„Absurd und respektlos“: Dänischer Justizminister diskreditiert Chatkontrolle-Proteste
netzpolitik.org/2025/absurd-un…
Biometrische Überwachung: „Körperdaten sind keine freie Verfügungsmasse“
netzpolitik.org/2025/biometris…
Britisches Gericht zu Clearview AI: Datenschutz gilt auch für biometrische Überwachung aus dem Ausland
netzpolitik.org/2025/britische…
Gazzetta del Cadavere reshared this.
Elicotteri, carri armati e droni. Le novità dell’Esercito Usa in mostra all’Ausa 2025
@Notizie dall'Italia e dal mondo
All’Annual meeting dell’association of the United States army (Ausa), a Washington, il messaggio è stato chiaro. L’Esercito americano sta cambiando. La principale fiera della difesa terrestre, vetrina delle innovazioni e punto d’incontro tra industria e
Lug Bolzano - LINUXDAY 2025 – 25.10.2025 – everywhere and in BZ – come and see!
lugbz.org/linuxday-2025-25-10-…
Segnalato da Linux Italia e pubblicato sulla comunità Lemmy @GNU/Linux Italia
Dove in Italia ? – Wo in Italien? BZ: Ma anche a Bolzano ! Auch in Bozen! PASSA PAROLA – SAG’s
MADAGASCAR. Deposto Rajoelina, al potere i militari
@Notizie dall'Italia e dal mondo
Dopo due settimane di proteste popolari e di crescente dissenso all’interno delle forze armate, il capo dello stato è stato ufficialmente deposto da un intervento del Capsat
L'articolo MADAGASCAR. Deposto pagineesteri.it/2025/10/16/med…
reshared this
reshared this
Apple prende a bordo il colosso cinese dell’auto Byd
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Con l'asiatica Byd l'americana Apple avrebbe sviluppato le batterie per l'auto elettrica Project Titan, abbandonata nei garage di Cupertino. Il fallimento di quel prototipo non ha però interrotto quella curiosa collaborazione che
se tutti i motivi di distinguo politici contro la salis sono di questo genere ho capito che è il problema della solita destra italia. personalmente sonno con la salis. la politica non si può disinteressare dell rispetto del diritto alla casa di ogni cittadini. e quando questo non è garantito è le persone impazziscono è inevitabile che la responsabilità politica del gesto sia anche della politica. a me pare quasi ovvio. e non è strumentalizzazione politica. è un fatto ripeto ovvio. e chi lo nega credo sia in mala fede. la meloni, come politica (ma non la sola) dovrebbe solo idre: si abbiamo, sbagliato, e purtroppo succedono anche queste cose.
e poi non è questione di giustificare nessuno, ma di capire un problema e di chi ha la responsabilità sociale di risolverlo. e non certo il singolo cittadino.
Salis parla di "disagio" per Castel d'Azzano e chiama la politica, Gasparri :"Difende la strage"
Per Ilaria Salis quello che hanno fatto i fratelli Ramponi è stato "un gesto disperato e terribile", legato anche al "disagio" di non avere una casa. Il centrodestra si infuria: "Giustifica la strage"Marcella Piretti (Agenzia di Stampa Dire)
GAZA. Infantino (Fifa) ha ignorato i massacri, ora parla di ricostruzione
@Notizie dall'Italia e dal mondo
La presenza a Sharm El Sheikh su invito di Trump del presidente della Federazione Calcio non è legata alla ricostruzione degli stadi, ma a molteplici interessi politici ed economici. Infantino negli ultimi anni ha impedito l'esclusione del calcio israeliano dalle
As already reported at this link by the user @ska NodeBB appears to be transcoding messages from Mastodon Glitch-soc (but possibly also from Friendica) poorly, which contain a hyperlink.
Ragazzi sempre più classificati e spesa per l’aiuto previsto
@Politica interna, europea e internazionale
Nelle scuole italiane cresce ogni anno il numero di bambini e ragazzi che hanno bisogno di sostegno perché – a detta degli insegnanti – manifestano difficoltà. La richiesta è esplosa al punto da rendere difficile distinguere una condizione reale da ciò che, in fondo, è una normale fase
linkiesta.it/2025/10/le-chat-d…
quanto diventa più brutto e triste e ingiusto il mondo ogni giorno che passa. noi abbiamo la meloni, loro hanno trump, ma alla fine il problema p chi si rifiuta di vedere. prima della seconda guerra mondiale molto si rifiutarono di vedere. un po' come quando da no diciamo con superficialità "ragazzate". ma poi + finita davvero tragicamente. non interessa impedire che si ripeta? devo ancora capire in base a quale logica così tanti si sonno convinti che il fascismo non possa tornare, specie quando in piccole dosi non è mai davvero sparito dall'italia.
Genova, una jihad contro le donne
@Giornalismo e disordine informativo
articolo21.org/2025/10/genova-…
(Il brano che segue è tratto dal romanzo di Roberto Bertoni “Raccontami ogni cosa. Genova, per non dimenticare”, uscito il 15 ottobre per Santelli. CRATERI Penso spesso a lei, che all’epoca era una studentessa dai lineamenti dolci, bellissima anche se non appariscente. Penso
Sicurezza cognitiva. Come si difende l’Europa quando il campo di battaglia è la mente
@Notizie dall'Italia e dal mondo
Droni che violano gli spazi aerei, profili psicometrici che anticipano le reazioni di cittadini e leader, deepfake sempre più convincenti e cloni di siti media che replicano perfettamente i loghi istituzionali. La guerra ibrida ha abbandonato il confine tra reale e virtuale e si combatte oggi
Una federazione partitica non è la via per il centro
@Politica interna, europea e internazionale
L'articolo Una federazione partitica non è la via per il centro proviene da Fondazione Luigi Einaudi.
Scattered LAPSUS$ Hunters, Salesforce, il riscatto da un miliardo e la pigrizia aziendale
@Informatica (Italy e non Italy 😁)
Una riflessione sulla scarsa efficacia delle procedure aziendali e sulla cultura del lavoro, entrambe protagoniste di ogni disavventura aziendale, non solo informatica. Scattered LAPSUS$ Hunters e Salesforce sono attori digitali di una commedia fin troppo umana
L'articolo Scattered
ILS Pavia - Appuntamento imperdibile il 25 Ottobre 2025 con il Linux Day a Pavia
pavia.ils.org/eventi/appuntame…
Segnalato da Linux Italia e pubblicato sulla comunità Lemmy @GNU/Linux Italia
il 25 Ottobre 2025 a Pavia si tiene il Linux Day 2025
L'articolo
Regionali Toscana 2020
Lega Salvini Premier 21,78
Regionali Toscana 2025
Lega Toscana per Salvini Premier 4,38
In Toscana, aver appaltato la gestione della campagna a Vannacci ha indubbiamente avuto un impatto.
#Lega
Poliversity - Università ricerca e giornalismo reshared this.
A Malta non solo per ricordare Daphne ma per difendere la libertà di stampa in Europa
@Giornalismo e disordine informativo
articolo21.org/2025/10/a-malta…
La sua lezione valida anche oggi
L'articolo A Malta non solo per ricordare Daphne ma per difendere la libertà di
La chiave e la ferita: anatomia di un femminicidio e dell’ossessione del possesso
@Giornalismo e disordine informativo
articolo21.org/2025/10/la-chia…
Martedì 14 ottobre, la normalità della sera è stata squarciata da un atto che, pur nella sua ferocia, non è un’eccezione ma un
F5 nel mirino di attori statali: il codice sorgente di BIG-IP è stato compromesso. Un’ipotesi di threat actor
@Informatica (Italy e non Italy 😁)
F5, colosso americano delle soluzioni di networking e sicurezza, ha dovuto ammettere pubblicamente quello che nessuna azienda vorrebbe mai rivelare: attori sponsorizzati da uno stato-nazione hanno
Gianluca Soncin. Anzi, il Gianluca, ué figa!
Questo signore con l'aria un po' alla Gèc Nìcolson si chiama Gianluca (ué figa) Soncin.
Ha una cinquantina d'anni, proprio come il vignaiolo Emanuele Ragnedda; è nato a Biella e abita a Cervia.
Veste con eleganza, e la cosa già dovrebbe destare sospetti.
Secondo il gazzettaio del 16 ottobre 2025 guadagna denaro vendendo e comprando automobili invece che facendo strizzare frutta per venderne il succo fermentato, e ha anche lui i comportamenti di consumo di chi guadagna -o meglio, di chi vuol fare intendere di guadagnare- molto denaro.
Il che dovrebbe destare ancora più sospetti.
Chi guadagna molto denaro dovrebbe essere contento di non doversela vedere con l'indigenza.
Invece chi guadagna molto denaro -e soprattutto chi vuol fare intendere di guadagnarne- risulta per lo più decisamente antipatico.
Il che fa aumentare i sospetti e li rafforza.
Se poi si legge che una volta stretta con burocratica rapidità una relazione peccaminosa con un individuo consimile di sesso opposto -solo con i costumi da bagno al posto delle automobili- lo avrebbe esortato, incentivato e accompagnato all'uso di "sostanze psicotrope", i sospetti diventano certezze.
Una attendibile ricostruzione dei comportamenti di consumo e della natura delle relazioni tra individui di questo genere non è certo ricavabile dal gazzettaio; unica fonte documentale minimamente attendibile sarebbero i rispettivi estratti conto.
Ma insomma, dal poco che si può capire -oltre a vendere e comprare automobili- Gianluca Soncin nel corso degli ultimi due anni avrebbe trovato il tempo per le seguenti attività relazionali, non si sa se remunerate o meno.
L'epilogo si è tenuto in un quartiere della periferia milanese eloquentemente privo di qualsiasi caratteristica instagrammabile.
La coprotagonista è sempre la stessa, che a distanza di chissà quanti anni verrà ricordata come una "fotomodella a cui piace vestire alla modo [sic] rigorosamente firmato, uscire con gli amici, viaggiare per il mondo e gustarsi ogni momento della giornata per essere felice".
Estate 2024: viaggio all’Elba. Lui la tempesta di calci e pugni durante una lite, e «cerca di buttarla dal balcone».
Settembre 2024: un’altra aggressione, questa volta durante una gita a Venezia.
Lo scorso aprile lei vuole chiudere la relazione. Lascia Cervia. Lui l’avverte: «Se mi lasci t’ammazzo, e ammazzo tua madre». Pamela spaventata si sfoga con l’ex: «Non posso lasciarlo altrimenti m’ammazza». Tra loro è un tira e molla.
Il 9 maggio, nella casa di Milano interviene la polizia per una lite.
Gli episodi si moltiplicano.
Ad agosto lui le punta una pistola alla pancia.
Sabato scorso, durante una gita a Padova, lui minaccia di ucciderle il cane, la schiaffeggia.
Dopo quel giorno, lei lo caccia di casa.
Solo che il Gianluca (ué figa) si era fatto una copia delle chiavi.
In una lista di destra, chi l'avrebbe mai detto... in questo paese i fenomeni finiscono tutti dalla stessa parte.
Maria Rosaria Boccia ha detto che si candiderà alle elezioni regionali in Campania - Il Post
https://www.ilpost.it/2025/10/16/maria-rosaria-boccia-candidata-elezioni-regionali-campania/?utm_source=flipboard&utm_medium=activitypubPubblicato su News @news-ilPost
Poliversity - Università ricerca e giornalismo reshared this.
Rapporto Politico e Umanitario sulle Barriere e i Checkpoint nella Cisgiordania Occupata
A cura dell’Unità di Monitoraggio per i Diritti Umani – Associazione dei Palestinesi in Italia
Nel cuore della Cisgiordania occupata, oltre 1274 cancelli metallici e checkpoint militari israeliani bloccano quotidianamente la vita dei palestinesi. Queste barriere, installate agli ingressi delle città, tra i villaggi e lungo le strade riservate esclusivamente ai coloni israeliani, costituiscono un sistema di separazione forzata e un vero e proprio regime di apartheid moderno.
Ogni giorno, studenti, lavoratori, impiegati, malati, donne incinte e anziani sono costretti ad attendere ore intere sotto il sole cocente o il freddo solo per attraversare queste barriere per andare al lavoro, a scuola o in ospedale.
Situazione attuale:
• Alcuni checkpoint sono aperti solo in orari specifici: chi arriva tardi deve passare la notte fuori casa.
• I soldati israeliani esercitano forme sistematiche di umiliazione, attraverso controlli minuziosi, domande provocatorie e ritardi intenzionali.
• In posti come il checkpoint di Qalandiya, i cittadini sono costretti a scendere dai mezzi, passare per tunnel e subire controlli corporei estenuanti, come se stessero attraversando una frontiera internazionale.
• L’accesso ai territori del 1948 (Israele) richiede permessi complessi, più difficili di un visto turistico, concessi in modo arbitrario, rendendo la vita palestinese un mosaico di enclavi isolate (bantustan) senza connessione geografica.
Implicazioni umanitarie e politiche:
• Frammentazione del tessuto sociale e territoriale palestinese.
• Impossibilità di creare uno Stato palestinese contiguo e sovrano.
• Violazioni gravi del diritto internazionale, in particolare del diritto alla libertà di movimento.
• Rafforzamento di un sistema di apartheid riconosciuto da numerose organizzazioni internazionali.
Chiediamo alla comunità internazionale, alle organizzazioni per i diritti umani e alla coscienza globale di:
• Agire per la rimozione delle barriere.
• Fermare il regime di permessi arbitrari.
• Garantire la libertà di movimento per il popolo palestinese.
14/10/2025
Associazione dei Palestinesi in Italia (API)
FREE ASSANGE Italia
Rapporto Politico e Umanitario sulle Barriere e i Checkpoint nella Cisgiordania Occupata A cura dell’Unità di Monitoraggio per i Diritti Umani – Associazione dei Palestinesi in Italia Nel cuore della Cisgiordania occupata, oltre 1274 cancelli metall…Telegram
luke15n 🐳 reshared this.
Mysterious Elephant: a growing threat
Introduction
Mysterious Elephant is a highly active advanced persistent threat (APT) group that we at Kaspersky GReAT discovered in 2023. It has been consistently evolving and adapting its tactics, techniques, and procedures (TTPs) to stay under the radar. With a primary focus on targeting government entities and foreign affairs sectors in the Asia-Pacific region, the group has been using a range of sophisticated tools and techniques to infiltrate and exfiltrate sensitive information. Notably, Mysterious Elephant has been exploiting WhatsApp communications to steal sensitive data, including documents, pictures, and archive files.
The group’s latest campaign, which began in early 2025, reveals a significant shift in their TTPs, with an increased emphasis on using new custom-made tools as well as customized open-source tools, such as BabShell and MemLoader modules, to achieve their objectives. In this report, we will delve into the history of Mysterious Elephant’s attacks, their latest tactics and techniques, and provide a comprehensive understanding of this threat.
The emergence of Mysterious Elephant
Mysterious Elephant is a threat actor we’ve been tracking since 2023. Initially, its intrusions resembled those of the Confucius threat actor. However, further analysis revealed a more complex picture. We found that Mysterious Elephant’s malware contained code from multiple APT groups, including Origami Elephant, Confucius, and SideWinder, which suggested deep collaboration and resource sharing between teams. Notably, our research indicates that the tools and code borrowed from the aforementioned APT groups were previously used by their original developers, but have since been abandoned or replaced by newer versions. However, Mysterious Elephant has not only adopted these tools, but also continued to maintain, develop, and improve them, incorporating the code into their own operations and creating new, advanced versions. The actor’s early attack chains featured distinctive elements, such as remote template injections and exploitation of CVE-2017-11882, followed by the use of a downloader called “Vtyrei”, which was previously connected to Origami Elephant and later abandoned by this group. Over time, Mysterious Elephant has continued to upgrade its tools and expanded its operations, eventually earning its designation as a previously unidentified threat actor.
Latest campaign
The group’s latest campaign, which was discovered in early 2025, reveals a significant shift in their TTPs. They are now using a combination of exploit kits, phishing emails, and malicious documents to gain initial access to their targets. Once inside, they deploy a range of custom-made and open-source tools to achieve their objectives. In the following sections, we’ll delve into the latest tactics and techniques used by Mysterious Elephant, including their new tools, infrastructure, and victimology.
Spear phishing
Mysterious Elephant has started using spear phishing techniques to gain initial access. Phishing emails are tailored to each victim and are convincingly designed to mimic legitimate correspondence. The primary targets of this APT group are countries in the South Asia (SA) region, particularly Pakistan. Notably, this APT organization shows a strong interest and inclination towards diplomatic institutions, which is reflected in the themes covered by the threat actor’s spear phishing emails, as seen in bait attachments.
Spear phishing email used by Mysterious Elephant
For example, the decoy document above concerns Pakistan’s application for a non-permanent seat on the United Nations Security Council for the 2025–2026 term.
Malicious tools
Mysterious Elephant’s toolkit is a noteworthy aspect of their operations. The group has switched to using a variety of custom-made and open-source tools instead of employing known malware to achieve their objectives.
PowerShell scripts
The threat actor uses PowerShell scripts to execute commands, deploy additional payloads, and establish persistence. These scripts are loaded from C2 servers and often use legitimate system administration tools, such as curl and certutil, to download and execute malicious files.
Malicious PowerShell script seen in Mysterious Elephant’s 2025 attacks
For example, the script above is used to download the next-stage payload and save it as ping.exe. It then schedules a task to execute the payload and send the results back to the C2 server. The task is set to run automatically in response to changes in the network profile, ensuring persistence on the compromised system. Specifically, it is triggered by network profile-related events (Microsoft-Windows-NetworkProfile/Operational), which can indicate a new network connection. A four-hour delay is configured after the event, likely to help evade detection.
BabShell
One of the most recent tools used by Mysterious Elephant is BabShell. This is a reverse shell tool written in C++ that enables attackers to connect to a compromised system. Upon execution, it gathers system information, including username, computer name, and MAC address, to identify the machine. The malware then enters an infinite loop of performing the following steps:
- It listens for and receives commands from the attacker-controlled C2 server.
- For each received command, BabShell creates a separate thread to execute it, allowing for concurrent execution of multiple commands.
- The output of each command is captured and saved to a file named
output_[timestamp].txt, where [timestamp] is the current time. This allows the attacker to review the results of the commands. - The contents of the
output_[timestamp].txtfile are then transmitted back to the C2 server, providing the attacker with the outcome of the executed commands and enabling them to take further actions, for instance, deploy a next-stage payload or execute additional malicious instructions.
BabShell uses the following commands to execute command-line instructions and additional payloads it receives from the server:
Customized open-source tools
One of the latest modules used by Mysterious Elephant and loaded by BabShell is MemLoader HidenDesk.
MemLoader HidenDesk is a reflective PE loader that loads and executes malicious payloads in memory. It uses encryption and compression to evade detection.
MemLoader HidenDesk operates in the following manner:
- The malware checks the number of active processes and terminates itself if there are fewer than 40 processes running — a technique used to evade sandbox analysis.
- It creates a shortcut to its executable and saves it in the autostart folder, ensuring it can restart itself after a system reboot.
- The malware then creates a hidden desktop named “MalwareTech_Hidden” and switches to it, providing a covert environment for its activities. This technique is borrowed from an open-source project on GitHub.
- Using an RC4-like algorithm with the key
D12Q4GXl1SmaZv3hKEzdAhvdBkpWpwcmSpcD, the malware decrypts a block of data from its own binary and executes it in memory as a shellcode. The shellcode’s sole purpose is to load and execute a PE file, specifically a sample of the commercial RAT called “Remcos” (MD5: 037b2f6233ccc82f0c75bf56c47742bb).
Another recent loader malware used in the latest campaign is MemLoader Edge.
MemLoader Edge is a malicious loader that embeds a sample of the VRat backdoor, utilizing encryption and evasion techniques.
It operates in the following manner:
- The malware performs a network connectivity test by attempting to connect to the legitimate website
bing.com:445, which is likely to fail since the 445 port is not open on the server side. If the test were to succeed, suggesting that the loader is possibly in an emulation or sandbox environment, the malware would drop an embedded picture on the machine and display a popup window with three unresponsive mocked-up buttons, then enter an infinite loop. This is done to complicate detection and analysis. - If the connection attempt fails, the malware iterates through a 1016-byte array to find the correct XOR keys for decrypting the embedded PE file in two rounds. The process continues until the decrypted data matches the byte sequence of
MZ\x90, indicating that the real XOR keys are found within the array. - If the malware is unable to find the correct XOR keys, it will display the same picture and popup window as before, followed by a message box containing an error message after the window is closed.
- Once the PE file is successfully decrypted, it is loaded into memory using reflective loading techniques. The decrypted PE file is based on the open-source RAT vxRat, which is referred to as VRat due to the PDB string found in the sample:
C:\Users\admin\source\repos\vRat_Client\Release\vRat_Client.pdb
WhatsApp-specific exfiltration tools
Spying on WhatsApp communications is a key aspect of the exfiltration modules employed by Mysterious Elephant. They are designed to steal sensitive data from compromised systems. The attackers have implemented WhatsApp-specific features into their exfiltration tools, allowing them to target files shared through the WhatsApp application and exfiltrate valuable information, including documents, pictures, archive files, and more. These modules employ various techniques, such as recursive directory traversal, XOR decryption, and Base64 encoding, to evade detection and upload the stolen data to the attackers’ C2 servers.
- Uplo Exfiltrator
The Uplo Exfiltrator is a data exfiltration tool that targets specific file types and uploads them to the attackers’ C2 servers. It uses a simple XOR decryption to deobfuscate C2 domain paths and employs a recursive depth-first directory traversal algorithm to identify valuable files. The malware specifically targets file types that are likely to contain potentially sensitive data, including documents, spreadsheets, presentations, archives, certificates, contacts, and images. The targeted file extensions include .TXT, .DOC, .DOCX, .PDF, .XLS, .XLSX, .CSV, .PPT, .PPTX, .ZIP, .RAR, .7Z, .PFX, .VCF, .JPG, .JPEG, and .AXX.
- Stom Exfiltrator
The Stom Exfiltrator is a commonly used exfiltration tool that recursively searches specific directories, including the “Desktop” and “Downloads” folders, as well as all drives except the C drive, to collect files with predefined extensions. Its latest variant is specifically designed to target files shared through the WhatsApp application. This version uses a hardcoded folder path to locate and exfiltrate such files:
%AppData%\\Packages\\xxxxx.WhatsAppDesktop_[WhatsApp ID]\\LocalState\\Shared\\transfers\\
The targeted file extensions include .PDF, .DOCX, .TXT, .JPG, .PNG, .ZIP, .RAR, .PPTX, .DOC, .XLS, .XLSX, .PST, and .OST.
- ChromeStealer Exfiltrator
The ChromeStealer Exfiltrator is another exfiltration tool used by Mysterious Elephant that targets Google Chrome browser data, including cookies, tokens, and other sensitive information. It searches specific directories within the Chrome user data of the most recently used Google Chrome profile, including the IndexedDB directory and the “Local Storage” directory. The malware uploads all files found in these directories to the attacker-controlled C2 server, potentially exposing sensitive data like chat logs, contacts, and authentication tokens. The response from the C2 server suggests that this tool was also after stealing files related to WhatsApp. The ChromeStealer Exfiltrator employs string obfuscation to evade detection.
Infrastructure
Mysterious Elephant’s infrastructure is a network of domains and IP addresses. The group has been using a range of techniques, including wildcard DNS records, to generate unique domain names for each request. This makes it challenging for security researchers to track and monitor their activities. The attackers have also been using virtual private servers (VPS) and cloud services to host their infrastructure. This allows them to easily scale and adapt their operations to evade detection. According to our data, this APT group has utilized the services of numerous VPS providers in their operations. Nevertheless, our analysis of the statistics has revealed that Mysterious Elephant appears to have a preference for certain VPS providers.
VPS providers most commonly used by Mysterious Elephant (download)
Victimology
Mysterious Elephant’s primary targets are government entities and foreign affairs sectors in the Asia-Pacific region. The group has been focusing on Pakistan, Bangladesh, and Sri Lanka, with a lower number of victims in other countries. The attackers have been using highly customized payloads tailored to specific individuals, highlighting their sophistication and focus on targeted attacks.
The group’s victimology is characterized by a high degree of specificity. Attackers often use personalized phishing emails and malicious documents to gain initial access. Once inside, they employ a range of tools and techniques to escalate privileges, move laterally, and exfiltrate sensitive information.
- Most targeted countries: Pakistan, Bangladesh, Afghanistan, Nepal and Sri Lanka
Countries targeted most often by Mysterious Elephant (download)
- Primary targets: government entities and foreign affairs sectors
Industries most targeted by Mysterious Elephant (download)
Conclusion
In conclusion, Mysterious Elephant is a highly sophisticated and active Advanced Persistent Threat group that poses a significant threat to government entities and foreign affairs sectors in the Asia-Pacific region. Through their continuous evolution and adaptation of tactics, techniques, and procedures, the group has demonstrated the ability to evade detection and infiltrate sensitive systems. The use of custom-made and open-source tools, such as BabShell and MemLoader, highlights their technical expertise and willingness to invest in developing advanced malware.
The group’s focus on targeting specific organizations, combined with their ability to tailor their attacks to specific victims, underscores the severity of the threat they pose. The exfiltration of sensitive information, including documents, pictures, and archive files, can have significant consequences for national security and global stability.
To counter the Mysterious Elephant threat, it is essential for organizations to implement robust security measures, including regular software updates, network monitoring, and employee training. Additionally, international cooperation and information sharing among cybersecurity professionals, governments, and industries are crucial in tracking and disrupting the group’s activities.
Ultimately, staying ahead of Mysterious Elephant and other APT groups requires a proactive and collaborative approach to cybersecurity. By understanding their TTPs, sharing threat intelligence, and implementing effective countermeasures, we can reduce the risk of successful attacks and protect sensitive information from falling into the wrong hands.
Indicators of compromise
File hashes
Malicious documents
c12ea05baf94ef6f0ea73470d70db3b2 M6XA.rar
8650fff81d597e1a3406baf3bb87297f 2025-013-PAK-MoD-Invitation_the_UN_Peacekeeping.rar
MemLoader HidenDesk
658eed7fcb6794634bbdd7f272fcf9c6 STI.dll
4c32e12e73be9979ede3f8fce4f41a3a STI.dll
MemLoader Edge
3caaf05b2e173663f359f27802f10139 Edge.exe, debugger.exe, runtime.exe
bc0fc851268afdf0f63c97473825ff75
BabShell
85c7f209a8fa47285f08b09b3868c2a1
f947ff7fb94fa35a532f8a7d99181cf1
Uplo Exfiltrator
cf1d14e59c38695d87d85af76db9a861 SXSHARED.dll
Stom Exfiltrator
ff1417e8e208cadd55bf066f28821d94
7ee45b465dcc1ac281378c973ae4c6a0 ping.exe
b63316223e952a3a51389a623eb283b6 ping.exe
e525da087466ef77385a06d969f06c81
78b59ea529a7bddb3d63fcbe0fe7af94
ChromeStealer Exfiltrator
9e50adb6107067ff0bab73307f5499b6 WhatsAppOB.exe
Domains/IPs
hxxps://storycentral[.]net
hxxp://listofexoticplaces[.]com
hxxps://monsoonconference[.]com
hxxp://mediumblog[.]online:4443
hxxp://cloud.givensolutions[.]online:4443
hxxp://cloud.qunetcentre[.]org:443
solutions.fuzzy-network[.]tech
pdfplugins[.]com
file-share.officeweb[.]live
fileshare-avp.ddns[.]net
91.132.95[.]148
62.106.66[.]80
158.255.215[.]45
securelist.com/mysterious-elep…
Factorio Running on Mobile
As a video game, DOOM has achieved cult status not just for its legendary gameplay and milestone developments but also because it’s the piece of software that’s likely been ported to the most number of platforms. Almost everything with a processor can run the 1993 shooter, but as it ages, this becomes less of a challenge. More modern games are starting to move into this position, and Factorio may be taking a leading position. [Point Substantial] has gotten this game to run on a mobile phone.
The minimum system requirements for Factorio are enough to make this a challenge, especially compared to vintage title like DOOM. For Linux systems a dual-core processor and 8 GB of memory are needed, as well as something with at least 1 GB of VRAM. [Point_Substantial]’s Xiaomi Mi 9T almost meets these official minimum requirements, with the notable exception of RAM. This problem was solved by adding 6 GB of swap space to make up for the difference.
The real key to getting this running is that this phone doesn’t run Android, it runs the Linux-only postmarketOS. Since it’s a full-fledged Linux distribution rather than Android, it can run any software any other Linux computer can, including Steam. And it can also easily handle inputs for periphreals including a Switch Pro controller, which is important because this game doesn’t have touch inputs programmed natively.
The other tool that [Point_Substantial] needed was box86/box64, a translation layer to run x86 code on ARM. But with all the pieces in place it’s quite possible to run plenty of games semi-natively on a system like this. In fact, we’d argue it’s a shame that more phones don’t have support for Linux distributions like postmarketOS based on the latest news about Android.
Thanks to [Keith] for the tip!
Università di Harvard colpita da campagna di hacking tramite Oracle E-Business Suite
L’Università di Harvard ha confermato di essere stata colpita da una recente campagna che ha sfruttato una vulnerabilità che coinvolge il sistema E-Business Suite (EBS) di Oracle.
In una dichiarazione a Recorded Future News, l’università ha affermato di stare indagando sulle recenti denunce di hacker secondo cui i dati sarebbero stati rubati dal sistema. I funzionari hanno confermato che l’incidente “ha un impatto su un numero limitato di soggetti associati a una piccola unità amministrativa”.
“Harvard è a conoscenza di segnalazioni secondo cui dati associati all’Università sarebbero stati ottenuti a causa di una vulnerabilità zero-day nel sistema Oracle E-Business Suite. Questo problema ha avuto ripercussioni su molti clienti di Oracle E-Business Suite e non riguarda esclusivamente Harvard”, ha affermato un portavoce dell’università.
“Dopo aver ricevuto la segnalazione da Oracle, abbiamo applicato una patch per correggere la vulnerabilità. Continuiamo a monitorare e non abbiamo prove di compromissione di altri sistemi universitari.”
Sabato, l’Università di Harvard è stata inserita nel sito di fuga di notizie di una gang russa di ransomware nota come Clop, che da settimane sostiene di aver rubato enormi quantità di dati sfruttando le vulnerabilità di Oracle E-Business Suite, una popolare piattaforma aziendale contenente diverse applicazioni per la gestione di finanza, risorse umane e funzioni della catena di fornitura.
L’FBI e i funzionari della sicurezza informatica nel Regno Unito hanno confermato le segnalazioni della società di sicurezza Mandiant, di proprietà di Google, secondo cui la campagna era legata allo sfruttamento della vulnerabilità identificata come CVE-2025-61882.
Il vicedirettore dell’FBI Brett Leatherman ha affermato che CVE-2025-61882 è una vulnerabilità che richiede di “interrompere immediatamente l’attività e correggere la vulnerabilità”. Questo fine settimana, Oracle ha pubblicato un nuovo avviso che avvisa i clienti di un’altra vulnerabilità, CVE-2025-61884, che potrebbe avere un impatto su Oracle E-Business Suite.
La campagna contro E-Business Suite è iniziata due settimane fa, quando alcuni hacker che sostenevano di essere legati a Clop hanno tentato di estorcere denaro ai dirigenti aziendali minacciando di divulgare informazioni sensibili che, a loro dire, erano state rubate tramite la piattaforma. Oracle ha confermato la campagna , ma inizialmente ha affermato che gli hacker stavano sfruttando bug risolti in un aggiornamento di luglio, senza specificare quali vulnerabilità fossero state sfruttate.
Austin Larsen, analista principale delle minacce presso Google Threat Intelligence Group, ha affermato di essere a conoscenza di decine di vittime, ma “si prevede che ce ne saranno molte di più. In base alla portata delle precedenti campagne CL0P, è probabile che ce ne siano più di cento”, ha affermato.
La scorsa settimana Mandiant ha affermato che gli hacker hanno probabilmente concatenato diverse vulnerabilità distinte, tra cui CVE-2025-61882, per ottenere l’accesso alla piattaforma e “rubare enormi quantità di dati dei clienti”.
Leatherman dell’FBI ha affermato che i clienti di Oracle E-Business Suite dovrebbero isolare i server potenzialmente interessati e monitorare i canali di intelligence sulle minacce perché “l’attività di exploit potrebbe intensificarsi rapidamente”.
“Oracle EBS rimane un sistema ERP fondamentale per le grandi aziende e gli ambienti del settore pubblico, il che significa che gli aggressori hanno ogni incentivo a sfruttarlo rapidamente”, ha spiegato. “Se sospettate una compromissione, contattateci.”
Cynthia Kaiser, ex vicedirettrice della divisione informatica dell’FBI, che ora lavora per la società di risposta agli incidenti Halcyon, ha affermato che il primo contatto e-mail osservato da Clop è iniziato a fine settembre.
“Finora abbiamo ricevuto richieste di riscatto da sette a otto cifre”, ha affermato Kaiser in merito alle richieste di riscatto di Clop, aggiungendo che gli hacker hanno condiviso screenshot ed elenchi di filetree per dimostrare di aver avuto accesso ai dati.
L'articolo Università di Harvard colpita da campagna di hacking tramite Oracle E-Business Suite proviene da il blog della sicurezza informatica.
Perché gli editori italiani protestano con l’Agcom contro Google
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Gli editori associati alla Federazione italiana editori giornali (Fieg) hanno depositato un reclamo formale all'Agcom contro la funzione AI Overviews di Google, che fornisce risposte agli utenti mettendo in secondo piano i link ai
reshared this
ALTERNATIVE #08: GOOGLE MEET / ZOOM
(ovvero: per fare una call non c'è bisogno di un'app)
Ricevo un link per partecipare a una call importante a cui tenevo. Sapevo che era su Zoom, ma pensavo che avrei potuto partecipare tramite il browser, come sono quasi sicuro che si potesse fare fino a qualche tempo fa.
E invece no. Clicco su "Partecipa alla riunione". Compare il popup: "Non hai aperto Zoom? Tocca per installare l'app Zoom Workplace". Non la voglio la vostra app con l'AI companion e tutte le altre menate, fatemi continuare da browser, siamo nel 2025 mica nel 2012.
E niente, l'opzione non c'è. Non c'è neanche da desktop. Ti devi installare l'app e basta.
Amen, niente riunione. Per fortuna la registravano.
Il post sulle alternative libere per le call ce l'avevo "in canna" da un po', ora questa mi pare l'occasione giusta per scriverlo...
N.B.: tutte le istanze riportate offrono chiamate senza limiti di tempo e utilizzabili liberamente senza login.
1) JITSI
Da sempre il re dei software open source per le videochiamate.
Sviluppato dalla statunitense 8x8, offre chiamate con un numero massimo di partecipanti limitato solo dalla capacità del server che lo ospita. L'istanza "di bandiera" (meet.jit.si) supporta fino a 75 partecipanti.
Tra le feature figurano tutte le più comuni: chat interna, sfondi personalizzati, condivisione schermo, lavagna interattiva e altro.
Per un ente con un suo server è facilissimo installarlo e avere così un'istanza tutta propria.
Ma anche senza avere un server proprio, ci sono una quantità di server pubblici che lo offrono come servizio libero, senza login, senza app, senza limitazioni (a dir la verità, da cellulare compare una schermata che ti chiede se vuoi proseguire con l'app, ma puoi scegliere di restare nel browser). Se si sceglie di usare l'app client, questa è disponibile sia per Adroid che su iOs.
Tra i server pubblici italiani segnalo quello della Lixper Srl di Torino, smaug.lixper.it. Restando in Europa, si può scegliere quello di Systemli in Germania, o quello del collettivo Disroot nei Paesi Bassi.
Per non parlare degli "chatons" francesi: li trovate in questa pagina, nella casella "videoconferenza", e potete cambiare istanza cliccando sull'icona con le due frecce. Le istanze Evolix, Colibris e Deuxfleurs danno anche la possibilità di registrare la chiamata (da desktop).
Anche il servizio di videochiamata della svizzera Infomaniak, utilizzabile senza login, è basato su Jitsi (la registrazione delle chiamate è disponibile solo per chi ha un account Kdrive).
Infine, anche Brave Talk utilizza internamente jitsi, ma per utilizzarlo è necessario installare il browser Brave.
2) MIROTALK
Un progetto più recente ma decisamente interessante, ideato dall'italo-croato Miroslav Pejic, che si basa sulla tecnologia peer-to-peer per alleggerire il carico del server (ne ha parlato approfonditamente @morrolinux@mastodon.uno).
Anch'esso molto ricco di feature (chat, lavagna, screen e file sharing e registrazione integrale della chiamata da desktop - da cellulare si riesce a registrare l'audio di tutti i partecipanti insieme al solo video della propria fotocamera).
La webapp di base è open source e si può installare localmente (questa l'istanza pubblica pilota, utilizzabile da browser), mentre servizi più complessi per aziende sono a pagamento.
3) BRIEFING
Un'altra bella alternativa open source e privacy friendly (anche per le chiamate uno a uno), con alcune utili feature come chat, condivisione schermo, disegno a mano libera o testo, diverse opzioni di visualizzazione e anche un gioco di scacchi integrato.
Facilmente installabile anche su server proprio, il software è sviluppato dal tedesco Dirk Holtwick, che mantiene un'istanza pubblica, oltre a un'app client per iOs.
4) EduMEET
Software open source che brilla per la leggerezza, adatto ad essere usato anche su pc più datati, e che mantiene comunque un buon set di feature (chat, condivisione schermo, invio file, possibilità di aggiungere un altro flusso video e controllo diretto sulla risoluzione e il framerate per migliorare le prestazioni.
Due istanze pubbliche italiane sono offerte dal CNR (Consiglio Nazionale per le Ricerche) e consiglio di accedervi tramite il sito IoRestoACasa, un servizio nato in tempi di lockdown e fornito dal gruppo omonimo di Fabriano, che mantiene anche una versione modificata del software originale.
Restando invece a quest'ultimo, sviluppato all'interno della collaborazione europea Géant, si può usarlo qui sul server italiano del consorzio GARR, o ancora provare l'istanza pilota.
5) BigBlueButton
Probabilmente il software open source più completo e avanzato, con funzioni quali presentazione integrata (da file o direttamente dalle note), lavagna interattiva, sondaggio e cronometro, oltre alla classica chat e alle note condivise formattate. Queste caratteristiche lo rendono un'ottima scelta per una classe virtuale, per conferenze e seminari accademici (è diventato, tra l'altro, lo standard francese per la didattica a distanza).
Nato all'interno dell'Università Carleton di Ottawa (Canada), se ne può trovare qui un'istanza pubblica utiizzabile liberamente (gestita dall'organizzazione Senfcall di Darmstadt, Germania). Creando un account su Senfcall è possibile creare stanze permanenti per i propri corsi e seminari, che possono ospitare senza problemi anche 250 partecipanti.
#Google #nogoogle #googlemeet #zoom #degafam #monopolio #alternative #call
Fedele likes this.
reshared this
INCENERIORE: ALBANO NON E' PIU' UN OSTACOLO
Con la campagna elettorale di fatto avviata aver fatto cadere il sindaco Massimiliano Borelli costituisce un favore a Gualtieri e al partito trasversale dell'inceneritore.
Di più, costituisce un atto contro il territorio perché avviene nel bel mezzo della valutazione di impatto ambientale e a 2/5 del cronoprogramma fissato da Gualtieri nel procedimento autorizzatorio (paur) che grazie ai poteri speciali ha più che dimezzato.
Ci paiono motivazioni più che sufficienti per iscrivere questi 13 consiglieri al partito trasversale che vuole l'inceneritore, in questa fase infatti il Comune di Albano avrebbe potuto mettere in campo tante iniziative legali a contrasto del progetto inceneritorista.
Le campagne elettorali passano, l'inceneritore, invece, se non lo fermiamo resterà non per una, non per due ma per sei e più consigliature cioè per 30 anni e oltre.
Al Sindaco Massimiliano Borelli il cui impegno contro l'inceneritore è stata una costante dell'ultimo triennio va il nostro ringraziamento per aver saputo tenere sempre la schiena diritta anche contro il suo stesso partito e per aver partecipato attivamente a tante iniziative istituzionali e non, l'ultima quella del 30 settembre (v. foto) per la consegna delle 24 mila firme alla Camera tra le quali c'era anche la sua.
Ti aspettiamo per le prossime iniziative !
15 ottobre 2025
Andrea
in reply to Tiziano :friendica: • •Tiziano :friendica:
in reply to Andrea • •C'è anche Chitchatter per esempio -- se attivi sia il video che l'audio, la chat diventa in pratica una videochiamata.
Ottimo comunque che ora Delta abbia le chiamate integrate!
Andrea
in reply to Tiziano :friendica: • •Tiziano :friendica:
in reply to Andrea • •Tiziano
in reply to Tiziano :friendica: • • •