La Casa Bianca ha avviato un’indagine dopo che ignoti hanno avuto accesso al telefono personale del capo dello staff presidenziale degli Stati Uniti, Susie Wiles, e hanno utilizzato i dati per contattare alti funzionari, fingendosi lei.

Secondo Wall Street Journal, sarebbe stata Wiles a dire ai colleghi che il suo telefono era stato hackerato. Questa informazione è stata confermata anche da fonti della CBS News.

Gli hacker avrebbero ottenuto l’accesso alla sua lista dei contatti, che comprende i numeri di telefono di personaggi influenti e di alti funzionari degli Stati Uniti. Alcuni di loro hanno ricevuto chiamate con la voce falsa di Wiles, apparentemente generata dall’intelligenza artificiale, nonché messaggi da un numero sconosciuto a suo nome.

Come ha spiegato a TechCrunch la portavoce della Casa Bianca Anna Kelly, non è chiaro se l’account cloud associato al telefono di Wiles sia stato hackerato o se si sia verificato un attacco informatico più sofisticato, come quello che ha coinvolto uno spyware di livello governativo. L’amministrazione ha affermato che “la questione è in fase di revisione” e ha sottolineato che “la sicurezza informatica dei dipendenti è una priorità”.

Non è la prima volta che Wiles subisce aggressioni. Nel 2024, il Washington Post ha riferito di un tentativo da parte di hacker iraniani di accedere alla sua e-mail personale. Come si è scoperto in seguito, l’attacco ebbe successo e gli aggressori rubarono un dossier su J.D. Vance, l’allora candidato vicepresidente di Trump.

L’incidente di Wiles è l’ultimo di una serie di fughe di notizie e vulnerabilità che hanno afflitto l’amministrazione Trump sin dal suo ritorno alla Casa Bianca.

A marzo è stato rivelato che l’ex consigliere per la sicurezza nazionale Michael Waltz aveva aggiunto per errore un giornalista a una chat privata di Signal in cui si discuteva, tra le altre cose, dei piani per attacchi aerei nello Yemen.

Successivamente si è scoperto che i partecipanti non stavano utilizzando il Signal originale, bensì una sua modifica, TeleMessage , progettata per l’archiviazione della corrispondenza. Sembra che il sistema sia stato hackerato almeno due volte, con conseguente fuga di messaggi privati.

L'articolo Shock alla Casa Bianca! Gli hacker imitano la voce del capo dello staff con l’IA! proviene da il blog della sicurezza informatica.

Autori: Olivia Terragni, Alessio Stefan

Il gruppo Advanced Persistent Threat APT28 (noto anche come Fancy Bear, Pawn Storm, Sednit Gang, Sofacy, Strontium, Tsar Team), è un autore di minacce informatiche altamente qualificato e attivo almeno dal 2007 (c.a.), scoperto, classificato e analizzato per la prima volta solo nel 2014 da FireEye che fu in grado di risalire alla loro attività retrodatata.

La maggior parte dei file analizzati allora da FireEye erano scritti in lingua russa (impostazioni linguistiche in russo) e gli orari lavorativi furono dichiarati compatibili con il fuso orario di Mosca e San Pietroburgo.
Fonte immagine: “APT28: a window into Russia’s cyber espionage operations?” FireEye, 2014, Identificatori di lingua e località associati al malware APT28.
Tra la fine del 2024 e il 2025 è stato registrato un aumento delle attività malevole da parte di gruppi hacker allineati alla Russia, parallelamente ad un’intensificazione significativa degli attacchi informatici soprattutto contro l’Ucraina e l’Unione Europea.

Nelle recenti campagne (CERT-UA#11689) sono stati eseguiti attacchi da email di phishing con oggetto “Table Replacement” e un link che sembrava rimandare a Google Sheet. Cliccando sul link si apriva una finta schermata reCAPTCHA che attivava la copiatura di un comando PowerShell negli appunti. L’utente veniva invitato a incollare ed eseguire il comando nel prompt dei comandi e n questo modo veniva scaricato un file HTA (“brwoser.hta) che puliva gli appunti, scaricava uno script PowerShell per stabilire un tunnel SSH e rubava ed esflitrava le credenziali e i dati sensibili dal browser ed eseguiva il framework METASPLOIT per ulteriori attività malevole. Vediamo come tutto questo avviene con l’aiuto della vittima, tuttavia APT 28 – che continua ad evolvere – mira anche allo sfruttamento di vulnerabilità zero-day, l’uso di nuovi malware distruttivi (wiper) e campagne di phishing mirato e brute-force contro webmail governative e dispositivi periferici poco protetti, mantenendo un ruolo centrale nelle operazioni di cyber spionaggio.

A partire dalle prime rilevazioni delle operazioni ne esamineremo tattiche, tecniche e procedure come le relative somiglianze e collegamenti con altri gruppi, terminando con un capitolo che comprende la rilevazione di un attacco, la mitigazione e quindi la difesa.

A breve sarà pubblicato anche il report APT28 di DarkLab di Red Hot Cyber.

IN BREVE

• Breve storia dai rapporti FireEye del 2014 all’avviso congiunto CISA (maggio 2025)
• APT28, Fancy Bear: le operazioni più rilevanti dal 2007 ad oggi
• APT28, tattiche, tecniche e procedure (TTPs)
  
  • APT28: spear-phishing, Exploit Zero-Days e malware
    
    • Spear-Phishing
    • Exploit Zero-Days
    • Malware

    
    

  
  

• APT28, Rilevazione di un attacco, mitigazione e difesa
• Relazioni e somiglianze con altri gruppi
  
  • Phishing e spear-phishing
  • Matrice Living-Off-The-Land
  • Powershell

  
  

Breve storia dai rapporti FireEye del 2014 all’avviso congiunto CISA (maggio 2025)

Le operazioni del gruppo furono descritte come un’operazione di cyber spionaggio politico e militare altamente complessa, che si concentrava sul furto di informazioni privilegiate (raccolta di intelligence) da governi, organizzazioni militari e di sicurezza, in particolare in Europa dell’Est, Caucaso e Stati Uniti. Così la loro attività fu collegata al governo russo. (cit. probabilmente sponsorizzata dal governo russo*). FireEye rilevò anche come i tempi di compilazione del malware suggerissero che gli sviluppatori dell’APT28 avessero costantemente i loro strumenti dal 2007 al 2014, pensati così per un utilizzo a lungo termine e per la massima versatilità, con una particolare attenzione all’occultamento. Alcuni degli strumenti allora più utilizzati erano il downloader SOURFACE, la sua backdoor di seconda fase EVILTOSS e una famiglia modulare di impianti che chiamiamo CHOPSTICK.

Uno degli attacchi a cui fu collegato fu quello del malware NotPetya nel 2017, che causò ingenti danni finanziari e disagi.

Tra il 2017 e il 2019 il rapporto Mueller, redatto dal procuratore speciale Robert Mueller, indagò sul presunto coivolgmento russo nelle elezioni americane del 2016, con l’obiettivo di accertare l’interferenza russa e il ruolo del GRU. Ma non solo: indagò su possibili collusioni con la campagna di Donald Trump, che non furono mai trovate, indicando contatti sospetti tra cui “incontri tra i membri del tema Trump ed emissari russi” e tentativi di ottenere danni politici su Hillary Clinton. Crowstrike aveva identificato la presenza di due gruppi di hacker sofisticati collegati a due diverse agenzie di intelligence russe, Cozy Bear (APT29) e Fancy Bear (APT28) ma Shawn Henry speigò al congresso che, pur sostenendo che le prove indirette fossero convincenti, era difficile difficoltà dimostrare con certezza assoluta l’esfiltrazione dei dati, non disponendo di prove dirette e concrete dell’esfiltrazione dei dati dai server del DNC. Henry disse anche che l’attribuzione dell’attacco informatico al DNC al governo russo non era stata una conclusione derivata direttamente da CrowdStrike, ma in gran parte diffusa e amplificata dai media.

Nell’ottobre del 2018 il National Cyber Security Center (NSA) fornì poi un advisory tecnico per identificare, ridurre il rischio di compromissione e bloccare ipotetici attacchi da parte del gruppo APT28. Oltre agli indicatori di compromissione (IoCs), NSA evidenziò i principali strumenti e malware utilizzati, come:

• X-Agent (Sofacy): spyware modulare che ruba dati (credenziali, screenshot, registrazioni keystroke).
• X-Tunnel: strumento per tunneling criptato, usato per comunicare con i server di comando e controllo (C2).
• Zebrocy: osservato dalla fine del 2015,il cui principale meccanismo di distribuzione era lo spear phishing.

In quell’anno vennero incriminati ben cinque agenti dell’Unità GRU 26165 associati all’APT28, tra i loro target: l’Agenzia Mondiale Antidoping (WADA), l’Agenzia Antidoping degli Stati Uniti, l’Organizzazione per la Proibizione delle Armi Chimiche (OPCW), il Laboratorio Chimico Svizzero Spiez, un impianto nucleare statunitense e altre organizzazioni. Ad alcuni di questi attacchi fu ricondotto anche il lavoro di Sandworm.

Nel gennaio del 2019 furono i ricercatori Henry Mwiki e Tooska Dargahi (University of Salford) Ali Dehghantanha (University of Guelph) e Kim-Kwang Raymond Choo, a pubblicare il paper Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure,che analizzava tre specifici gruppi APT, che prendono di mira infrastrutture nazionali critiche nei paesi occidentali, tra cui l’APT28, evidenziandone la Cyber ​​Kill Chain (CKC) utilizzata come modello di riferimento per analizzare le loro attività e creare un “Defense Triage Process (DTP) come una nuova combinazione del Modello Diamante di Analisi delle Intrusioni, del CKC e del Modello 7D, per selezionare i vettori di attacco e i potenziali obiettivi” e il tipo di organizzazione e le vulnerabilità che risultavano interessanti.
Fonte immagine: Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure: APT28, RED October, and Regin: Theories, Methods, Tools and Technologies (cit.)
Nel paper veniva evidenziato come l’APT28 compisse il suo primo passo identificando e profilando le potenziali vittime affidandosi all’OSINT – analizzando anche gli account sui social media dei dipendenti chiave per creare esche di phishing personalizzate – per poi passare ad analizzare i siti web con l’obiettivo di individuare eventuali vulnerabilità delle applicazioni web. Ad esempio: “prima delle elezioni statunitensi del 2016, si sospetta che APT28 abbia eseguito una scansione delle vulnerabilità per identificare i siti web vulnerabili ad attacchi cross-site scripting (XSS) o Structured Query Language injection (SQL)” . Inoltre nel paper veiva evidenziato anche come “tra il 10 e il 14 febbraio 2015 in Ucraina, APT28 ha analizzato 8.536.272 IP per individuare possibili vulnerabilità” e ancora “Microsoft OLE RCE CVE-2014-4114 è un esempio di vulnerabilità sfruttata da APT28 per attaccare la NATO, i governi dell’UE, il governo ucraino, organizzazioni accademiche americane e aziende del settore energetico e delle telecomunicazioni”.

Infine nel 2022 fu Mandiant a evidenziare un’attività sospetta attraverso “identità Telegram” in cui APT28 e APT44 operavano entrambe sulla stessa rete. Nell’aprile del 2024 tuttavia un aggiornamento della segnalazione ha evidenziato che tali attori – hacktivisti “XakNet Team”, “Infoccentr” e “CyberArmyofRussia_Reborn” – operano quasi certamente indipendentemente dallo Stato russo, ma alcuni moderatori potrebbero agire come copertura per lo Stato russo o operare in coordinamento con esso : “la nostra valutazione si basa in parte sull’impiego di strumenti APT44 sponsorizzati dal GRU sulle reti delle vittime ucraine, i cui dati sono stati successivamente divulgati su Telegram entro 24 ore dall’attività di cancellazione da parte di APT44, nonché su altri indicatori di attività non autentica da parte dei moderatori e somiglianze con precedenti operazioni di informazione del GRU”.
Fonte immagine: Sospetti falsi hacktivisti hanno divulgato dati probabilmente rubati alle vittime del wiper di APT44, “Hacktivists Collaborate with GRU-sponsored APT28” (cit.)
Il 21 maggio 2025 un avviso congiunto pubblicato sul sito web dell’America’s Cyber Defense Agency (CISA) ha evidenziato una campagna informatica potenzialmente sponsorizzata dallo Stato russo che prende di mira aziende logistiche e tecnologiche occidentali. Tra queste, anche quelle coinvolte nel coordinamento, nel trasporto e nella fornitura di assistenza estera all’Ucraina. Anche l’Italia sarebbe inclusa nell’elenco dei target e sono state pubblicate le tattiche, tecniche e procedure (TTPs) utilizzate da “avversari legati all’85° Centro di servizi speciali principale del GRU russo (unità militare 26165) e ampiamente riconosciuti con alias come APT28 (noto anche come BlueDelta, Fancy Bear o Forest Blizzard)”.

APT28, Fancy Bear: le operazioni più rilevanti dal 2007 ad oggi e strategie di attacco

APT28 è noto per attacchi mirati a governi e istituzioni militari, organizzazioni diplomatiche, media e gruppi politici, settori energetico e difesa. Utilizza tecniche di phishing, zero-day exploit, e malware personalizzato per infiltrarsi nelle reti e mantenere accesso persistente.

Tra le operazioni più rilevanti dell’APT28 dal 2007 ad oggi vi sono campagne di cyber spionaggio mirate a governi, infrastrutture critiche, organizzazioni internazionali e settori strategici. Tra le tecniche, tattiche e procedure si trovano phishing avanzato, malware personalizzato, exploit zero-day e tecniche di evasione complesse, con una forte componente di influenza geopolitica al servizio del Cremlino.

• Campagne phishing e malware in Europa e Ucraina (40% dell’attività rilevata): nel 2023 APT28 ha condotto campagne di phishing e malware (es. Headlace) con tecniche di geofencing, con le quali hanno preso di mira ministeri della Difesa, infrastrutture ferroviarie, società di import-export armi e think tank in Azerbaigian, usando pagine di raccolta credenziali capaci di bypassare l’autenticazione a due fattori e CAPTCHA.
• Operazioni di spionaggio rivolte a enti governativi e militari europei o americani. Dal 2014 in poi, APT28 ha preso di mira la Casa Bianca, il Dipartimento di Stato USA, governi di paesi europei (Polonia, Ungheria, Stati baltici) e organizzazioni come la NATO e l’OSCE, probabilmente per influenzare geopoliticamente la regione ex sovietica e l’Occidente.
• Campagne di phishing e sfruttamento di vulnerabilità Microsoft Outlook. Tra il 2022 e il 2023 hanno usato vulnerabilità note, come la CVE-2023-23397, e campagne di phishing legate a eventi geopolitici (BRICS, Parlamento europeo), colpendo settori strategici come difesa, energia, trasporti e telecomunicazioni in Europa, Nord America e Medio Oriente.
• Sfruttamento di backdoor come MASEPIE: sono state le agenzie federali USA a diramare l’allerta sull’uso di backdoor che permettono un controllo remoto persistente su dispositivi compromessi, inclusi router e infrastrutture critiche.
• Spionaggio e attacchi informatici nel Caucaso e Asia centrale: il gruppo ha condotto operazioni verso paesi come Georgia e Azerbaigian, mirando a enti politici e di sviluppo economico-sociale, con il probabile intento di influenzare le politiche regionali.
• Una campagna del 2024 ha preso di mira il settore della difesa in Romania e Bulgaria, (e aziende produttrice di armi di epoca sovietica da inviare in Ucraina) contemporaneamente a Grecia, Camerun, Ecuador, Serbia e Cipro, con l’obiettivo principale di rubare dati a specifici account di posta elettronica e prendendo mira i server di posta come Roundcube, Zimbra, Horde o MDaemon, tramite vulnerabilità cross site scripting (XSS).

Il 29 aprile 2025 in particolare nel report “Targeting and compromise of French entities using the APT28 intrusion set”, sono state evidenziate attività attribuite al gruppo sin dal 2021. L’Agence Nationale de la sécurité française (ANSII) e il Cyber Crisis Coordination Centre (C4) hanno raccolto informazioni – tra cui le catene di infezione – che mostrano come l’APT28 abbia svolto operazioni di intelligence strategica verso la Francia (più campagne di cyber spionaggio verso organizzazioni coinvolte nell’organizzazione dei Giochi Olimpici di Parigi), l’Europa, l’Ucraina e il Nord America, nel contesto delle operazioni collegate al conflitto russo-ucraino, tremite spear phishing, domini contraffatti per il furto di credenziali, malware (es. XAgent) sfruttamento di vulnerabilità 0day e attacchi stealth a lungo termine, cui l’obiettivo era arrivare ai settori logistica, difesa e organizzazioni governative.
Immagine: Targeting e compromissione di entità francesi dal 2021.
Fino ad arrivare ai giorni nostri e quindi anche al 2025 APT 28 avrebbe condotto operazioni e attacchi di particolare rilevanza, mantenendo attiva la sua attività collegata allo spionaggio oltre a tentativi di manipolazione politica, dopo anche gli attacchi contro il canale TV5 Monde francese e la campagna Macron Leaks (allora Facebook confermò a Reuters di aver rilevato account di spionaggio in Francia e di averli disattivati). APT28 arriva al 2025 con nuove strategie per aggirare le difese, come l’utilizzo dell’intelligenza artificiale per creare email phishing altamente personalizzate e sfruttando audio e video sintetici per impersonare autorità come politici (come la creazione di account e profili falsi per la diffusione di notizie false). A questi si aggiungono oltre allo sfruttamento di vulnerabilità 0day, strategie di attacco “low-and-slow”, quindi con attività brevi ed intermittenti per evitare il rilevamento.

Tra le nuove strategie per aggirare le difese APT28 mira a dispositivi IoT, telecamere IP, router (poco supervisionati) e dispositivi obsoleti in generale, per stabilire punti di accesso laterali. Tecniche di geofencing vengono utilizzate per colpire obiettivi definiti, varianti modificate di XAgent e HeadLace agiscono in modo “invisibile” sfuggendo ai tradizionali antivirus, mentre le comunicazioni vengono camuffate (es.C2) per rendere il traffico malevolo indistinguibile da quello normale. Tecniche anti-forensi sono mirate alla cancellazione delle tracce con attacchi non persistenti ed un furto selettivo di dati.

Nel maggio del 2025 le agenzie di intelligence occidentali, in un avviso congiunto hanno accusato l’APT28 di “intrusione digitale” – particolarmente intenso tra l’ottobre 2024 e il marzo 2025 – a danno di aziende logistiche e tecnologiche occidentali e accesso illegittimo a “telecamere private in luoghi chiave, come in prossimità dei valichi di frontiera, installazioni militari e stazioni ferroviarie, per tracciare il movimento di materiali verso l’Ucraina”.

Se i report occidentali sembrano allineati sull’attribuzione di APT 28, i report dei ricercatori cinesi tendono a essere più cauti: generalmente questo accade per motivi politici e diplomatici. In una ricerca dell’azienda di sicurezza cinese Antiy Lab appaiono però diferenze sostanziali con le analisi occidentali e si rivelò complementare. Se non compare nessuna attribuzione esplicita alla Russia e al GRU, il report di Antiy è incentrato sulla mitigazione e la difesa, con riferimenti di attacchi in Asia: Anity notò (2022-2023) che alcuni IOCs di apt28 apparicano in paesi BRI, come ad esempio il Kazakistan, Ubzbekistan e contro infrastruttire critiche come energia e trasporti in Asia centrale. L’università di Tsinghua inoltre fece un’analisi statistica degli attacchi APT28 e degli eventi politici paralleli, rivelando picchi di attività prima di summit politici e come gli APT in generale siano strumenti di intelligence, non solo cyber criminali. Inoltre le comparazioni fatte portarono ad un confronto di APT28 con APT10 (cinese), da cui emersero tecniche simili ma obiettivi diversi. Sintetizziamo di seguito le differenze:

Infine quale è la posione russa a riguardo? Ovviamente rigetta ogni accusa del coinvolgimento in operazioni APT28, definendola “propaganda occidentale”: nel 2018 il Ministero degli Affari Esteri bollò le accuse dell’FBI come “infondate e politicamente motivate”, proponendo poi una task force internazionale per indagare sul gruppo. Un report del PIR Center (2020) sostenne che gli IOCs potevano essere falsati. A questo seguì una contro-narrativa che citava operazioni di hacking americane (NSA, Cyber Command). Pratica questa simile a quella cinese riguardo il gruppo Volt Thypoon. Per concludere l’interpretazione russa dell’APT28 è stata quella di “hacktivismo patriottico”, quindi di gruppo indipendente e non controllato direttamente dal governo.

APT28, tattiche, tecniche e procedure (TTPs)

• Ricognizione: abbiamo visto come APT28 conduca ricognizioni di intelligence su fonti aperte (OSINT) susiti web, social media (profilazione), etc.e identifichi sottodomini e infrastrutture email per attacchi di phishing.
• Accesso iniziale: tramite tecniche di spear phishing ed email mirate invia link malevoli per rubare credenziali, sfruttando anche applicazioni esposte e compromettendo fornitori tramite attacchi alla supply chain.
• Esecuzione: le tecniche per eseguire codice malevolo sul sistema della vittima comprendono l’esecuzione di script PowerShell, documenti con macro malevole (es. file Word/Excel) e malware personalizzato (X-Agent, Sofacy o Sednit).
• Persistenza: per mantenere la persistenza vengono utilizzate backdoor, vengono modificate le chiave di registro e distribuite web shell per il controllo da remoto.
• Escalation dei privilegi: vengono utilizzati tool come Mimikatz, sfruttate vulnerabilità e bug o con la tecnica Pass the Hash (PtH) viene utilizzatol’hash della password di un utente per autenticarsi su sistemi o reti, senza dover conoscere la password in chiaro.
• Evasione: le difese vengono evase tramite offuscamento del codice, la disabilitazione degli strumenti di sicurezza e la manipolazione del timestamp.
• Espansione dell’accesso: tramite furto di credenziali (phishing, keylogging e brute force).Vengono così poi individuati gli account con privilegi.

APT28: spear-phishing, Exploit Zero-Days e malware

APT 28 ha subito una forte evoluzione e specializzazione verso il tipo di target che include nelle sue operazione portandolo ad essere uno degli APT piu’ avanzati all’interno dell’ecosistema digitale. Le seguenti componenti rendono il threat model di Fancy Bear tra i più complessi sia da prevenire che da individuare richiedendo una evoluzione da parte dei blue team.

Spear-Phishing

Il metodo principale di delivery offerto da APT28 e che risulta essere in continuo cambiamento cercando di distaccarsi da pattern potenzialmente individuabili che potrebbero compromettere le loro operazioni. Da quando Fancy Bear e’ apparso nell’ecosistema APT piu’ di 10.000 email di tipo spear-phish sono state rivendicate al gruppo mostrando un forte interesse ad ottenere accesso iniziale tramite questa tecnica. Uno degli esempi piu’ completi che si hanno a riguardo e’ stato pubblicato da ISC Diary Entry contenente una email usata in Europa e Nord America (ministro degli esteri di vari nazioni come apparente vittimologia) nel 2018.

Gli attaccanti hanno utilizzato come pretext un invito da parte di Jane’s (IHSMarkit), azienda specializzata nella Security Intelligence e sicurezza nazionale. L’invito e’ stato posto sotto forma di file XLS.

L’email di origine si mostrava essere events@ihsmarkit.com ma uno studio preciso sugli header mostrarono come tale indirizzo email fosse stato spoofato dagli operatori di APT28. Per forzare la vittima all’attivazione delle macro sul documento excel i font del documento erano settati sul bianco in maniera tale da essere illeggibili con lo sfondo. Per poter visionare il contenuto fu necessario l’attivazione delle macro che avrebbero cambiato il font coloro in nero tramite ActiveSheet.Rand(“a1:c54”).Font.Color = vbBlack e dato inizio alla catena per l’initial access.

In una posizione “nascosta” (celle lontane dal contenuto lecito) veniva collocato contenuto in base64 all quale venivano aggiunti all’inizio ed alla fine i valori

– – – – -BEGIN CERTIFICATE- – – – – e – – – – -END CERTIFICATE- – – – – ed infine salvate con estensione .txt. Il contenuto ottenuto e’ un certificato di tipo PEM che una volte decodificato (tramite certutil.exe -decode [target.exe])e salvato in un file .exe chepuo’ essere eseguito ottenendo così accesso alla workstation della vittima. In questo caso specifico il file eseguito e’ un dropper che permette il download di un’ulteriore payload di tipo DLL contenente JHUHUGIT, malware comunemente utilizzato da APT28 nelle prime fasi dei loro attacchi.

Per evidenziare ulteriormente l’eterogenita’ dei metodi usati con lo spear-phishing analizziamo un caso appartenente al 2023, 5 anni dopo il caso studio appena proposto. Nell’arco temporale del 15 e 25 Dicembre, una lunga serie di email contenenti link fraudolenti sono stati inviati a diverse organizzazioni governative occidentali.
Fonte immagine: Trellix
Tali link, una volta cliccati, forzano una GET request ad un dominio sotto controllo di FancyBear contenenti tag atti ad abusare il protocollo search-ms di Windows.
Fonte immagine: Trellix
L’unico ostacolo tra questo dominio e quello indicato dall’URL all’interno del codice JavaScript e’ un prompt del browser necessario per la continuazione della killchain.

Una volta consentito l’accesso tramite Windows Explorer verra’ presentato il file indicato nella query forzata nella GET request iniziale, hostata tramite WebDAV. In questo specifico caso veniva eseguita una richiesta di tipo PROPFINDche permette di ottenere informazioni (“properties”) su uno specifico file (rispetto alla query di partenza) sotto forma di formato XML come risposta dal server. Tramite questa tecnica viene forzato il download di un file di tipo .LNK (Windows ShortCuts) che, attraverso cambio di icona e nomenclature fuorvianti, ingannano l’user ad eseguire un file hostato su una macchina remota controllata da FancyBear.

Lo stesso abuso del protocollo MS-SEARCH e’ stato osservato da IBM nel 2024 su vittime governative ed NGO in Polonia, Ucraina, USA ed altri paesi appartenenti alla regione CIS.I pretext in questa campagna variano dalla proposta/descrizioni di investimenti in ambito militare fino ad avvisi di cambi di legislatura in diversi ambiti governativi. Sempre in questa campagna nella fase di deploy venivano scaricati illecitamente codici ed interprete Python permettendo l’esecuzione dei programmi anche su macchine Windows sprovviste di tale feature mascherandosi allo stesso tempo dietro ad eseguibili leciti e firmati.

Innumerevoli varianti sull’uso dello spear-phishing sono state identificati in natura includendo l’uso di WebHook, exfiltration di Hash NTLMv2 o download di file ZIP. Il gruppo ha utilizzato pretext riguardo convegni, incontri o documenti informativi riguardo la guerra in Ucraina e il conflitto Israelo-Palestinese con template similari a quelli usati da organizzazioni lecite.

Tali indagini portano alla luce 3 aspetti fondamentali di FancyBear riguardo allo Spear-Phishing:

1. Al di fuori degli aspetti tecnici ogni campagna viene accompagnata da uno studio estensivo sul tipo di organizzazioni e potenziali stakeholder nello stesso settore/ambiente delle vittime. Questo approccio permette pretext, creazione di documenti e contenuti di questi ultimi convincenti.
2. APT28 sembra rimanere aderente all’uso di documenti allegati ad email inviate alle diverse organizzazioni. Inoltre un forte studio sulle diverse componenti e servizi offerti da Windows permettono una metodologia Living-Off-The-Land e de-chaining che combinate offrono un buon livello di evasione richiedendo un approccio attivo che non si consumi alla mera installazione di software AV/EDR.
3. Il gruppo ha mostrato una evoluzione nel tempo su tutto il processo di spear-phishing e nella infrastruttura usata. In attacchi più recenti, ad esempio, l’infrastruttura di FancyBear conteneva script per la verifica della geolocalizzazione tramite indirizzo IP andando a mostrare contenuto lecito in caso le vittime non rientrino in quelle designate dalla operazione in essere.

Exploit Zero-Days

Le capacita’ operative di APT28 sono caratterizzata da una forte ricerca e sviluppo a livello tecnico ed informativo, tra questi l’abuso di vulnerabilità 0-day e 1-day e’ uno degli aspetti piu’ importanti da visualizzare nel threat model del collettivo russofono.

Nel mese di Maggio 2025 sono stati osservati attacchi da parte di FancyBear abusando di diverse vulnerabilità di RoundCube (CVE-2020-12641, CVE-2020-35730 e CVE-2021-4026) su target governativi nell’est Europa. Nello scorso Novembre è stata patchata la vulnerabilita’ (XSS) di MDaemon con nomenclatura CVE-2024-11182, quest’ultima è stata abusata come 0-day per la prima volta dal gruppo. La XSS veniva triggerata tramite e-mail causando l’esecuzione di codice JavaScript iniettato dall’attaccante nel body HTML. Ulteriormente nel 2022 gli operatori APT28 sono riusciti ad abusare di una vulnerabilità 0-day di Outlook mitigata solamente nel Marzo 2023 che permetteva il bypass della autenticazione e privilege escalation senza interazione utente (CVE-2023-23397, score CVSS 9.8).

L’interesse nell’ottenimento (o sviluppo) di exploit non documentati risale agli albori del gruppo, nel 2017 la CVE-2017-0262 (RCE in sistemi EPS) e CVE-2017-0263 (privilege escalation in Windows) sono state attribuite entrambi ad APT28. Nell’Ottobre 2022 una vulnerabilità del Windows Print Spooler (CVE-2022-38028) è stata risolta ed individuato il suo utilizzo dalla fine 2019/inizio 2020 da parte di FancyBear per il deployment del malware GooseEgg.

Nel tempo il gruppo ha investito le proprie risorse nella scoperta di bug e potenziali exploit non documentati non solo per evitare l’identificazione di attacchi ma anche per esporre un alto numero di vittime a potenziali operazioni. L’unione di exploit pubblici e la capacità di creare 0-day rende il potenziale di APT28 estremamente adattabile e difficile da definire nel breve termine. Secondo Mandiant(nel 2021-2022) il “time-to-exploit” (TTE) degli attaccanti in-the-wild sta diminuendo nel tempo permettendo una weaponization veloce dalla pubblicazione di una vulnerabilità (nel 2018-2019 il TTE era di 63 giorni mentre nel 2021-2022 di soli 32) mentre le mitigazioni possono venire attuate da 1 settimana ad un mese dai primi abusi scoperti. Viene richiesto dalle organizzazioni di trovare diverse mitigazioni verso minacce che tendono a sviluppare 0-day mettendo alla prova la resilienza dei sistemi impattati.

Malware

In tutte le fasi degli attacchi perpetrati da FancyBear sono stati osservati diversi malware custom utilizzati per il raggiungimento di obiettivi operativi. Questo lato di APT28 rimane tra i più dinamici e difficile da prevenire se non basandosi sugli obiettivi di questo tipo di attaccanti.

• X-AGENT

Uno dei primi malware di FancyBear osservati in natura (prime apparizioni nel 2015), si tratta di un Trojan modulare che può operare su Windows, Unix e iOS. Varianti di X-AGENT per sistemi Android sono state osservate in operazioni contro target Ucraini per il tracciamento di artiglieria. Il malware viene installato nelle fasi second-stage e permette l’estrazione di file (ed informazioni per la fase di enumeration) ad un C2 remote e logging di attività dell’utente. Le versioni più recenti di X-AGENT (nello specifico le versioni per MacOS) permettevano l’upload di file, keylogging e ottenimento di credenziali. Non sono disponibili samples da analizzare (per lo meno pubblici) lasciando ipotizzare una pulizia manuale sulle macchine delle vittime infettate. X-AGENT veniva spesso utilizzato assieme ad X-TUNNEL, un relay livello network che permetteva di inviare traffico di rete della vittima ad un proxy esterno controllato dagli attaccanti.

• HEADLACE

Scoperto la prima volta dal CERT-UA ed utilizzato come strumento principale nelle campagne del 2024, HEADLACE e’ uno speciale tipo di backdoor con un forte focus sulla furtività. Una volta eseguito il malware sfrutta Microsoft Edge in modalità headless per ottenere payload dal C2, assieme ad altri file generati l’eseguibile entra in loop dalla quale continua a richiedere file remoti contenenti il necessario per eseguire payload fetchato da remoto. Per ogni file ottenuto viene spostato, rinominato, eseguito ed in conclusione eliminato togliendo potenziali tracce all’interno dei sistemi infettati. La risposta contenente l’output dei comandi indicato dal C2 viene inviato in maniera analoga. È stato osservato che l’utilizzo di HEADLACE viene comunemente usato per poter installare malware aggiuntivi nelle fasi avanzate delle operazioni.

• MASEPIE

MASEPIE è un malware in python che viene spesso installato assieme ad un interprete python per poter essere eseguito. MASEPIE contiene alcune caratteristiche comuni ad HEADLACE con un funzionamento similare. MASEPIE si differenzia da HEADLACE offrendo la possibilità di una interazione piu’ generica (come comandi PowerShell). Sia MASEPIE che HEADLACE sono stati utilizzati nella recente campagna di Maggio 2025.

• STEELHOOK

Infostealer specifico per browser Chrome e Microsoft Edge utilizzato nelle fasi secondari degli attacchi, spesso utilizzati tramite MASEPIE ed HEADLACE. STEELHOOK è composto da un singolo script powershell capace di raccogliere cronologia, credenziali salvate, cookies di autenticazione ed altre informazioni sensibili. Una volta raccolti dati questi vengono codificati in base64 ed inviate al C2 remoto, utilizzato assieme al resto degli strumenti di APT28 permette un furto veloce e furtivo.

• OCEANMAP

Ulteriore backdoor ma programmata in C# spesso rinominata VMSearch.exe prima di essere installata sulla vittima. Questa backdoor sembrerebbe essere usata per long-term persistence andando a creare un file .URL e salvarlo nella StartUp directory in modo da eseguire OCEANMAP ad ogni restart del sistema. OCEANMAP si basa sul protocollo IMAP per poter comunicare con il C2 (Mail Server) alla quale utilizzera’ un set di credenziali con la quale loggarsi. Una volta eseguito il login con successo OCEANMAP entra nella seconda fase di esecuzione dove l’operatore crea nella cartella delle bozze (Draft) dell’account utilizzato dallo specifico eseguibile OCEANMAP dove tramite una formattazione personalizzato si va ad inserire il comando da far eseguire alla vittima. OCEANMAP risulta essere un malware dalla logica mediamente complessa mantenendo un codice semplice e pulito, l’utilizzo del protocollo IMAP riesce a mimetizzarsi con traffico lecito mettendo in difficoltà gli sforzi per l’individuazione di comunicazioni illecite.

– – – – – – – – – – – – –

Si può notare come APT28 cerchi di essere il più dinamico possibile nella scelta di design dei suoi strumenti ed allo stesso tempo si mantenga il più possibile orientato all’uso di strumenti/protocolli leciti. Ogni componente delle loro operazioni contiene algoritmi di obfuscation custom che vengono poi de-obfuscati solo una volta raggiunta la macchina bersagliata. In diverse campagne sono state notate varianti di malware usati in precedenza mostrando come FancyBear vada a migliorare i suoi strumenti ampliandone le capacità e diminuendo la detection rate.

APT28: rilevazione di un attacco, mitigazione e difesa

Numerose organizzazioni continuano a utilizzare metodi tradizionali per difendersi dalle minacce informatiche. Tuttavia queste strategie risultano efficaci contro attacchi convenzionali, ma si dimostrano meno adeguate di fronte alle minacce persistenti avanzate (APT), che sono orchestrate da gruppi di criminali informatici altamente specializzati, spesso supportati da governi, che dispongono di risorse e tempi praticamente illimitati per portare avanti le loro operazioni.

In questa sezione cerchiamo di capire quali organizzazioni sono il target preferito dell’APT28, quali percorsi vengono utilizzati per colpire tali organizzazioni, quali azioni intraprendono, come ci si può difendere e come testare il piano di risposta per mitigare i rischi.

APT28 prende di mira settori strategici legati alla sicurezza nazionale, all’intelligence, alle infrastrutture critiche e alle comunicazioni, con un focus particolare su obiettivi europei, NATO e Ucraina, utilizzando tecniche avanzate di cyber spionaggio e attacchi mirati. Tra i settori: militare e difesa, governo e istituzioni pubbliche, media e comunicazione, logistica e trasporti, energia, aerospaziale, hospitality, tecnologia e IT.

Rilevazione: è importante monitorare attività sospette come il phishing mirato, movimenti laterali nelle reti, uso di malware (es. GooseEgg o Graphite), e comunicazioni anomale verso domini legittimi usati come server di comando e controllo (es. OneDrive, Microsoft Graph API). Tra i comportamenti sospetti l’utilizzo di tecniche living-off-the-land, persistenza in alcune campagne, esfiltrazione dati criptata e cancellazione delle tracce. Tra le tecniche di attacco note: vulnerabilità zero-day, phishing con allegati malevoli, brute-force su webmail e compromissione di dispositivi periferici poco controllati.

Mitigazione: aggiornare regolarmente sistemi e applicazioni per correggere vulnerabilità critiche sfruttate, separare eventualmente le reti aziendali da quelle degli ospiti o periferiche, implementare l’autenticazione a più fattori (MFA), limitare i privilegi degli utenti e monitorare tentativi di accesso sospetti (posta elettronica e VPN). Monitoraggio e rilevamento delle intrusioni (IDS/IPS), analisi comportamentale e threat intelligence per identificare attività anomale. Punto importante: formare gli utenti ed educarli su come riconoscere il phishing.

Difesa: è importante predisporre un piano di risposta agli incidenti che includa la comunicazione tempestiva con le autorità competenti (es. CERT), come aggiornare la threat intelligence per anticipare, monitorare i punti di accesso dispositivi edge, IoT e router e verificare la corretta impostazione dei servizi Cloud.

Attribuzione, relazioni e somiglianze con altri gruppi

Tra i principali gruppi collegati ad APT28 è APT29 (Cozy Bear, The Dukes, CozyDuke, YTTRIUM) ritenuto invece più vicino ad altri servizi russi come FSB e SVR: entrambi colpiscono obiettivi governativi, militari e diplomatici, soprattutto in Europa e Stati Uniti.Quindi anche se distinti sono ritenuti complementari e al servizio degli interessi dell’intelligence. APT28 compare spesso collegato a conflitti aperti mentre APT29 appare più cauto e metodico, con attacchi in più fasi che possono durare anche per mesi: proprio così ha recentemente preso di mira i governi del Tagikistan attraverso uno cyber-spionaggio furtivo.

Altro cluster relazionato con APT28 come cellula che sovrappone obiettivi, tecniche e strumenti è UAC-0063 / TAG-110, individuato in Asia centrale e Ucraina. Altri gruppi che sembrano operare in coordinamento sono Sandworm, Turla o Gamaredon, tuttavia spesso si verificano false flag e copycat.

L’attribuzione di attacchi da parte di APT è uno degli aspetti più complicati che rappresenta parte della complessità che si affronta con minacce di questo tipo. APT28 (come APT29 aka CozyBear) sembrerebbe coordinare operazioni (molto comune l’utilizzo di diversi Bear-APT in operazioni di election-influence) con altre minacce andando a complicare ulteriormente il riconoscimento degli attaccanti basandosi sulle investigazioni e le fasi di incident response. Inoltre gli APT tendono ad aggiungere “dots” per complicare le indagini mascherando i loro obiettivi ed attività.

Phishing e spear-phishing

Il phishing (e spear-phishing) con allegati è una metodologia comune ad altri Bear-APT come APT29 (operazioni WINELOADER e GRAPELOADER) ed APT44 (SANDWORM). Contrariamente ad attori money-oriented, gli APT tendono a cambiare infrastrutture in maniera repentina evitando di essere bloccati tramite uno studio degli IOCs di rete. APT28 ha speso molte risorse per la creazione di Botnet compromettendo router in Europa e Nord America aumentando la loro potenza di attacco mantenendo allo stesso tempo un basso profilo.

APT28 evita categoricamente qualsiasi tipo di informazione finanziaria nelle organizzazioni impattate concentrandosi unicamente sull’obiettivo delle loro campagne. Questo permette a gruppi come FancyBear di poter ragionare in maniera differente, ad esempio, da minacce di tipo ransomware che per ottenere il maggior impatto possibile orientano i loro sforzi su obiettivi più rumorosi (eg:/ accesso al domain administrator, chiusura di processi). APT28 e similari tendono a muoversi per l’ottenimento di file/dati sensibili il che richiede l’ottenimento di obiettivi non sempre monitorati in maniera opportuna (eg:/ credenziali di accesso ad indirizzi email, accesso a server file sharing) senza la necessità di avere controllo totale sull’ambiente della vittima. Alla luce di ciò viene richiesto un controllo granulare e specifico al threat model delle organizzazioni che oltre ad aggiornamenti sulle TTP degli APT (o altre minacce simili) necessitano di un approccio proattivo e preparazioni di piani di contenimento del danno.

Matrice Living-Off-The-Land

La matrice Living-Off-The-Land dei malware e delle attivita’ di FancyBear complica la situazione per organizzazioni con una postura di sicurezza insufficiente. È necessario limitare l’uso di specifici binari Windows che potrebbero essere abusati (eg:/ mshta.exe, certutil.exe, wscript.exe), monitorare ed implementare un sistema di logging efficiente. In base alle necessità dei diversi utenti si può restringere il campo d’azione di tali binari tramite GPO o whitelisting, quelli non necessari alle funzioni dell’utente andrebbero disabilitati per ridurre il range da monitorare. Una mala gestione nel monitoraggio di questi binari può portare ad un alto numero di falsi positivi richiedendo un giusto bilancio tra uso e sicurezza.

Per la detection dei tool utilizzati si richiede una somma di diverse tecniche per poter proteggere i propri asset dagli attacchi di minacce come FancyBear. Tra behavioural analysis avanzate e le tradizionali euristiche (eg:/ creazione di file in C:\Temp o eseguibili in %APPDATA%) giocano un ruolo importante nella individuazione di pattern maligni attribuibili ad APT28 mentre disinibire determinate locazioni all’interno del sistema operativo può prevenire i sistemi da essere infettati, specialmente nelle prime fasi della killchain.

Powershell

Limitare l’utilizzo di PowerShell (abilitando la Constrained-Language mode) ed i suoi comandi risulta essere uno dei metodi principale per iniziare a migliorare la postura delle organizzazioni, specialmente nelle macchina dove PowerShell non è utilizzato direttamente dall’utente. Allo stesso modo dei sanity-check settimanali/mensili su specifiche location del sistema operativo possono individuare file o pattern sospetti facendo iniziare delle indagini che possono potenzialmente disabilitare le capacità degli attaccanti nelle prime fasi delle loro operazioni.

In conclusione bisogna aderire alla cultura del Red Teaming ed Adversarial Emulation per poter testare le capacita’ del Blue Team nei suoi diversi task. Con la collaborazione del red e blue team si possono andare a raffinare il threat model e i sistemi di sicurezza della organizzazione che andrebbero ignorati in un semplice vulnerability assessment o penetration test, i processi dei difensori devono essere messi alla prova in modo attivo e basato su cosa si necessita proteggere (eg:/ documentazione interna, informazioni sui dipendenti, protezione delle attività) e da chi. Tramite questi test si riesce non solo a riconoscere il livello di visione del blue team ma anche di testare i comportamenti di quest’ultimo di fronte ad una minaccia valutando anche la loro capacità di limitare il danno. Vulnerability Assessment, penetration test ed ingaggi di tipo red teaming hanno differenti scopi e non vanno sostituiti l’un l’altro, sta alle singole organizzazioni valutare quando richiedere uno di questi servizi ma e’ fondamentale testare le proprie difese una volta implementate.

L'articolo APT28 analisi di una minaccia persistente: TTPs, attribuzione, somiglianze, mitigazione e rilevamento proviene da il blog della sicurezza informatica.

Monday, the Cambridge Public Safety Committee hosts a hearing to examine Cambridge’s use of ShotSpotters. You can attend in person, via Zoom or email testimony. Meeting details, including how to sign up to testify, are up now.

We especially urge Cambridge Pirates to speak against ShotSpotters, but if you live or work near Cambridge, please come by to speak or attend remotely.

masspirates.org/blog/2025/05/3…

In a marvelous college lecture in front of a class of engineering students, V. Hunter Adams professed his love for embedded engineering, but he might as well have been singing the songs of our people – the hackers. If you occasionally feel the need to explain to people why you do what you do, at fancy cocktail parties or something, this talk is great food for thought. It’s about as good a “Why We Hack” as I’ve ever seen.

Among the zingers, “projects are filter removers” stuck out. When you go through life, there are a lot of things that you kinda understand. Or maybe you’ve not even gotten around to thinking about whether you understand them or not, and just take them for granted. Life would all simply be too complicated if you took it all sufficiently seriously. Birdsong, Bluetooth, the sun in the sky, the friction of your car’s tire on various surfaces. These are all incredibly deep subjects, when you start to peel back the layers.

And Hunter’s point is that if you are working on a project that involves USB, your success or failure depends on understanding USB. There’s no room for filters here – the illusion that it “just works” often comes crashing down until you learn enough to make it work. Some of his students are doing projects cooperatively with the ornithology department, classifying and creating birdsong. Did you know that birds do this elaborate frequency modulation thing when they sing? Once you hear it, you know, and you hear it ever more.

So we agree with Hunter. Dive into a project because you want to get the project done, sure, but pick the project because it’s a corner of the world that you’d like to shine light into, to remove the filters of “I think I basically understand that”. When you get it working, you’ll know that you really do. Hacking your way to enlightenment? We’ve heard crazier things.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/05/31/pullin…

It would be hard to find any electronics still in production which use CRT displays, but for some inscrutable reason it’s easy to find cheap 4-inch CRTs on AliExpress. Not that we’re complaining, of course. Especially when they get picked up for projects like this Retro CRT Weather Display from [Conrad Farnsworth], which recreates the interface of The Weather Channel’s WeatherStar 4000+ in a suitably 90s-styled format.

The CRT itself takes up most of the space in the enclosure, with the control electronics situated in the base behind the display driver. A Raspberry Pi Zero W provides the necessary processing power, and connects to the CRT through its composite video output.

A custom PCB plugs into the GPIO header on the Raspberry Pi and provides some additional features, such as a rotary encoder for volume and brightness display, a control button, a serial UART interface, and a speaker driver. The design still has one or two caveats: it’s designed to powered by USB, but [Conrad] notes that it draws more current than USB 2.0 can provide, though USB-C should be able to keep up.

On the software side, a Python program displays a cycle of three slides: local weather, regional weather, and a radar display. For the local and regional weather display graphics, [Conrad] created a static background image containing most of the graphics, and the program only generated the dynamic components. For the radar display, the regional map’s outlines come from Natural Earth, and a Python program overlays radar data on them.

We’ve seen other attempts at recreating the unique style of the WeatherStar system, but nothing quite beats the real thing.

youtube.com/embed/hUSNxKH7OT0?…

hackaday.com/2025/05/31/a-crt-…

La divisione russa del colosso tecnologico americano Microsoft si prepara alla bancarotta. La società “Microsoft Rus” ha notificato ufficialmente la sua intenzione di presentare una domanda corrispondente alla Corte arbitrale di Mosca tramite il portale “Fedresurs”.

La decisione di fallimento è stata la conclusione logica di un lungo periodo di controversie legali iniziato dopo l’uscita di Microsoft dal mercato russo nel marzo 2022. La società americana è stata tra le prime grandi aziende tecnologiche ad annunciare la cessazione delle operazioni in Russia a causa delle sanzioni internazionali.

Nei primi cinque mesi del 2025, le aziende russe hanno intentato quattro cause legali contro Microsoft Rus per un totale di circa 110 milioni di rubli. Si tratta di un aumento significativo rispetto agli anni precedenti: nel 2024 l’importo delle richieste era di soli 26,6 milioni di rubli, mentre nel 2023 ha raggiunto i 170 milioni.

Tra le aziende che chiedevano risarcimenti c’erano le più grandi società e banche russe. VTB, MegaFon, Gazprombank, Lenta, Severstal e Uralkali chiedono il rimborso delle somme spese per servizi che Microsoft non è più in grado di fornire. Le principali lamentele riguardano la fine improvvisa dei rinnovi degli abbonamenti aziendali a Microsoft 365, che comprende applicazioni per ufficio, servizi cloud e posta elettronica aziendale.

Ci sono già le prime decisioni giudiziarie: a febbraio, il tribunale ha ordinato a Microsoft Rus di pagare alla catena di vendita al dettaglio Lenta 16 milioni di rubli. I casi rimanenti sono in sospeso, ma le prospettive per la società americana appaiono cupe.

Microsoft ha definitivamente chiuso le sue attività in Russia, chiudendo filiali in 13 città, tra cui Mosca, San Pietroburgo, Ekaterinburg e Novosibirsk, a dicembre 2024 e gennaio 2025. L’azienda ha anche interrotto il supporto per i servizi cloud e per Skype Messenger, lasciando le organizzazioni russe senza supporto tecnico e aggiornamenti di sicurezza.

La situazione di Microsoft rientra in un processo più ampio di abbandono della Russia da parte delle aziende tecnologiche occidentali. Gli esperti hanno registrato un massiccio deflusso di aziende russe dalle e-mail aziendali di Google e Microsoft: nel corso di un anno, l’abbandono da Gmail è stato del 26% e da Outlook del 40%. Ciò ha creato serie sfide per le aziende russe, che sono state costrette a cercare alternative alle soluzioni tradizionali.

Il fallimento di Microsoft Rus potrebbe creare un precedente per altre aziende informatiche occidentali che hanno annunciato la loro partenza, lasciando però entità giuridiche in Russia con obblighi inadempiuti. La struttura Microsoft in Russia comprende altre tre società: Microsoft Development Center Rus, Microsoft Mobile Rus e Microsoft Payments Rus. Non è ancora noto se siano in programma iniziative simili.

Per gli utenti russi, la bancarotta significherebbe la fine definitiva di qualsiasi supporto per i prodotti Microsoft. Le aziende che utilizzano ancora software con licenza di uno sviluppatore americano saranno costrette a passare alle controparti russe o a cercare altre soluzioni. Il governo sta promuovendo attivamente la sostituzione delle importazioni nel settore IT, ma il processo di transizione verso piattaforme nazionali richiede tempo e risorse ingenti.

L'articolo Fallisce Microsoft in Russia: addio ufficiale dopo sanzioni e cause milionarie proviene da il blog della sicurezza informatica.

A treadmill-style bed can be a great addition to a 3D printer. It allows prints to be shifted out of the build volume as printing continues, greatly increasing the size and flexibility of what you can print. But [Ivan Miranda] and [Jón Schone] had a question. Instead of making a treadmill to suit a 3D printer, what if you just built a 3D printer on top of a full-size treadmill?

The duo sourced a piece of real gym equipment for this build. They then set about building a large-scale 3D printer on top of this platform. The linear rails were first mounted on to the treadmill’s frame, followed by a gantry for the print head itself and mounts for the necessary stepper motors. The printer also gained a custom extra-large extruder to ensure a satisfactory print speed that was suitable for the scale of the machine. From there, it was largely a case of fitting modules and running cables to complete the printer.

Soon enough, the machine was printing hot plastic on the treadmill surface, thereby greatly expanding the usable print volume. It’s a little tricky to wrap your head around at first, but when you see it in action, it’s easy to see the utility of a build like this, particularly at large scale. [Ivan] demonstrated this by printing a massive girder over two meters long.

We started seeing attempts at building a belt-equipped “infinite build volume” printer back in 2017, and it took awhile before the concept matured enough to be practical. Even today, they remain fairly uncommon.

youtube.com/embed/0rWxUpknTG0?…

hackaday.com/2025/05/31/making…

Se c’è un nome che nel 2025 continua a campeggiare con crescente insistenza nei report di incident response, nei feed di threat intelligence e nei blog degli analisti di cybersicurezza, è quello del gruppo Akira. Questo collettivo criminale, nato apparentemente dal nulla nel 2023, ha saputo in poco più di un anno scalare la gerarchia del ransomware-as-a-service (RaaS), costruendo un’infrastruttura solida, sofisticata e altamente redditizia.

Secondo quanto emerso dall’ultima intelligence card pubblicata da Recorded Future, Akira non è solo uno dei tanti nomi della galassia ransomware: è oggi uno degli attori più attivi, persistenti e pericolosi in circolazione. E dietro al nome – che evoca anime e distopie futuristiche – si cela una realtà ben più concreta: attacchi su larga scala, vittime illustri, una capacità adattiva degna di un APT e, soprattutto, una strategia operativa letale.

Crescita esponenziale e allarmi nella threat landscape globale

Partiamo dai numeri, perché i numeri non mentono: negli ultimi 30 giorni sono stati registrati 4.506 riferimenti a cyber attacchi correlati al gruppo Akira. Un balzo del +151% rispetto al mese precedente.

Questi dati non solo testimoniano una crescita allarmante, ma raccontano una tendenza: Akira sta diventando il nuovo volto dell’estorsione digitale, sfruttando strumenti moderni e metodologie raffinate, spesso in sinergia con partner affiliati nel dark web.

Un’eredità tossica: da Conti a Akira

Le analisi condotte su larga scala rivelano che il gruppo Akira presenta forti similitudini a livello di codice con il defunto gruppo Conti, noto collettivo filo-russo smantellato nel 2022 dopo una massiccia fuga di dati interni. Gli sviluppatori di Akira, identificati anche con l’alias Storm-1567, sembrano aver ripreso parte del codice sorgente di Conti, adattandolo a nuove esigenze e, soprattutto, integrandolo in una catena di attacco compatibile sia con Windows che con ambienti Linux/ESXi.

La prima variante Windows è stata individuata nel marzo 2023, seguita da una versione per sistemi Linux nel luglio dello stesso anno, con target espliciti verso server VMware ESXi, tipici degli ambienti aziendali virtualizzati.

Akira Attack Chain: l’autopsia di un attacco perfetto

Ogni attacco Akira si articola in una sequenza operativa meticolosa, ben rappresentata nello schema seguente tratto dall’analisi Recorded Future:

1. Phishing email: l’entry point più classico, ma ancora straordinariamente efficace. Vengono utilizzate tecniche di social engineering avanzate, spesso mascherate da messaggi legittimi (ordini, fatture, documenti HR).
2. Commandline scripting: una volta ottenuto l’accesso, vengono eseguiti script tramite PowerShell o cmd per iniziare la fase di dropper.
3. Registry manipulation: modifiche mirate al registro di sistema per garantire persistenza e disabilitare componenti di sicurezza.
4. Disabling defenses: vengono disattivati antivirus, EDR e tool di monitoraggio. Akira non vuole resistenza.
5. Credential harvesting: dump di LSASS, uso di Mimikatz e brute force, anche offline.
6. Network scanning: strumenti come Advanced IP Scanner e Sharphound mappano la rete e i gruppi di sicurezza.
7. Lateral movement: sfruttamento di credenziali e strumenti di remote desktop come AnyDesk, RustDesk o tunnel via Cloudflare.
8. Data collection: raccolta massiva di file sensibili, documenti legali, database, mail e file di backup.
9. Exfiltration: esfiltrazione dei dati verso server controllati o via canali cifrati (SFTP, FTP, proxy).
10. Ransomware deployment: cifratura finale con algoritmo personalizzato, estensione “.akira”, e rilascio del file di riscatto.

Le tecniche MITRE ATT&CK utilizzate da Akira

La completezza tecnica dell’approccio di Akira è impressionante, come evidenziato nella mappa MITRE ATT&CK fornita da Recorded Future:

Tra i punti salienti:

• T1078 – Valid Accounts: uso di account compromessi.
• T1133 – External Remote Services: sfruttamento di RDP, VPN non sicure e VNC.
• T1190 – Exploit Public-Facing Application: uso di exploit noti come CVE-2021-21972 e CVE-2023-27532.
• T1566 – Spearphishing: sia tramite allegati che link.
• T1059.003 – Windows Command Shell: scripting malevolo.
• T1547.009 – Shortcut Modification: alterazione dei collegamenti di avvio.
• T1003.001 – LSASS Memory Dump: estrazione delle credenziali.
• T1041 – Exfiltration Over C2 Channel: esfiltrazione in tempo reale.

Vittime illustri, settori bersaglio, impatti devastanti

Tra le vittime documentate troviamo aziende del calibro di Nissan Motor, Panasonic, Hitachi Vantara, ma anche istituti scolastici come l’Edmonds School District e società nel settore legale e bancario. Nessuno è immune. Dalla PMI al colosso internazionale, l’unico denominatore comune è la vulnerabilità.

Akira dimostra di non discriminare per geografia o dimensioni, ma solo per potenziale di ricatto: più dati sensibili ha, più alto sarà il riscatto.

Considerazioni finali: il ransomware non è più un’eccezione, è un modello

L’operatività di Akira rappresenta la quintessenza del ransomware moderno: flessibile, modulare, basato su affiliate e infrastrutture dark web, capace di colpire con precisione chirurgica. Non si tratta più di un “evento malevolo” isolato, ma di una vera e propria industria criminale, con tanto di helpdesk, politiche di prezzo, SLAs di pagamento e persino “sconti” per chi collabora.

Cosa possiamo fare?

1. Abbandonare la reattività: il tempo della difesa passiva è finito. Serve threat hunting proattivo.
2. Investire nella formazione: le mail di phishing non si fermano da sole. Serve awareness.
3. Rafforzare gli endpoint: EDR, MFA, segmentazione e backup offline.
4. Fare intelligence: piattaforme come Recorded Future offrono visibilità e contesto, e dovrebbero far parte della routine operativa di ogni SOC.

In conclusione

Akira è il risultato di una perfetta alchimia criminale: codice solido, distribuzione capillare, obiettivi chiari. E come ogni virus ben costruito, si adatta, apprende, persiste.

L’unico antidoto? Essere un passo avanti. E per farlo, bisogna smettere di pensare come vittime e iniziare a ragionare come bersagli mobili consapevoli.

L'articolo Akira Ransomware Group: l’ascesa inarrestabile di un predatore digitale proviene da il blog della sicurezza informatica.

Un bug del software nel servizio VoLTE ha permesso di tracciare la posizione di decine di milioni di utenti della compagnia di telecomunicazioni britannica Virgin Media O2, tra cui i clienti di Giffgaff e Tesco Mobile, collegati alla stessa infrastruttura.

La vulnerabilità è passata inosservata finché non è stata scoperta dall’ingegnere Dan Williams, dopodiché le informazioni sono state trasmesse all’Information Security Office (ICO) del Regno Unito e all’ente regolatore delle comunicazioni Ofcom.

Il problema ha interessato tutti i dispositivi con le chiamate 4G abilitate. Chiunque disponga di una scheda SIM Virgin Media O2 potrebbe ottenere gli identificatori tecnici delle chiamate (prefissi e ID delle celle) e utilizzarli per determinare a quale stazione base era connesso l’abbonato chiamato. Nelle aree densamente popolate, dove le celle sono molto vicine, la precisione della geolocalizzazione potrebbe raggiungere fino a 100 metri quadrati.

Il ricercatore ha affermato di aver inviato una notifica all’operatore a marzo, ma di non aver ricevuto risposta fino a maggio, quando ha pubblicato un post sul blog. Ha espresso delusione per la risposta dell’azienda e ha sottolineato che la sua motivazione era la sicurezza, non il confronto con l’operatore.

Virgin Media O2 ha dichiarato di aver risolto rapidamente il problema dopo essere stata avvisata e che per intervenire era necessaria una formazione tecnica specialistica. Allo stesso tempo, l’operatore ha riconosciuto che la vulnerabilità potrebbe essere esistita fin dall’introduzione del software nel 2023, ma non ha indicato la durata esatta della sua validità.

L’azienda ha sottolineato che gli utenti non devono intraprendere alcuna azione e non è stata trovata alcuna prova che la vulnerabilità sia stata sfruttata al di fuori del blog tecnico dello specialista. I rappresentanti hanno aggiunto che non vi è stata alcuna compromissione della rete esterna e che tutte le informazioni sono disponibili solo all’interno dell’infrastruttura stessa.

Williams condusse un esperimento per dimostrare la portata della minaccia: con l’aiuto di un volontario, anche lui abbonato all’O2, riuscì a determinare la sua posizione approssimativa nel centro di Copenaghen. Ha affermato che disabilitare la funzione di chiamata 4G potrebbe eliminare il rischio, ma su alcuni dispositivi, tra cui l’iPhone, ciò non è possibile.

L’operatore Giffgaff, che utilizza anch’esso l’infrastruttura O2 di Virgin Media, ha rifiutato di rilasciare dichiarazioni. Tesco Mobile, i cui clienti potrebbero essere stati anch’essi colpiti, non ha fornito alcuna risposta alle domande.

L’Ofcom ha affermato che sta indagando sull’incidente e che sta chiedendo all’operatore spiegazioni sulle cause e le conseguenze del problema. L’ICO, da parte sua, ha dichiarato che, dopo aver valutato la situazione e le misure adottate, non intraprenderà ulteriori azioni.

L'articolo Scoperto un bug VoLTE: tracciati milioni di utenti O2, Giffgaff e Tesco Mobile proviene da il blog della sicurezza informatica.

The AI effects we know these days were once preceded by CGI, and those were once preceded by true hand-built physical props. If that makes you think of Muppets, this video will change your mind. In a behind-the-scenes look with [Adam Savage], effects designer [Mark Setrakian] reveals the full animatronic glory of Mr. Wink’s mechanical fist from Hellboy II: The Golden Army (2008) – and this beast still flexes.

Most of this arm was actually made in 2003, when 3D printing was very different than what we think of today. Printed on a Stratasys Titan – think: large refrigerator-sized machine, expensive as sin – the parts were then hand-textured with a Dremel for that war-scarred, brutalist feel. This wasn’t just basic animatronics for set dressing. This was a fully actuated prop with servo-driven finger joints, a retractable chain weapon, and bevel-geared mechanisms that scream mechanical craftsmanship.

Each finger is individually designed. The chain reel: powered by a DeWalt drill motor and custom bevel gear assembly. Every department: sculptors, CAD modelers, machinists, contributed to this hybrid of analog and digital magic. Props like this are becoming unicorns.

youtube.com/embed/qKMFdbspHZ4?…

hackaday.com/2025/05/30/17-yea…

White LED bulbs are commonplace in households by now, mostly due to their low power usage and high reliability. Crank up the light output enough and you do however get high temperatures and corresponding interesting failure modes. An example is the one demonstrated by the [electronupdate] channel on YouTube with a Philips MR16 LED spot that had developed a distinct purple light output.
The crumbling phosphor coating on top of the now exposed UV LEDs. (Credit: electronupdate, YouTube)
After popping off the front to expose the PCB with the LED packages, the fault seemed to be due to the phosphor on one of the four LEDs flaking off, exposing the individual UV LEDs underneath. Generally, white LEDs are just UV LEDs that have a phosphor coating on top that converts this UV into broad band visible (white) or a specific wavelength, so this failure mode makes perfect sense.

After putting the PCB under a microscope and having a look at the failed and the other LED packages the crumbled phosphor on not just the one package became obvious, as the remaining three showed clear cracks in the phosphor coating. Whether due to the heat in these high-intensity spot lamps or just age, clearly over time these white LED packages become just UV LEDs. Ideally you could dab on some fresh phosphor, but likely the fix is to replace these LED packages every few years until the power supply in the bulb gives up the ghost.

youtube.com/embed/JHW5jcas-js?…

Thanks to [ludek111] for the tip.

hackaday.com/2025/05/30/white-…

At the end of the day, a skateboard boils down to a plank of wood with some wheels. They are wonderfully simple and fun and cheap modes of transportation. But this is Hackaday, so we are not here to talk about any normal skateboard, but one you can download and print. [megalog_’s] Skateboard MK2 is made almost entirely of 3D printed plastic, save some nuts and bolts.

The board’s four piece deck comes in at a modest 55cm length and features a rather stylish hexagonal pattern for grip. While you could presumably bring your own trucks, 3D printable ones are provided as well. The pieces bolt together to create a fairly strong deck with the option to make a rather stylish two tone print if you have the printer for it. Where the pieces meet is also the location of the truck mounting, further increasing the board’s strength. The weakest point is where the tail meets the main deck, which if pressed down to wheelie or ollie, the print breaks apart at the layer lines.

While you might be able to bring your own trucks, all be it with some modification to the deck, [megalog] also provided models for those as well. Not only were the bushings made of flexible TPE filament, but the outer wheel tire is too. It’s a little strange to see a wheel tire combo on a skateboard, when they are traditionally over moulded plastic with enough tire that you would be forgiven for thinking there is no wheel. While some reported using the more traditional threaded rod, the trucks used a metal rod with shaft collars to attach the wheels.

This is a neatly executed skateboard build with a well thought out design. Let us know in the comments if you will (or have) made one yourself! While you’re at it, maybe cast your own resin wheels for it!

hackaday.com/2025/05/30/you-wo…

Il 9 febbraio avevo cancellato l'account Facebook, il sistema mi aveva detto che per 30 giorni sarebbe stato solo disattivato e che l'eliminazione vera e propria sarebbe avvenuta solo 30 giorni dopo.

Siamo al 30 maggio e il mio account è ancora lì.

Stasera sono nuovamente entrato e ho rifatto la procedura, al termine della quale il sistema mi ha ancora una volta confermato che la mia richiesta di cancellazione era stata ricevuta, che l'account era stato programmato per l'eliminazione ma che per 30 giorni sarebbe stato solo disattivato, casomai avessi cambiato idea.

Qualcuno di voi è riuscito a cancellarsi per davvero?

Nel frattempo ho scritto al Garante per la Privacy segnalando il problema e chiedendo come fare per poter vedere rispettato il mio diritto ad essere rimosso da quel social network.

Ho visto il primo episodio di Adolescence.

Non avrei mai dovuto farlo.

When it comes to LED matrixes, building one is just the first step. Then you have to decide what to display on it. [panjanek] came up with a relatively flexible answer to this question, building an RGB LED matrix that can display the GIFs of your choice.
The web interface accepts GIFs for display.
[panjanek] grabbed WS2812B addressable LEDs for this project, assembling them into a 32 x 32 matrix that fits perfectly inside an off-the-shelf Ikea picture frame. The matrix is hooked up to an ESP8266 microcontroller, which acts as the brains of the operation. The WiFi-enabled microcontroller hosts its own web interface, with which the project can be controlled. Upon opening the page, it’s possible to upload a GIF file that will be displayed as an animation on the matrix itself. It’s also possible to stream UDP packets of bitmap data to the device to send real-time animations over a network.

It’s a neat build, and one that answers any questions of what you might display on your LED matrix when you’re finished assembling it. Code is on Github if you fancy implementing the GIF features in your own work. We’ve featured some unexpected LED matrix builds of late, like this innovative device for the M.2 slot. Meanwhile, if you’re cooking up your own creative LED builds, don’t hesitate to let us know on the tipsline!

hackaday.com/2025/05/30/tidy-l…

Dear Friend of Press Freedom,

It’s now the 66th day that Rümeysa Öztürk is facing deportation by the United States government for writing an op-ed it didn’t like. More press freedom news below.

Risking free speech won’t protect kids

Federal agencies are transforming into the speech police under President Donald Trump. So why are some Democrats supporting the Kids Online Safety Act, a recently reintroduced bill that would authorize the MAGA-controlled Federal Trade Commission to enforce censorship?

As Freedom of the Press Foundation (FPF) senior advocacy adviser Caitlin Vogus wrote for The Boston Globe, there’s never an excuse for supporting censorship bills, but especially when the political loyalists at the FTC are sure to abuse any power they’re given to stifle news on disfavored topics. Read the op-ed here.

We’re ready to sue if Paramount executives sell out the press

We’ve written previously about how Trump’s frivolous complaint against Paramount Global over CBS News’ editing of an interview with Kamala Harris threatens the freedoms of other news outlets. Yesterday, Trump proved it by claiming his $20 billion damages demand is based on “mental anguish” due to the answer – which doesn’t even mention him. How’s that for a “snowflake”?

As we informed Paramount Global executives last week, we plan to file a shareholder derivative lawsuit if Paramount settles. We believe any settlement – let alone the eight figure range being discussed – would be an effort to launder bribe money through the courts and would damage Paramount irreparably.

Reports this week in the Los Angeles Times, The Wall Street Journal, and elsewhere have noted that executives fear derivative liability if they settle. They should. Read more here.

Phone companies keep journalist surveillance secret

A letter by Sen. Ron Wyden about surveillance of senators’ phone lines has an important lesson for journalists, too: Be careful in selecting your phone carrier.

Wyden wrote his Senate colleagues revealing which wireless carriers inform customers about government surveillance requests (Cape, Google Fi, and US Mobile), and which don’t (AT&T, Boost Mobile, Charter/Spectrum, Comcast/Xfinity Mobile, T-Mobile, and Verizon). Read more here.

Fallout from silencing Voice of America

As a reporter on the press freedom beat, Liam Scott chronicled abuses against journalists for Voice of America. But now, Scott himself is part of the story.

In March, Trump signed an executive order gutting the United States Agency for Global Media, which oversees VOA. Scott and his colleagues have been or are set to be terminated imminently, and the website hasn’t published a new story in months.

We spoke to Scott about his unique perspective on current threats to press freedom, as both a victim and a journalist covering them. We were joined by Jason Scott of Archive Team, who is working to preserve VOA’s content should it be taken offline. Read more and watch the webinar here.

Administration abuses secrecy rules

Lauren Harper, FPF’s Daniel Ellsberg chair on government secrecy, joined MeidasTouch Network’s Legal AF podcast, “Court of History,” to explain how the Trump administration is abusing secrecy to control the news narrative — and how an FPF Freedom of Information Act win revealed the truth.

Harper was joined by University of Maryland professor Jason Baron in a wide-ranging discussion with co-hosts Sidney Blumenthal and Sean Wilentz. Watch the video podcast here.

Federal police reforms repealed

The same week the Justice Department announced it was dropping federal oversight programs and investigations into more than two dozen police departments, including in Minneapolis, the city held a remembrance marking five years since the murder of George Floyd by a local police officer.

Police abuses of protestors and journalists during the demonstrations that followed Floyd’s murder led to the now-abandoned reforms, including consent decrees in Minneapolis and Louisville dealing with how police should interact with journalists covering protests and their aftermaths. The U.S. Press Freedom Tracker, a project of FPF, has more. Read the Tracker’s coverage here.

What we’re reading

Greene County policy barring staff from speaking to press ‘unconstitutional,’ experts say (The Daily Progress). Local government employees should be able to talk to the press. But in Greene County, Virginia, they can’t. We told The Daily Progress that the county policy is unconstitutional.

Journalist sues LA county, ex-LA county sheriff for criminally investigating her (The Dissenter). It’s good to see journalist Maya Lau stand up for journalists’ right to not be investigated and harassed for doing their jobs.

How to stand your ground, in three (not so easy) steps (American Crisis). Institutions shouldn’t cave to Trump’s threats. Thanks to Margaret Sullivan for citing our plans to sue if Paramount settles with Trump as an example on how to stand your ground.

FBI visits me over manifesto (Ken Klippenstein). Journalists’ sources and newsgathering are none of the FBI’s business. They don’t seriously think Klippenstein was some kind of conspirator — they just want to intimidate him and other journalists.

freedom.press/issues/risking-f…