STAGERSHELL: quando il malware non lascia tracce. L’analisi di Malware Forge
All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli aggressori è stato un account VPN rimasto attivo dopo la cessazione di un ex dipendente. Una semplice dimenticanza che ha permesso agli attaccanti di infiltrarsi nella rete senza sforzi apparenti. Da lì in poi, il resto è stato un gioco di pazienza: movimento silenzioso, escalation dei privilegi e mesi di presenza nascosta all’interno dell’infrastruttura.
All’analisi hanno partecipato Manuel Roccon, Alessio Stefan, Bajram Zeqiri (aka Frost), Agostino pellegrino, Sandro Sana e Bernardo Simonetto.
Scarica il report STAGERSHELL realizzato da Malware Forge
La scoperta di StagerShell
Durante le operazioni di incident response un Blue Team ha individuato due artefatti sospetti. Non erano i soliti file eseguibili, ma script PowerShell capaci di agire direttamente in memoria.
È qui che entra in scena il malware il protagonista del report pubblicato dal laboratorio di Malware Analysis di Red Hot Cyber Malware Forge, che il laboratorio ha dato nome StagerShell. Si tratta di un componente invisibile agli occhi dei sistemi meno evoluti, progettato per preparare il terreno a un secondo stadio più aggressivo, con ogni probabilità un ransomware.
La caratteristica principale di StagerShell è la sua natura fileless. Questo significa che non lascia file sul disco, non sporca l’ambiente con tracce evidenti, ma si insinua nei processi di memoria. Un approccio che gli consente di sfuggire a gran parte delle difese tradizionali. In pratica, il malware non è un ladro che sfonda la porta, ma un intruso che si mescola silenziosamente tra chi vive già nell’edificio, diventando difficile da riconoscere.
Il nome non è casuale: StagerShell è uno “stager”, ovvero un trampolino di lancio. Il suo compito non è infliggere il danno finale, ma aprire un canale invisibile attraverso cui far arrivare il vero payload. In altre parole, prepara la strada e rende più semplice e rapido il lavoro del malware principale, che spesso entra in scena solo nella fase finale, quella più devastante. È il preludio di un attacco che si concretizza quando ormai gli aggressori hanno già ottenuto un vantaggio tattico enorme.
Somiglianze con i grandi gruppi criminali
Gli analisti del Malware Forge hanno notato una forte somiglianza tra StagerShell e strumenti già utilizzati da gruppi criminali come Black Basta. Dopo il collasso di quella sigla, molti suoi affiliati sono confluiti in organizzazioni come Akira e Cactus, molto attive anche in Italia e in particolare nel Nord-Est, la stessa area colpita da questo episodio. Non è stato possibile attribuire con certezza l’attacco, ma il contesto lascia pochi dubbi: si trattava di una campagna ransomware interrotta prima della fase di cifratura. Resta però l’ombra dell’esfiltrazione: su un Domain Controller è stato trovato un file da 16 GB, segno evidente che i dati erano già stati trafugati.
Errori banali e lezioni imparate
Questo caso mostra chiaramente come, spesso, non siano i super exploit a mettere in crisi le aziende, ma gli errori di gestione quotidiani. Un account non disabilitato, una credenziale dimenticata, un controllo mancante. A questo si somma la capacità degli attaccanti di combinare strumenti noti con tecniche di elusione avanzate, capaci di confondere antivirus e sistemi di difesa meno evoluti. È la combinazione perfetta: da una parte la leggerezza delle vittime, dall’altra la creatività dei criminali.
Il report lancia un messaggio chiaro: la sicurezza non è statica. Non basta avere firewall e antivirus se non vengono accompagnati da monitoraggio continuo, revisione costante degli accessi e capacità di risposta rapida agli incidenti. In questo caso sono stati gli alert EDR e la prontezza del Blue Team a impedire il peggio. Ma è evidente che senza un’attenzione maggiore, l’operazione avrebbe potuto concludersi con una cifratura massiva e un fermo totale dell’infrastruttura.
Gli attacchi fileless non sono un fenomeno raro né circoscritto a grandi multinazionali. Sono una realtà quotidiana, che colpisce imprese di tutte le dimensioni. Per gli attaccanti, l’Italia – e in particolare le aree produttive – è un obiettivo redditizio: catene di fornitura critiche, aziende manifatturiere che non possono fermarsi, informazioni preziose da rivendere o utilizzare come leva di ricatto. È un problema sistemico che va affrontato con consapevolezza e serietà.
Perché leggere il report
Il documento del Malware Forge non è un semplice approfondimento tecnico. È uno strumento pratico per capire come gli aggressori operano davvero, quali errori sfruttano e quali contromisure possono fare la differenza. Racconta un caso reale, con protagonisti e dinamiche concrete, e lo traduce in lezioni che ogni organizzazione può applicare. Non è teoria, è esperienza sul campo.
Pubblicare questo tipo di analisi significa trasformare la conoscenza in difesa. È l’idea che guida Red Hot Cyber: riconoscere il rischio, raccontarlo, condividere ciò che si è imparato. Non è un gesto accademico, ma un modo concreto per rendere più difficile la vita agli aggressori e più matura la comunità della sicurezza. Perché il sapere, in questo ambito, non è potere se resta chiuso in un cassetto: diventa potere solo quando è diffuso.
Una sveglia per tutti
StagerShell ci insegna che l’intrusione più pericolosa è spesso quella che non vedi. È il segnale che non ha ancora fatto rumore, la presenza silenziosa che prepara un attacco devastante. Leggere il report significa prendere coscienza di queste dinamiche e portarsi a casa tre convinzioni semplici: chiudere ciò che non serve, vedere ciò che conta, reagire senza esitazione.
La prossima intrusione potrebbe essere già iniziata. E, come StagerShell dimostra, quello che non vedi è proprio ciò che ti mette più in pericolo.
Chi sono gli specialisti di Malware Forge
Gli specialisti di Malware Forge rappresentano il cuore tecnico della sotto-community di Red Hot Cyber dedicata alla Malware Analysis. Si tratta di professionisti con competenze avanzate nell’analisi dei malware, nella reverse engineering, nella sicurezza offensiva e difensiva, capaci di ricostruire comportamenti complessi dei codici malevoli e di tradurli in informazioni pratiche per aziende, istituzioni e professionisti del settore.
Il loro lavoro non si limita alla semplice identificazione di un malware: gli specialisti studiano come gli attaccanti operano, quali vulnerabilità sfruttano, come si muovono lateralmente all’interno delle reti e come pianificano le loro campagne (anche con la collaborazione degli altri gruppi di Red Hot Cyber come HackerHood specializzati nell’hacking etico oppure Dark Lab, specializzati nella cyber threat intelligence. Grazie a questa expertise, Malware Forge produce report dettagliati e documenti tecnici, trasformando dati grezzi in intelligence operativa e tattica che permette di prevenire e mitigare attacchi reali.
Chi fosse interessato a entrare a far parte della community e collaborare con Malware Forge può trovare tutte le informazioni e le modalità di adesione in questo articolo ufficiale: Malware Forge: nasce il laboratorio di Malware Analysis di Red Hot Cyber.
L'articolo STAGERSHELL: quando il malware non lascia tracce. L’analisi di Malware Forge proviene da il blog della sicurezza informatica.
Una proposta per Gaza, leggiamo i nomi dei giornalisti uccisi dall’esercito israeliano
@Giornalismo e disordine informativo
articolo21.org/2025/08/una-pro…
Il numero purtroppo andrà aggiornato, ma siamo a 245 giornalisti di varie nazionalità, la maggioranza palestinesi,
possibile.com/il-genocidio-del…
Da questo deriva la visione di Israele come salvatore dei fondamenti democratici nei territori del Medio Oriente, nonostante le reiterate violazioni dei diritti umani
Linda Sartini reshared this.
Gaza, diventiamo la voce dei giornalisti uccisi: scendiamo in piazza per urlare “basta”
@Giornalismo e disordine informativo
articolo21.org/2025/08/gaza-di…
Ogni reporter a Gaza è una voce in pericolo. Noi giornalisti occidentali non possiamo più limitarci a scrivere i nostri
Linda Sartini reshared this.
Gaza: ecco cosa può fare il governo italiano. E cosa possiamo fare tutti noi. Il 12 ottobre Marcia PerugiAssisi
@Giornalismo e disordine informativo
articolo21.org/2025/08/gaza-ec…
La PerugiAssisi lancia un grande appello per
Linda Sartini reshared this.
In Norvegia la depressione resistente si tratterà con la ketamina
Testo preparato con Peppe Brescia
“La decisione presa dal Forum Decisionale per i Nuovi Metodi è il risultato di un processo approfondito e di una valutazione delle conseguenze umane derivanti dalla decisione di introdurre e da quella di non introdurre un metodo per la valutazione, il trattamento e/o la procedura/organizzazione. Se si ricevono nuove informazioni che modificano significativamente il risultato, la decisione può essere riconsiderata”.
Si apre così il documento con cui il 25 Agosto il Beslutningsforum, l’ente regolatore norvegese per i farmaci, ha approvato un provvedimento che consentirà il rimborso nazionale per l’utilizzo off-label della ketamina come terapia per la depressione resistente al trattamento (TRD).
La votazione del Caso 119 – 2025 ID2022_018, inserito nell’ambito di un’altra dozzina di misure inerenti metodologie mediche innovative, costituisce un evento di portata storica: la Norvegia diviene infatti il primo paese al mondo a muoversi in tale direzione.
La misura avanzata dal Beslutningsforum si articola sinteticamente in cinque punti: si stabilisce la possibilità di ricorrere alla ketamina a fronte della certificazione di una condizione di TRD mostrata dal paziente, specificando come, “fino a quando non saranno disponibili maggiori informazioni sugli effetti a lungo termine, il trattamento deve essere seguito attraverso registri o studi clinici e, per il momento, deve essere somministrato in ospedale o presso il Distretto di Servizio Psichiatrico”. Si indicano le informazioni di cui il paziente deve essere messo a conoscenza, come il fatto che si tratti di un percorso medico off-label e, appunto, la possibilità di rimborso per quest’ultimo. Aggiungendo che “il trattamento può essere utilizzato dal momento della decisione”, il documento si chiude fissando per la fine del 2028 il riesame del provvedimento.
La decisione del Beslutningsforum, che entrerà in vigore con effetto immediato, giunge dopo mesi di fervente dibattito accademico e istituzionale nel paese.
A Marzo 2025, infatti, il Journal of the Norwegian Medical Association ha pubblicato un articolo sulla ketamina per la TRD, che ha preso in analisi il campione nazionale complessivo di circa 350 pazienti in cura con questa terapia, concludendo che l’esperienza clinica finora maturata appare ampiamente in linea con gli studi stranieri, rendendo la ketamina per via endovenosa “un trattamento sicuro ed efficace per una popolazione di pazienti con poche opzioni”.
Nel contesto del crescente interesse per il potenziale mostrato dalla molecola nel trattamento di tale patologia depressiva, l’Agenzia Norvegese per i Prodotti Medici (DMP) ha recentemente pubblicato una propria valutazione delle tecnologie sanitarie riguardo l’utilizzo della ketamina per via endovenosa nell’ambito della cura della TRD, sulla base dell’analisi di 21 studi clinici.
Dalla revisione emergerebbe un maggior potenziale mostrato dalla ketamina rispetto a opzioni come la soluzione salina, il midazolam o la Terapia ElettroConvulsivante (nota anche come elettroshock).
Allo stesso tempo, per la ketamina è stata osservata un’efficacia sostanzialmente comparabile a quella dell’esketamina, la quale ha però a sua volta ricevuto il diniego al finanziamento pubblico da parte del sistema sanitario norvegese.
Infine, negli scorsi mesi L’Unità di Ketamina del DPS Nordre dell’Ospedale di Østfold, uno dei centri coinvolti nella sperimentazione off-label, ha preparato un protocollo di 24 pagine per l’uso della ketamina nella TRD. Il documento affronta le varie fasi del trattamento, dalle metodologie di somministrazione alle sessioni di controllo, fornendo dettagliate disposizioni per ognuno di questi passaggi.
La piccola rivoluzione norvegese giunge in concomitanza con l’imminente entrata in vigore delle nuove linee guida dell’Agenzia Europea dei Medicinali (EMA) sull’indagine clinica dei medicinali per il trattamento della depressione, prevista per il 30 Settembre 2025, a conferma di una significativa accelerazione cui si sta assistendo in ambito comunitario in merito a ricerca e sviluppo circa le terapie psichedeliche.
Di psicoterapie assistite da molecole psichedeliche, come di uso off-label della ketamina si parlerà all’evento precongressuale “psichedelico” che l’Associazione Luca Coscioni organizza a La Spezia il 27 settembre alla biblioteca comunale.
L'articolo In Norvegia la depressione resistente si tratterà con la ketamina proviene da Associazione Luca Coscioni.
VIC-20 Gets ISA Slot, Networking
There are few computing collapses more spectacular than the downfall of Commodore, but its rise as a home computer powerhouse in the early 80s was equally impressive. Driven initially by the VIC-20, this was the first home computer model to sell over a million units thanks to its low cost and accessibility for people outside of niche markets and hobbyist communities.
The VIC-20 would quickly be eclipsed by the much more famous Commodore 64, but for those still using these older machines there are a few tweaks to give it some extra functionality it was never originally designed for like this build which gives it an ISA bus.
To begin adapting the VIC-20 to the ISA standard, [Lee] built a fixed interrupt line handled with a simple transistor circuit. From there he started mapping memory and timing signals. The first attempt to find a portion of memory to use failed as it wasn’t as unused as he had thought, but eventually he settled on using the I/O area instead although still had to solve some problems with quirky ISA timing. There’s also a programmable logic chip which was needed to generate three additional signals for proper communication.
After solving some other issues around interrupts [Lee] was finally able to get the ISA bus working, specifically so he could add a 3Com networking card and get his VIC-20 on his LAN. Although the ISA bus has since gone out of fashion on modern computers, if you still have a computer with one (or build one onto your VIC-20), it is a surprisingly versatile expansion port.
Thanks to [Stephen] for the tip!
Gazzetta del Cadavere reshared this.
ROTTE SPAZIALI, SFIDE TERRESTRI: IL FUTURO DEL MADE IN ITALY È OLTRE L’ATMOSFERA
@Informatica (Italy e non Italy 😁)
Nel mondo multipolare e instabile che stiamo vivendo, lo spazio non è più soltanto un orizzonte tecnologico o scientifico...
L'articolo ROTTE SPAZIALI, SFIDE TERRESTRI: IL FUTURO DEL MADE IN ITALY È OLTRE L’ATMOSFERA proviene da GIANO NEWS.
RDP sotto Tiro! 30.000 indirizzi IP univoci sondano i servizi esposti per attacchi mirati
I ricercatori di sicurezza di greyNoise hanno rilevato una vasta operazione di scansione coordinata contro i servizi Microsoft Remote Desktop Protocol (RDP), durante la quale gli aggressori hanno scansionato oltre 30.000 indirizzi IP unici al fine di valutare le vulnerabilità presenti nei portali di autenticazione Microsoft RD Web Access e RDP Web Client.
La metodologia di attacco si concentra sull’enumerazione dell’autenticazione basata sul tempo, una tecnica che sfrutta le sottili differenze nei tempi di risposta del server per identificare nomi utente validi senza attivare i tradizionali meccanismi di rilevamento brute force.
Questo approccio consente agli aggressori di creare elenchi completi di obiettivi per successive operazioni di credential stuffing e password spraying, mantenendo al contempo la massima discrezione operativa.
La campagna, riportano i ricercatori di GrayNoise, rappresenta una delle più grandi operazioni di ricognizione coordinate dell’RDP osservate negli ultimi anni, segnalando la potenziale preparazione per attacchi su larga scala basati sulle credenziali. L’operazione di scansione è iniziata con una prima ondata il 21 agosto 2025, coinvolgendo quasi 2.000 indirizzi IP contemporaneamente.
La tempistica della campagna coincide con il periodo di ritorno a scuola negli Stati Uniti, quando gli istituti scolastici solitamente implementano ambienti di laboratorio abilitati RDP e sistemi di accesso remoto per gli studenti in arrivo. Questa finestra di targeting è strategicamente significativa, poiché le reti educative spesso implementano schemi di nomi utente prevedibili (ID studente, formati nome.cognome) che facilitano gli attacchi di enumerazione.
L’analisi della telemetria di rete rivela che il 92% dell’infrastruttura di scansione è costituito da indirizzi IP dannosi precedentemente classificati, con traffico di origine fortemente concentrato in Brasile (73% delle origini osservate) e mirato esclusivamente agli endpoint RDP con sede negli Stati Uniti.
Tuttavia, la campagna ha subito un’escalation drammatica il 24 agosto, quando i ricercatori di sicurezza hanno rilevato oltre 30.000 indirizzi IP univoci che conducevano indagini coordinate utilizzando firme client identiche, il che indica una sofisticata infrastruttura botnet o un’implementazione coordinata di un set di strumenti. I modelli uniformi di firma client su 1.851 dei 1.971 host di scansione iniziali suggeriscono un’infrastruttura di comando e controllo centralizzata tipica delle operazioni APT (Advanced Persistent Threat).
Gli autori della minaccia stanno conducendo operazioni di ricognizione in più fasi, identificando prima gli endpoint RD Web Access e RDP Web Client esposti, quindi testando i flussi di lavoro di autenticazione per individuare vulnerabilità di divulgazione delle informazioni. Questo approccio sistematico consente la creazione di database di destinazione completi contenenti nomi utente validi ed endpoint accessibili per future campagne di sfruttamento.
I ricercatori della sicurezza hanno osservato che la stessa infrastruttura IP è stata osservata mentre eseguiva scansioni parallele per servizi proxy aperti e operazioni di web crawling, il che indica un toolkit di minacce multiuso progettato per una ricognizione completa della rete.
L'articolo RDP sotto Tiro! 30.000 indirizzi IP univoci sondano i servizi esposti per attacchi mirati proviene da il blog della sicurezza informatica.
I due Cyber Romani ce l’hanno fatta! Il Cyberpandino raggiunge il traguardo del Mongol Rally 2025!
Ciao, siamo felici (e un po’ increduli) di annunciarvi che il Cyberpandino ha ufficialmente raggiunto il traguardo del Mongol Rally 2025! Un’avventura lunga oltre 17.000 km, attraverso 20 paesi, con una quantità di guasti, imprevisti e riparazioni improvvisate che solo un viaggio del genere poteva regalarci.
Siamo stanchi, sì, ma ancora più motivati: questa esperienza ci ha fatto sognare nuove idee, progetti e competizioni a cui ci piacerebbe partecipare. E proprio per questo abbiamo deciso di portare in Italia il primo Cyberpandino, per farlo vivere ancora e condividerlo in fiere ed eventi di settore, insieme ai brand che lo hanno reso possibile.
E tra questi ci siamo anche noi come Red Hot Cyber!
In questi 40 giorni abbiamo raccolto una mole enorme di materiale foto e video che stiamo organizzando in un piano editoriale ricco per i prossimi mesi.
- Napapijri lancerà l’10 settembre a Londra un cortometraggio dedicato all’avventura.
- Noi produrremo un mini-documentario dal giorno zero fino al traguardo, con l’obiettivo non solo di generare visibilità, ma anche di ispirare altre persone a lanciarsi in progetti fuori dagli schemi.
Tutto questo non sarebbe stato possibile senza il vostro supporto.
Grazie per aver creduto in noi e nel nostro primo progetto: ora che siamo sulla strada di casa, ci impegniamo a preparare i contenuti concordati e ad avere il vostro via libera per portarvi con noi in eventi e fiere, lasciando il vostro brand inciso su questo primo Cyberpandino.
Per darvi un’idea dell’impatto raggiunto, ecco alcuni dati di Instagram (il canale che abbiamo seguito di più durante il viaggio):
- Dalla partenza da Lampedusa intorno al 1° luglio ad oggi: 2,4M visualizzazioni contenuti, 40K interazioni singole (like, commenti, salvataggi), +6K follower (pubblico 90% maschile, 24-44 anni).
- Dagli ultimi lavori alla macchina intorno a fine maggio ad oggi: oltre 4M visualizzazioni contenuti e 70K interazioni singole.
Questi risultati dimostrano quanto insieme abbiamo generato valore e quanta attenzione abbiano attratto i prodotti e servizi dei nostri partner, rivelatisi davvero indispensabili per la riuscita del viaggioe di cui parleremo nel dettaglio nei contenuti riassuntivi che produrremo.
Un grazie sincero da parte di tutto il team,
Roberto, Matteo ed il Cyberpandino
L'articolo I due Cyber Romani ce l’hanno fatta! Il Cyberpandino raggiunge il traguardo del Mongol Rally 2025! proviene da il blog della sicurezza informatica.
Nessun Miracolo! L’Università Pontificia Salesiana cade vittima del ransomware
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’Ateneo. L’incidente ha determinato un blocco immediato delle attività online, generando disagi per studenti, docenti e personale amministrativo. Non sappiamo se si tratti di ransomware ma le parole “valutare i danni e avviare le operazioni di ripristino” del comunicato stampa fanno pensare a questo.
A seguito dell’attacco, l’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale sono prontamente intervenute per condurre le indagini necessarie e adottare le misure di contenimento. Le autorità competenti stanno infatti lavorando per comprendere le modalità con cui è stato portato a termine l’attacco e per attuare tutte le azioni necessarie alla sicurezza delle infrastrutture digitali coinvolte.
Attualmente è ancora in corso la fase di analisi tecnica per valutare l’effettiva portata del danno. Solo al termine di questa attività sarà possibile stabilire con precisione l’impatto subito e avviare in maniera mirata le operazioni di ripristino. Fino a quel momento, i siti e i servizi online dell’Università Pontificia Salesiana restano non disponibili.
La sospensione riguarda anche la casella di posta elettronica istituzionale con dominio @unisal.it, che al momento non risulta funzionante. Questo ha reso necessario predisporre un indirizzo email alternativo per garantire i contatti urgenti: universitatpontificiasalesiana@gmail.com.
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata oggetto di un grave attacco informatico che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’Ateneo. L’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale sono immediatamente intervenute e stanno conducendo tutte le azioni necessarie. È tuttora in corso la fase di analisi per comprendere la reale portata dell’attacco, valutare i danni e avviare le operazioni di ripristino. Al momento i siti e i servizi online dell’UPS non sono disponibili.
Ci scusiamo per il disagio e forniremo aggiornamenti sull’avanzamento dei lavori di riattivazione attraverso i canali ufficiali, compresi i social media e il Canale WhatsApp.
La casella di posta elettronica @unisal.it risulta al momento non funzionante. In caso di necessità, è possibile contattare l’Ateneo scrivendo all’indirizzo: universitapontificiasalesiana@gmail.com
L’Ateneo ha comunicato che continuerà a fornire aggiornamenti sull’andamento delle operazioni di ripristino attraverso i propri canali ufficiali, inclusi i social media e il canale WhatsApp. In questo modo si cerca di mantenere informata la comunità universitaria nonostante l’indisponibilità dei servizi digitali abituali.
Nel messaggio ufficiale, l’Università Pontificia Salesiana ha espresso le proprie scuse per i disagi causati, assicurando il massimo impegno per il ritorno alla piena operatività nel più breve tempo possibile. Le autorità competenti e i tecnici dell’Ateneo restano al lavoro per garantire sicurezza e continuità delle attività didattiche e amministrative.
L'articolo Nessun Miracolo! L’Università Pontificia Salesiana cade vittima del ransomware proviene da il blog della sicurezza informatica.
informapirata ⁂ reshared this.
freezonemagazine.com/news/chan…
Uscito lo scorso 22 agosto, il nuovo singolodi Chantal Acda, intitolato Hit the Verge brano che cattura quella precisa sensazione di quando si sta seduti in macchina mentre la pioggia scorre sui finestrini. Tutte le cattive notizie, il caos e la confusione della quotidianità vengono chiuse fuori, dentro pervade uno stato di
Very Efficient APFC Circuit in Faulty Industrial 960 Watt Power Supply
The best part about post-mortem teardowns of electronics is when you discover some unusual design features, whether or not these are related to the original fault. In the case of a recent [DiodeGoneWild] video involving the teardown of an industrial DIN-rail mounted 24 V, 960 Watt power supply, the source of the reported bang was easy enough to spot. During the subsequent teardown of this very nicely modular PSU the automatic power factor correction (APFC) board showed it to have an unusual design, which got captured in a schematic and is explained in the video.
Choosing such a APFC design seems to have been done in the name of efficiency, bypassing two of the internal diodes in the bridge rectifier with the external MOSFETs and ultrafast diodes. In short, it prevents some of the typical diode voltage drops by removing diodes in the path of the current.
Although not a new design, as succinctly pointed out in the comments by [marcogeri], it’s explained how even cutting out one diode worth of voltage drop in a PSU like this can save 10 Watt of losses. Since DIN rail PSUs rarely feature fans for active cooling, this kind of APFC design is highly relevant and helps to prevent passively cooled PSUs from spiraling into even more of a thermal nightmare.
As for the cause behind the sooty skid marks on one of the PCBs, that will be covered in the next video.
youtube.com/embed/UsY1xzpdJPU?…
The Shady School
We can understand why shaderacademy.com chose that name over “the shady school,” but whatever they call it, if you are looking to brush up on graphics programming with GPUs, it might be just what you are looking for.
The website offers challenges that task you to draw various 2D and 3D graphics using code in your browser. Of course, this presupposes you have WebGPU enabled in your browser which means no Firefox or Safari. It looks like you can do some exercises without WebGPU, but the cool ones will need you to use a Chrome-style browser.
You can search by level of difficulty, so maybe start with “Intro” and try doing “the fragment shader.” You’ll notice they already provide some code for you along with a bit of explanation. It also shows you a picture of what you should draw and what you really drew. You get a percentage based on the matching. There’s also a visual diff that can show you what’s different about your picture from the reference picture.
We admit that one is pretty simple. Consider moving on to “Easy” with options like “two images blend,” for example. There are problems at every level of difficulty. Although there is a part for compute shaders, none seem to be available yet. Too bad, because that’s what we find most interesting. If you prefer a different approach, there are other tutorials out there.
There’s nothing Mini About this Mini Hasselblad-Style Camera’s Sensor
When someone hacks together a digital camera with a Raspberry Pi, the limiting factor for serious photography is usually the sensor. No offense to the fine folks at the foundation, but even the “HQ” camera, while very good, isn’t quite professional grade. That’s why when photographer [Malcom Wilson] put together this “Mini Hasselblad” style camera, he hacked in a 1″ sensor.
The sensor in question came in the form of a OneInchEye V2, from [Will Whang] on Tindie. The OneInch Eye is a great project in its own right: it takes a Sony IMX283 one-inch CMOS image sensor, and packages it with an IMU and thermal sensor on a board that hooks up to the 4-lane MIPI interface on the Rasberry Pi CM4 and Pi 5.
Sensor in hand, [Malcom Jay] needed but to figure out power and view-finding. Power is provided by a Geekworm X1200 battery hat. That’s the nice thing about the Pi ecosystem: with so many modules, it’s like lego for makers. The viewfinder, too, uses 4″ HDMI screen sold for Pi use, and he’s combined it with a Mamiya C220 TLR viewfinder to give that look-down-and-shoot effect that gives the project the “Mini Hasselblad” moniker.
The OneInchEye module came set up for C-mount lenses, and [Malcom] stuck with that, using some Fujinon TV lenses he already had on hand. [Malcom] has released STL files of his build under a creative-commons noncommercial license, but he’s holding the code back for subscribers to his Substack.
This isn’t the first Pi-based camera we’ve seen from [Malcom]. and there’ve been quite a few others on these pages over the years. There was even a Hackaday version, to test out the “offical” module [Malcom] eschewed.
Thanks to [Malcom] for the tip.
Andre123 reshared this.
Forty-four attorneys general signed an open letter on Monday that says to companies developing AI chatbots: "If you knowingly harm kids, you will answer for it.”#chatbots #AI #Meta #replika #characterai #Anthropic #x #Apple
Attorneys General To AI Chatbot Companies: You Will ‘Answer For It’ If You Harm Children
Forty-four attorneys general signed an open letter to 11 chatbot and social media companies on Monday, warning them that they will “answer for it” if they knowingly harm children and urging the companies to see their products “through the eyes of a parent, not a predator.”The letter, addressed to Anthropic, Apple, Chai AI, OpenAI, Character Technologies, Perplexity, Google, Replika, Luka Inc., XAI, and Meta, cites recent reporting from the Wall Street Journal and Reuters uncovering chatbot interactions and internal policies at Meta, including policies that said, “It is acceptable to engage a child in conversations that are romantic or sensual.”
“Your innovations are changing the world and ushering in an era of technological acceleration that promises prosperity undreamt of by our forebears. We need you to succeed. But we need you to succeed without sacrificing the well-being of our kids in the process,” the open letter says. “Exposing children to sexualized content is indefensible. And conduct that would be unlawful—or even criminal—if done by humans is not excusable simply because it is done by a machine.”
Earlier this month, Reuters published two articles revealing Meta’s policies for its AI chatbots: one about an elderly man who died after forming a relationship with a chatbot, and another based on leaked internal documents from Meta outlining what the company considers acceptable for the chatbots to say to children. In April, Jeff Horwitz, the journalist who wrote the previous two stories, reported for the Wall Street Journal that he found Meta’s chatbots would engage in sexually explicit conversations with kids. Following the Reuters articles, two senators demanded answers from Meta.
In April, I wrote about how Meta’s user-created chatbots were impersonating licensed therapists, lying about medical and educational credentials, and engaged in conspiracy theories and encouraged paranoid, delusional lines of thinking. After that story was published, a group of senators demanded answers from Meta, and a digital rights organization filed an FTC complaint against the company.
In 2023, I reported on users who formed serious romantic attachments to Replika chatbots, to the point of distress when the platform took away the ability to flirt with them. Last year, I wrote about how users reacted when that platform also changed its chatbot parameters to tweak their personalities, and Jason covered a case where a man made a chatbot on Character.AI to dox and harass a woman he was stalking. In June, we also covered the “addiction” support groups that have sprung up to help people who feel dependent on their chatbot relationships.
A Replika spokesperson said in a statement:
"We have received the letter from the Attorneys General and we want to be unequivocal: we share their commitment to protecting children. The safety of young people is a non-negotiable priority, and the conduct described in their letter is indefensible on any AI platform. As one of the pioneers in this space, we designed Replika exclusively for adults aged 18 and over and understand our profound responsibility to lead on safety. Replika dedicates significant resources to enforcing robust age-gating at sign-up, proactive content filtering systems, safety guardrails that guide users to trusted resources when necessary, and clear community guidelines with accessible reporting tools. Our priority is and will always be to ensure Replika is a safe and supportive experience for our global user community."
“The rush to develop new artificial intelligence technology has led big tech companies to recklessly put children in harm’s way,” Attorney General Mayes of Arizona wrote in a press release. “I will not standby as AI chatbots are reportedly used to engage in sexually inappropriate conversations with children and encourage dangerous behavior. Along with my fellow attorneys general, I am demanding that these companies implement immediate and effective safeguards to protect young users, and we will hold them accountable if they don't.”
“You will be held accountable for your decisions. Social media platforms caused significant harm to children, in part because government watchdogs did not do their job fast enough. Lesson learned,” the attorneys general wrote in the open letter. “The potential harms of AI, like the potential benefits, dwarf the impact of social media. We wish you all success in the race for AI dominance. But we are paying attention. If you knowingly harm kids, you will answer for it.”
Meta did not immediately respond to a request for comment.
Updated 8/26/2025 3:30 p.m. EST with comment from Replika.
Inside ‘AI Addiction’ Support Groups, Where People Try to Stop Talking to Chatbots
People are self treating themselves and other community members in subreddits like character_ai_recovery, ChatBotAddiction, and AIAddiction.Ella Chakarian (404 Media)
Israele dev’essere fermato
@Giornalismo e disordine informativo
articolo21.org/2025/08/israele…
Di fronte al bombardamento odierno dell’ospedale Nasser di Khan Younis, costato la vita ad almeno venti palestinesi, tra cui cinque operatori dell’informazione, anche chi finora non aveva voluto vedere o aveva trovato le scuse più improbabili per giustificare il genocidio portato avanti
marcog reshared this.
Flock said it has "paused all federal pilots" after police departments said they didn't realize they were sharing access with Customs and Border Patrol.
Flock said it has "paused all federal pilots" after police departments said they didnx27;t realize they were sharing access with Customs and Border Patrol.#Flock
CBP Had Access to More than 80,000 Flock AI Cameras Nationwide
Customs and Border Protection (CBP) regularly searched more than 80,000 Flock automated license plate reader (ALPR) cameras, according to data released by three police departments. The data shows that CBP’s access to Flock’s network is far more robust and widespread than has been previously reported. One of the police departments 404 Media spoke to said it did not know or understand that it was sharing data with CBP, and Flock told 404 Media Monday that it has “paused all federal pilots.”In May, 404 Media reported that local police were performing lookups across Flock on behalf of ICE, because that part of the Department of Homeland Security did not have its own direct access. Now, the newly obtained data and local media reporting reveals that CBP had the ability to perform Flock lookups by itself.
Last week, 9 News in Colorado reported that CBP has direct access to Flock’s ALPR backend “through a pilot program.” In that article, 9 News revealed that the Loveland, Colorado police department was sharing access to its Flock cameras directly with CBP. At the time, Flock said that this was through what 9 News described as a “one-to-one” data sharing agreement through that pilot program, making it sound like these agreements were rare and limited:
“The company now acknowledges the connection exists through a previously publicly undisclosed program that allows Border Patrol access to a Flock account to send invitations to police departments nationwide for one-to-one data sharing, and that Loveland accepted the invitation,” 9 News wrote. “A spokesperson for Flock said agencies across the country have been approached and have agreed to the invitation. The spokesperson added that U.S. Border Patrol is not on the nationwide Flock sharing network, comprised of local law enforcement agencies across the country. Loveland Police says it is on the national network.”
New data obtained using three separate public records requests from three different police departments gives some insight into how widespread these “one-to-one” data sharing agreements actually are. The data shows that in most cases, CBP had access to more Flock cameras than the average police department, that it is regularly using that access, and that, functionally, there is no difference between Flock’s “nationwide network” and the network of cameras that CBP has access to.
According to data obtained from the Boulder, Colorado Police Department by William Freeman, the creator of a crowdsourced map of Flock devices called DeFlock, CBP ran at least 118 Flock network searches between May 13 and June 13 of this year. Each of these searches encompassed at least 6,315 individual Flock networks (a “network” is a specific police department or city’s cameras) and at least 82,000 individual Flock devices. Data obtained in separate requests from the Prosser Police Department and Chehalis Police Department, both in Washington state, also show CBP searching a huge number of networks and devices.
A spokesperson for the Boulder Police Department told 404 Media that “Boulder Police Department does not have any agreement with U.S. Border Patrol for Flock searches. We were not aware of these specific searches at the time they occurred. Prior to June 2025, the Boulder Police Department had Flock's national look-up feature enabled, which allowed other agencies from across the U.S. who also had contracts with Flock to search our data if they could articulate a legitimate law enforcement purpose. We do not currently share data with U.S. Border Patrol. In June 2025, we deactivated the national look-up feature specifically to maintain tighter control over Boulder Police Department data access. You can learn more about how we share Flock information on our FAQ page.”
A Flock spokesperson told 404 Media Monday that it sent an email to all of its customers clarifying how information is shared from agencies to other agencies. It said this is an excerpt from that email about its sharing options:
“The Flock platform provides flexible options for sharing:
National sharing
- Opt into Flock’s national sharing network. Access via the national lookup tool is limited—users can only see results if they perform a full plate search and a positive match exists within the network of participating, opt-in agencies. This ensures data privacy while enabling broader collaboration when needed.
- Share with agencies in specific states only
- Share with agencies with similar laws (for example, regarding immigration enforcement and data)
- Share within your state only or within a certain distance
- You can share information with communities within a specified mile radius, with the entire state, or a combination of both—for example, sharing with cities within 150 miles of Kansas City (which would include cities in Missouri and neighboring states) and / or all communities statewide simultaneously.
- Share 1:1
- Share only with specific agencies you have selected
- Don’t share at all”
In a blog post Monday, Flock CEO Garrett Langley said Flock has paused all federal pilots.
“While it is true that Flock does not presently have a contractual relationship with any U.S. Department of Homeland Security agencies, we have engaged in limited pilots with the U.S. Customs and Border Protection (CBP) and Homeland Security Investigations (HSI), to assist those agencies in combatting human trafficking and fentanyl distribution,” Langley wrote. “We clearly communicated poorly. We also didn’t create distinct permissions and protocols in the Flock system to ensure local compliance for federal agency users […] All federal customers will be designated within Flock as a distinct ‘Federal’ user category in the system. This distinction will give local agencies better information to determine their sharing settings.”
A Flock employee who does not agree with the way Flock allows for widespread data sharing told 404 Media that Flock has defended itself internally by saying it tries to follow the law. 404 Media granted the source anonymity because they are not authorized to speak to the press.
“They will defend it as they have been by saying Flock follows the law and if these officials are doing law abiding official work then Flock will allow it,” they said. “However Flock will also say that they advise customers to ensure they have their sharing settings set appropriately to prevent them from sharing data they didn’t intend to. The question more in my mind is the fact that law in America is arguably changing, so will Flock just go along with whatever the customers want?”
The data shows that CBP has tapped directly into Flock’s huge network of license plate reading cameras, which passively scan the license plate, color, and model of vehicles that drive by them, then make a timestamped record of where that car was spotted. These cameras were marketed to cities and towns as a way of finding stolen cars or solving property crime locally, but over time, individual cities’ cameras have been connected to Flock’s national network to create a huge surveillance apparatus spanning the entire country that is being used to investigate all sorts of crimes and is now being used for immigration enforcement. As we reported in May, Immigrations and Customs Enforcement (ICE) has been gaining access to this network through a side door, by asking local police who have access to the cameras to run searches for them.
9 News’s reporting and the newly released audit reports shared with 404 Media show that CBP now has direct access to much of Flock’s system and does not have to ask local police to run searches. It also shows that CBP had access to at least one other police department system in Colorado, in this case Boulder, which is a state whose laws forbid sharing license plate reader data with the federal government for immigration enforcement. Boulder’s Flock settings also state that it is not supposed to be used for immigration enforcement.
This story and our earlier stories, including another about a Texas official who searched nationwide for a woman who self-administered an abortion, were reported using Flock “Network Audits” released by police departments who have bought Flock cameras and have access to Flock’s network. They are essentially a huge spreadsheet of every time that the department’s camera data was searched; it shows which officer searched the data, what law enforcement department ran the search, the number of networks and cameras included in the search, the time and date of the search, the license plate, and a “reason” for the search. These audit logs allow us to see who has access to Flock’s systems, how wide their access is, how often they are searching the system, and what they are searching for.
The audit logs show that whatever system Flock is using to enroll local police departments’ cameras into the network that CBP is searching does not have any meaningful pushback, because the data shows that CBP has access to as many or more cameras as any other police department. Freeman analyzed the searches done by CBP on June 13 compared to searches done by other police departments on that same day, and found that CBP had a higher number of average cameras searched than local police departments.“The average number of organizations searched by any agency per query is 6,049, with a max of 7,090,” Freeman told 404 Media. “That average includes small numbers like statewide searches. When I filter by searches by Border Patrol for the same date, their average number of networks searched is 6,429, with a max of 6,438. The reason for the maximum being larger than the national network is likely because some agencies have access to more cameras than just the national network (in-state cameras). Despite this, we still see that the count of networks searched by Border Patrol outnumbers that of all agencies, so if it’s not the national network, then this ‘pilot program’ must have opted everyone in the nation in by default.”
CBP did not immediately respond to a request for comment.
A Texas Cop Searched License Plate Cameras Nationwide for a Woman Who Got an Abortion
The sheriff said the woman self-administered the abortion and her family were concerned for her safety, so authorities searched through Flock cameras.Joseph Cox (404 Media)
ICYMI: New Monthly Meetings for New Members
ICYMI
During the August 24th meeting, it was announced that the United States Pirate Party would begin hosting new member meetings for anyone interested in joining the party.
While our Pirate National Committee meetings over IRC (hosted bi-weekly on weeks between our meetings livestreamed to YouTube) are open to the public, we understand some people might feel more comfortable asking questions in a more direct, personable manner.
As well, not everyone who wants to get involved with the party knows where to start or, in some cases, feel comfortable joining the US Pirate Party Discord Server (which is otherwise the most effective way to get in contact with the party).
The answer? On the first Friday of every month, the United States Pirate Party will host not one, not three, but TWO meetings for those interested in getting involved with the USPP.
The meetings will provide a low stress, open invitation opportunity for those who have questions or inquiries about their state party, information on how to get involved, on-the-ground work and everything in-between.
The meetings will be held the first Friday on the month, starting Sept. 5th, with the two meetings taking place at NoonET and 5pmET.
You are encouraged to be there, or lest you invoke your status as a “square”.
And as always, thank you for your continued support of the United States Pirate Party.
Vote Pirate. Victory is Arrrs.
CVE-2025-43300: come un’immagine ha violato le difese di Apple
@Informatica (Italy e non Italy 😁)
Un file DNG, apparentemente innocuo, si è trasformato in una chiave universale per violare uno dei sistemi più blindati al mondo: l’ecosistema Apple. La vulnerabilità CVE-2025-43300, scoperta nel modulo RawCamera.bundle, ha dimostrato come un semplice errore di parsing possa aprire le porte
Gli accordi spezzati
@Giornalismo e disordine informativo
articolo21.org/2025/08/gli-acc…
Un romanzo articolato in diversi ‘album’ ricchi di suggestioni che procedono senza una sequenza obbligata. Con un linguaggio articolato più poetico che narrativo, le storie narrate sono un mix travolgente di presente, passato, sogni, rimpianti e ricordi in cui a prevalere sono tristezza e malinconia. Il primo
Microsoft sotto Accusa! Un bug critico in M365 Copilot scatena la polemica
Mentre Microsoft sta promuovendo la sua linea di prodotti Copilot basata sull’intelligenza artificiale per rendere gli utenti più produttivi e pratici, è stata scoperta una falla preoccupante in M365 che mina le fondamenta della sicurezza e della trasparenza legale. Il problema è che Copilot è riuscito ad accedere ai file degli utenti senza lasciare alcuna traccia nei registri di controllo, e Microsoft non ha provveduto a informare i clienti.
La vulnerabilità è stata scoperta per caso: il 4 luglio, un ricercatore di sicurezza di Pistachio ha notato che, utilizzando Copilot per recuperare un riepilogo da un file, la richiesta veniva visualizzata correttamente nel registro di controllo. Tuttavia, se la richiesta era formulata in modo diverso, in modo che Copilot non restituisse un collegamento al file, l’accesso scompariva completamente dal registro. Ciò creava una falla che consentiva a un aggressore di leggere il contenuto del documento senza lasciare traccia digitale.
Successivamente è emerso che un problema simile era stato scoperto un anno prima dal CTO di Zenity. Ciononostante, Microsoft ha corretto il bug solo nell’agosto 2025, dopo una seconda segnalazione indipendente.
Tuttavia, anche dopo aver riconosciuto il problema, l’azienda ha rifiutato di inviare una notifica o di rilasciare un CVE, l’identificatore di vulnerabilità comunemente utilizzato. La spiegazione fornita tramite il Microsoft Incident Response Center (MSRC) era che la correzione veniva distribuita automaticamente e non richiedeva l’intervento del cliente.
Questo approccio ha creato confusione tra gli esperti. In primo luogo, Microsoft ha chiaramente violato le proprie regole di gestione degli incidenti: pur disponendo di una guida formale, l’azienda non ha segnalato le modifiche nelle fasi di revisione di una segnalazione e si è comportata come se gli stati formali esistessero solo per finta, non riflettendo la reale situazione.
In secondo luogo, classificare la vulnerabilità come “importante” ma non “critica” viene utilizzato come scusa per evitare la divulgazione, ignorando un fatto fondamentale: la mancanza di voci di registro può verificarsi accidentalmente, senza intenti malevoli, semplicemente a causa del comportamento di Copilot.
La comunità quindi ha iniziato a pensare chee implicazioni potrebbero riguardare qualsiasi organizzazione che abbia utilizzato M365 Copilot prima del 18 agosto 2025. Se un’azienda si affida al registro di controllo per conformarsi a normative come l’HIPAA o per condurre indagini interne sugli incidenti, rischia di prendere decisioni incomplete o errate. Ciò è particolarmente pericoloso per gli utenti aziendali, in cui i dati relativi all’accesso a file sensibili possono essere critici in caso di audit, cause legali o verifiche.
Mentre Microsoft continua ad ampliare l’uso dell’intelligenza artificiale nei suoi prodotti, la domanda rimane: quanti altri di questi “problemi silenziosi” si nascondono dietro le interfacce intuitive di Copilot?
L'articolo Microsoft sotto Accusa! Un bug critico in M365 Copilot scatena la polemica proviene da il blog della sicurezza informatica.
Gli Indicator of Attack (IoA): la protezione proattiva in ambito cybersecurity
Con la Threat Intelligence Olympos Consulting supporta le aziende per una cybersecurity predittiva.
Nel panorama della cybersecurity contemporanea, la differenza tra un approccio reattivo e uno proattivo può determinare il successo o il fallimento di una strategia difensiva. Mentre gli Indicatori di Compromissione (IoC) rappresentano ormai uno strumento consolidato ma limitato principalmente a certificare un’attacco già avvenuto, gli Indicatori di Attacco (IoA) sono emersi come un vero e proprio game changer nella lotta alle minacce informatiche.
La vera rivoluzione degli IoA risiede nella loro capacità di interpretare il comportamento dei Threat Actor piuttosto che limitarsi a catalogare evidenze postume. Si tratta di un cambio di paradigma fondamentale: se gli IoC ti dicono “sei stato attaccato” (sigh!), gli IoA ti avvertono “stanno per attaccarti”.
Gli IoA infatti rappresentano pattern di attività che indicano un attacco in corso o in fase di preparazione, ancor prima che l’attacco raggiunga il suo obiettivo. Gli IoA si basano sull’osservazione di tecniche, tattiche e procedure (TTP) utilizzate dai threat actor.
CrowdStrike, colosso americano della cybersecurity focalizzato su threat intelligence e rilevamento proattivo delle minacce, spiega la differenza tra IoC e IoA con un esempio efficace: in una rapina in banca, gli IoC sono le tracce lasciate dopo l’evento – come un cappello dei Baltimore Ravens, un trapano e dell’azoto liquido. Ma cosa accade se lo stesso rapinatore torna con un cappello da cowboy e un piede di porco? In quel caso, riesce comunque nel colpo, perché chi sorveglia si è basato solo su vecchi indicatori (gli IoC), ormai inutili per fermarlo.
Come scritto prima un IoA riflette, al contrario, una serie di azioni che un cybercriminale (o rapinatore) deve necessariamente compiere per avere successo: entrare nella banca, disattivare gli allarmi, accedere alla cassaforte, e così via.
Il punto di forza dell’approccio basato sugli IoA è la capacità di osservare e analizzare in tempo reale ciò che accade sulla rete, monitorando i comportamenti mentre si manifestano. In questo modo, a differenza degli IoC che reagiscono a un attacco già avvenuto, gli IoA consentono di intervenire in anticipo e bloccare l’attacco prima che provochi danni.
I threat actor utilizzano tecniche sempre più sofisticate, rapide e mirate. Per eludere i controlli, modificano continuamente gli IoC e sfruttano file legittimi del sistema operativo (i cosiddetti LOLBin), che non possono essere semplicemente bloccati senza compromettere il funzionamento dei sistemi. Al contrario, le TTP (Tattiche, Tecniche e Procedure) su cui si basano – come lo sfruttamento di vulnerabilità note o l’uso malevolo di strumenti legittimi, ad esempio msbuild.exe per eseguire codice dannoso direttamente in memoria e aggirare gli antivirus – sono molto più difficili da mascherare. Per questo motivo, risultano più affidabili e durature nel tempo per individuare comportamenti anomali e prevenire gli attacchi.
Adottare un approccio basato sul comportamento dei Threat Actor permette di identificare attività sospette in tempo reale, bloccare attacchi nella loro fase iniziale e rilevare anche minacce sconosciute come gli zero-day.
Gli IoA sono categorizzati in base allo scopo delle azioni osservate: ad esempio, scansioni di porte non autorizzate suggeriscono attività di Reconnaissance, mentre tentativi di brute-force su RDP o accessi da località insolite indicano spesso una fase di Initial Access. Allo stesso modo, comunicazioni anomale verso server esterni possono rivelare la presenza di un canale C2 (Command and Control Server).
Un caso d’uso esemplificativo è quello di Morphing Meerkat.
Nel 2024 è stato identificato un Threat Actor noto con il nome in codice Morphing Meerkat, specializzato nell’offerta di servizi di phishing-as-a-service (PHaaS). La loro piattaforma, scoperta grazie a un’attività di OSINT e threat hunting avanzato, consente a chiunque, dietro pagamento, di lanciare campagne di phishing sofisticate, con moduli pronti all’uso.
es. di analisi comportamentale del Threat Actor Morphing Meerkat
Grazie all’analisi degli IoA è stato possibile identificare attività anomale tra le quali possiamo ricordare la falsificazione del mittente email; l’adozione del protocollo DoH (DNS over HTTPS) per cifrare le richieste DNS; la creazione di pagine phishing dinamiche sfruttando informazioni ottenute interrogando i record MX DNS e reindirizzamento verso infrastrutture legittime
È proprio in questo contesto che l’esperienza di Olympos Consulting fa la differenza. Combinando behavioral analysis avanzato con threat intelligence derivata da fonti OSINT e dark web, il nostro approccio trasforma dati apparentemente eterogenei in un sistema di Early Warning efficace.
In questo specifico caso abbiamo generato alert tempestivi per i clienti prima che l’attacco avesse effetto ed abbiamo suggerito tecniche di rilevamento comportamentale fornendo una lista azioni per interrompere la kill chain al primo passo.
Esempi di azioni suggerite: disabilitare l’uso di DoH nei browser permessi in azienda attraverso Group Policy; filtrare i DNS per bloccare gli endpoint DoH noti (es. Cloudflare, Google, Quad9); abilitare la decrittaura SSL/TLS sui Secure Web Gateway (SWG) per analizzare il traffico cifrato DoH.
Questa metodologia trasforma la cybersecurity da costoso esercizio di remediation a strategia predittiva.
Come si può capire dagli esempi fatti, l’utilizzo degli IoA permette di passare dalla reazione all’azione. Una cybersecurity proattiva si basa sulla capacità di prevedere i comportamenti del nemico ed interrompere la kill chain prima che l’attacco raggiunga la fase finale, migliorando la resilienza aziendale.
In un mondo dove gli attacchi zero-day e le campagne polimorfiche (ed il nome Morphing Meerkat la dice lunga) sono diventati la norma. Affidarsi a soluzioni convenzionali significa condannarsi all’obsolescenza. Olympos Consulting, con il suo mix unico di competenze tecniche e intelligence operativa, offre alle aziende la possibilità non solo di difendersi, ma di farlo con un vantaggio temporale che spesso fa la differenza tra un incidente contenuto e una violazione catastrofica.
La cybersecurity del futuro non sarà decisa da chi ha i migliori strumenti per documentare gli attacchi subiti, ma da chi saprà interpretare per primo le intenzioni degli avversari. In questa nuova era, l’analisi comportamentale dei cybercriminali rappresenta la chiave di volta e Olympos Consulting si conferma come partner strategico per quelle organizzazioni che intendono davvero trasformare la propria postura di sicurezza da passiva a predittiva. Gli Indicatori di Attacco rappresentano il tassello mancante per costruire una difesa davvero efficace. Vuoi scoprire come? Scrivici oggi stesso a “info [@] olymposconsulting [.] it” e a trasforma la tua strategia di cybersecurity con l’aiuto dei nostri esperti.
L'articolo Gli Indicator of Attack (IoA): la protezione proattiva in ambito cybersecurity proviene da il blog della sicurezza informatica.
Butta Melta Stops Rock-solid Butter From Tearing Your Toast
Ever ruin a perfectly serviceable piece of toast by trying (and failing) to spread a little pat of rock-solid butter? [John Dingley] doesn’t! Not since he created the Butta Melta to cozily snug a single butter serving right up against a warm beverage, softening it just enough to get nice and spreadable. Just insert one of those foil-wrapped pats of butter into the Melta, hang its chin on the edge of your mug, and you’ll have evenly softened butter in no time.
You may remember [John] (aka [XenonJohn]) from his experimental self-balancing scooters, or from a documentary he made about domestic ventilator development during COVID. He taught himself video editing and production to make that, and couldn’t resist using those skills to turn a video demo of the Butta Melta into a mock home shopping style advertisement. Watch it below, embedded just under the page break, then print one and save yourself from the tyranny of torn toast.
youtube.com/embed/hc3DUhguNoI?…
80s Nostalgia AI Slop Is Boomerfying the Masses for a Past That Never Existed#AISlop
80s Nostalgia AI Slop Is Boomerfying the Masses for a Past That Never Existed
The latest bleak new AI slop niche are “nostalgia” videos about how good the 1980s and 1990s were. There are many accounts spamming these out, but the general format is all basically the same. A procession of young people with feathered hair wonder at how terrible 2025 is and tell the viewer they should come back to the 1980s, where things are better. This video is emblematic of the form:@nostalgia_vsh
let's go back 🥺 #lestgoback #nostalgia #nostalgic #childhood #80sbaby #2000s
♬ snowfall - Øneheart & reidenshiIn a typical ‘80s slop video, a teenager from the era tells the viewer that there’s no Instagram 40 years ago and everyone played outside until the street lights came on. “It’s all real here, no filters, no screens.” In another, two women eat pizza in a mall and talk about how terrible the future will be. “I bet your malls don’t feel alive in 2025,” one says.
These videos, like a lot of AI slop, do not try to hide that they are AI generated, and show that there is unfortunately a market for people endlessly scrolling social media looking to astral project themselves into a hallucinatory past that never existed. This is Mark Zuckerberg’s fucked up metaverse, living here and now on Mark Zuckerberg’s AI slop app.
playlist.megaphone.fm?p=TBIEA2…
The most popular current ones focus on 1980s nostalgia, but there are accounts that focus on the 70s, 90s, and early 2000s. These differ from standard internet nostalgia, which has been popular for many years—from BuzzFeed’s “Only 90s kids will remember this” listicles to “look at this old tech” Instagram accounts, the popularity of emo nights, “When We Were Young” music festivals—because they are primarily about aggrandizing a past that never existed or that was only good for specific segments of society.These videos are awful AI-generated slop, yes, but it’s more than that. Reactionary nostalgia, a desire to return to a fake past or a time when you were young and things were better, is part of why the world is so fucked right now. It is, literally, the basis of MAGA. Worse, these videos about the “past” tell us a lot about our present and future: one where AI encourages our worst impulses and allows users to escape from reality into a slopified world that narrowly targets whatever reality we’d like to burrow into without dealing with the problems of the present.
1980s slop nostalgia is particularly popular at the moment, with these fake videos boomerfying Gen Xers and elder millennials in real time, though such nostalgia is coming for us all, and nostalgia for earlier releases of Roblox and Call of Duty—the ancient days of, like, 2021—are already going viral. It’s normal to look back at the time when you were young and your knees didn’t hurt with rose tinted glasses. It’s as if a generation read Ready Player One as an instruction manual instead of a warning (or instead of vapid surface-level nonsense that was one long reference rather than a coherent narrative).
These AI-generated slop videos are the latest expression of a common political theme: nostalgia for an imagined past. Dissatisfaction with the current moment is a normal reaction to the horrifying conditions under which we all live. The National Guard is occupying Washington DC, technology is dividing and surveling us in ways we never imagined, and our political leaders are feckless and corrupt. If you aren’t disturbed by where we are right now, you’re not paying attention.
A rejection of modernity and a call to return to the past has long been a feature of authoritarian and fascist political movements. So when we see an AI generated woman in stonewashed denim with hair by Aqua Net White tell us how good things were 40 years ago, we remember the political figures from the Reagan-era calling for a return to the 1950s.
Nostalgia is a poisonous political force. Things were not better “back then,” they were just different. Often they were worse. These 1980s AI slop videos have the same energy as online right weirdos with Roman bust avatars calling for us to “retvrn” and “embrace tradition.” Their political project uses the aesthetic of the past to sell a future where minorities are marginalized, women have no political power, and white guys are in charge. That’s how they think it all worked in the past and they’d love for it to happen again.
The ‘80s AI slop videos have a sinister air beyond their invocation of reactionary politics. “Dude, it’s 1985 and the release of the film The Goonies. Forget 2025 and come here. We want you here,” a strong-jawed white guy asks from his front lawn while a slowed down and distorted version of Aquatic Ambience from Donkey Kong Country plays. “Come to 1985, I miss ya,” a young man with feathered hair says in the back of a pickup truck as the sun sets. The surreal nature of these videos, this bizarre ask to time travel to the past, has cultish just-drink-the-Kool-Aid vibes.
What is the ask here, exactly? What does it mean for someone with dreams of an imagined past to go back to the 1980s where these ghoulish AI-crafted simulacrums dwell? In the Black Mirror episode San Junipero, Mackenzie Davis finds comfort in a simulation of a stereotypical 1980s southern California town. She loses herself in the fantasy. She’s also dying. For her, heaven was a place on earth, a data center where she could live until someone turned the lights off.
Those viewing these endless AI-generated TikToks and Reels are, however, very much alive. They can go outside. They can put the phone down and get to know their neighbors. They don’t have to doom scroll. They can log off and work for a better world in their community. They can reach out to an old friend or make new ones.Or they can load up another short form video and fill themselves with fuzzy feelings about how much better things were 40 years ago, back before all this technology, back when they were young, and where they think the world seemed to make more sense. AI allows us to sink into that nostalgic feeling. We have the technology, right now, to form digital wombs from a comforting and misremembered past.
It is worth mentioning that the people making these videos are also human beings with agency and goals, too. And their goals, universally, are to spam the internet for the purposes of making money. Over in the Discord communities where people talk about what types of AI slop works on social media, “nostalgia” is treated as a popular, moneymaking niche like any other. “Any EDITOR that can make Nostalgia videos?” one message we saw reads. “Need video editor to for nostalgia welcome back to 20xx videos.”
“Some ideas i got right now are nostalgia, money motivation, self improvement and maybe streamer clips,” another says.
A top purveyor of this nostalgia slop is the Instagram account “purestnostalgia,” which is full of these videos. That account is run by a guy named Josh Crowe who looks to be in his 20s and claims to live in Bali: “In the process of becoming a billionaire,” his profile reads.
Pi Port Protection PCB
We’re used to interfaces such as I2C and one-wire as easy ways to hook up sensors and other peripherals to microcontrollers. While they’re fine within the confines of a small project, they do have a few limitations. [Vinnie] ran straight into those limitations while using a Raspberry Pi with agricultural sensors. The interfaces needed to work over long cable runs, and to be protected from ESD due to lightning strikes. The solution? A custom Pi interface board packing differential drivers and protection circuits aplenty.
The I2C connection is isolated using an ISO1541 bus isolator from TI, feeding a PCA9615DP differential I2C bus driver from NXP. 1-wire is handled by a Dallas DS2482S 1-wire bus master and an ESD protection diode network. Even the 5-volt power supply is delivered through an isolated module.
Whether or not you need this Raspberry Pi board, this is still an interesting project for anyone working with these interfaces. If you’re interested, we’ve looked at differential I2C in the past.
Altri 4 giornalisti martirizzati in seguito al bombardamento israeliano sull'ospedale Nasser -...
Altri 4 giornalisti martirizzati in seguito al bombardamento israeliano sull'ospedale Nasser - Gaza
Il numero totale di giornalisti uccisi dal 7 ottobre è salito a 241.
"israele" stato terrorista!!!!
FREE ASSANGE Italia
Altri 4 giornalisti martirizzati in seguito al bombardamento israeliano sull'ospedale Nasser - Gaza Il numero totale di giornalisti uccisi dal 7 ottobre è salito a 241. "israele" stato terrorista!!!!Telegram
Mro likes this.
Gazzetta del Cadavere reshared this.
Le bugie di Trump sul Venezuela
Una flotta militare statunitense, troppo piccola per una invasione ma sufficiente per una procazione, si dirige verso il Mar dei Caraibi con un evidente intento minaccioso verso il Venezuela.www.altrenotizie.org
#USA, l'esercito del presidente
USA, l’esercito del presidente
Dopo il dispiegamento di militari della Guardia Nazionale nella capitale americana un paio di settimane fa, il presidente Trump starebbe valutando la possibilità di implementare a breve un piano simile anche nella terza città più grande degli Stati U…www.altrenotizie.org
Debugging the Instant Macropad
Last time, I showed you how to throw together a few modules and make a working macropad that could act like a keyboard or a mouse. My prototype was very simple, so there wasn’t much to debug. But what happens if you want to do something more complex? In this installment, I’ll show you how to add the obligatory blinking LED and, just to make it interesting, a custom macro key.
There is a way to print data from the keyboard, through the USB port, and into a program that knows how to listen for it. There are a few choices, but the qmk software can do it if you run it with the console argument.
The Plan
In theory, it is fairly easy to just add the console feature to the keyboard.json file:
{
...
"features": {
"mousekey": true,
"extrakey": true,
"nkro": false,
"bootmagic": false,
"console": true
},
...
That allows the console to attach, but now you have to print.
Output
The code in a keyboard might be tight, depending on the processor and what else it is doing. So a full-blown printf is a bit prohibitive. However, the system provides you with four output calls: uprint,uprintf, dprint, and dprintf.
The “u” calls will always output something. The difference is that the normal print version takes a fixed string while the printf version allows some printf-style formatting. The “d” calls are the same, but they only work if you have debugging turned on. You can turn on debugging at compile time, or you can trigger it with, for example, a special key press.
To view the print output, just run:
qmk console
Note that printing during initialization may not always be visible. You can store things in static variables and print them later, if that helps.
Macros
You can define your own keycodes in keymap.c. You simply have to start them at SAFE_RANGE:
enum custom_keycodes {
SS_STRING = SAFE_RANGE
};
You can then “catch” those keys in a process_record_user function, as you’ll see shortly. What you do is up to you. For example, you could play a sound, turn on some I/O, or anything else you want. You do need to make a return value to tell qmk you handled the key.
An Example
In the same Git repo, I created a branch rp2040_led. My goal was to simply flash the onboard LED annoyingly. However, I also wanted to print some things over the console.
Turning on the console is simple enough. I also added a #define for USER_LED at the end of config.h (GP25 is the onboard LED).
A quick read of the documentation will tell you the calls you can use to manipulate GPIO. In this case, we only needed gpio_set_pin_output and the gpio_write_pin* functions.
I also sprinkled a few print functions in. In general, you provide override functions in your code for things you want to do. In this case, I set up the LED in keyboard_post_init_user. Then, at first, I use a timer and the user part of the matrix scan to periodically execute.
Notice that even though the keyboard doesn’t use scanning, the firmware still “scans” it, and so your hook gets a call periodically. Since I’m not really using scanning, this works, but if you were trying to do this with a real matrix keyboard, it would be smarter to use housekeeping_task_user(void) which avoids interfering with the scan timing, so I changed to that.
Here’s most of the code in keymap.c:
#include QMK_KEYBOARD_H
enum custom_keycodes {
SS_STRING = SAFE_RANGE
};
const uint16_t PROGMEM keymaps[][MATRIX_ROWS][MATRIX_COLS] = {
[0] = LAYOUT(
// 4 buttons
KC_KB_VOLUME_UP, KC_KB_MUTE, KC_KB_VOLUME_DOWN, SS_STRING,
// Mouse
QK_MOUSE_CURSOR_UP, QK_MOUSE_CURSOR_DOWN, QK_MOUSE_CURSOR_LEFT, QK_MOUSE_CURSOR_RIGHT, QK_MOUSE_BUTTON_1),
};
void keyboard_pre_init_user(void) {
// code that runs very early in the keyboard initialization
}
void keyboard_post_init_user(void) {
// code that runs after the keyboard has been initialized
gpio_set_pin_output(USER_LED);
gpio_write_pin_high(USER_LED);
uprint("init\n");
}
#if 1 // in case you want to turn off that $<em>$</em># blinking
void housekeeping_task_user(void) {
static uint32_t last;
static bool on;
uint32_t now = timer_read32();
uprintf("scan tick %lu\n",now);
if (TIMER_DIFF_32(now, last) > 500) { // toggle every 500 ms
last = now;
on = !on;
if (on)
gpio_write_pin_high(USER_LED);
else
gpio_write_pin_low(USER_LED);
}
}
#endif
bool process_record_user(uint16_t keycode, keyrecord_t *record) {
switch (keycode) {
case SS_STRING:
if (record->event.pressed) {
SEND_STRING("http://www.hackaday.com\n");
}
return false;
}
return true;
}
You’ll notice the process_record_user function is now in there. It sees every keycode an when it finds the custom keycode, it sends out your favorite website’s URL.
More Tips
I mentioned last time that you have to let the CPU finish loading even after the flash utility says you are done. There are some other tips that can help you track down problems. For one thing, the compile script is pretty lax about your json. So you may have an error in your json file that is stopping things from working, but it won’t warn you. You can use jq to validate your json:
jq . keyboard.json
Another thing to do is use the “lint” feature of qmx. Just replace the compile or flash command with lint, and it will do some basic checks to see if there are any errors. It does require a few arbitrary things like a license header in some files, but for the most part, it catches real errors.
Get Started!
What are you waiting for? Now you can build that monster keyboard you’ve dreamed up. Or the tiny one. Whatever. You might want to read more about the RP2040 support, unless you are going to use a different CPU. Don’t forget the entire directory is full of example keyboards you can — ahem — borrow from.
You might think there’s not much you can do with a keyboard, but there are many strange and wonderful features in the firmware. You can let your keyboard autocorrect your common misspellings, for example. Or interpret keys differently when you hold them versus tapping them. Want a key that inserts the current time and date? Code it. If you want an example of getting the LCD to work, check out the rp2040-disp branch.
One thing interesting about qmk, too, is that many commercial keyboards use it or, at least, claim to use it. After all, it is tempting to have the firmware ready to go. However, sometimes you get a new keyboard and the vendor hasn’t released the source code yet, so if that’s your plan, you should find the source code before you plunk down your money!
You’ll find plenty of support for lighting, of course. But there are also strange key combinations, layers, and even methods for doing stenography. There’s only one problem. Once you start using qmk there is a real chance you may start tearing up your existing keyboards. You have been warned.
