Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nostra piattaforma di Academy. Si tratta delquarto episodio della collana a fumetti firmata BETTI‑RHC, pensata per raccontare in maniera accessibile, potente e visiva i pericoli delle minacce digitali, in particolare per i più giovani.

“Byte The Silence” è molto più di una semplice lettura: è un’esperienza narrativa profonda, costruita su oltre 60 tavole illustrate che raccontano con sensibilità e impatto la storia di una vittima di cyberbullismo. Il titolo – un gioco di parole tra “Byte”, unità di misura digitale, e “Break the Silence” – invita a rompere il muro del silenzio che spesso circonda chi subisce abusi online. Il fumetto nasce per essere uno strumento educativo, ma anche un modo per dare voce a chi troppo spesso viene zittito dal peso della vergogna o della paura.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Un fumetto gratuito per non dimenticare

Perché come riporta Massimiliano Brolli, fondatore di Red Hot Cyber, “Non possiamo dimenticarci di Carolina Picchio, 14 anni, suicidatasi dopo la diffusione di un video umiliante online. Michele Ruffino, 17 anni, che ha scritto una lettera straziante prima di togliersi la vita, stanco delle continue offese ricevute anche via social. Alessandro di Gragnano che ha deciso di togliersi la vita a 13 anni lanciandosi dal balcone, circondato da chat minacciose e prese in giro. Oppure il 15enne suicida di Sinigallia o il 13enne suicida di Palermo oltre a molti e molti casi stranieri.”

Il progetto è stato curato dal team Arte di Red Hot Cyber, con la sceneggiatura diAndrea Gioia Lomoro e i disegni di Andrea Canolintas e i messaggi di Awareness di Daniela Farina. Tutti gli autori hanno saputo fondere con efficacia narrativa e impatto visivo, dando vita ad una storia dove vengono raccontate emozioni autentiche e situazioni purtroppo comuni a tanti adolescenti. Il fumetto tocca temi come l’esclusione sociale, le chat discriminatorie, il peso del giudizio online e le conseguenze psicologiche del bullismo digitale.

Un messaggio forte: un like ferisce, una risata uccide e il silenzio può distruggere

“Byte The Silence” è un richiamo a tutti gli adulti e gli educatori a prendersi carico della protezione delle nuove generazioni. “Il cyberbullismo è uno dei fenomeni più gravi e subdoli dell’era digitale. Può causare danni psicologici devastanti, spesso irreparabili. Con questo progetto vogliamo dire basta all’indifferenza. È nostro dovere dare strumenti concreti e gratuiti a chi vuole fare la differenza”.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Il fumetto è pensato per un pubblico ampio: dagli studenti delle scuole medie e superiori, ai genitori, agli insegnanti, agli educatori e operatori sociali senza dimenticarsi dei bulli stessi. Red Hot Cyber incoraggia la diffusione del fumetto, proponendolo come strumento formativo nei percorsi di educazione digitale e cyber security awareness. La possibilità di scaricarlo gratuitamente in formato PDF vuole abbattere qualsiasi barriera all’accesso, perché la prevenzione e la sensibilizzazione devono essere un diritto per tutti.

“Byte The Silence” ci ricorda che ogni click, ogni parola, ogni silenzio conta.

E che un semplice fumetto può accendere una coscienza, cambiare uno sguardo o salvare una vita.

Da oggi, chiunque può contribuire a diffondere questo messaggio. Basta un download. Basta un gesto.

Perché un like può ferire. Una risata può uccidere. E il silenzio può distruggere.

Ma oggi, insieme, possiamo farcela!

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

L'articolo “Byte The Silence”: Il Fumetto Shock Gratuito di RHC sul Cyberbullismo Esce Oggi! proviene da il blog della sicurezza informatica.

The European Commission’s new legislative proposal for a deportation regulation fuels detention, criminalisation, and digital surveillance. The #ProtectNotSurveil coalition is demanding the end of the deportation regime and for the Commission to withdraw its proposal.

The post The EU must stop the digitalisation of the deportation regime and withdraw the new Return Regulation appeared first on European Digital Rights (EDRi).

Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.

L’attacco è stato rivendicato dal gruppo Predatory Sparrow, già noto per le sue operazioni distruttive contro infrastrutture critiche iraniane. Nel presente documento vi è un’analisi approfondita del Threat Actor Predatory Sparrow, delle sue capacità tecniche e degli obiettivi dichiarati, con particolare attenzione al contesto geopolitico e all’uso di malware proprietari.

Autori:

• Cyber Defence Center Maticmind
• Cyber Competence Center Maticmind
• Andrea Mariucci | Head of Cyber Defence Center @Maticmind
• Riccardo Michetti | Cyber Threat Intelligence Manager @Maticmind
• Federico Savastano | Cyber Threat Intelligence Analyst @Maticmind
• Ada Spinelli | Cyber Threat Intelligence Analyst @Maticmind

SCHEDA THREAT ACTOR: PREDATORY SPARROW

Nome Principale: Predatory Sparrow
Nomi Alternativi: – Gonjeshke Darande (گنجشک درنده – traduzione in farsi) – Indra (overlap parziale, similitudini nel codice dei malware utilizzati)
Classificazione: Gruppo hacktivista pro-israeliano
Primo Avvistamento: 2021
Stato Attuale: Attivo (ultima attività documentata: giugno 2025)

IDENTITÀ E AFFILIAZIONI

Predatory Sparrow si presenta come un gruppo di hacktivisti autoproclamato, ma la sua sofisticazione tecnica e le capacità operative suggeriscono un probabile coinvolgimento governativo o militare. Secondo un articolo di WIRED, fonti della difesa statunitense hanno riferito al New York Times che il gruppo era collegato a Israele.

Il gruppo, nato nel 2021, è entrato in stato di quiescenza tra il 2022 e l’ottobre 2023, tornando operativo all’avvio delle ostilità nella striscia di Gaza.

Diamond Model

Motivazioni e Obiettivi

• Obiettivo Primario: Condurre attacchi distruttivi contro l’Iran, allo scopo di infliggere danni paragonabili a quelli di attacchi convenzionali, con effetti nella sfera psicologica, per indebolire la fiducia della popolazione nel regime degli Ayatollah e la tenuta di questo, in un quadro di operazioni PSYOPS, campagne di disinformazione e azioni di sabotaggio, causando al contempo conseguenze economiche significative alle aziende iraniane connesse con il governo o con l’esercito.
• Motivazione Geopolitica: Si inserisce all’interno del confronto tra Israele, Iran e i proxy di quest’ultimo, allo scopo di rispondere agli attacchi condotti dalla Repubblica islamica direttamente o tramite proxy.
• Valenza strategica: affermare la capacità offensiva dell’attore nel colpire asset industriali e digitali critici in territorio iraniano, con l’obiettivo di esercitare pressione e destabilizzazione mirata.
• Tattiche di rivendicazione e propaganda
  
  • Utilizza canali X e Telegram per rivendicare gli attacchi
  • Pubblica video come prova degli attacchi riusciti, come nel caso del video dell’attacco distruttivo all’acciaieria iraniana
  • Include messaggi provocatori con riferimenti al Leader Supremo Iraniano
  • Si presenta talvolta come gruppo hacktivisti Iraniano per confondere l’attribuzione
  • Apparentemente, il gruppo conduce attacchi con il criterio dichiarato di non mettere a repentaglio vite innocenti (come riportato sul canale Telegram del TA e riportato da BBC)

  
  

CAPACITÀ TECNICHE

Il gruppo dimostra capacità tecniche avanzate che lasciano intendere l’accesso a risorse significative, una conoscenza approfondita dei sistemi industriali iraniani, nonché la capacità di sviluppare malware su misura per obiettivi specifici. Inoltre, evidenzia competenze rilevanti nei sistemi SCADA e ICS (Industrial Control Systems), utilizzati nel controllo di infrastrutture critiche. Rispetto alla maggior parte degli hacktivisti che intervengono su tematiche geopolitiche o di attualità, Predatory Sparrow si distingue per un know-how tecnico notevolmente superiore, che risulta tipico di attori collegati ad apparati statuali.

Settori di Specializzazione

Sistemi di Controllo Industriale (ICS/SCADA)

• Capacità di manipolare equipaggiamento industriale
• Accesso a sistemi di controllo di acciaierie e pompe di benzina
• Interferenza con sistemi ferroviari

Sistemi di Pagamento

• Compromissione di reti point-of-sale
• Attacchi a sistemi di carte di sussidio carburante
• Compromissione di Crypto Exchange
• Compromissione di enti finanziari

Infrastrutture Critiche

• Sistemi ferroviari nazionali
• Reti di distribuzione carburante
• Impianti siderurgici

TOOLSET E MALWARE

Sulla base delle informazioni attualmente disponibili, si ritiene che il gruppo sia in possesso di varianti del wiper “Meteor”, comparso per la prima volta nel 2021 e utilizzato da un threat actor denominato “Indra” contro infrastrutture siriane. Questo fattore potrebbe indicare una parziale sovrapposizione tra i due threat actor.

Lo strain di “Meteor” comprende diverse versioni, note come “Stardust” e “Comet”, sempre con funzionalità di wiper. “Chaplin” risulta invece essere il malware utilizzato nell’attacco alle acciaierie iraniane, non dotato di capacità di cancellazione dei dati ma di compromissione e controllo dei sistemi industriali.

Meteor Express (2021)

Meteor Express è un malware di tipo wiper a tre stadi, sviluppato tramite una combinazione di componenti open source e software legacy. Il codice è altamente modulare e progettato per operazioni distruttive mirate a infrastrutture strategiche.

Funzionalità principali

1. Sovrascrittura e cancellazione di file di sistema.
2. Blocco dell’accesso utente e terminazione dei processi.
3. Cancellazione del Master Boot Record (MBR).
4. Disabilitazione delle interfacce di rete.
5. Cambio delle password per tutti gli utenti
6. Log off delle sessioni attive
7. Disabilitazione della recovery mode

Kill Chain

• Reconnaissance: Presunta fase iniziale di raccolta informazioni tramite accessi precedenti alla rete target.
• Weaponization: Uso di componenti dropper e script batch per il rilascio dei payload.
• Delivery: Infezione attraverso accesso fisico/logico alle macchine o vulnerabilità RDP.
• Installation: Scrittura su disco di tool e script batch eseguiti in sequenza.
• Command and Control: Non presente in quanto malware non persistente e senza C2 attivo.
• Actions on Objectives: Distruzione dei dati, blocco degli account, sabotaggio del sistema operativo.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal

• Contesto operativo
  Attacco lanciato nel luglio 2021 contro la rete ferroviaria iraniana. L’obiettivo apparente era la destabilizzazione dell’infrastruttura pubblica e la generazione di caos operativo su larga scala.
• Attribuzione
  Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Paralisi totale del sistema informatico ferroviario, con disservizi prolungati e blocchi operativi.
• Psicologico: Tentativo di disorientare l’opinione pubblica iraniana attraverso il sabotaggio simbolico.
• Obiettivo operativo: Operazione PSYOPS volta a delegittimare il governo iraniano e dimostrare la vulnerabilità delle infrastrutture pubbliche strategiche.

• Indicatori di Compromissione (IoCs)
• Directory di staging: %temp%\Meteor\

Comet (2021)

Malware wiper simile a Meteor ma privo di payload provocatori. Architettura a tre stadi, con codice misto tra componenti open e legacy.

Funzionalità principali

• Cancellazione file.
• Blocco utente e sistema.
• Disattivazione strumenti di logging.

Kill Chain

• Delivery: Script locali o remotizzati.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal
• Contesto operativo
• Uso in attacchi silenziosi contro infrastrutture critiche.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Elevato.
• Psicologico: Consistente, in quanto crea disservizio e mina la fiducia nelle infrastrutture statali
• Obiettivo operativo: Sabotaggio silenzioso e persistente.

Stardust (2020)

Wiper distruttivo impiegato in attacchi mirati contro obiettivi siriani. Simile a Comet, ma specificamente orientato alla distruzione sistematica dei dati sensibili.

Funzionalità principali

• Sovrascrittura file sensibili.
• Interruzione del sistema.
• Blocco del boot.

Kill Chain

• – Delivery: Tramite accesso ai sistemi vulnerabili.
• – Execution: Esecuzione del wiper su endpoint.
• – Impact: Eliminazione dei dati sensibili e blocco operativo.

Tecniche MITRE ATT&CK correlate

• T1485 – Data Destruction
• T1490 – System Recovery Inhibition
• T1499 – DoS
• Contesto operativo
• Attacchi contro aziende siriane strategiche, senza elementi rivendicativi.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Critico, distruzione completa dei dati.
• Psicologico: Contenuto, in quanto assente la componente narrativa.
• Obiettivo operativo: Danneggiamento economico e operativo.

Chaplin (2022)

Evoluzione del malware Meteor, classificabile come disruptive malware. Manca la componente wipe, ma introduce azioni visivamente provocatorie.

Funzionalità principali

1. Disconnessione dalla rete.
2. Logout forzato dell’utente.
3. Blocco dello schermo.
4. Visualizzazione messaggi provocatori.

Kill Chain

• Delivery: Script locali o remoti.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente. Comandi inviati ai sistemi industriali che ne causano il malfunzionamento

Tecniche MITRE ATT&CK correlate

• T1531 – Account Access Removal
• T1499 – Endpoint Denial of Service
• T1551 – Input Capture (blocco schermo)
• Contesto operativo
  
  • Probabilmente impiegato in attacchi dimostrativi o a basso impatto distruttivo.

  
  

• Attribution
  
  • Non nota, ma verosimilmente collegata agli stessi attori di Meteor.

  
  

• Valutazione di impatto

• Tecnico: Limitato ma visibile.
• Psicologico: Elevato, per via dei messaggi diretti (es. invito a chiamare l’ufficio del Leader Supremo iraniano).
• Obiettivo operativo: Guerra psicologica, dimostrazione di capacità.

Timeline degli Attacchi Principali

Attacco alle Stazioni di Servizio

Data: Ottobre 2021
Obiettivo: Oltre 4.000 stazioni di servizio in Iran (sistema di distribuzione carburante)
Metodo d’attacco: Compromissione dei sistemi point-of-sale
Impatto:

• Disattivazione del sistema di pagamento con carte sovvenzionate
• Paralisi temporanea della distribuzione di carburante su scala nazionale

MITRE ATT&CK TTPs:

• T1190 (Exploit Public-Facing Application)
• T1486 (Data Encrypted for Impact)

Malware/Toolset: Non noto
Attribution: Predatory Sparrow
Impatto Strategico: Interruzione dei servizi essenziali per aumentare la pressione interna

Attacco alle Acciaierie Iraniane

Data: Giugno 2022
Obiettivo: Tre principali acciaierie iraniane (Khouzestan, Mobarakeh, HOSCO)

Metodo d’attacco: Malware Chaplin + manipolazione dei sistemi di controllo industriale (ICS)
Impatto:

• Fuoriuscita di acciaio fuso (oltre 1.300°C)
• Incendio nell’impianto
• Interruzione delle operazioni produttive

MITRE ATT&CK TTPs:

• T0859 (Manipulation of Control)
• T0882 (Loss of Safety)
• T0814 (Alarm Suppression)

Malware/Toolset: Chaplin
Attribution: Predatory Sparrow
Impatto Strategico: Danneggiamento delle capacità industriali critiche e dimostrazione di capacità offensive contro ICS

Figura 1 – Telecamera sorveglianza

Riattivazione – Conflitto Gaza-Israele

Data: Ottobre 2023
Contesto: Conflitto israelo-palestinese
Messaggio: “Pensate che questo faccia paura? Siamo tornati.”
Obiettivo: Nuovi attacchi a stazioni di servizio in Iran
Metodo d’attacco: Continuazione della strategia disruption verso infrastrutture civili
Impatto: Non specificato nel dettaglio ma coerente con attacchi precedenti
MITRE ATT&CK TTPs: presumibilmente analoghi all’evento di Ottobre 2021
Attribution: Predatory Sparrow
Impatto Strategico: Segnale politico e ritorsione cibernetica in chiave geopolitica

Attacco Bank Sepah

Data: 17 giugno 2025

Obiettivo: Bank Sepah – uno degli istituti finanziari pubblici più antichi dell’Iran
Metodo d’attacco: Attacchi informatici distruttivi con probabile uso di wiper (es. Comet/Stardust)
Impatto:

• Interruzione delle operazioni bancarie
• Impossibilità per i cittadini di prelevare denaro dagli sportelli ATM
• Diffusione di CVE pubblici da parte dell’attore (es. cve_poc_codes_export_works.csv)

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow (evidenza su Telegram + X)
Impatto Strategico: Destabilizzazione del sistema bancario nazionale e perdita di fiducia nella capacità del governo iraniano di proteggere dati finanziari

Al momento non si conoscono dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor, benché la cancellazione dei dati con conseguente paralisi delle operazioni faccia propendere per l’ipotesi dell’impiego di una versione dei wiper “proprietari” del gruppo, come Meteor, Stardust o Comet. Nella giornata del 16/06, sul proprio canale Telegram il gruppo aveva diffuso una lista di cve ancora funzionati, dal titolo “cve_poc_codes_export_works”.

Figura 2 – Cve diffusa su canale Telegram del TA

Secondo fonti presenti su X, i cittadini iraniani erano impossibilitati a prelevare denaro contante dagli ATM del Paese.

Figura 3 – Sportello banca in disservizio

Tale fattore, unito ai timori relativi al furto di dati sensibili dalle banche colpite, contribuisce all’aggravamento dello scenario e sottolinea le capacità da cyberwar in possesso del Threat Actor.

Figura 4 – Documentazione Bank Sepah

A differenza di molti hacktivisti, infatti, Predatory Sparrow non si è limitato ad un Denial of Service (DoS), ma ha mostrato capacità tecnologiche avanzate e determinazione nel procurare danni su vasta scala.

Al momento non si hanno informazioni ulteriori sullo stato dei servizi erogati dalle banche colpite ma, nel caso in cui tali disservizi dovessero protrarsi, ciò rappresenterebbe un danno considerevole alla capacità dell’Iran di rispondere alle minacce cibernetiche e potrebbe contribuire a generare malcontento e tensioni tra la popolazione colpita.

Attacco Nobitex

Data: 18 giugno 2025

Obiettivo: Nobitex – sito iraniano di crypto exchange
Metodo d’attacco: Al momento non si hanno informazioni inerenti alla metodologia di attacco utilizzata
Impatto:

• Distruzione asset crypto per un totale di 90 milioni di dollari
• Sito nobitex[.].ir ancora offline a 24h dall’attacco

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow
Impatto Strategico: Destabilizzazione del sistema valutario di crypto exchange iraniano. Recisione di una linea di finanziamento che permetteva all’Iran di aggirare, parzialmente, le sanzioni occidentali. Effetti psicologici come la diffusione di panico e incertezza riguardo la resilienza degli asset iraniani nel cyberspazio.

Figura 5 – Nobitex[.]ir ancora irraggiungibile nella giornata del 19/06, a un giorno dall’attacco

Predatory Sparrow ha attaccato il sito di exchange di criptovalute iraniano “Nobitex” nella giornata del 18 giugno, soltanto un giorno dopo l’attacco a Sepah Bank. La motivazione dichiarata è la medesima, ovvero l’evasione delle sanzioni imposte all’Iran e il finanziamento del terrorismo. Su X, Predatory Sparrow ha anche sottolineato il nesso tra le attività del regime e quelle di Nobitex, dichiarando che, per il governo iraniano, il servizio presso l’exchange di criptovalute è considerato alla stregua del servizio militare.

Il Threat Actor non ha sottratto le criptovalute, ma ne ha di fatto bruciato un ammontare pari a 90 milioni di dollari, inviandole verso indirizzi inutilizzabili (“burn addresses”), da cui non possono essere recuperate. La tecnica adoperata sottolinea l’obiettivo di Predatory Sparrow di arrecare danno senza alcuna finalità di monetizzazione o finanziamento, come sotteso anche dal ricorso ai wiper.

In data 20/06/2025 threat actor ha inoltre reso pubblico il source code di Nobitex, mettendo a rischio gli asset ancora presenti sul sito e rendendo più facile l’accesso e l’exploit da parte di ulteriori attori malevoli. Questa divulgazione del codice sorgente amplifica la vulnerabilità del sistema, consentendo agli aggressori di identificare rapidamente punti deboli e sviluppare exploit mirati.

Figura 6 – Post con cui Predatory Sparrow rende pubblico il codice sorgente di Nobitex, https://x.com/GonjeshkeDarand/status/1935593397156270534

Al momento non si hanno ulteriori dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor in questa operazione.

VALUTAZIONE DEL RISCHIO

• Livello di Minaccia: ALTO
• Determinanti di minaccia: – Capacità dimostrate di causare danni fisici – Accesso persistente a infrastrutture critiche – Sofisticazione tecnica in crescita – Motivazione geopolitica forte
• Settori a rischio: – Infrastrutture energetiche – Sistemi di trasporto – Industria pesante – Sistemi di pagamento – Settore bancario e finanziario

Indicatori di Attacco (IoA)

• Presenza di file denominati “Chaplin”
• Messaggi di sistema con riferimenti al numero 64411
• Disconnessioni anomale dalla rete
• Malfunzionamenti di sistemi industriali coordinati
• Indirizzi wallet crypto recanti messaggi diretti contro le Guardie della repubblica islamica (Islamic Republic Guard Corps IRGC) del tipo “F*ckIRGCterrorists”

CONTROMISURE

Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori.
Considerata la mancanza di informazioni dettagliate sulle compromissioni, a fronte della mancata disclosure da parte degli enti iraniani colpiti, si presentano qui alcune considerazioni generali atte a ridurre l’impatto dei malware tipo “wiper” come Meteor e di altri tool utilizzati in contesti di cyber warfare e cyber-espionage come InfoStealer e SpyWare. Inoltre, considerando la presenza di un elenco di CVE con i relativi link alle Proof of Concept pubblicate direttamente dal Threat Actor sul proprio canale Telegram, dove viene evidenziato che si tratta di exploit ancora funzionanti, si può ipotizzare che Predatory Sparrow utilizzi anche applicazioni esposte e vulnerabili come vettore di accesso iniziale, verranno pertanto suggerite delle raccomandazioni per proteggere la superficie di attacco esposta.

Al fine di contenere la propagazione di un wiper all’interno della rete, è opportuno adattare una segmentazione rigida, che separi reti OT da IT, anche attraverso il ricorso ad architetture Zero Trust e stretto controllo degli accessi.

Al tempo stesso, il backup separato, air-gapped, associato a piani di ripristino e disaster recovery, consente il recupero della normale operatività in caso di compromissione.

Il patching, la chiusura delle porte superflue esposte su internet e la disabilitazione dei servizi non necessari sono altresì misure utili a ridurre la superficie di attacco e a minimizzare il rischio derivante dalle applicazioni esposte.

Honeypot ICS/SCADA consentono inoltre di rilevare anomalie e intrusioni prima che attori malevoli raggiungano le aree critiche per l’operatività industriale.

Ultimo Aggiornamento: 20 giugno 2025

Fonti Primarie e Database

• Malpedia Threat Actor Database: malpedia.caad.fkie.fraunhofer.…

Articoli di Analisi e Reportage

• Jason Institute jasoninstitute.com/predatory-s…
• Wired Magazine (2024-01-25): “How a Group of Israel-Linked Hackers Has Pushed the Limits of Cyberwar” – wired.com/story/predatory-spar…
• Heimdal Security (2021): “MeteorExpress Wiper Responsible for the Iranian Railway Attack” heimdalsecurity.com/blog/meteo…
• Dark Reading (2023-10-10): “Pro-Israeli Hacktivist Group ‘Predatory Sparrow’ Reappears” – darkreading.com/threat-intelli…
• BBC Technology (2022-07-11): “Predatory Sparrow: Who are the hackers who say they started a fire in Iran?” – bbc.com/news/technology-620724…
• Risky Biz News (2022-06-29): “Hackers hit Iranian steel industry” – riskybiznews.substack.com/p/ri…
• Reuters: reuters.com/business/finance/e…
• Binding Hook (2024-12-09): bindinghook.com/articles-bindi…
• IranInternational: iranintl.com/en/202506176243
• Check Point Research: research.checkpoint.com/2021/i…
• CyberScoop (2023-10-10): “Savvy Israel-linked hacking group reemerges amid Gaza” – cyberscoop.com/predatory-sparr…
• SecureWorld (2022-06-29): “Cyberattack on Iranian Steel Industry Disrupts Operations” – secureworld.io/industry-news/c…
• ANSA (2025-06-17): “Banca pubblica iraniana paralizzata da cyber attacco” – ansa.it/canale_tecnologia/noti…-86d9-4f88b6c7e601.html[/url]
• The Record (2025): “Pro-Israel hackers claim breach of Iranian bank amid…” – therecord.media/pro-israel-hac…
• Security Affairs (2024): “Pro-Israel Predatory Sparrow hacker group disrupted…” – securityaffairs.com/156065/hac…
• bleepingcomputer.com/news/secu…
• El País (2024-02-14): “Predatory Sparrow and other weapons of hybrid warfare” – english.elpais.com/technology/…
• Haaretz (2023-12-26): “When Predatory Sparrow Strikes: Israel-Iran Shadow War…” – haaretz.com/israel-news/securi…
• The Independent (19/06/25) “Pro-Israel hackers ‘burn’ $100m from Iran’s biggest crypto exchange”
• independent.co.uk/tech/iran-cr…
• Fonti Accademiche e Istituzionali
• NATO CCD COE Cyber Law (2022): “Predatory Sparrow operation against Iranian steel maker” – cyberlaw.ccdcoe.org/wiki/Preda…
• Social media e app di messaggistica
• Telegram e X: canali del Threat Actor
• X: https://x.com/GonjeshkeDarand
• Telegram: t.me/gonjeshkdarand

L'articolo Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia proviene da il blog della sicurezza informatica.

Learning new instruments is never a simple task on your own; nothing can beat the instant feedback of a teacher. In our new age of AI, why not have an AI companion complain when you’re off note? This is exactly what [Ada López] put together with their AI-Powered Piano Trainer.

The basics of the piano rely on rather simple boolean actions, either you press a key or not. Obviously, this sets up the piano for many fun projects, such as creative doorbells or helpful AI models. [Ada López] started their AI model with a custom dataset with images of playing specific notes on the piano. These images then get fed into Roboflow and trained using the YOLOv8 model.

Using the piano training has the model run on a laptop and only has a Raspberry Pi for video, and gives instant feedback to the pianist due to the demands of the model. Placing the Pi and an LCD screen for feedback into a simple enclosure allows the easy viewing of how good an AI model thinks you play piano. [Ada López] demos their device by playing Twinkle Twinkle Little Star but there is no reason why other songs couldn’t be added!

While there are simpler piano trainers out there relying on audio cues, this project presents a great opportunity for a fun project for anyone else wanting to take up the baton. If you want to get a little more from having to do less in the physical space, then this invisible piano is perfect for you!

hackaday.com/2025/06/22/ai-pia…

La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è entrato pesantemente in scena nel panorama italiano. E lo ha fatto senza bussare alla porta.

Nel report che pubblichiamo oggi, frutto del lavoro congiunto della nostra community e del sottogruppo DarkLab, specializzato in Cyber Threat Intelligence. Analisi con un taglio tecnico ma operativo sulla nuova campagna offensiva di AKIRA, il ransomware-as-a-service che si è fatto le ossa all’estero ed ora gioca in casa colpendo grandi e medie aziende lungo tutto lo stivale, con una particolare predilezione per il Nord-Est.

Target: l’Italia sotto attacco

Il report prende vita dalla crescente evidenza di un pattern: sempre più organizzazioni italiane, in settori differenti, vengono colpite da attacchi silenziosi, efficaci e rapidissimi. Non c’è phishing, non ci sono exploit zero-day da film hollywoodiano. C’è invece un’elevata automazione, tecniche consolidate e una strategia di accesso iniziale che sfrutta le debolezze delle nostre reti perimetrali. A colpire è proprio questo: la banalità del male informatico.

Il ruolo di BRUTED: uno strumento, più attori

Un aspetto cruciale del report è l’analisi dell’impiego del tool BRUTED, sviluppato originariamente da BlackBasta ed ora riutilizzato da affiliati AKIRA. Questo strumento automatizza la scoperta e il brute-forcing su dispositivi perimetrali come VPN, portali RDP e appliance SSL utilizzando tecniche evolute e proxy SOCKS5 per coprirne le tracce.

Le evidenze raccolte includono IP legati storicamente a infrastrutture malevole, come quelli appartenenti ad AS43350 (NFORCE, Paesi Bassi), già citati da CISA. E, sorpresa: tutto porta a credere che BlackBasta, Akira e (forse) Cactus stiano condividendo non solo strumenti, ma anche TTPs.

L’impatto: in meno di 24 ore dal primo accesso all’esfiltrazione

Gli attacchi Akira si sviluppano con una velocità brutale. Meno di 24 ore separano il primo accesso all’infrastruttura dal furto di dati, crittografia massiva e distruzione dei backup. Uno scenario da incubo in cui ogni secondo conta e la mancanza di segmentazione o protezione efficace fa la differenza tra resistere o cadere.

Tra gli strumenti documentati nel report troviamo anche SharpHound, RClone, WinRAR, l’abuso della comsvcs.dll per dump di LSASS/NTDS e tecniche BYOVD per disattivare AV ed EDR. Una sinfonia di TTPs da manuale MITRE ATT&CK.

Per la difesa serve un cambio di passo

Il report si chiude con un corposo elenco di azioni concrete: dal patch management agli honeypot, dal monitoraggio Sysmon al controllo granularizzato tramite AppLocker e WDAC. La chiave non è reagire, ma anticipare.

E ancora: tiered administration per AD, gestione Just-in-Time dei privilegi, backup off-site realmente protetti, simulazioni di risposta incidentale. Il tutto con un monito chiaro: Akira non sceglie le sue vittime in base al fatturato o alla dimensione, ma in base all’esposizione.

Abbiamo messo nero su bianco quanto scoperto: tecniche, IoC, tattiche, strumenti. Il documento è pensato per chi lavora sul campo, per i blue team, per i CISO e per tutti coloro che si trovano oggi a dover gestire una minaccia concreta. Non è un paper da convegno: è una guida per chi deve difendere la trincea.

La conclusione non è (solo) tecnologia, è consapevolezza.

Non si tratta più solo di aggiornare i firewall o abilitare l’MFA. Serve un cambio di cultura: pensare da bersaglio, difendersi come fortezza, reagire come incident responder.

Il tempo delle policy scritte nei cassetti è finito. Con AKIRA alle porte, serve sangue freddo, logica, collaborazione. E magari anche un po’ di quella rabbia costruttiva che ci ha portati a scrivere questo report.

DarkLab è qui. E non molla.

L'articolo Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni proviene da il blog della sicurezza informatica.

Questo articolo mira a esplorare il fenomeno del breadcrumbing da una prospettiva psicologica, collegandolo in modo metaforico alle strategie insidiose che gli attaccanti usano nella cybersecurity.

Scopriremo come la comprensione delle dinamiche relazionali umane può offrirci strumenti preziosi per difenderci nel complesso panorama digitale. Dimenticate l’immagine dell’hacker che sfonda le porte. Il panorama delle minacce informatiche del 2025 è dominato da una strategia ben più insidiosa, mutuata direttamente dalle dinamiche più oscure della psicologia umana: il breadcrumbing.

Immaginatelo come la tecnica di un pescatore esperto: non getta una rete enorme, ma lancia piccole, allettanti esche – briciole di pane – per tenere i pesci nel suo raggio d’azione, incuriositi e speranzosi, senza mai dargli una preda vera e propria. Questa tecnica, che in ambito relazionale consiste nel lasciare “briciole” di attenzione per tenere una vittima legata senza un impegno reale, trova una risonanza spaventosa nel modus operandi delle minacce persistenti avanzate. Descrive una realtà relazionale che ha effetti palpabili sul benessere psicologico individuale. È, in essenza, la manipolazione della speranza.

Un inganno emotivo

Per capire il breadcrumbing, dobbiamo addentrarci nei meandri della nostra psiche. Noi esseri umani siamo cablati per la connessione e per la ricerca di significato. Quando entriamo in relazione con qualcuno, sviluppiamo naturalmente aspettative, desideri e una proiezione verso un futuro condiviso. Questo processo è alimentato dalla speranza, un meccanismo psicologico fondamentale che ci spinge a persistere di fronte alle difficoltà, a investire energie e ad anticipare ricompense.

Nel contesto del breadcrumbing, questa sana speranza viene distorta. La persona che “lancia le briciole” non offre una ricompensa concreta, ma solo la promessa di una potenziale ricompensa futura. Questo attiva un potente meccanismo psicologico noto come rinforzo intermittente, ampiamente studiato in psicologia comportamentale. Immaginate un giocatore d’azzardo: la vincita occasionale e imprevedibile lo tiene attaccato al gioco molto più di una vincita garantita o di una perdita costante. Allo stesso modo, un messaggio casuale dopo giorni di silenzio, o un complimento inaspettato, agisce come una “vincita” emotiva, riaccendendo la speranza e giustificando l’attesa. Questo ciclo crea una vera e propria dipendenza emotiva. La vittima inizia a monitorare ogni segnale, ogni “briciola”, interpretandola come prova che “forse questa volta cambierà”, o “forse è solo impegnato/a”. Si entra in uno stato di ipervigilanza relazionale, un’ansia sottile ma costante, dove l’attenzione è tutta proiettata sull’altro, nella vana attesa di una conferma che non arriva mai pienamente.

Perché succede

Possiamo intravedere diverse dinamiche sottostanti:

• Paura dell’intimità e dell’impegno: per alcuni, l’intimità profonda è terrificante. Il breadcrumbing permette di mantenere una connessione a distanza di sicurezza, evitando la vulnerabilità che deriva da un impegno reale. Ciò può essere legato a stili di attaccamento insicuri (evitante, disorganizzato) sviluppati nell’infanzia, dove l’intimità era associata al dolore o alla perdita.
• Bisogno di attenzione e controllo: dispensare briciole permette di sentirsi desiderati e di avere “opzioni aperte”, alimentando l’ego senza dover dare nulla in cambio. È una forma di controllo sulla disponibilità emotiva dell’altro, un modo per sentirsi potenti.
• Narcisismo e mancanza di empatia: in casi più estremi, il breadcrumbing può essere una manifestazione di tratti narcisistici, dove l’altro è visto come un’estensione per soddisfare i propri bisogni, senza una vera considerazione per i suoi sentimenti.
• Difficoltà a comunicare e stabilire limiti: a volte, è semplicemente la difficoltà a dire “no”, a essere onesti sulle proprie intenzioni, o a gestire il disagio di una chiusura definitiva.

Dal punto di vista della vittima, le vulnerabilità sono altrettanto profonde: una bassa autostima può renderci più propensi ad accontentarci delle briciole; la paura della solitudine può farci aggrappare a qualsiasi barlume di connessione; e schemi relazionali passati (magari con genitori emotivamente non disponibili) possono renderci “programmati” a cercare amore in situazioni che offrono solo frammenti.

Il Breadcrumbing una similitudine con il Digitale

Questo stesso schema di manipolazione della speranza e di rinforzo intermittente si riflette in modo sorprendente nel mondo della cybersecurity. Non è solo una metafora; è una comprensione profonda delle vulnerabilità psicologiche che vengono sfruttate.

Pensate alle minacce persistenti avanzate. Raramente si tratta di un’unica, clamorosa irruzione. Piuttosto, gli attaccanti adottano una strategia di breadcrumbing digitale. Non un’email palesemente truffaldina, ma una ben costruita, con un link o un allegato che sembra quasi legittimo. Questa è la prima “briciola”, progettata per ottenere un piccolo accesso, per seminare un malware latente. I cybercriminali non cercano il “botto”, ma la persistenza. Dopo un primo accesso, l’attaccante non agisce subito. Si muove “lateralmente” nella rete, raccogliendo informazioni con attività a basso impatto, quasi invisibili. Ogni file esaminato, ogni credenziale catturata è una “briciola” di conoscenza, accumulata senza destare sospetti, proprio come il breadcrumber raccoglie informazioni su di te senza un vero impegno. Gli attacchi possono rimanere dormienti per mesi o anni, esfiltrando dati lentamente, seminando malware che si attiva solo in condizioni specifiche. Non c’è una “rottura” o un attacco diretto, ma una disponibilità latente, un po’ come la relazione di breadcrumbing che non finisce mai del tutto, ma non evolve nemmeno.

Le vulnerabilità psicologiche

Il legame tra il breadcrumbing emotivo e quello cibernetico risiede nelle nostre vulnerabilità più profonde:

• La paura di perdere: sia in una relazione che nella sicurezza, tendiamo a sottovalutare i segnali deboli per paura di perdere qualcosa (la relazione, l’accesso, i dati).
• La tendenza a normalizzare: “È solo un ritardo”, “È solo un picco di traffico”. Siamo inclini a normalizzare comportamenti anomali, sia da parte di una persona che da parte di un sistema.
• La difficoltà di riconoscere l’assenza: il breadcrumbing è l’assenza di impegno mascherata da presenza. Nell’IT, l’assenza di un attacco clamoroso può mascherare una violazione continua e silenziosa.

Impatti Psicologici

Vivere in un ciclo di breadcrumbing lascia profonde cicatrici:

• Ansia e stress continui: la costante incertezza genera uno stato di allerta permanente, che può manifestarsi fisicamente e mentalmente.
• Deterioramento dell’autostima: la vittima inizia a chiedersi “Cosa c’è di sbagliato in me?”, “Perché non sono abbastanza?”. La percezione di non meritare un amore pieno e autentico si rafforza.
• Difficoltà a fidarsi: una volta usciti da questa dinamica, la capacità di fidarsi di nuove persone può essere compromessa, rendendo difficile formare relazioni sane.
• Spreco di tempo ed energie: l’investimento prolungato in una relazione senza futuro prosciuga risorse che potrebbero essere impiegate in modo più costruttivo.
• Isolamento: la persona può ritirarsi, concentrando tutta l’energia su questa relazione disfunzionale e trascurando amicizie o altri interessi.

La consapevolezza è la chiave

Se la psicologia del breadcrumbing ci insegna qualcosa, è che la consapevolezza è la nostra arma più potente.

A livello Personale

• Educazione emotiva: comprendere le dinamiche relazionali disfunzionali e i propri schemi di attaccamento.
• Costruzione dell’autostima: una forte autostima è il miglior antidoto contro la necessità di “briciole”.
• Confini solidi: imparare a dire “no”, a chiedere ciò che si merita e a ritirarsi quando i propri bisogni non sono soddisfatti.

A livello di Cybersecurity

• Human Firewall: la formazione e la consapevolezza degli utenti sono cruciali. Insegnare a riconoscere il phishing, le tecniche di social engineering e i tentativi di manipolazione è come addestrare la mente a riconoscere i segnali del breadcrumbing emotivo.
• Monitoraggio comportamentale: non basta rilevare malware noti. Bisogna monitorare le “briciole” di attività anomale, i pattern comportamentali insoliti dei sistemi e degli utenti. Soluzioni di monitoraggio avanzato diventano i nostri “terapeuti” digitali, aiutandoci a identificare schemi disfunzionali prima che diventino crisi.
• Approccio Zero Trust: non fidarsi implicitamente di nulla, nemmeno all’interno della rete. Ogni “briciola” di accesso deve essere verificata e limitata al minimo indispensabile.
• Resilienza e Disaster Recovery: accettare che la compromissione è possibile e quindi occorre avere piani robusti per minimizzare i danni e ripristinare i sistemi. Non vivere nella vana speranza che l’attacco non arriverà mai.

Conclusione

Il cuore umano, nella sua complessità, è un ecosistema di speranze e paure, di connessioni e vulnerabilità. E, sorprendentemente, in questo studio sulle “briciole” dell’anima, abbiamo scoperto che le nostre reti digitali non sono poi così diverse.

Abbiamo esplorato come la psicologia della manipolazione emotiva si traduce in tattiche di cybersecurity, rivelando che il breadcrumbing è molto più di un fenomeno relazionale: è una lezione fondamentale sulla resilienza digitale.

La nostra capacità di difenderci non dipende solo dagli strumenti che impieghiamo, ma dalla prontezza con cui riconosciamo i segnali deboli, quelle anomalie minute, quei sussurri digitali che, accumulati, dipingono il quadro di un’invasione imminente.

È tempo di superare la superficialità e adottare una mentalità di ipersensibilità ai segnali: solo così potremo distinguere le false promesse digitali dalle vere intenzioni, trasformando le nostre vulnerabilità psicologiche in robustezza cibernetica. La guerra cyber non si vince con attacchi clamorosi, ma decifrando ogni singolo, microscopico frammento. Non lasciatevi ingannare dalle briciole; sono solo l’inizio.

E allora vi chiedo, con l’umiltà di chi osserva le fragilità umane e digitali:Siamo davvero i custodi attenti del nostro confine, sia esso emotivo o informatico?

Abbiamo il coraggio di esigere chiarezza e impegno, rifiutandole “briciole” che minacciano la vostra integrità?

E, in un mondo sempre più interconnesso, quanto siamo pronti a riconoscere che la vera forza risiede non solo nel codice più robusto, ma nella consapevolezza più profonda?

L'articolo Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale proviene da il blog della sicurezza informatica.

Dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro.

Di Hanin Majadli - 20 giugno 2025

Mentre mi riparo da un bombardamento missilistico iraniano in un parcheggio sotterraneo, mi siedo e rifletto su come gli anni della mia vita vengano sprecati nelle guerre di Israele, guerre che non mi riguardano. Mi chiedo se siano proprio le provocazioni di Israele, le sue furie sconsiderate, a causare un giorno la mia fine. Sarebbe una triste ironia.

Dal 7 ottobre 2023, Israele ha abbandonato la dottrina della deterrenza, un tempo nota come "Muro di Ferro", in favore di qualcosa di molto più pericoloso: una mentalità di distruzione e annientamento. Forse quell'impulso è sempre stato lì, sepolto sotto la superficie, ma ora è allo scoperto ed esplicitamente dichiarato. Non si tratta di un semplice cambiamento tattico, ma di una profonda trasformazione della coscienza, della visione del mondo, forse persino di una psiche collettiva ferita e segnata.

Quando Israele ha smesso di parlare di contenimento e deterrenza e ha iniziato a parlare invece di Cancellazione? Quando l'obiettivo ha smesso di essere la sicurezza ed è diventato, invece, l'eliminazione dell'altro, la sua esistenza, le sue istituzioni, persino il suo diritto di esistere come nemico?

Secondo questa logica, qualsiasi cosa disturbi la vista degli israeliani, che si tratti di una stazione televisiva, di un'università, di un quartiere residenziale o di una stazione di servizio, diventa un legittimo bersaglio da distruggere. È così che sono state bombardate le università di Gaza e Teheran, e come sono stati uccisi scienziati, giornalisti, artisti e scrittori. Israele non si limita più a obiettivi militari; distrugge le stesse condizioni che sostengono la vita e la possibilità di ricostruire.

Tutto questo avviene in nome dell'"autodifesa". Ma questa non è più una risposta a una minaccia concreta, bensì un'offensiva guidata da una visione del mondo sfrenata, priva di confini morali, legali o persino pragmatici. Israele cerca di essere l'unica Potenza Dominante in Medio Oriente. E se il Diritto Internazionale avesse ancora un peso reale, beh, Israele lo viola ripetutamente a Gaza, in Libano, in Siria e in Iran. Tanto che, con ogni attacco, sega proprio il ramo su cui poggia l'idea del Diritto Internazionale.

Israele rivendica per sé il diritto di violare, colpire e bombardare, ripetutamente, anche coloro che non rappresentano più una minaccia immediata. La continua distruzione di Gaza non fa che sottolineare questo messaggio. Tutto ciò crea un pericoloso precedente con implicazioni di vasta portata: cosa si sentiranno in diritto di fare le altre nazioni nelle loro guerre? Dov'è il confine tra ciò che è permesso e ciò che non lo è? E cosa succede quando altri stati adottano la stessa logica israeliana nei confronti dei loro nemici? Una catastrofe.

E gli israeliani stessi? Fin dalla sua fondazione, e ancor di più dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro. Cosa farebbero gli israeliani se altri Paesi si prendessero le stesse libertà che Israele si prende per sé? Il linguaggio, le dichiarazioni, il tono di politici, giornalisti e cittadini rivelano tutti la stessa verità: non c'è cura. Gli israeliani sono ciechi, prigionieri e istigati.

E forse la cosa più spaventosa è che questa logica non sembra più estrema, ma è diventata la norma; che la società israeliana, con le sue istituzioni, i suoi consiglieri, i suoi giornalisti, i suoi genitori e i suoi figli, abbia imparato a pensare in questo modo. Il linguaggio stesso è cambiato, e i bambini israeliani cresceranno immersi in esso, ignari dell'esistenza di un'altra strada. Le regole che Israele sta consolidando attraverso la sua aggressiva condotta militare scuoteranno non solo la Regione, ma il mondo intero per molti anni a venire.

*
Traduzione: La Zona Grigia
facebook.com/share/p/1BrN97r1R…

Fonte: archive.md/CaZA8

Vi sarà sicuramente capitato di comprare qualche piccolo oggetto in un negozio Mediaworld, una scheda SD, una chiavetta USB, ecc.

Avete notato quanta plastica ha intorno? Tra l'altro anche una plastica estremamente resistente e difficile da aprire.

La settimana scorsa la porta USB del mio #Fairphone ha cominciato a dare problemi quindi sono andato sul sito e ne ho comprata una nuova (25 €).

È arrivata qualche giorno fa in una ragionevole confezione in cartoncino certificato FSC (Forest Stewardship Council), con stampa in inchiostro di soia (chissà, magari con un filino di olio sopra è pure saporita 😁) e all'interno di una piccola bustina.

Ma quindi si possono vendere cose anche senza inscatolarle in grossi contenitori di plastica antiproiettile?

Beh... se te ne importa qualcosa dell'ambiente evidentemente sì.