out with a working lactase gene for the sake of breastfeeding, but in most it turns off naturally in childhood. It’s speculated that rather than some epigenetic change turning the gene for lactose tolerance back on — which probably is not possible outside actual genetic engineering — the gut biome of the affected individuals shifted to digest lactose painlessly on behalf of the human hosts. [HGModernism] found this worked but it took two weeks of chugging a slurry of powdered milk and electrolyte, formulated to avoid dehydration due to the obvious source of fluid loss. After the two weeks, lactose tolerance was achieved.

Should you try this? Almost certainly not. [HGModernism] doesn’t recommend it, and neither do we. Still, we respect the heck out any human willing to hack the way out of the limitations of their own genetics. Speaking of, at least one hacker did try genetically engineering themselves to skip the suffering involved in this process. Gene hacking isn’t just for ice-cream sundaes; when applied by real medical professionals, it can save lives.

youtube.com/embed/h90rEkbx95w?…

Thanks to [Kieth Olson] for the tip!

hackaday.com/2025/12/13/biohac…

All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate.

Tuttavia, un’analisi più approfondita dell’offerta e delle infrastrutture di sicurezza dell’ente italiano suggerisce che si tratti di una minaccia dalla portata decisamente ridimensionata rispetto al titolo sensazionalistico.

Accesso Agenzia delle Entrate e l’annuncio sul forum underground

L’annuncio, comparso l’11 dicembre 2025, è disarmante nella sua brevità. Con un laconico ‘sell access admin panel of agenzia dell’entrate‘, l’attaccante dichiara di possedere le chiavi del portale fiscale italiano. I dettagli operativi emergono dalla chat laterale, dove compare una richiesta economica decisamente anomala per un target di questo calibro: appena 500 dollari, con contatto diretto da stabilire tramite l’account Telegram.

La prima incongruenza che salta all’occhio è proprio la valutazione economica. Nel mercato del Cybercrime, un accesso persistente con privilegi di amministratore (RCE o Admin Panel) a un’infrastruttura governativa critica di un paese G7 non verrebbe mai svenduto per una cifra così irrisoria.

Solitamente, accessi di tale calibro vengono trattati in modo privato con cifre a tre o quattro zeri, o sfruttati direttamente per attacchi ransomware o esfiltrazione di dati, molto allettanti per i mercati underground.

Le difese attive: SPID e MFA

Il punto tecnico che smonta quasi definitivamente la veridicità di un accesso “funzionante” riguarda le procedure di autenticazione adottate dalla Pubblica Amministrazione italiana.

L’accesso ai portali dell’Agenzia delle Entrate, sia per i cittadini che per gli operatori, è protetto da livelli di sicurezza che vanno oltre la semplice coppia username/password. Oggi l’ingresso è subordinato all’utilizzo di:

• SPID (Sistema Pubblico di Identità Digitale) di livello 2 o 3;

• CIE (Carta d’Identità Elettronica);

• CNS (Carta Nazionale dei Servizi).

Inoltre, per gli account amministrativi interni, è prassi consolidata l’obbligo della MFA (Multi-Factor Authentication). Questo significa che anche possedendo le credenziali corrette, l’attaccante si troverebbe bloccato dalla richiesta di un codice OTP (One Time Password) inviato sul dispositivo del legittimo proprietario.

L’ipotesi Infostealer: credenziali non verificate

Se l’accesso è così difficile, cosa sta vendendo realmente “espandive”? L’ipotesi più probabile è che si tratti di log grezzi provenienti da un Infostealer.

È plausibile che un malware abbia infettato il computer di un dipendente o di un commercialista, esfiltrando tutti i dati salvati nel browser: cookie, cronologia e, appunto, credenziali di accesso salvate per comodità. L’attaccante vede nel log la stringa agenziaentrate.gov.it associata a uno username e una password e prova a rivenderla automaticamente.

È quasi certo che si tratti di una credenziale non provata. Se il threat actor tentasse il login, si scontrerebbe con il secondo fattore di autenticazione. Di conseguenza, cerca di monetizzare rapidamente vendendo l’illusione di un accesso a un acquirente poco esperto per 500 dollari, pertanto si tratta presumibilmente di una frode verso i criminali informatici stessi.

Conclusioni

L’annuncio di “espandive” sembra essere l’ennesimo tentativo di scam o di vendita di materiale di scarto (junk data) all’interno della community cybercriminale, piuttosto che una reale compromissione dell’infrastruttura dell’Agenzia delle Entrate.

Tuttavia, questo episodio ci ricorda l’importanza vitale dell’abilitazione dell’autenticazione a due fattori (2FA/MFA) su tutti gli account critici. È proprio grazie a queste barriere che le migliaia di credenziali rubate ogni giorno dagli infostealer diventano, nella maggior parte dei casi, carta straccia.

L'articolo Agenzia delle Entrate: accesso admin in vendita a 500$? Ecco perché i conti non tornano proviene da Red Hot Cyber.