Although to many of us the progression from ‘standard definition’ TV and various levels of high-definition at 720p or better seemed to happen smoothly around the turn of the new century, there was a far messier technological battle that led up to this. One of these contenders was Enhanced Definition TV (EDTV), which was 480p in either 4:3 or 16:9, as a step up from Standard Definition TV (SDTV) traditional TV quality. The convoluted history of EDTV and the long transition to proper HDTV is the subject of a recent video by [VWestlife].

One reason why many people aren’t aware of EDTV is because of marketing. With HDTV being the hot new bullet point to slap on a product, a TV being widescreen was often enough to market an EDTV with 480p as ‘HD’, not to mention the ‘HD-compatible’ bullet point that you could see everywhere.

That said, the support for digital 480p and ‘simplified 1080i’ signals of EDTV makes these displays still quite usable today, more than SDTV CRTs and LCDs that are usually limited to analog signals-only at regular NTSC, PAL or SECAM. It may not be HD, but at least it’s enhanced.

youtube.com/embed/J0as4DiswGU?…

hackaday.com/2025/09/18/enhanc…

“Il bosco fiorito” – Psichedelia: orizzonti di cura
Venerdì 26 settembre 2025, ore 18:30 – Via Tommaseo 49, La Spezia

Venerdì 26 settembre, a La Spezia, si terrà la presentazione del libro “Il bosco fiorito – Psichedelia: orizzonti di cura”, edito da Animamundi Edizioni.

All’incontro interverranno Letizia Renzini, curatrice del volume e membro di MAPS Italia, Claudia Moretti e Marco Perduca, autori del libro.

L’evento è promosso dall’Associazione Luca Coscioni, MAPS Italia e Librerittutti, la partecipazione è libera e aperta a tutte e tutti, fino a esaurimento posti.

L'articolo A La Spezia la presentazione de “Il bosco fiorito” – Psichedelia: orizzonti di cura proviene da Associazione Luca Coscioni.

(articolo di Roberto Festa, Radio Popolare, 18 set. 2025
radiopopolare.it/kimmel-colber…)

“Sospensione” a tempo indeterminato per lo show di Jimmy Kimmel. Lo annuncia ABC, che di fatto “silura” uno dei suoi volti più popolari, star dell’intrattenimento della tarda serata TV. Kimmel, in trasmissione, aveva detto: “Abbiamo toccato nuovi minimi nel fine settimana, con la banda MAGA che cerca disperatamente di caratterizzare questo ragazzo che ha assassinato Charlie Kirk come qualcosa di diverso da uno di loro, e fa tutto il possibile per ottenerne vantaggi politici”. La sospensione dello show di Jimmy Kimmel è stata chiesta direttamente da Brendan Carr, avvocato, vicino a Donald Trump, chairman della Federal Communication Commission, l’agenzia responsabile di controlli e regolamentazioni del mondo dell’audiovisivo. Carr ha minacciato ABC – quindi la sua proprietà, Disney – di ritiro della licenza, nel caso non fossero stati presi provvedimenti contro Kimmel – che non è peraltro l’unica vittima della nuova, difficile fase nei rapporti tra media e governo americano. CBS ha chiuso il programma di Stephen Colbert, altro ospite della tarda serata americana, altro critico feroce di Trump. Il presidente ha appena chiesto al New York Times 15 miliardi di danni per averne messo in discussione la “reputazione personale e professionale”. Sempre ABC e CBS, nei mesi scorsi, si erano piegati a pagare 16 milioni di dollari al presidente in cause piuttosto pretestuose. L’omicidio di Charlie Kirk ha ulteriormente rafforzato la stretta repressiva. Il Washington Post ha licenziato una sua opinionista, Karen Attiah, che ha accusato la destra di “doppio standard razziale” nella morte di Kirk. MSNBC ha allontanato un suo analista, Matthew Dowd, che ha chiamato Kirk divisivo. Sono vicende che arrivano nel momento in cui le grandi corporation hanno bisogno del via libera dell’amministrazione per le loro strategie. Dalla fusione di Paramount Skydance e Warner Bros sta per nascere il più grande conglomerato americano della comunicazione – da CNN al cinema a MTV a TikTok – controllato da Larry Ellison, magnate e finanziatore della destra americana, intimo di Benjamin Netanyahu. Tra affari, cause, licenziamenti, la vittima è soprattutto una. La libertà di pensiero e parola negli Stati Uniti.

*
(cfr. anche radiopopolare.substack.com/)

Kimmel, Colbert e gli altri. L’attacco della destra di Trump alla libertà di parola negli Usa

“Sospensione” a tempo indeterminato per lo show di Jimmy Kimmel. Lo annuncia ABC, che di fatto “silura” uno dei suoi volti più popolari.

^{Roberto Festa (Radio Popolare)}

Magick Talk – La cultura psichedelica in Italia

Venerdì 19 settembre 2025 – ore 18:30
The Magick Bar, Lungotevere Guglielmo Oberdan, 2, 00195 Roma RM

Venerdì 19 settembre, alle ore 18:30, il Magick Bar di Roma ospita Magick Talk, un momento di confronto aperto e interdisciplinare tra studiosi, attivisti e ricercatori.

Intervengono:
Federico Di Vita
Sara Ballotti
Marco Perduca
Raffaello Caiano
Enrico Greco
Georgia Wilson Jones

L’evento è organizzato in collaborazione con The Magick Bar e Illuminismo Psichedelico, e intende contribuire al dibattito pubblico sull’uso consapevole delle sostanze psichedeliche, con particolare attenzione agli aspetti culturali, scientifici, terapeutici e politici.

Ingresso libero fino a esaurimento posti.
Per informazioni: Illuminismo Psichedelico – Instagram
The Magick Bar – Roma

L'articolo A Roma Magick Talk – La cultura psichedelica in Italia proviene da Associazione Luca Coscioni.

[WhiskeyTangoHotel] wrote in with his newest clock build — and he did warn us that it was minimalist and maybe less than useful. Indeed, it is nothing more than a super-cheap ESP32-C3 breakout board with an OLED screen and some code. Worse, you can’t even tell the time on it without pointing your cell phone at the QR code it generates. Plot twist: you skip the QR code and check the time on your phone.

But then we got to thinking, and there is actually a lot to learn from here on the software side. This thing pulls the time down from an NTP server, formats it into a nice human-readable string using strftime, throws that string into a QR code that’s generated on the fly, and then pushes the bits out to the screen. All in a handful of lines of code.

As always, the secret is in the libraries and how you use them, and we wanted to check out the QR code generator, but we couldn’t find an exact match for QRCodeGenerator.h. Probably the most popular library is the Arduino QRCode library by [ricmoo]. It’s bundled with Arduino, but labelled version 0.0.1, which we find a little bit modest given how widely it’s used. It also hasn’t been updated in eight years: proof that it just works?

That library drew from [nayuki]’s fantastically documented multi-language QR-Code-generator library, which should have you covered on any platform you can imagine, with additional third-party ports to languages you haven’t even heard of. That’s where we’d go for a non-Arduino project.

What library did [WTH] use? We hope to find out soon, but at least we found a couple good candidates, and it appears to be a version of one or the other.

We’ve seen a lot of projects where the hacker generates a QR code using some online tool, packs the bits into a C header array, and displays that. That’s fine when you only need a single static QR code, but absolutely limiting when you want to make something dynamic. You know, like an unreadable clock.

You will not be surprised to know that this isn’t the first unreadable QR-code clock we’ve featured here. But it’s definitely the smallest and most instructive.

youtube.com/embed/rA7HXQxqpPA?…

hackaday.com/2025/09/18/worst-…

Il 23 e 24 settembre dalle 12.00 alle 18.00 l'Unione dei Comitati contro l'inceneritore sarà in presidio a Piazza Capranica, alle spalle di Montecitorio, perché le 24 mila firme raccolte contro i poteri speciali di Gualtieri sono il nostro biglietto da visita per la due giorni di mobilitazioni a Roma.

Le 24 mila firme chiedono alle due Camere del Parlamento che Gualtieri, al pari di ogni cittadino della Repubblica, sia tenuto al rispetto delle leggi, nel suo caso di tutte quelle di settore. Prima di ogni altra normativa chiediamo che sia tenuto al rispetto del testo unico ambientale perché è inconcepibile che si possa fare un impianto di incenerimento che brucerà 600mila tonnellate per oltre 30 anni senza rispettare il codice dell'ambiente che disciplina, tra l'altro, l'intera materia dei rifiuti, impianti compresi.

Le migliaia di persone che hanno sottoscritto la petizione hanno riposto fiducia nell'istituzione parlamentare. La prossima settimana saremo quindi in presidio rivolgendoci alla Camera dei deputati, un'assemblea legislativa differente da quella che ha convertito il decreto legge n. 50/22. In più circostanze la famigerata norma attributiva dei poteri speciali, articolo 13, è stata oggetto di discussione e votazioni senza però portare mai a una modifica normativa. Ora che però il Giubileo sta per concludersi, motivo alla base dell'attribuzione dei poteri speciali è necessario mettere termine alla stagione di un Gualtieri posto, dalla legge stessa, al di sopra delle leggi. Come Unione dei Comitati abbiamo il dovere di far valere ognuna di quelle 24 mila firme.

Alle deputate e ai deputati, di maggioranza come di minoranza, chiediamo la modifica normativa per ripristinare il diritto che con l'articolo 13 del DL n.50/2022 è stato irrimediabilmente leso laddove conferisce al Sindaco di Roma potere assoluto.
Per le bambine e i bambini che hanno aperto i nostri due cortei estivi e per tutti noi che abbiamo il diritto di vivere liberi dai veleni di Roma, chiediamo che il Parlamento ripristini la giustizia modificando la norma affinché anche Gualtieri finalmente rispetti le leggi.

#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita

For the most part, the Radio Apocalypse series has focused on the radio systems developed during the early days of the atomic age to ensure that Armageddon would be as orderly an affair as possible. From systems that provided backup methods to ensure that launch orders would reach the bombers and missiles, to providing hardened communications systems to allow survivors to coordinate relief and start rebuilding civilization from the ashes, a lot of effort went into getting messages sent.

Strangely, though, the architects of the end of the world put just as much thought into making sure messages didn’t get sent. The electronic village of mid-century America was abuzz with signals, any of which could be abused by enemy forces. CONELRAD, which aimed to prevent enemy bombers from using civilian broadcast signals as navigation aids, is a perfect example of this. But the growth of civil aviation through the period presented a unique challenge, particularly with the radio navigation system built specifically to make air travel as safe and reliable as possible.

Balancing the needs of civil aviation against the possibility that the very infrastructure making it possible could be used as a weapon against the U.S. homeland is the purpose of a plan called Security Control of Air Traffic and Air Navigation Aids, or SCATANA. It’s a plan that cuts across jurisdictions, bringing military, aviation, and communications authorities into the loop for decisions regarding when and how to shut down the entire air traffic system, to sort friend from foe, to give the military room to work, and, perhaps most importantly, to keep enemy aircraft as blind as possible.

Highways in the Sky

As its name suggests, SCATANA has two primary objectives: to restrict the availability of radio navigation aids during emergencies and to clear the airspace over the United States of unauthorized traffic. For safety’s sake, the latter naturally follows the former. By the time the SCATANA rules were promulgated, commercial aviation had become almost entirely dependent on a complex array of beacons and other radio navigation aids. While shutting those aids down to deny their use to enemy bombers was obviously the priority, safety demanded that all the planes currently using those aids had to be grounded as quickly as possible.
The Rogue Valley VOR station in Table Rock, Oregon. According to the sectional charts, this is a VORTAC station. Source: ZabMilenko, CC BY 3.0, via Wikimedia Commons.
Understanding the logic behind SCATANA requires at least a basic insight into these radio navigation aids. The Federal Communications Commission (FCC) has jurisdiction over these aids, listing “VOR/DME, ILS, MLS, LF and HF non-directional beacons” as subject to shutdown in times of emergency. That’s quite a list, and while the technical details of the others are interesting, particularly the Adcock LF beacon system used by pilots to maneuver onto a course until alternating “A” and “N” Morse characters merged into a single tone, but for practical purposes, the one with the most impact on wartime security is the VOR system.

VOR, which stands for “VHF omnidirectional range,” is a global system of short-range beacons used by aircraft to determine their direction of travel. The system dates back to the late 1940s and was extensively built out during the post-war boom in commercial aviation. VOR stations define the “highways in the air” that criss-cross the country; if you’ve ever wondered why the contrails of jet airliners all follow similar paths and why the planes make turns at more or less the same seemingly random point in the sky, it’s because they’re using VOR beacons as waypoints.

In its simplest form, a VOR station consists of an omnidirectional antenna transmitting at an assigned frequency between 108 MHz and 117.95 MHz, hence the “VHF” designation. The frequency of each VOR station is noted on the sectional charts pilots use for navigation, along with the three-letter station identifier, which is transmitted by the station in Morse so pilots can verify which station their cockpit VOR equipment is tuned to.

Each VOR station encodes azimuth information by the phase difference between two synchronized 30 Hz signals modulated onto the carrier, a reference signal and a variable signal. In conventional VOR, the amplitude-modulated variable signal is generated by a rotating directional antenna transmitting a signal in-phase with the reference signal. By aligning the reference signal with magnetic north, the phase angle between the FM reference and AM variable signals corresponds to the compass angle of the aircraft relative to the VOR station.

youtube.com/embed/R0Vzaf14SKQ?…

More modern Doppler VORs, or DVORs, use a ring of antennas to electronically create the reference and variable signals, rather than mechanically rotating the antenna. VOR stations are often colocated with other radio navigation aids, such as distance measuring equipment (DME), which measures the propagation delay between the ground station and the aircraft to determine the distance between them, or TACAN, a tactical air navigation system first developed by the military to provide bearing and distance information. When a VOR and TACAN stations are colocated, the station is referred to as a VORTAC.

Shutting It All Down

At its peak, the VOR network around the United States numbered almost 1,000 stations. That number is on the decrease now, thanks to the FAA’s Minimum Operational Network plan, which seeks to retire all but 580 VOR stations in favor of cockpit GPS receivers. But any number of stations sweeping out fully analog, unencrypted signals on well-known frequencies would be a bonanza of navigational information to enemy airplanes, which is why the SCATANA plan provides specific procedures to be followed to shut the whole thing down.
Inside the FAA’s Washington DC ARTCC, which played a major role in implementing SCATANA on 9/11. Source: Federal Aviation Administration, public domain.
SCATANA is designed to address two types of emergencies. The first is a Defense Emergency, which is an outright attack on the United States homeland, overseas forces, or allied forces. The second is an Air Defense Emergency, which is an aircraft or missile attack on the continental U.S., Canada, Alaska, or U.S. military installations in Greenland — sorry, Hawaii. In either case, the attack can be in progress, imminent, or even just probable, as determined by high-ranking military commanders.

In both of those situations, military commanders will pass the SCATANA order to the FAA’s network of 22 Air Route Traffic Control Centers (ARTCC), the facilities that handle traffic on the routes defined by VOR stations. The SCATANA order can apply to all of the ARTCCs or to just a subset, depending on the scale of the emergency. Each of the concerned centers will then initiate physical control of their airspace, ordering all aircraft to land at the nearest available appropriate airport. Simultaneously, if ordered by military authority, the navigational aids within each ARTCC’s region will be shut down. Sufficient time is obviously needed to get planes safely to the ground; SCATANA plans allow for this, of course, but the goal is to shut down navaids as quickly as possible, to deny enemy aircraft or missiles any benefit from them.

As for the specific instructions for shutting down navigational aids, the SCATANA plan is understandable mute on this subject. It would not be advisable to have such instructions readily available, but there are a few crumbs of information available in the form of manuals and publicly accessible documents. Like most pieces of critical infrastructure these days, navaid ground stations tend to be equipped with remote control and monitoring equipment. This allows maintenance technicians quick and easy access without the need to travel. Techs can perform simple tasks, such as switching over from a defective primary transmitter to a backup, to maintain continuity of service while arrangements are made for a site visit. Given these facts, along with the obvious time-critical nature of an enemy attack, SCATANA-madated navaid shutdowns are probably as simple as a tech logging into the ground station remotely and issuing a few console commands.

A Day to Remember

For as long as SCATANA has been in effect — the earliest reference I could find to the plan under that name dates to 1968, but the essential elements of the plan seem to date back at least another 20 years — it has only been used in anger once, and even then only partially. That was on that fateful Tuesday, September 11, 2001, when a perfect crystal-blue sky was transformed into a battlefield over America.

By 9:25 AM Eastern, the Twin Towers had both been attacked, American Airlines Flight 77 had already been hijacked and was on its way to the Pentagon, and the battle for United Flight 93 was unfolding above Ohio. Aware of the scope of the disaster, staff at the FAA command center in Herndon, Virginia, asked FAA headquarters if they wanted to issue a “nationwide ground stop” order. While FAA brass discussed the matter, Ben Sliney, who had just started his first day on the job as operations manager at the FAA command center, made the fateful decision to implement the ground stop part of the SCATANA plan, without ordering the shutdown of navaids.

The “ground stop” orders went out to the 22 ARTCCs, which began the process of getting about 4,200 in-flight aircraft onto the ground as quickly and safely as possible. The ground stop was achieved within about two hours without any further incidents. The skies above the country would remain empty of civilian planes for the next two days, creating an eerie silence that emphasized just how much aviation contributes to the background noise of modern life.

youtube.com/embed/bo1ZtpKqlYw?…

hackaday.com/2025/09/18/radio-…

La piattaforma di sviluppo collaborativo GitLab ha annunciato la correzione di una vulnerabilità critica, identificata come CVE-2025-6454. Il problema riguardava le installazioni server delle edizioni Community ed Enterprise e consentiva l’esecuzione di richieste a risorse interne tramite intestazioni webhook appositamente create.

L’attacco richiedeva un account con privilegi di sviluppatore minimi e non era necessario alcun intervento da parte di altri utenti.

Il bug ha ricevuto un punteggio CVSS elevato di 8,5 su 10. Ha interessato le versioni dalla 16.11 alla 18.1.6, dalla 18.2 alla 18.2.6 e dalla 18.3 alla 18.3.2. Le correzioni sono state incluse nella versione 18.3.2, pubblicata il 10 settembre. GitLab ha sottolineato che il problema è stato scoperto tramite un programma di bug hunting e che il rapporto è stato redatto da un ricercatore con lo pseudonimo “ppee ” .

La vulnerabilità era unica in quanto consentiva di aggirare le restrizioni di isolamento della rete. Le richieste potevano essere inviate a proxy interni, servizi di metadati o API locali. Questo era visibile nei registri eventi tramite intestazioni HTTP non standard e richieste a indirizzi atipici. Gli esperti avvertono che tali attacchi potrebbero portare alla fuga di dati riservati e alla compromissione dell’integrità dell’infrastruttura.

Al momento della pubblicazione, non esiste alcun exploit pubblicamente disponibile, né vi sono prove di un effettivo sfruttamento. Tuttavia, il potenziale pericolo è elevato: la descrizione afferma che la vulnerabilità ha un impatto sulla riservatezza, la disponibilità e l’integrità dei dati.

Si consiglia agli sviluppatori di aggiornare GitLab alle versioni 18.1.6, 18.2.6 o 18.3.2 o successive il prima possibile. Si consiglia inoltre di rivedere le impostazioni dei webhook e di disabilitare l’uso di intestazioni personalizzate, se impostabili dagli utenti.

Per le distribuzioni basate su proxy inversi, si consiglia di limitare l’accesso di GitLab alle risorse interne. Si consiglia inoltre di monitorare i log per individuare richieste sospette e di segmentare la rete per impedire accessi indesiderati.

L'articolo GitLab risolve vulnerabilità critica: pericolo per server Community ed Enterprise proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza hanno scoperto la compromissione di oltre 180 pacchetti npm, infettati da un malware auto-propagante progettato per infettare altri pacchetti. La campagna, soprannominata Shai-Hulud, è probabilmente iniziata con l’hacking del pacchetto @ctrl/tinycolor, scaricato oltre 2 milioni di volte a settimana.

Il nome Shai-Hulud deriva dai file shai-hulud.yaml utilizzati dal malware. È un riferimento ai giganteschi vermi delle sabbie di Dune di Frank Herbert. Il problema è stato portato per la prima volta all’attenzione dello sviluppatore Daniel Pereira, che ha avvisato la comunità di un attacco su larga scala alla catena di fornitura.

“In questo momento, mentre leggete questo, è in corso la distribuzione di malware all’interno di npm”, ha affermato Pereira, esortando tutti a non installare le ultime versioni di @ctrl/tinycolor.

Lo sviluppatore ha tentato di avvisare il team di sicurezza di GitHub tramite canali privati, poiché gli aggressori avevano preso di mira “repository multipli” e divulgare pubblicamente l’attacco avrebbe potuto creare ulteriori rischi. Tuttavia, contattare GitHub si è rivelato troppo difficile, quindi Pereira ha segnalato pubblicamente il problema.

I ricercatori di Socket e Aikido stanno attualmente indagando sull’incidente e hanno scoperto che almeno 187 pacchetti sono stati compromessi. Tra i pacchetti interessati, diversi sono pubblicati dall’account npmjs dell’azienda di sicurezza informatica CrowdStrike.

“Dopo aver scoperto diversi pacchetti dannosi nel registro pubblico npm (un repository open source di terze parti), li abbiamo rimossi rapidamente e aggiornato preventivamente le nostre chiavi”, hanno riferito i rappresentanti di CrowdStrike. “Questi pacchetti non sono utilizzati da Falcon, la nostra piattaforma non è interessata e i clienti rimangono protetti. Stiamo collaborando con npm e conducendo un’indagine approfondita.”

ReversingLabs, a sua volta, descrive questo incidente come “il primo del suo genere, un worm autoreplicante che infetta i pacchetti npm e ruba i token cloud”. I ricercatori ritengono che l’attacco abbia avuto origine nel pacchetto rxnt-authentication, una versione dannosa del quale è stata pubblicata su npm il 14 settembre 2025.

Secondo ReversingLabs, il responsabile di techsupportrxnt può essere considerato il “paziente zero”. La chiave per scoprire la fonte dell’attacco risiede nel modo esatto in cui l’account techsupportrxnt è stato compromesso. È possibile che tutto sia iniziato con un’email di phishing o con lo sfruttamento di una GitHub Action vulnerabile.

Le versioni compromesse dei pacchetti sono dotate di un meccanismo di autopropagazione del malware, che prende di mira altri pacchetti dei gestori interessati. Secondo i ricercatori di Socket, il malware ha scaricato ogni pacchetto dal manutentore, ha modificato il suo package.json, ha iniettato lo script bundle.js, ha riconfezionato l’archivio e lo ha pubblicato di nuovo, “garantendo così la trojanizzazione automatica dei pacchetti downstream”.

Lo script bundle.js utilizza TruffleHog, uno scanner legittimo per la ricerca di segreti, progettato per sviluppatori e professionisti di sicurezza. TruffleHog consente di rilevare informazioni riservate trapelate accidentalmente, come chiavi API, password e token, da repository e altre fonti. Lo script dannoso ha abusato dello strumento per trovare token e credenziali cloud.

L'articolo Supply Chain Wormable? Arrivano i pacchetti NPM con malware auto-propagante proviene da il blog della sicurezza informatica.

When we see an extremely DIY project, you always get someone who jokes “well, you didn’t collect sand and grow your own silicon”. [Patrícia J. Reis] and [Stefanie Wuschitz] did the next best thing: they collected local soil, sieved it down, and fired their own clay PCB substrates over a campfire. They even built up a portable lab-in-a-backpack so they could go from dirt to blinky in the woods with just what they carried on their back.

This project is half art, half extreme DIY practice, and half environmental consciousness. (There’s overlap.) And the clay PCB is just part of the equation. In an effort to approach zero-impact electronics, they pulled ATmega328s out of broken Arduino boards, and otherwise “urban mined” everything else they could: desoldering components from the junk bin along the way.

The traces themselves turned out to be the tricky bit. They are embossed with a 3D print into the clay and then filled with silver before firing. The pair experimented with a variety of the obvious metals, and silver was the only candidate that was both conductive and could be soldered to after firing. Where did they get the silver dust? They bought silver paint from a local supplier who makes it out of waste dust from a jewelry factory. We suppose they could have sat around the campfire with some old silver spoons and a file, but you have to draw the line somewhere. These are clay PCBs, people!

Is this practical? Nope! It’s an experiment to see how far they can take the idea of the pre-industrial, or maybe post-apocalyptic, Arduino. [Patrícia] mentions that the firing is particularly unreliable, and variations in thickness and firing temperature lead to many cracks. It’s an art that takes experience to master.

We actually got to see the working demos in the flesh, and can confirm that they did indeed blink! Plus, they look super cool. The video from their talk is heavy on theory, but we love the practice.

DIY clay PCBs make our own toner transfer techniques look like something out of the Jetsons.

media.ccc.de/v/38c3-clay-pcb/o…

hackaday.com/2025/09/18/pcbs-t…

L’Alta Corte di Londra ha annullato la decisione di estradare il cittadino portoghese Diogo Santos Coelho negli Stati Uniti. Il giovane, noto con lo pseudonimo di Omnipotent, era l’amministratore di uno dei più grandi forum di hacker, RaidForums.

La storia inizia nel gennaio 2022, quando Coelho si reca nel Regno Unito per far visita alla madre. Lì viene arrestato. Da allora, è in un limbo da più di tre anni: due Paesi si contendono la sua estradizione.

Gli Stati Uniti chiedono l’estradizione di Coelho per crimini legati alla gestione di RaidForums. Il Portogallo ha inviato un proprio ordine, citando i danni arrecati alle sue organizzazioni e ai suoi cittadini.

Lo stesso Coelho voleva recarsi in Portogallo e ha ufficialmente accettato l’estradizione.

Le autorità britanniche si sono trovate in una situazione difficile. La legge prevede una procedura speciale nel caso in cui più paesi richiedano l’estradizione di una persona. Ma nel suo caso queste regole non sono state rispettate.

Il Ministro dell’Interno ordinò che Coelho fosse trasferito negli Stati Uniti, ma lo fece frettolosamente. Il tribunale stabilì che la decisione si basava su documenti inesatti e che era stata presa senza tenere conto della posizione della difesa.

Il problema principale era che a Coelho non fu data l’opportunità di presentare le sue argomentazioni per l’estradizione in Portogallo. Le sue argomentazioni non furono nemmeno prese in considerazione.

Il giudice Linden ha riscontrato diverse violazioni. Secondo l’ordinanza del tribunale, al ministro è stato detto che le accuse statunitensi e portoghesi erano “identiche”, sebbene l’ordinanza portoghese includesse ulteriori accuse di riciclaggio di denaro e frode fiscale.

Inoltre, la decisione si basava sul presupposto che tutte le vittime si trovassero negli Stati Uniti. Ma le prove dimostravano il contrario: le vittime erano sparse in tutto il mondo, compreso il Portogallo stesso.

La corte ha inoltre affermato che il ministro non ha tenuto conto della natura più grave delle accuse portoghesi e dei legami personali di Coelho con il Paese. Gli è stato diagnosticato l’autismo, è a rischio di suicidio e riceve assistenza familiare e terapeutica nel suo Paese d’origine.

Il Ministero dell’Interno è ora tenuto a riesaminare le richieste concorrenti. A Coelho è stato concesso il diritto di presentare le sue argomentazioni prima che venga presa una nuova decisione.

Come ha osservato lo stesso Coelho, questo non garantisce l’estradizione in Portogallo, ma dà ai suoi avvocati la possibilità di essere ascoltati. Tra le argomentazioni della difesa c’è il fatto che alcuni dei presunti crimini siano stati commessi quando era minorenne, nonché il suo status di vittima della tratta di esseri umani.

L'articolo Il RE di RaidForums resta in bilico. La battaglia tra USA e Portogallo per la sua estradizione proviene da il blog della sicurezza informatica.

While many in the industry were at first skeptical of NASA’s goal to put resupply flights to the International Space Station in the hands of commercial operators, the results speak for themselves. Since 2012, the SpaceX Dragon family of spacecraft has been transporting crew and cargo from American soil to the orbiting laboratory, a capability that the space agency had lost with the retirement of the Space Shuttle. Putting these relatively routine missions in the hands of a commercial provider like SpaceX takes some of the logistical and financial burden off of NASA, allowing them to focus on more forward-looking projects.
SpaceX Dragon arriving at the ISS for the first time in 2012.
But as the saying goes, you should never put all of your eggs in one basket. As successful as SpaceX has been, there’s always a chance that some issue could temporarily ground either the Falcon 9 or the Dragon.

While Russia’s Progress and Soyuz vehicles would still be available in an emergency situation, it’s in everyone’s best interest that there be multiple backup vehicles that can bring critical supplies to the Station.

Which is precisely why several new or upgraded spacecraft, designed specifically for performing resupply missions to the ISS and any potential commercial successor, are coming online over the next few years.

In fact, one of them is already flying its first mission, and will likely have arrived at the International Space Station by the time you read this article.

Cygnus XL

The Cygnus was the second commercial spacecraft to deliver cargo to the ISS back in 2013, and like the Dragon, has gone through several upgrades and revisions over the years. Rather than starting from a clean slate, the Orbital Sciences Corporation based the vehicle’s pressurized module on the Multi-Purpose Logistics Module which was originally designed to fly inside the Space Shuttle’s cargo bay to provide onboard laboratory space before the construction of the ISS. This was paired with a service module that was derived from their line of communication satellites.

Orbital Sciences Corporation was eventually acquired by Northrop Grumman, which now operates the latest version of the spacecraft, the Cygnus XL. This latest version of the cargo craft lifted off for the first time on September 14th, and is currently en route to the ISS.

It retains the same 3.07 m (10.1 ft) diameter of the original Cygnus, but the length of the vehicle has been increased from 5.14 m (16.9 ft) to 8 m (26 ft). This has nearly doubled the internal pressurized volume of the craft, and the payload capacity has been increased from 2,000 kg (4,400 lb) to 5,000 kg (11,000 lb).

While the Dragon can autonomously dock with the ISS, the Cygnus XL needs to be captured by an astronaut using the Station’s robotic arm, and manually moved into position where it’s eventually bolted into place — a process known as berthing. This is a more labor intensive method of connecting a visiting spacecraft, but it does have at least one advantage, as the diameter of the berthing ports is larger than that of the docking ports. At least in theory, this means Cygnus XL would be able to deliver bulkier objects to the Station than the Dragon or any other spacecraft that makes use of the standard docking ports.

Like the earlier versions of the craft, Cygnus XL is an expendable vehicle, and lacks the heat shield that would be necessary to reenter Earth’s atmosphere safely. Once the vehicle delivers its cargo and is detached from the Station, it’s commanded to perform a deorbit maneuver which will cause it to burn up in the atmosphere. But even this serves an important function, as the astronauts will load the vehicle with trash before it departs, ensuring that refuse from the Station is destroyed in a safe and predictable manner.

HTV-X

Like the Cygnus XL, the HTV-X is an upgraded version of a spacecraft which has already visited the ISS, namely the H-II Transfer Vehicle (HTV). Designed and built by the Japan Aerospace Exploration Agency (JAXA), the first flight of this upgraded cargo vehicle is tentatively scheduled for late October.

The HTV-X reuses the pressurized module from the HTV, though it has been slightly enlarged and is now located at the rear of the spacecraft instead of the front. The cargo module is in turn attached to a service module that’s responsible for power generation, communications, and propulsion. For all intents and purposes, this service module is its own independent spacecraft, and JAXA is currently investigating future applications which would see this module mated with other payloads for various low Earth orbit missions.

Attached to the opposite side of the service module is an unpressurized cargo module. This is similar to the “trunk” of the Dragon spacecraft, in that it’s essentially just a hollow cylinder with shelves and mounting points inside. This module could potentially be used to bring up components that are intended to be attached to the outside of the ISS, or it could hold experiments and modules that are designed to be exposed to the space environment.

Like the Cgynus XL, the HTV-X will berth to the ISS rather than dock, and it will also burn up after its mission is complete. However the HTV-X is designed to fly freely on its own for up to 18 months after it delivers its cargo to the Station, which JAXA calls the “Technology Demonstration Phase” of the mission. This will essentially allow the agency to perform a second mission after the vehicle has completed its supply run, greatly improving the overall cost effectiveness of the program.

Dream Chaser

Far and away the most ambitious of these new spacecraft is the Dream Chaser, developed by Sierra Space. Reminiscent of a miniature version of the Space Shuttle, this winged vehicle is designed to land like an airplane at the end of its mission. This not only means it can bring material back down to Earth at the end of its mission, but that it can do so in a much less jarring manner than a capsule that ends up splashing down into the ocean under parachutes. This is a huge benefit when dealing with fragile cargo or scientific experiments, and is a capability not offered by any other currently operational spacecraft.

The Dream Chaser has been in active development for over 20 years, but its origins date back even farther than that, as it’s based on HL-20 Personnel Launch System concept from the 1980s. While it was initially designed for crew transport, it lost out to SpaceX and Boeing during NASA’s Commercial Crew Program selection in 2014. It did however secure a contract from the space agency in 2016 for six cargo missions to the ISS. To qualify for these missions, several changes were made to the original design, such as the addition of an expendable module that will attach to the rear of the vehicle to increase its relatively limited internal cargo capacity of 910 kg (2,000 lb) by 4,500 kg (10,000 lb).

The first orbital test flight of the Dream Chaser is currently scheduled to take place before the end of the year, but that date has already slipped several times. Being a reusable vehicle like the Dragon, the first Dream Chaser spaceplane is expected to fly multiple operational missions while a second craft is being assembled.

After completing their contractually obligated missions to the ISS, there are currently plans for the Dream Chaser to fly at least one mission for the United Nations Office for Outer Space Affairs, which will carry an array of scientific experiments provided by member nations that do not have their own domestic space programs. The company also says they remain committed to bringing the crewed version of Dream Chaser to fruition, likely as part of their partnership with Blue Origin to develop the Orbital Reef — a “mixed-use business park” in space.

Time is Running Out

It might seem strange that three different spacecraft are scheduled to enter service before the end of the year, but of course, the clock is ticking. Although the date has been pushed out a number of times over the years, the current 2030 timeline for the decommissioning of the International Space Station seems to be holding so far. With as little as five years left to go before the ISS joins us Earthlings back here on the surface, it’s now or never for any vehicles designed for service missions. This is doubly true for companies such as Sierra Space, who have already agreed to perform a set number of missions.

At the same time, any of these vehicles could support a future commercial space station, should one actually materialize. We’ve covered some of the post-ISS plans previously, but given how volatile the aerospace world is, nothing is a given until it’s actually in orbit.

hackaday.com/2025/09/18/a-new-…

Fausto Amodei, l'autore, ci ha lasciato oggi.

youtube.com/watch?v=WmFYVEiXGy…

As you might expect, the University of Puerto Rico at Arecibo has a fascination with radio signals from space. While doing research into the legendary “Wow! Signal” detected back in 1977, they realized that the burst was so strong that a small DIY radio telescope would be able to pick it up using modern software-defined radio (SDR) technology.

This realization gave birth to the Wow@Home project, an effort to document both the hardware and software necessary to pick up a Wow! class signal from your own backyard. The University reasons that if they can get a bunch of volunteers to build and operate these radio telescopes, the resulting data could help identify the source of the Wow! Signal — which they believe could be the result of some rare astrophysical event and not the product of Little Green Men.

Ultimately, this isn’t much different from many of the SDR-based homebrew radio telescopes we’ve covered over the years — get a dish, hook your RTL-SDR up to it, add in the appropriate filters and amplifiers, and point it to the sky. Technically, you’re now a radio astronomer. Congratulations. In this case, you don’t even have to figure out how to motorize your dish, as they recommend just pointing the antenna at a fixed position and let the rotation of the Earth to the work — a similar trick to how the legendary Arecibo Observatory itself worked.

The tricky part is collecting and analyzing what’s coming out of the receiver, and that’s where the team at Arecibo hope to make the most headway with their Wow@Home software. It also sounds like that’s where the work still needs to be done. The goal is to have a finished product in Python that can be deployed on the Raspberry Pi, which as an added bonus will “generate a live preview of the data in the style of the original Ohio State SETI project printouts.” Sounds cool to us.

If you’re interested in lending a hand, the team says they’re open to contributions from the community — specifically from those with experience RFI shielding, software GUIs, and general software development. We love seeing citizen science, so hopefully this project finds the assistance and the community it needs to flourish.

Thanks to [Mark Stevens] for the tip.

hackaday.com/2025/09/18/listen…

The way to get into radio, and thence electronics, in the middle years of the last century, was to fire up a shortwave receiver and tune across the bands. In the days when every country worth its salt had a shortwave station, Cold War adversaries boomed propaganda across the airwaves, and even radio amateurs used AM that could be listened to on a consumer radio, a session in front of the dial was sure to turn up a few surprises. It’s a lost world in the 21st century, as the Internet has provided an easier worldwide medium and switch-mode power supplies have created a blanket of noise. The sounds of shortwave are thus no longer well known to anyone but a few enthusiasts, but that hasn’t stopped [gnd buzz] investigating their potential in electronic music.

There’s very little on the air which couldn’t be used in some form by the musician, but the samples are best used as the base for further processing. One example takes a “buzzer” signal and turns it into a bass instrument. The page introduces the different types of things which can be found on the bands, for which with the prevalence of WebSDRs there has never been a lower barrier to entry.

If you’re too young to have scanned the bands, a capable receiver can now be had for surprisingly little.

Radio dial header: Maximilian Schönherr, CC BY-SA 3.0.

hackaday.com/2025/09/18/give-y…

La cybergang Everest, nota per il suo approccio aggressivo al cybercrime, ha reso pubblica sul suo DLS (Data Leak Site) una presunta violazione che coinvolge BMW.

Il post pubblicato mostra che i documenti critici dell’audit BMW saranno accessibili online tra poche ore, mentre altri dettagli importanti rimarranno disponibili per poco più di un giorno.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Everest, attiva da diversi anni nel panorama del cybercrime internazionale, ha già colpito in passato grandi enti e aziende. Tra i loro attacchi più noti si ricorda quello alla SIAE, dove furono sottratti dati sensibili relativi alla gestione dei diritti d’autore italiani.

Negli ultimi sette giorni, il DLS di Everest ha pubblicato dati di tre aziende italiane, confermando la sua crescente attività sul territorio nazionale. Secondo l’immagine trapelata, i documenti BMW saranno disponibili fino al 14 settembre 2025, con una prima parte dei file accessibile tra circa 4 ore e 47 minuti, mentre ulteriori documenti saranno visibili tra 1 giorno e 13 ore.

La nuova struttura del DLS di Everest rende più immediata la visualizzazione dei countdown e il monitoraggio delle pubblicazioni, aumentando la pressione sulle aziende colpite affinché intervengano rapidamente. Questo episodio conferma come la cybergang stia consolidando la propria reputazione nel settore della cyber extortion e delle fughe di dati sensibili.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione. RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

L'articolo BMW nel mirino: Everest Ransomware minaccia la pubblicazione di dati critici proviene da il blog della sicurezza informatica.

Gli hacker di NoName057(16), da qualche giorno hanno riavviato le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS).

Sulla base di quanto osservato, le infrastrutture italiane hanno rafforzato la loro struttura e il periodo di interruzione del servizio è in forte diminuzione rispetto a 2 anni fa, fino quasi ad azzerarsi, grazie all’attuazione di misure contro gli attacchi DDoS e alla crescente consapevolezza che tali attacchi hanno comportato inevitabilmente.

Di seguito gli obiettivi rivendicati nella giornata di oggi dal gruppo di hacktivisti:

• Ministero della Difesa italiano (non risponde al ping) check-host.net/check-report/2e38b31bka1
• Marina Militare Italiana (non risponde al ping) check-host.net/check-report/2e38b4cakf13
• Direzione del sistema portuale del Tirreno centro-settentrionale check-host.net/check-report/2e38bc40k98a
• Azienda italiana per l’energia (non risponde al ping) check-host.net/check-report/2e38be92kd4
• Amministrazione del sistema portuale del Mar Tirreno settentrionale check-host.net/check-report/2e38fbbdk74d
• Ministero del Lavoro e delle Politiche Sociali check-host.net/check-report/2e38ce5ckdc5
• Amministrazione del sistema portuale dei porti dell’Adriatico orientale Trieste e Monfalcone check-host.net/check-report/2e38cfb7k174
• Associazione dei porti di Genova check-host.net/check-report/2e38cfcak762
• Amministrazione del sistema portuale check-host.net/check-report/2e38e509kd71
• Acantho Italia check-host.net/check-report/2e38e509kd71
• SPID (Sistema di identificazione e accesso) check-host.net/check-report/2e38e4e9k6c6

NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private.

Che cos’è un attacco Distributed Denial of Service

Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.

Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.

Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.

Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.

Che cos’è l’hacktivismo cibernetico

L’hacktivismo cibernetico è un movimento che si serve delle tecniche di hacking informatico per promuovere un messaggio politico o sociale. Gli hacktivisti usano le loro abilità informatiche per svolgere azioni online come l’accesso non autorizzato a siti web o a reti informatiche, la diffusione di informazioni riservate o il blocco dei servizi online di una determinata organizzazione.

L’obiettivo dell’hacktivismo cibernetico è di sensibilizzare l’opinione pubblica su questioni importanti come la libertà di espressione, la privacy, la libertà di accesso all’informazione o la lotta contro la censura online. Gli hacktivisti possono appartenere a gruppi organizzati o agire individualmente, ma in entrambi i casi utilizzano le loro competenze informatiche per creare un impatto sociale e politico.

È importante sottolineare che l’hacktivismo cibernetico non deve essere confuso con il cybercrime, ovvero la pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. Mentre il cybercrime è illegale, l’hacktivismo cibernetico può essere considerato legittimo se mira a portare all’attenzione pubblica questioni importanti e a favorire il dibattito democratico. Tuttavia, le azioni degli hacktivisti possono avere conseguenze legali e gli hacktivisti possono essere perseguiti per le loro azioni.

Chi sono gli hacktivisti di NoName057(16)

NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private

Le informazioni sugli attacchi effettuati da NoName057(16) sono pubblicate nell’omonimo canale di messaggistica di Telegram. Secondo i media ucraini, il gruppo è anche coinvolto nell’invio di lettere di minaccia ai giornalisti ucraini. Gli hacker hanno guadagnato la loro popolarità durante una serie di massicci attacchi DDOS sui siti web lituani.

Le tecniche di attacco DDoS utilizzate dal gruppo sono miste, prediligendo la “Slow http attack”.

L'articolo Italia sotto attacco DDoS da parte dei filorussi di NoName057(16)? Pochi disservizi proviene da il blog della sicurezza informatica.

Un’immediata azione di sicurezza è stata intrapresa da Google per gli utenti del browser Chrome a livello globale, con l’obiettivo di risolvere quattro falle critiche, una delle quali, una vulnerabilità zero-day, è attualmente oggetto di sfruttamento attivo. Gli utenti sono perciò sollecitati a procedere con urgenza all’aggiornamento dei propri browser al fine di prevenire possibili attacchi informatici.

Un difetto di type confusion nel motore JavaScript V8 di Chrome rappresenta la vulnerabilità più preoccupante in questo aggiornamento di sicurezza, monitorato come CVE-2025-10585. La scoperta e la segnalazione di questa vulnerabilità sono state effettuate il 16 settembre 2025 dalThreat Analysis Group di Google. La debolezza in questione è già stata sfruttata in attacchi reali, come confermato dall’azienda, che ha messo in evidenza come gli aggressori stanno approfittando di questa falla.

• [NA][445380761] High CVE-2025-10585: Type Confusion in V8. Reported by Google Threat Analysis Group on 2025-09-16
• [$15000][435875050] High CVE-2025-10500: Use after free in Dawn. Reported by Giunash (Gyujeong Jin) on 2025-08-03
• [$10000][440737137] High CVE-2025-10501: Use after free in WebRTC. Reported by sherkito on 2025-08-23
• [TBD][438038775] High CVE-2025-10502: Heap buffer overflow in ANGLE. Reported by Google Big Sleep on 2025-08-12

Questo tipo di attacco non richiede alcuna interazione da parte dell’utente, se non quella di caricare una pagina web, il che lo rende particolarmente pericoloso per campagne di sfruttamento su larga scala.

La vulnerabilità del motore V8 consente agli aggressori di eseguire codice dannoso sui computer delle vittime semplicemente inducendo gli utenti a visitare un sito Web compromesso contenente codice JavaScript appositamente creato.

Google ha recentemente rilasciato un aggiornamento per Chrome che, oltre a risolvere una vulnerabilità zero-day già sfruttata, affronta altre tre falle di sicurezza di alta gravità in grado di potenzialmente minare la stabilità del sistema. Una di queste vulnerabilità, catalogata come CVE-2025-10500, è una falla use-after-free presente nell’implementazione Dawn WebGPU, individuata dal ricercatore di sicurezza Giunash, al quale è stata riconosciuta una ricompensa di 15.000 dollari.

L’aggiornamento risolve anche un difetto di tipo use-after-free nei componenti WebRTC (CVE-2025-10501), segnalato dal ricercatore “sherkito” per una ricompensa di 10.000 dollari, e un overflow del buffer heap nel livello grafico ANGLE (CVE-2025-10502), identificato dal sistema automatizzato Big Sleep di Google.

Le versioni 140.0.7339.185/.186 di Chrome per Windows e Mac e 140.0.7339.185 per Linux sono ora disponibili a livello globale. Gli utenti devono aggiornare immediatamente i propri browser accedendo al menu delle impostazioni di Chrome e selezionando “Informazioni su Google Chrome” per attivare un controllo automatico degli aggiornamenti.

Gli esperti di sicurezza raccomandano alle organizzazioni di dare priorità agli aggiornamenti di Chrome sulle proprie reti e di valutare l’implementazione di ulteriori misure di sicurezza finché tutti i sistemi non saranno adeguatamente protetti da queste vulnerabilità.

L'articolo Google Chrome: patch urgente per 0day sotto sfruttamento. Risolte vulnerabilità critiche proviene da il blog della sicurezza informatica.

Gli analisti di F6 hanno pubblicato uno studio su una nuova campagna di phishing attiva dalla primavera del 2025. Il gruppo, denominato ComicForm, ha inviato e-mail contenenti allegati dannosi ad aziende russe, bielorusse e kazake nei settori industriale, finanziario, turistico, biotecnologico e altri.

La prima e-mail registrata con oggetto “Report di verifica per firma” è stata inviata il 3 giugno 2025. L’allegato conteneva un archivio contenente un file eseguibile che ha avviato una catena di infezione in più fasi.

Durante l’attivazione, sono stati scaricati un loader .NET offuscato, il modulo MechMatrix Pro.dll e il dropper Montero.dll. Quest’ultimo è rimasto nel sistema, si è aggiunto alle eccezioni di Windows Defender, ha iniettato il payload nei processi e ha avviato lo spyware FormBook.

Una scoperta curiosa è stata la presenza di animazioni GIF di supereroi da Tumblr e Giphy incorporate nel codice del malware. Queste non sono state utilizzate nell’attacco, ma è stata proprio questa “estetica” a far guadagnare agli aggressori il soprannome ComicForm.

La caratteristica principale delle email era l’indirizzo di ritorno rivet_kz@…, registrato presso un servizio di posta elettronica gratuito. Le email provenivano dai domini .ru, .by e .kz, contenevano oggetti relativi a fatture, contratti e documenti bancari ed erano accompagnate da archivi con file infetti. In alcuni casi, provenivano dagli indirizzi IP 185.130.251[.]14, 185.246.210[.]198 e 37.22.64[.]155. Una delle email era stata inviata a un indirizzo email aziendale di Beeline Kazakhstan.

Successivamente, il 25 luglio, F6 ha rilevato una nuova ondata di email inviate per conto di un’azienda kazaka. Le email contenevano un link “Conferma password” che conduceva a una pagina di accesso falsa. Le informazioni di accesso della vittima venivano inviate a una risorsa di terze parti e il codice della pagina inseriva automaticamente l’indirizzo email dell’utente e aggiungeva uno screenshot del sito web aziendale per aumentare la credibilità.

Un’analisi dell’infrastruttura ha rivelato l’utilizzo di un’ampia gamma di domini nelle aree .ru, .kz, .vn, .id, .ng, .glitch.me e altre. Alcune risorse sono state compromesse. Gli esperti hanno riscontrato somiglianze con un attacco dell’aprile 2025 a una banca bielorussa, che ha utilizzato tecniche e servizi simili per rubare dati tramite la piattaforma Formspark.

ComicForm rimane attivo a partire da settembre 2025, utilizzando sia la vecchia infrastruttura che i nuovi domini. Tuttavia, l’indirizzo rivet_kz@….ru non compare più nelle mailing list recenti. L’analisi del grafico ha rivelato un’espansione della rete di risorse utilizzate dagli aggressori.

F6 ha concluso che ComicForm è attivo almeno da aprile 2025, prendendo di mira organizzazioni di diversi paesi e settori. Il gruppo combina l’invio di email tramite FormBook con la creazione di pagine di phishing che impersonano servizi aziendali.

L'articolo Phishing con stile! I cyber criminali allegano GIF dei supereroi nel malware proviene da il blog della sicurezza informatica.