There are few computing collapses more spectacular than the downfall of Commodore, but its rise as a home computer powerhouse in the early 80s was equally impressive. Driven initially by the VIC-20, this was the first home computer model to sell over a million units thanks to its low cost and accessibility for people outside of niche markets and hobbyist communities.

The VIC-20 would quickly be eclipsed by the much more famous Commodore 64, but for those still using these older machines there are a few tweaks to give it some extra functionality it was never originally designed for like this build which gives it an ISA bus.

To begin adapting the VIC-20 to the ISA standard, [Lee] built a fixed interrupt line handled with a simple transistor circuit. From there he started mapping memory and timing signals. The first attempt to find a portion of memory to use failed as it wasn’t as unused as he had thought, but eventually he settled on using the I/O area instead although still had to solve some problems with quirky ISA timing. There’s also a programmable logic chip which was needed to generate three additional signals for proper communication.

After solving some other issues around interrupts [Lee] was finally able to get the ISA bus working, specifically so he could add a 3Com networking card and get his VIC-20 on his LAN. Although the ISA bus has since gone out of fashion on modern computers, if you still have a computer with one (or build one onto your VIC-20), it is a surprisingly versatile expansion port.

Thanks to [Stephen] for the tip!

hackaday.com/2025/08/26/vic-20…

I ricercatori di sicurezza di greyNoise hanno rilevato una vasta operazione di scansione coordinata contro i servizi Microsoft Remote Desktop Protocol (RDP), durante la quale gli aggressori hanno scansionato oltre 30.000 indirizzi IP unici al fine di valutare le vulnerabilità presenti nei portali di autenticazione Microsoft RD Web Access e RDP Web Client.

La metodologia di attacco si concentra sull’enumerazione dell’autenticazione basata sul tempo, una tecnica che sfrutta le sottili differenze nei tempi di risposta del server per identificare nomi utente validi senza attivare i tradizionali meccanismi di rilevamento brute force.

Questo approccio consente agli aggressori di creare elenchi completi di obiettivi per successive operazioni di credential stuffing e password spraying, mantenendo al contempo la massima discrezione operativa.

La campagna, riportano i ricercatori di GrayNoise, rappresenta una delle più grandi operazioni di ricognizione coordinate dell’RDP osservate negli ultimi anni, segnalando la potenziale preparazione per attacchi su larga scala basati sulle credenziali. L’operazione di scansione è iniziata con una prima ondata il 21 agosto 2025, coinvolgendo quasi 2.000 indirizzi IP contemporaneamente.

La tempistica della campagna coincide con il periodo di ritorno a scuola negli Stati Uniti, quando gli istituti scolastici solitamente implementano ambienti di laboratorio abilitati RDP e sistemi di accesso remoto per gli studenti in arrivo. Questa finestra di targeting è strategicamente significativa, poiché le reti educative spesso implementano schemi di nomi utente prevedibili (ID studente, formati nome.cognome) che facilitano gli attacchi di enumerazione.

L’analisi della telemetria di rete rivela che il 92% dell’infrastruttura di scansione è costituito da indirizzi IP dannosi precedentemente classificati, con traffico di origine fortemente concentrato in Brasile (73% delle origini osservate) e mirato esclusivamente agli endpoint RDP con sede negli Stati Uniti.

Tuttavia, la campagna ha subito un’escalation drammatica il 24 agosto, quando i ricercatori di sicurezza hanno rilevato oltre 30.000 indirizzi IP univoci che conducevano indagini coordinate utilizzando firme client identiche, il che indica una sofisticata infrastruttura botnet o un’implementazione coordinata di un set di strumenti. I modelli uniformi di firma client su 1.851 dei 1.971 host di scansione iniziali suggeriscono un’infrastruttura di comando e controllo centralizzata tipica delle operazioni APT (Advanced Persistent Threat).

Gli autori della minaccia stanno conducendo operazioni di ricognizione in più fasi, identificando prima gli endpoint RD Web Access e RDP Web Client esposti, quindi testando i flussi di lavoro di autenticazione per individuare vulnerabilità di divulgazione delle informazioni. Questo approccio sistematico consente la creazione di database di destinazione completi contenenti nomi utente validi ed endpoint accessibili per future campagne di sfruttamento.

I ricercatori della sicurezza hanno osservato che la stessa infrastruttura IP è stata osservata mentre eseguiva scansioni parallele per servizi proxy aperti e operazioni di web crawling, il che indica un toolkit di minacce multiuso progettato per una ricognizione completa della rete.

L'articolo RDP sotto Tiro! 30.000 indirizzi IP univoci sondano i servizi esposti per attacchi mirati proviene da il blog della sicurezza informatica.

Ciao, siamo felici (e un po’ increduli) di annunciarvi che il Cyberpandino ha ufficialmente raggiunto il traguardo del Mongol Rally 2025! Un’avventura lunga oltre 17.000 km, attraverso 20 paesi, con una quantità di guasti, imprevisti e riparazioni improvvisate che solo un viaggio del genere poteva regalarci.

Siamo stanchi, sì, ma ancora più motivati: questa esperienza ci ha fatto sognare nuove idee, progetti e competizioni a cui ci piacerebbe partecipare. E proprio per questo abbiamo deciso di portare in Italia il primo Cyberpandino, per farlo vivere ancora e condividerlo in fiere ed eventi di settore, insieme ai brand che lo hanno reso possibile.

E tra questi ci siamo anche noi come Red Hot Cyber!

In questi 40 giorni abbiamo raccolto una mole enorme di materiale foto e video che stiamo organizzando in un piano editoriale ricco per i prossimi mesi.

• Napapijri lancerà l’10 settembre a Londra un cortometraggio dedicato all’avventura.
• Noi produrremo un mini-documentario dal giorno zero fino al traguardo, con l’obiettivo non solo di generare visibilità, ma anche di ispirare altre persone a lanciarsi in progetti fuori dagli schemi.

Tutto questo non sarebbe stato possibile senza il vostro supporto.

Grazie per aver creduto in noi e nel nostro primo progetto: ora che siamo sulla strada di casa, ci impegniamo a preparare i contenuti concordati e ad avere il vostro via libera per portarvi con noi in eventi e fiere, lasciando il vostro brand inciso su questo primo Cyberpandino.

Per darvi un’idea dell’impatto raggiunto, ecco alcuni dati di Instagram (il canale che abbiamo seguito di più durante il viaggio):

• Dalla partenza da Lampedusa intorno al 1° luglio ad oggi: 2,4M visualizzazioni contenuti, 40K interazioni singole (like, commenti, salvataggi), +6K follower (pubblico 90% maschile, 24-44 anni).
• Dagli ultimi lavori alla macchina intorno a fine maggio ad oggi: oltre 4M visualizzazioni contenuti e 70K interazioni singole.

Questi risultati dimostrano quanto insieme abbiamo generato valore e quanta attenzione abbiano attratto i prodotti e servizi dei nostri partner, rivelatisi davvero indispensabili per la riuscita del viaggioe di cui parleremo nel dettaglio nei contenuti riassuntivi che produrremo.

Un grazie sincero da parte di tutto il team,
Roberto, Matteo ed il Cyberpandino

L'articolo I due Cyber Romani ce l’hanno fatta! Il Cyberpandino raggiunge il traguardo del Mongol Rally 2025! proviene da il blog della sicurezza informatica.

Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’Ateneo. L’incidente ha determinato un blocco immediato delle attività online, generando disagi per studenti, docenti e personale amministrativo. Non sappiamo se si tratti di ransomware ma le parole “valutare i danni e avviare le operazioni di ripristino” del comunicato stampa fanno pensare a questo.

A seguito dell’attacco, l’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale sono prontamente intervenute per condurre le indagini necessarie e adottare le misure di contenimento. Le autorità competenti stanno infatti lavorando per comprendere le modalità con cui è stato portato a termine l’attacco e per attuare tutte le azioni necessarie alla sicurezza delle infrastrutture digitali coinvolte.

Attualmente è ancora in corso la fase di analisi tecnica per valutare l’effettiva portata del danno. Solo al termine di questa attività sarà possibile stabilire con precisione l’impatto subito e avviare in maniera mirata le operazioni di ripristino. Fino a quel momento, i siti e i servizi online dell’Università Pontificia Salesiana restano non disponibili.

La sospensione riguarda anche la casella di posta elettronica istituzionale con dominio @unisal.it, che al momento non risulta funzionante. Questo ha reso necessario predisporre un indirizzo email alternativo per garantire i contatti urgenti: universitatpontificiasalesiana@gmail.com.
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata oggetto di un grave attacco informatico che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’Ateneo. L’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale sono immediatamente intervenute e stanno conducendo tutte le azioni necessarie. È tuttora in corso la fase di analisi per comprendere la reale portata dell’attacco, valutare i danni e avviare le operazioni di ripristino. Al momento i siti e i servizi online dell’UPS non sono disponibili.

Ci scusiamo per il disagio e forniremo aggiornamenti sull’avanzamento dei lavori di riattivazione attraverso i canali ufficiali, compresi i social media e il Canale WhatsApp.

La casella di posta elettronica @unisal.it risulta al momento non funzionante. In caso di necessità, è possibile contattare l’Ateneo scrivendo all’indirizzo: universitapontificiasalesiana@gmail.com
L’Ateneo ha comunicato che continuerà a fornire aggiornamenti sull’andamento delle operazioni di ripristino attraverso i propri canali ufficiali, inclusi i social media e il canale WhatsApp. In questo modo si cerca di mantenere informata la comunità universitaria nonostante l’indisponibilità dei servizi digitali abituali.

Nel messaggio ufficiale, l’Università Pontificia Salesiana ha espresso le proprie scuse per i disagi causati, assicurando il massimo impegno per il ritorno alla piena operatività nel più breve tempo possibile. Le autorità competenti e i tecnici dell’Ateneo restano al lavoro per garantire sicurezza e continuità delle attività didattiche e amministrative.

L'articolo Nessun Miracolo! L’Università Pontificia Salesiana cade vittima del ransomware proviene da il blog della sicurezza informatica.

The best part about post-mortem teardowns of electronics is when you discover some unusual design features, whether or not these are related to the original fault. In the case of a recent [DiodeGoneWild] video involving the teardown of an industrial DIN-rail mounted 24 V, 960 Watt power supply, the source of the reported bang was easy enough to spot. During the subsequent teardown of this very nicely modular PSU the automatic power factor correction (APFC) board showed it to have an unusual design, which got captured in a schematic and is explained in the video.

Choosing such a APFC design seems to have been done in the name of efficiency, bypassing two of the internal diodes in the bridge rectifier with the external MOSFETs and ultrafast diodes. In short, it prevents some of the typical diode voltage drops by removing diodes in the path of the current.

Although not a new design, as succinctly pointed out in the comments by [marcogeri], it’s explained how even cutting out one diode worth of voltage drop in a PSU like this can save 10 Watt of losses. Since DIN rail PSUs rarely feature fans for active cooling, this kind of APFC design is highly relevant and helps to prevent passively cooled PSUs from spiraling into even more of a thermal nightmare.

As for the cause behind the sooty skid marks on one of the PCBs, that will be covered in the next video.

youtube.com/embed/UsY1xzpdJPU?…

hackaday.com/2025/08/25/very-e…

We can understand why shaderacademy.com chose that name over “the shady school,” but whatever they call it, if you are looking to brush up on graphics programming with GPUs, it might be just what you are looking for.

The website offers challenges that task you to draw various 2D and 3D graphics using code in your browser. Of course, this presupposes you have WebGPU enabled in your browser which means no Firefox or Safari. It looks like you can do some exercises without WebGPU, but the cool ones will need you to use a Chrome-style browser.

You can search by level of difficulty, so maybe start with “Intro” and try doing “the fragment shader.” You’ll notice they already provide some code for you along with a bit of explanation. It also shows you a picture of what you should draw and what you really drew. You get a percentage based on the matching. There’s also a visual diff that can show you what’s different about your picture from the reference picture.

We admit that one is pretty simple. Consider moving on to “Easy” with options like “two images blend,” for example. There are problems at every level of difficulty. Although there is a part for compute shaders, none seem to be available yet. Too bad, because that’s what we find most interesting. If you prefer a different approach, there are other tutorials out there.

hackaday.com/2025/08/25/the-sh…

When someone hacks together a digital camera with a Raspberry Pi, the limiting factor for serious photography is usually the sensor. No offense to the fine folks at the foundation, but even the “HQ” camera, while very good, isn’t quite professional grade. That’s why when photographer [Malcom Wilson] put together this “Mini Hasselblad” style camera, he hacked in a 1″ sensor.

The sensor in question came in the form of a OneInchEye V2, from [Will Whang] on Tindie. The OneInch Eye is a great project in its own right: it takes a Sony IMX283 one-inch CMOS image sensor, and packages it with an IMU and thermal sensor on a board that hooks up to the 4-lane MIPI interface on the Rasberry Pi CM4 and Pi 5.

Sensor in hand, [Malcom Jay] needed but to figure out power and view-finding. Power is provided by a Geekworm X1200 battery hat. That’s the nice thing about the Pi ecosystem: with so many modules, it’s like lego for makers. The viewfinder, too, uses 4″ HDMI screen sold for Pi use, and he’s combined it with a Mamiya C220 TLR viewfinder to give that look-down-and-shoot effect that gives the project the “Mini Hasselblad” moniker.

These are a few images [Malcom] took with the camera. We’re no pros, but at least at this resolution they look good.The steel-PLA case doesn’t hurt in that regard either, with the styling somewhat reminiscent of vintage film cameras. The “steel” isn’t just a colour in this case, and the metal actually makes the PLA conductive, which our photographer friend learned the hard way. Who hasn’t fried components on a surface they didn’t realize was conductive, though? We bet the added weight of the steel in the PLA makes this camera much nicer to hold than it would be in plain plastic, at least.

The OneInchEye module came set up for C-mount lenses, and [Malcom] stuck with that, using some Fujinon TV lenses he already had on hand. [Malcom] has released STL files of his build under a creative-commons noncommercial license, but he’s holding the code back for subscribers to his Substack.

This isn’t the first Pi-based camera we’ve seen from [Malcom]. and there’ve been quite a few others on these pages over the years. There was even a Hackaday version, to test out the “offical” module [Malcom] eschewed.

Thanks to [Malcom] for the tip.

hackaday.com/2025/08/25/theres…

ICYMI

During the August 24th meeting, it was announced that the United States Pirate Party would begin hosting new member meetings for anyone interested in joining the party.

While our Pirate National Committee meetings over IRC (hosted bi-weekly on weeks between our meetings livestreamed to YouTube) are open to the public, we understand some people might feel more comfortable asking questions in a more direct, personable manner.

As well, not everyone who wants to get involved with the party knows where to start or, in some cases, feel comfortable joining the US Pirate Party Discord Server (which is otherwise the most effective way to get in contact with the party).

The answer? On the first Friday of every month, the United States Pirate Party will host not one, not three, but TWO meetings for those interested in getting involved with the USPP.

The meetings will provide a low stress, open invitation opportunity for those who have questions or inquiries about their state party, information on how to get involved, on-the-ground work and everything in-between.

The meetings will be held the first Friday on the month, starting Sept. 5th, with the two meetings taking place at NoonET and 5pmET.

You are encouraged to be there, or lest you invoke your status as a “square”.

And as always, thank you for your continued support of the United States Pirate Party.

Vote Pirate. Victory is Arrrs.

uspirates.org/icymi-new-monthl…

Mentre Microsoft sta promuovendo la sua linea di prodotti Copilot basata sull’intelligenza artificiale per rendere gli utenti più produttivi e pratici, è stata scoperta una falla preoccupante in M365 che mina le fondamenta della sicurezza e della trasparenza legale. Il problema è che Copilot è riuscito ad accedere ai file degli utenti senza lasciare alcuna traccia nei registri di controllo, e Microsoft non ha provveduto a informare i clienti.

La vulnerabilità è stata scoperta per caso: il 4 luglio, un ricercatore di sicurezza di Pistachio ha notato che, utilizzando Copilot per recuperare un riepilogo da un file, la richiesta veniva visualizzata correttamente nel registro di controllo. Tuttavia, se la richiesta era formulata in modo diverso, in modo che Copilot non restituisse un collegamento al file, l’accesso scompariva completamente dal registro. Ciò creava una falla che consentiva a un aggressore di leggere il contenuto del documento senza lasciare traccia digitale.

Successivamente è emerso che un problema simile era stato scoperto un anno prima dal CTO di Zenity. Ciononostante, Microsoft ha corretto il bug solo nell’agosto 2025, dopo una seconda segnalazione indipendente.

Tuttavia, anche dopo aver riconosciuto il problema, l’azienda ha rifiutato di inviare una notifica o di rilasciare un CVE, l’identificatore di vulnerabilità comunemente utilizzato. La spiegazione fornita tramite il Microsoft Incident Response Center (MSRC) era che la correzione veniva distribuita automaticamente e non richiedeva l’intervento del cliente.

Questo approccio ha creato confusione tra gli esperti. In primo luogo, Microsoft ha chiaramente violato le proprie regole di gestione degli incidenti: pur disponendo di una guida formale, l’azienda non ha segnalato le modifiche nelle fasi di revisione di una segnalazione e si è comportata come se gli stati formali esistessero solo per finta, non riflettendo la reale situazione.

In secondo luogo, classificare la vulnerabilità come “importante” ma non “critica” viene utilizzato come scusa per evitare la divulgazione, ignorando un fatto fondamentale: la mancanza di voci di registro può verificarsi accidentalmente, senza intenti malevoli, semplicemente a causa del comportamento di Copilot.

La comunità quindi ha iniziato a pensare chee implicazioni potrebbero riguardare qualsiasi organizzazione che abbia utilizzato M365 Copilot prima del 18 agosto 2025. Se un’azienda si affida al registro di controllo per conformarsi a normative come l’HIPAA o per condurre indagini interne sugli incidenti, rischia di prendere decisioni incomplete o errate. Ciò è particolarmente pericoloso per gli utenti aziendali, in cui i dati relativi all’accesso a file sensibili possono essere critici in caso di audit, cause legali o verifiche.

Mentre Microsoft continua ad ampliare l’uso dell’intelligenza artificiale nei suoi prodotti, la domanda rimane: quanti altri di questi “problemi silenziosi” si nascondono dietro le interfacce intuitive di Copilot?

L'articolo Microsoft sotto Accusa! Un bug critico in M365 Copilot scatena la polemica proviene da il blog della sicurezza informatica.

Con la Threat Intelligence Olympos Consulting supporta le aziende per una cybersecurity predittiva.

Nel panorama della cybersecurity contemporanea, la differenza tra un approccio reattivo e uno proattivo può determinare il successo o il fallimento di una strategia difensiva. Mentre gli Indicatori di Compromissione (IoC) rappresentano ormai uno strumento consolidato ma limitato principalmente a certificare un’attacco già avvenuto, gli Indicatori di Attacco (IoA) sono emersi come un vero e proprio game changer nella lotta alle minacce informatiche.

La vera rivoluzione degli IoA risiede nella loro capacità di interpretare il comportamento dei Threat Actor piuttosto che limitarsi a catalogare evidenze postume. Si tratta di un cambio di paradigma fondamentale: se gli IoC ti dicono “sei stato attaccato” (sigh!), gli IoA ti avvertono “stanno per attaccarti”.

Gli IoA infatti rappresentano pattern di attività che indicano un attacco in corso o in fase di preparazione, ancor prima che l’attacco raggiunga il suo obiettivo. Gli IoA si basano sull’osservazione di tecniche, tattiche e procedure (TTP) utilizzate dai threat actor.

CrowdStrike, colosso americano della cybersecurity focalizzato su threat intelligence e rilevamento proattivo delle minacce, spiega la differenza tra IoC e IoA con un esempio efficace: in una rapina in banca, gli IoC sono le tracce lasciate dopo l’evento – come un cappello dei Baltimore Ravens, un trapano e dell’azoto liquido. Ma cosa accade se lo stesso rapinatore torna con un cappello da cowboy e un piede di porco? In quel caso, riesce comunque nel colpo, perché chi sorveglia si è basato solo su vecchi indicatori (gli IoC), ormai inutili per fermarlo.

Come scritto prima un IoA riflette, al contrario, una serie di azioni che un cybercriminale (o rapinatore) deve necessariamente compiere per avere successo: entrare nella banca, disattivare gli allarmi, accedere alla cassaforte, e così via.

Il punto di forza dell’approccio basato sugli IoA è la capacità di osservare e analizzare in tempo reale ciò che accade sulla rete, monitorando i comportamenti mentre si manifestano. In questo modo, a differenza degli IoC che reagiscono a un attacco già avvenuto, gli IoA consentono di intervenire in anticipo e bloccare l’attacco prima che provochi danni.

I threat actor utilizzano tecniche sempre più sofisticate, rapide e mirate. Per eludere i controlli, modificano continuamente gli IoC e sfruttano file legittimi del sistema operativo (i cosiddetti LOLBin), che non possono essere semplicemente bloccati senza compromettere il funzionamento dei sistemi. Al contrario, le TTP (Tattiche, Tecniche e Procedure) su cui si basano – come lo sfruttamento di vulnerabilità note o l’uso malevolo di strumenti legittimi, ad esempio msbuild.exe per eseguire codice dannoso direttamente in memoria e aggirare gli antivirus – sono molto più difficili da mascherare. Per questo motivo, risultano più affidabili e durature nel tempo per individuare comportamenti anomali e prevenire gli attacchi.

Adottare un approccio basato sul comportamento dei Threat Actor permette di identificare attività sospette in tempo reale, bloccare attacchi nella loro fase iniziale e rilevare anche minacce sconosciute come gli zero-day.

Gli IoA sono categorizzati in base allo scopo delle azioni osservate: ad esempio, scansioni di porte non autorizzate suggeriscono attività di Reconnaissance, mentre tentativi di brute-force su RDP o accessi da località insolite indicano spesso una fase di Initial Access. Allo stesso modo, comunicazioni anomale verso server esterni possono rivelare la presenza di un canale C2 (Command and Control Server).

Un caso d’uso esemplificativo è quello di Morphing Meerkat.

Nel 2024 è stato identificato un Threat Actor noto con il nome in codice Morphing Meerkat, specializzato nell’offerta di servizi di phishing-as-a-service (PHaaS). La loro piattaforma, scoperta grazie a un’attività di OSINT e threat hunting avanzato, consente a chiunque, dietro pagamento, di lanciare campagne di phishing sofisticate, con moduli pronti all’uso.

es. di analisi comportamentale del Threat Actor Morphing Meerkat

Grazie all’analisi degli IoA è stato possibile identificare attività anomale tra le quali possiamo ricordare la falsificazione del mittente email; l’adozione del protocollo DoH (DNS over HTTPS) per cifrare le richieste DNS; la creazione di pagine phishing dinamiche sfruttando informazioni ottenute interrogando i record MX DNS e reindirizzamento verso infrastrutture legittime

È proprio in questo contesto che l’esperienza di Olympos Consulting fa la differenza. Combinando behavioral analysis avanzato con threat intelligence derivata da fonti OSINT e dark web, il nostro approccio trasforma dati apparentemente eterogenei in un sistema di Early Warning efficace.

In questo specifico caso abbiamo generato alert tempestivi per i clienti prima che l’attacco avesse effetto ed abbiamo suggerito tecniche di rilevamento comportamentale fornendo una lista azioni per interrompere la kill chain al primo passo.

Esempi di azioni suggerite: disabilitare l’uso di DoH nei browser permessi in azienda attraverso Group Policy; filtrare i DNS per bloccare gli endpoint DoH noti (es. Cloudflare, Google, Quad9); abilitare la decrittaura SSL/TLS sui Secure Web Gateway (SWG) per analizzare il traffico cifrato DoH.

Questa metodologia trasforma la cybersecurity da costoso esercizio di remediation a strategia predittiva.

Come si può capire dagli esempi fatti, l’utilizzo degli IoA permette di passare dalla reazione all’azione. Una cybersecurity proattiva si basa sulla capacità di prevedere i comportamenti del nemico ed interrompere la kill chain prima che l’attacco raggiunga la fase finale, migliorando la resilienza aziendale.

In un mondo dove gli attacchi zero-day e le campagne polimorfiche (ed il nome Morphing Meerkat la dice lunga) sono diventati la norma. Affidarsi a soluzioni convenzionali significa condannarsi all’obsolescenza. Olympos Consulting, con il suo mix unico di competenze tecniche e intelligence operativa, offre alle aziende la possibilità non solo di difendersi, ma di farlo con un vantaggio temporale che spesso fa la differenza tra un incidente contenuto e una violazione catastrofica.

La cybersecurity del futuro non sarà decisa da chi ha i migliori strumenti per documentare gli attacchi subiti, ma da chi saprà interpretare per primo le intenzioni degli avversari. In questa nuova era, l’analisi comportamentale dei cybercriminali rappresenta la chiave di volta e Olympos Consulting si conferma come partner strategico per quelle organizzazioni che intendono davvero trasformare la propria postura di sicurezza da passiva a predittiva. Gli Indicatori di Attacco rappresentano il tassello mancante per costruire una difesa davvero efficace. Vuoi scoprire come? Scrivici oggi stesso a “info [@] olymposconsulting [.] it” e a trasforma la tua strategia di cybersecurity con l’aiuto dei nostri esperti.

L'articolo Gli Indicator of Attack (IoA): la protezione proattiva in ambito cybersecurity proviene da il blog della sicurezza informatica.

Ever ruin a perfectly serviceable piece of toast by trying (and failing) to spread a little pat of rock-solid butter? [John Dingley] doesn’t! Not since he created the Butta Melta to cozily snug a single butter serving right up against a warm beverage, softening it just enough to get nice and spreadable. Just insert one of those foil-wrapped pats of butter into the Melta, hang its chin on the edge of your mug, and you’ll have evenly softened butter in no time.

The Butta Melta is intentionally designed with a bit of personality, but also has a features we think are worth highlighting. One is the way it’s clearly designed with 3D printing in mind, making it an easy print on just about any machine in no time at all. The second is the presence of the hinge point which really helps the Butta Melta conform to a variety of cup designs, holding the payload as close as possible to the heat regardless of cup shape. A couple of minutes next to a hot beverage is all it takes for the butter to soften enough to become easily spreadable.

You may remember [John] (aka [XenonJohn]) from his experimental self-balancing scooters, or from a documentary he made about domestic ventilator development during COVID. He taught himself video editing and production to make that, and couldn’t resist using those skills to turn a video demo of the Butta Melta into a mock home shopping style advertisement. Watch it below, embedded just under the page break, then print one and save yourself from the tyranny of torn toast.

youtube.com/embed/hc3DUhguNoI?…

hackaday.com/2025/08/25/butta-…

We’re used to interfaces such as I2C and one-wire as easy ways to hook up sensors and other peripherals to microcontrollers. While they’re fine within the confines of a small project, they do have a few limitations. [Vinnie] ran straight into those limitations while using a Raspberry Pi with agricultural sensors. The interfaces needed to work over long cable runs, and to be protected from ESD due to lightning strikes. The solution? A custom Pi interface board packing differential drivers and protection circuits aplenty.

The I2C connection is isolated using an ISO1541 bus isolator from TI, feeding a PCA9615DP differential I2C bus driver from NXP. 1-wire is handled by a Dallas DS2482S 1-wire bus master and an ESD protection diode network. Even the 5-volt power supply is delivered through an isolated module.

Whether or not you need this Raspberry Pi board, this is still an interesting project for anyone working with these interfaces. If you’re interested, we’ve looked at differential I2C in the past.

hackaday.com/2025/08/25/pi-por…

Last time, I showed you how to throw together a few modules and make a working macropad that could act like a keyboard or a mouse. My prototype was very simple, so there wasn’t much to debug. But what happens if you want to do something more complex? In this installment, I’ll show you how to add the obligatory blinking LED and, just to make it interesting, a custom macro key.

There is a way to print data from the keyboard, through the USB port, and into a program that knows how to listen for it. There are a few choices, but the qmk software can do it if you run it with the console argument.

The Plan

In theory, it is fairly easy to just add the console feature to the keyboard.json file:
{
...
"features": {
"mousekey": true,
"extrakey": true,
"nkro": false,
"bootmagic": false,
"console": true
},
...

That allows the console to attach, but now you have to print.

Output

The code in a keyboard might be tight, depending on the processor and what else it is doing. So a full-blown printf is a bit prohibitive. However, the system provides you with four output calls: uprint,uprintf, dprint, and dprintf.

The “u” calls will always output something. The difference is that the normal print version takes a fixed string while the printf version allows some printf-style formatting. The “d” calls are the same, but they only work if you have debugging turned on. You can turn on debugging at compile time, or you can trigger it with, for example, a special key press.

To view the print output, just run:
qmk console
Note that printing during initialization may not always be visible. You can store things in static variables and print them later, if that helps.

Macros

You can define your own keycodes in keymap.c. You simply have to start them at SAFE_RANGE:
enum custom_keycodes {
SS_STRING = SAFE_RANGE
};

You can then “catch” those keys in a process_record_user function, as you’ll see shortly. What you do is up to you. For example, you could play a sound, turn on some I/O, or anything else you want. You do need to make a return value to tell qmk you handled the key.

An Example

In the same Git repo, I created a branch rp2040_led. My goal was to simply flash the onboard LED annoyingly. However, I also wanted to print some things over the console.

Turning on the console is simple enough. I also added a #define for USER_LED at the end of config.h (GP25 is the onboard LED).

A quick read of the documentation will tell you the calls you can use to manipulate GPIO. In this case, we only needed gpio_set_pin_output and the gpio_write_pin* functions.

I also sprinkled a few print functions in. In general, you provide override functions in your code for things you want to do. In this case, I set up the LED in keyboard_post_init_user. Then, at first, I use a timer and the user part of the matrix scan to periodically execute.

Notice that even though the keyboard doesn’t use scanning, the firmware still “scans” it, and so your hook gets a call periodically. Since I’m not really using scanning, this works, but if you were trying to do this with a real matrix keyboard, it would be smarter to use housekeeping_task_user(void) which avoids interfering with the scan timing, so I changed to that.

Here’s most of the code in keymap.c:
#include QMK_KEYBOARD_H
enum custom_keycodes {
SS_STRING = SAFE_RANGE
};
const uint16_t PROGMEM keymaps[][MATRIX_ROWS][MATRIX_COLS] = {
[0] = LAYOUT(
// 4 buttons
KC_KB_VOLUME_UP, KC_KB_MUTE, KC_KB_VOLUME_DOWN, SS_STRING,
// Mouse
QK_MOUSE_CURSOR_UP, QK_MOUSE_CURSOR_DOWN, QK_MOUSE_CURSOR_LEFT, QK_MOUSE_CURSOR_RIGHT, QK_MOUSE_BUTTON_1),
};

void keyboard_pre_init_user(void) {
// code that runs very early in the keyboard initialization
}

void keyboard_post_init_user(void) {
// code that runs after the keyboard has been initialized
gpio_set_pin_output(USER_LED);
gpio_write_pin_high(USER_LED);
uprint("init\n");
}

#if 1 // in case you want to turn off that $<em>$</em># blinking
void housekeeping_task_user(void) {
static uint32_t last;
static bool on;
uint32_t now = timer_read32();
uprintf("scan tick %lu\n",now);
if (TIMER_DIFF_32(now, last) > 500) { // toggle every 500 ms
last = now;
on = !on;
if (on)
gpio_write_pin_high(USER_LED);
else
gpio_write_pin_low(USER_LED);
}
}
#endif

bool process_record_user(uint16_t keycode, keyrecord_t *record) {
switch (keycode) {
case SS_STRING:
if (record->event.pressed) {
SEND_STRING("http://www.hackaday.com\n");
}
return false;
}
return true;
}

You’ll notice the process_record_user function is now in there. It sees every keycode an when it finds the custom keycode, it sends out your favorite website’s URL.

More Tips

I mentioned last time that you have to let the CPU finish loading even after the flash utility says you are done. There are some other tips that can help you track down problems. For one thing, the compile script is pretty lax about your json. So you may have an error in your json file that is stopping things from working, but it won’t warn you. You can use jq to validate your json:
jq . keyboard.json
Another thing to do is use the “lint” feature of qmx. Just replace the compile or flash command with lint, and it will do some basic checks to see if there are any errors. It does require a few arbitrary things like a license header in some files, but for the most part, it catches real errors.

Get Started!

What are you waiting for? Now you can build that monster keyboard you’ve dreamed up. Or the tiny one. Whatever. You might want to read more about the RP2040 support, unless you are going to use a different CPU. Don’t forget the entire directory is full of example keyboards you can — ahem — borrow from.

You might think there’s not much you can do with a keyboard, but there are many strange and wonderful features in the firmware. You can let your keyboard autocorrect your common misspellings, for example. Or interpret keys differently when you hold them versus tapping them. Want a key that inserts the current time and date? Code it. If you want an example of getting the LCD to work, check out the rp2040-disp branch.

One thing interesting about qmk, too, is that many commercial keyboards use it or, at least, claim to use it. After all, it is tempting to have the firmware ready to go. However, sometimes you get a new keyboard and the vendor hasn’t released the source code yet, so if that’s your plan, you should find the source code before you plunk down your money!

You’ll find plenty of support for lighting, of course. But there are also strange key combinations, layers, and even methods for doing stenography. There’s only one problem. Once you start using qmk there is a real chance you may start tearing up your existing keyboards. You have been warned.

hackaday.com/2025/08/25/debugg…

The Bendix G-15 refurbished by [David at Usagi Electric] is well known as the oldest digital computer in North America. The question [David] gets most is “what can you do with it?”. Well, as a general-purpose computer, it can do just about anything. He set out to prove it. Can a 1950s-era vacuum tube computer handle modern physics problems? This video was several years in the making, was a journey from [David’s] home base in Texas all the way to CERN’s Large Hadron Collider (LHC) in Switzerland.

The G-15 can run several “high-level” programming languages, including Algol. The most popular, though, was Intercom. Intercom is an interactive programming language – you can type your program in right at the typewriter. It’s much closer to working with a basic interpreter than, say, a batch-processed IBM 1401 with punched cards. We’re still talking about the 1950s, though, so the language mechanics are quite a bit different from what we’re used to today.

To start with, [Usagi’s] the G-15 is a numeric machine. It can’t even handle the full alphabet. What’s more, all numbers on the G-15 are stored as floating-point values. Commands are sent via operation codes. For example, ADD is operation 43. You have to wrangle an index register and an address as well. Intercom feels a bit like a cross between assembler and tokenized BASIC.

If you’d like to play along, the intercom manual is available on Bitsavers. (Thanks [Al]!)

In the second half of the video, things take a modern turn. [David’s] friend [Lloyd] recently wrote a high-speed algorithm for the ATLAS detector running at the Large Hadron Collider at CERN. [Lloyd] was instrumental in getting the G-15 up and running. Imagine a career stretching from the early days of computing to modern high-speed data processing. Suffice to say, [Lloyd] is a legend.

There are some hardcore physics and high speed data collection involved in ATLAS. [Allison] from SMU does a great job of explaining it all. The short version is: When particles are smashed together, huge amounts of information is collected by detectors and calorimeters. On the order of 145 TB/s (yes, TerraBytes per second). It would be impossible to store and analyze all that data. Topoclustering is an algorithm that determines if any given event is important to the researchers or not. The algorithm has to run in less than 1 microsecond, which is why it’s highly pipelined and lives inside an FPGA.

Even though it’s written in Verilog, topoclustering is still an algorithm. This means the G-15, being a general-purpose computer, can run it. To that end, [Lloyd] converted the Verilog code to C. But the Bendix doesn’t run C code. That’s where G-15 historian [Rob Kolstad] came in. Rob ported the C code to Intercom. [David] punched the program and a sample dataset on a short tape. He loaded up Intercom, then Topoclustering, and sent the run command. The G-15 sprang to life and performed flawlessly, proving that it is a general-purpose computer capable of running modern algorithms.

youtube.com/embed/2y0DO8d7Az0?…

Curious about the history of this particular Bendix G-15? Check out some of our earlier articles!

hackaday.com/2025/08/25/cerns-…

APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno dal 2013 e utilizza regolarmente e-mail di spear phishing e furti di credenziali per accedere a sistemi chiusi. Questa volta, gli aggressori hanno implementato una nuova tecnica di infezione, utilizzando file “.desktop” di Linux camuffati da documenti che scaricano malware da Google Drive e stabiliscono un canale di comando e controllo nascosto.

Secondo CloudSEK, l’attacco inizia con l’invio di archivi ZIP contenenti file falsi con un’icona PDF, sebbene in realtà si tratti di collegamenti Linux eseguibili. Una volta avviato, il file avvia il download del payload crittografato da un servizio remoto, lo decrittografa e lo posiziona in una directory temporanea.

Quindi i diritti di accesso vengono modificati e il componente scaricato viene avviato in background. Per nascondere tracce di attività e ridurre i sospetti, la vera documentazione PDF falsa viene aperta simultaneamente nel browser Firefox. Visivamente, tutto sembra legittimo, sebbene a questo punto venga installato un modulo dannoso nascosto.

Il file scaricato è un modulo binario compilato staticamente e scritto in Go che, una volta attivato, verifica l’ambiente per il debug o l’esecuzione in una sandbox per evitare l’analisi. Se non vengono rilevati segnali sospetti, il programma persiste nel sistema e si imposta per avviarsi automaticamente all’accesso dell’utente.

Crea quindi una connessione al server di comando e controllo tramite WebSocket e mantiene un canale persistente per lo scambio di comandi. Questa tecnica consente agli aggressori di controllare segretamente i dispositivi infetti e di raccogliere dati sensibili per un lungo periodo di tempo.

Per camuffare l’attacco vengono utilizzate diverse tecniche, tra cui l’uso di icone incorporate per far sembrare il file un normale documento e la sostituzione del nome dell’eseguibile con un titolo PDF visibile. L’attività dannosa viene accuratamente nascosta: il terminale non si apre all’avvio e le notifiche di sistema non vengono visualizzate. Questo rende l’attacco particolarmente pericoloso per le organizzazioni che lavorano con ambienti Linux e presuppongono un elevato livello di sicurezza per le proprie workstation.

Il team che ha condotto l’analisi sottolinea che l’utilizzo di Google Drive come fonte per la distribuzione del payload è indicativo dello sviluppo degli strumenti del gruppo e della difficoltà di rilevarli. La scelta dell’oggetto delle email di phishing che menzionano approvvigionamenti e forniture militari è rivolta ai dipendenti di agenzie governative e dipartimenti della Difesa, il che aumenta la probabilità di apertura dei file infetti.

In caso di compromissione, gli aggressori sono in grado di controllare i sistemi a lungo termine, costruendo una catena di sorveglianza e intercettazione dei dati. Gli esperti raccomandano di bloccare l’accesso al dominio di controllo interessato, di verificare i registri delle attività per individuare connessioni sospette e di utilizzare un’analisi avanzata degli allegati nei sistemi di posta elettronica.

È inoltre importante rafforzare il controllo sugli endpoint, implementare il monitoraggio del traffico di rete e verificare regolarmente le workstation utilizzate per rilevare segnali di intrusione. La portata della minaccia è valutata come significativa, poiché la campagna colpisce strutture critiche e aumenta il rischio di fughe di informazioni classificate.

L'articolo Stai pianificando il passaggio da Windows a Linux? Allora passa, APT36 è già lì ad aspettarti! proviene da il blog della sicurezza informatica.

Even in the early days of the Cold War, it quickly became apparent that simply having hundreds or even thousands of nuclear weapons would never be a sufficient deterrent to atomic attack. For nuclear weapons to be anything other than expensive ornaments, they have to be part of an engineered system that guarantees that they’ll work when they’re called upon to do so, and only then. And more importantly, your adversaries need to know that you’ve made every effort to make sure they go boom, and that they can’t interfere with that process.

In practical terms, nuclear deterrence is all about redundancy. There can be no single point of failure anywhere along the nuclear chain of command, and every system has to have a backup with multiple backups. That’s true inside every component of the system, from the warheads that form the sharp point of the spear to the systems that control and command those weapons, and especially in the systems that relay the orders that will send the missiles and bombers on their way.

When the fateful decision to push the button is made, Cold War planners had to ensure that the message got through. Even though they had a continent-wide system of radios and telephone lines that stitched together every missile launch facility and bomber base at their disposal, planners knew how fragile all that infrastructure could be, especially during a nuclear exchange. When the message absolutely, positively has to get through, you need a way to get above all that destruction, and so they came up with the Emergency Rocket Communication System, or ERCS.

Above It All

The ERCS concept was brutally simple. In the event of receiving an Emergency Action Message (EAM) with a valid launch order, US Air Force missile launch commanders would send a copy of the EAM to a special warhead aboard their ERCS missiles. The missiles would be launched along with the other missiles in the sortie, but with flight paths to the east and west, compared to over-the-pole trajectories for the nuclear-tipped missiles. The ERCS trajectories were designed to provide line-of-sight coverage to all of Strategic Air Command’s missile fields and bomber bases in North America, and also to SAC bases in Europe. Once the third stage of the missile was at apogee, the payload would detach from the launch vehicle and start transmitting the EAM on a continuous loop over one of ten pre-programmed UHF frequencies, ensuring that all strategic assets within sight of the transmitter would get the message even if every other means of communication had failed.
ERCS mission profile schematic. From launch to impact of the AN/DRC-9 payload back on the surface would only be about 30 minutes, during which time the EAM would be transmitted to SAC forces on the ground and in the air from Western Europe to the middle of the Pacific Ocean. Source: ERCS Operation Handbook.
Even by Cold War standards, ERCS went from operational concept to fielded system in a remarkably short time. The SAC directive for what would become ERCS was published in September of 1961, and a contract was quickly awarded to Allied Signal Aerospace Communications to build the thing. In just four months, Allied had a prototype ready for testing. Granted, the design of the payload was simplified considerably by the fact that it was on a one-way trip, but still, the AN/DRC-9, as it was designated, was developed remarkably quickly.

The 875-pound (397-kg) payload, which was to be carried to the edge of space at the tip of an ICBM, contained a complete “store and forward” communications system with redundant UHF transmitters, along with everything needed to control the deployment of the package into space, to manage the thermal conditions inside the spacecraft, and to keep it on a stable trajectory after release. In addition, the entire package was hardened against the effects of electromagnetic pulse, ensuring its ability to relay launch orders no matter what.
AN/DRC-9 on display at the Air Force Museum. This is mounted upside down relative to how it was mounted in the rocket; note the spiral antenna at the top, which would be pointing down toward the surface. The antenna struts are mounted to the twin zinc-silver batteries. The exciter and final amp for one of the transmitters are in the gold boxes at the lower left. Source: US Air Force.
The forward section of the package, just aft of the nose cone, mainly contained the equipment to activate the payload’s batteries. As was common in spacecraft of the day, the payload was powered by silver-zinc batteries, which were kept in a non-activated state until needed. To activate them, a gas generator in the forward section would be started about 45 seconds prior to launch. This would provide the pressure needed to force about seven liters of potassium hydroxide electrolyte solution from a reservoir in the forward section through tubes to the pair of batteries in the aft section of the payload. The batteries would immediately supply the 45 VDC needed by the payload’s power converters, which provided both the regulated 28 VDC supply for powering most of the comms equipment, plus the low-voltage, high-current AC supplies needed for the filaments of the tubes used in the RF power amplifiers. In the interest of redundancy, there were two separate power converters, one for each battery.

Also for redundancy and reliability, the payload used a pair of identical transmitters, located in the aft section. These were capable of operating on ten different channels in the UHF band, with the frequency controlled by a solid-state crystal-controlled oscillator. The specific channel was selected at the time of launch and fixed for the duration of the mission. The oscillators fed an exciter circuit, also solid state, that amplified and modulated the carrier signal for the driver amplifiers, before sending them to a series of RF cavity amps that used vapor-cooled tetrodes to boost the signal to about a kilowatt.

Both transmitters were connected to a passive diplexer to couple the two signals together into a common feed line for the payload’s single antenna, which sat behind a fiberglass radome, which was pressurized to reduce the risk of corona discharge, at the very aft of the vehicle. The antenna was an Archimedian spiral design, which is essentially a dipole antenna wound into a spiral with the two legs nested together. This resulted in a right-hand circularly polarized signal that covered the entire frequency range of the transmitter.

Whiskey Tango Foxtrot

Since the business of all this hardware was to transmit EAMs, the AN/DRC-9 was equipped with a recorder-processor system. This was shockingly simple — essentially just a continuous-loop tape deck with its associated amplifiers and controllers. The tape deck had separate playback and record/erase heads, over which the tape moved at a nominal 5 inches per second, or 40 ips when it needed to rapidly cycle back to the beginning of the message. The loop was long enough to record an EAM up to 90 seconds long, which was recorded by the missile combat crew commander (MCCC) over a standard telephone handset on a dedicated ERCS console in the launch complex. The EAM, a long series of NATO phonetic alphabet characters, was dictated verbatim and checked by the deputy MCCC for accuracy; if the MCCC flubbed his lines, the message was recorded over until it was perfect.

youtube.com/embed/JsSPHOle7O0?…

The recorder-processor was activated in playback mode once the transmitter was activated, which occurred about 31 seconds after thrust termination of the third stage of the rocket and after spin motors had fired to spin-stabilize the payload during the ballistic phase of its flight. Test flights over the Pacific launched from Vandenberg Air Force Base in California showed that transmissions were readable for anywhere from 14 to 22 minutes, more than enough to transmit a complete EAM multiple times.
Decommissioned LGM-30F Minuteman II missile in its silo. The ERCS payload would have looked exactly like the mock fairing at the tip of the missile shown here. Source: Kelly Michaels, CC-BY-NC 2.0.
As was common with many Cold War projects, work on ERCS started before the launch vehicle it was intended for, the Minuteman II, was even constructed. As an interim solution, the Air Force mounted the payloads to their Blue Scout launch vehicles, a rocket that had only been used for satellites and scientific payloads. But it performed well enough in a series of tests through the end of 1963 that the Air Force certified the Blue Scout version of ERCS as operational and deployed it to three sites in Nebraska on mobile trailer launchers. The Blue Scout ERCS would serve until the Minuteman version was certified as operational in 1968, greatly improving readiness by putting the system in a hardened silo rather than in vulnerable above-ground launch trailers.

By the mid-70s, ten Minuteman II ERCS sorties were operational across ten different launch facilities at Whiteman Air Force Base in Missouri. Luckily, they and their spicier cousins all stayed in their silos through even the hottest days of the Cold War, only emerging in 1991 when the entire Minuteman II force was ordered to stand down by President George H.W. Bush. By that point, global military communications had advanced considerably, and the redundancy offered by ERCS was deemed no longer worth the expense of maintaining the 1960s technology that provided it. All ERCS payloads were removed from their missiles and deactivated by the end of 1991.

hackaday.com/2025/08/25/radio-…

Gli attacchi di phishing stanno diventando sempre più sofisticati e ora prendono di mira non solo gli utenti, ma anche le difese automatizzate basate sull’intelligenza artificiale. I ricercatori hanno scoperto una campagna in cui gli aggressori incorporano istruzioni nascoste nelle e-mail per confondere i sistemi di intelligenza artificiale utilizzati dai SOC per classificare e filtrare le minacce.

L’email in sé aveva un aspetto tradizionale: l’oggetto era “Avviso di scadenza accesso 20/08/2025 16:56:21”, il testo era una notifica sull’imminente scadenza della password ad un indirizzo di posta elettronica con la proposta di confermare o aggiornare urgentemente i dati. Questa tecnica si basa su elementi familiari dell’ingegneria sociale : pressione del tempo, imitazione di messaggi ufficiali e falsificazione del marchio Gmail.

Ma l’interno dell’email conteneva un elemento molto più interessante: un blocco di testo nella sezione MIME, scritto nello stile dei prompt per LLM come ChatGPT o Gemini. Includeva riferimenti a “ragionamento multilivello“, “generazione di 10 prospettive diverse” e “sintesi ottimizzata”. Questi riferimenti sono nascosti agli utenti, ma durante l’analisi di un’email, l’IA potrebbe essere distratta da queste istruzioni e non rilevare evidenti segnali di phishing.

Se tali algoritmi sono correlati all’automazione dei processi (tagging, escalation, apertura di ticket), tale interferenza può portare a ritardi, falsi negativi o dashboard SOC contaminate.

La catena di distribuzione in sé è una copia della campagna precedente con piccole modifiche. Le email sono state inviate tramite SendGrid, superando SPF/DKIM ma non DMARC, il che ha permesso loro di aggirare i filtri e accedere alle caselle di posta. Gli aggressori hanno utilizzato Microsoft Dynamics come reindirizzamento intermedio per rendere il messaggio più credibile. La vittima è stata quindi accolta da un dominio con un captcha che bloccava sandbox e crawler, e la pagina finale imitava un modulo di accesso a Gmail con JavaScript offuscato.

Il loader della prima fase conteneva un codice AES-CBC crittografato; la chiave e l’IV (i primi 16 byte del blocco) erano nascosti in Base64. Una volta decifrati, veniva eseguito uno script che controllava il processo di accesso fittizio: verifica della password, simulazione di errori 2FA e prolungamento dell’interazione per estorcere dati. Inoltre, il sito raccoglieva indirizzi IP, ASN e geolocalizzazione, e inviava beacon per distinguere gli utenti reali e per l’analisi automatizzata.

Tra gli indicatori di compromissione figurano i domini assets-eur.mkt.dynamics.com, bwdpp.horkyrown.com e glatrcisfx.ru, nonché l’accesso al servizio get.geojs.io per la profilazione. Gli esperti rilevano diversi segnali indiretti che indicano la potenziale affiliazione degli operatori con l’Asia meridionale. I record WHOIS dei domini attaccanti contengono informazioni di contatto provenienti dal Pakistan e gli URL contengono parole caratteristiche dell’hindi e dell’urdu (“tamatar” (“pomodoro”), “chut” (una parola oscena), il che indica la possibile origine dell’attacco dall’Asia meridionale, sebbene i ricercatori segnalino la possibilità di una falsificazione delle tracce.

La principale differenza tra questa campagna e quelle precedenti è il tentativo esplicito di attaccare due obiettivi contemporaneamente: esseri umani e intelligenza artificiale. La vittima viene spinta a inserire le credenziali e il sistema di intelligenza artificiale viene ingannato da prompt incorporati. Questo “doppio strato” rende il phishing molto più pericoloso: ora non solo gli utenti devono proteggersi, ma anche gli strumenti di sicurezza stessi.

I ricercatori sottolineano che tali tecniche sono ancora rare, ma la loro comparsa dimostra che il phishing è entrato nella fase degli attacchi “a più livelli che tengono conto dell’intelligenza artificiale”. Ora le aziende dovranno costruire difese in tre direzioni contemporaneamente: contro l’ingegneria sociale, contro la manipolazione dell’intelligenza artificiale e contro l’abuso delle infrastrutture di reindirizzamento e beacon.

L'articolo Il Phishing per le AI è arrivato! ChatGPT, clicca subito qui per non perdere l’accesso! proviene da il blog della sicurezza informatica.