Immaginate di svegliarvi una mattina e scoprire che i vostri dati finanziari sensibili – contratti, liste clienti, strategie di investimento – sono esposti su un sito nascosto del dark web, con un timer che minaccia di renderli pubblici se non pagate un riscatto. È esattamente ciò che è accaduto a dieci società di asset management in Corea del Sud, vittime della campagna “Korean Leak” orchestrata dal gruppo ransomware Qilin.

La Campagna “Korean Leak”: Le Dieci Vittime e i Dati Esposti

Attraverso attività di monitoraggio CTI e OSINT — con fonti come Ransomware.live e H4ckmanac — è emerso che il gruppo Qilin ha preso di mira il settore sudcoreano dell’asset management. La verifica diretta sul loro sito onion ha confermato la pubblicazione, in data 14/09, delle schede dedicate alle vittime identificate come Korean Leak, corredate da campioni di dati esfiltrati. Di seguito le dieci organizzazioni colpite, sulla base di rivendicazioni verificate e IOC estratti dal Data Leak Site (DLS):

1. Human & Bridge Asset Management: Rivendicazione con sample di report finanziari e liste clienti; IOC include FTP endpoint per exfiltrazione
2. Vanchor Asset Management: Pubblicati dettagli su portafogli investitori; MD5 hash associati a file leakati.
3. Klarman Asset Management: Scheda con screenshot di documenti interni; IP tracciati per comando e controllo.
4. Taurus Investment & Securities Co: Esposti dati HR e partnership; tool di esfiltrazione come WinSCP identificati nei log.
5. Apex Asset Management: Leak di analisi rischio; hash file.
6. LX Asset Management: Pubblicati budget e proiezioni; IOC include Proxychains per networking.
7. Majesty Asset Management Co: Dati compliance e contabili; evasion tools come EDRSandBlast menzionati.
8. Melon Asset Management Co: Liste investitori esfiltrate; credential theft via Mimikatz.
9. Pollex Asset Management Co: Analisi M&A interne; IP C2.
10. Awesome Asset Management Co: Piani marketing e anagrafiche; exfiltration tramite EasyUpload.io.

Queste rivendicazioni, mostrano un pattern di pubblicazione progressiva: preview iniziali seguiti da full dump se il riscatto non è pagato.

L’Origine di Qilin: Da Mitologia a Minaccia Cibernetica

Qilin non è solo un nome: deriva da una creatura mitologica cinese simbolo di cambiamenti epocali, e il gruppo lo usa per rivendicare una missione che va oltre il profitto criminale. Come emerge dall’intervista esclusiva di Red Hot Cyber, Qilin si presenta come sostenitore di un “mondo multipolare”, con toni anti-occidentali e una struttura decentralizzata che coinvolge team in molteplici paesi. Ma dietro la retorica, c’è un’operazione RaaS (Ransomware-as-a-Service) sofisticata, con payload in Rust e C sviluppati internamente per evadere le difese.

Il gruppo è attivo dal 2022 e ha scalato le classifiche delle minacce: solo ad aprile 2025 ha rivendicato 72 vittime, inclusa l’ondata sudcoreana. La loro infrastruttura include un Data Leak Site (DLS) su Tor, noto come “WikiLeaks V2”, accessibile via onion address come ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion, dove pubblicano dati per pressione estorsiva.

Come Funziona l’Attacco: Tattiche e Tool Rivendicati

Dall’intervista di Red Hot Cyber, Qilin rivela di usare “tutto”: phishing, exploit 0-day/1-day ricercati internamente, e permanenza prolungata nelle reti per studiare processi prima della cifratura. Il loro stack include:

• Discovery: Nmap, Nping per mappatura reti.
• RMM Tools: ScreenConnect per accesso remoto.
• Defense Evasion: EDRSandBlast, PowerTool, driver come Toshiba power management per BYOVD.
• Credential Theft: Mimikatz per estrazione credenziali.
• OffSec: Cobalt Strike, Evilginx, NetExec per esecuzione avanzata.
• Networking: Proxychains per anonimizazione.
• LOLBAS: fsutil, PsExec, WinRM per abuso di tool legittimi.
• Exfiltration: EasyUpload.io per upload dati.

IOC specifici estratti includono IP C2 come 176.113.115.97 e numerosi MD5 hash di payload, confermando l’uso di FTP per trasferimento dati sottratti.

Il Modello di Business: RaaS e Pressione Legale

Qilin opera come RaaS con split 80/20 (affiliati/servizio), e parte dei ricavi è dichiarata destinata a “movimenti per la libertà”. La “doppia estorsione” è evoluta: oltre alla cifratura, minacciano aste, vendita a concorrenti o pubblicazione totale. Offrono persino “immunità” preventiva a pagamento, paragonata a un “vaccino”

Nel 2025, hanno aggiunto il “pacchetto intimidazione”: team legali e giornalisti interni per negoziazioni e campagne mediatiche, con 1 PB di storage e tool DDoS integrati. Qilin non è solo codice: è una minaccia ibrida che mescola crimine, ideologia e innovazione. Capirla è il primo passo per contrastarla.

L'articolo Qilin Ransomware Colpisce Nel Profondo la Finanza Sudcoreana proviene da il blog della sicurezza informatica.

Quel po' di Ticino di cui essere fiera.
Grazie Vanni ❤️
doppiozero.com/global-sumud-fl…

E oggi pomeriggio -> presidio contro il "nostro" inutile ministro degli esteri ✊🏼

#globalsumud #Ticino #cassiscomplice #ignaziocassis #complicit #Switzerland

Let’s face it, nobody likes scrubbing, but what option do you have? You can’t exactly break out the grinder to clean off the remains of last nights dinner… right? Well, maybe not a grinder, but thanks to this hack by [Markus Opitz], you can use an oscillating tool.

It’s a simple enough hack: [Markus] modeled the attachment for his Bosch oscillating tool in Tinkercad, and created a bracket to hold a large metal binder clip. The clip attaches with a screw, and can hold whatever scrubbing pad your carpel-tunnel afflicted hands can’t bear to hold on to. He’s using a self-cleaning stainless-steel sponge.

One nice touch is a pair of protective lips on the jaws of the metal clip, to keep it from accidentally scratching the delicate surface under care. Of course if you have a drill or a Dremel handy you can buy attachments for polishing disks of various grits, but what’s the fun in that? Doing the dishes with a hacked-together oscillating tool just somehow seems more fun. Plus this way you can’t accidentally produce an engine-turning pattern.

We don’t seem to have featured many hacks for these fun, buzzing, multi-purpose tools, so if you’ve got one send us a tip. We did feature an oscillating cutter for CNC once, but that was fully DIY.

hackaday.com/2025/09/19/dirty-…

Gli utenti Windows 11 con PC Copilot+ potranno usufruire di funzionalità avanzate di intelligenza artificiale, ormai parte integrante dell’applicazione Blocco note, grazie ad un aggiornamento che include potenti strumenti per la creazione e la modifica del testo. Tra le nuove funzionalità ci sono “Riepiloga”, “Scrivi” e “Riscrivi”, utilizzabili senza necessità di sottoscrivere un abbonamento, direttamente sul dispositivo.

Gli strumenti innovativi basati sull’intelligenza artificiale, integrati in Blocco note, consentono agli utenti di creare, ottimizzare e sintetizzare il testo in modo efficiente. Funzionando direttamente sulla Neural Processing Unit (NPU) dei PC Copilot+, questi strumenti operano in locale, permettendo un utilizzo offline senza necessità di un abbonamento a Microsoft 365 o di accesso a un account Microsoft.

Un elemento cruciale di questo aggiornamento riguarda il cambio di strategia verso un modello di intelligenza artificiale incorporato direttamente nel dispositivo. Ciò consente una maggiore accessibilità a funzionalità avanzate di supporto alla scrittura. In passato, le capacità di intelligenza artificiale integrate in Blocco note dipendevano dall’elaborazione cloud e richiedevano sottoscrizioni a Microsoft 365, che mettevano a disposizione un quantitativo prestabilito di crediti di intelligenza artificiale. Adesso, grazie a PC Copilot+, gli utenti possono usufruire gratuitamente e senza restrizioni di tali funzionalità.

Gli utenti che sottoscrivono un abbonamento a Microsoft365 possono beneficiare di un sistema più versatile. A seconda delle loro necessità, è possibile passare agevolmente dalla versione gratuita, integrata nel dispositivo, alla versione avanzata basata sul cloud. Questo modello ibrido fa sì che gli strumenti di intelligenza artificiale di alta qualità siano accessibili a un’utenza più vasta, pur mantenendo disponibili funzionalità avanzate per chi ha sottoscritto l’abbonamento. Inizialmente, il lancio di queste funzioni sarà limitato a contenuti in lingua inglese.

Un’innovazione sostanziale caratterizza l’editor di testo classico con l’introduzione dell’intelligenza artificiale. Grazie alla funzione “Riscrivi”, è possibile adeguare il tono, il formato e la lunghezza di contenuti già esistenti, mentre la funzione “Scrivi” permette agli utenti di produrre nuovo testo partendo da un semplice suggerimento. Inoltre, con “Riepiloga”, gli utenti possono velocemente sintetizzare documenti estesi in resoconti compatti.

Questo aggiornamento segue una serie di recenti miglioramenti al Blocco Note, tra cui l’aggiunta di tabulazioni, un contatore di caratteri, il controllo ortografico e la correzione automatica, trasformandolo in un editor più completo. Gli utenti che preferiscono l’esperienza classica e senza fronzoli avranno la possibilità di disattivare le nuove funzionalità di intelligenza artificiale nelle impostazioni dell’app.

La nuova versione di Notepad (11.2508.28.0) è attualmente in fase di distribuzione per i Windows Insider nei canali Canary e Dev e si prevede che sarà disponibile per tutti gli utenti di Windows 11 con hardware compatibile nelle prossime settimane.

L'articolo Pronti per il Blocco Note con l’AI? Presto su Windows 11 con PC Copilot+! proviene da il blog della sicurezza informatica.

Desktop environments are the norm as computer interfaces these days, but there was once a time when they were a futuristic novelty whose mere presence on a computer marked it out as something special. In the early 1980s you could buy an expensive but very fancy Mac from Apple, while on the PC there were early Windows versions, and GEM from Digital Research. It’s something of a footnote here in 2025, and some insight as to why comes from [Programming at the right level] with a retrospective on the software.

Coming from the perspective of an Atari user whose ST shipped with a version of GEM, it tracks the projects from its earliest roots with a Xerox employee, through development to launch on the PC and Atari ST. We learn about an Apple legal threat that resulted in the hobbled interface many of us remember from later GEM versions, and about the twists and turns in its path before the final dissolution of DR in the early 1990s.

From 2025 it’s clear that Windows won the PC desktop battle not by being special but by being the default; when GEM was an add-on extra it would have been a tough sell. The software was eventually made open-source by the eventual owner of the DR assets, Caldera (when they weren’t trying to torpedo Linux, presumably), and can be run today on FreeDOS.

GEM header image: Rolf Hartmann, CC BY-SA 3.0.

hackaday.com/2025/09/18/a-gem-…

Una nuova minaccia sta iniziando a fare capolino nel mondo dell’IT: il mondo degli agenti di intelligenza artificiale.

ShadowLeak è una vulnerabilità di tipo “indirect prompt injection” (IPI) senza clic, scoperta di recente, che si verifica quando ChatGPT di OpenAI è connesso a Gmail aziendale e autorizzato a navigare sul web.

Come funziona ShadowLeak

L’attacco, scoperto da Radware, sfrutta la vulnerabilità inviando un’e-mail dall’aspetto legittimo che incorpora silenziosamente istruzioni dannose in codice HTML invisibile o non ovvio. Quando un dipendente chiede all’assistente di “riepilogare le e-mail di oggi” o “cercare nella mia casella di posta un argomento”, l’agente acquisisce il messaggio trappola e, senza ulteriore interazione da parte dell’utente, esfiltra dati sensibili chiamando un URL controllato dall’aggressore con parametri privati ​​(ad esempio, nomi, indirizzi e informazioni interne e sensibili).

È importante notare che la richiesta web viene eseguita dall’agente nell’infrastruttura cloud di OpenAI, il che fa sì che la fuga di dati abbia origine direttamente dai server di OpenAI. A differenza delle vulnerabilità di tipo “indirect prompt injection” precedentemente divulgate, la richiesta dannosa e i dati privati ​​non passano mai attraverso il client ChatGPT. Di conseguenza, l’organizzazione interessata non ha più tracce evidenti da monitorare né prove forensi da analizzare ai suoi confini.

Questa classe di exploit è in linea con i rischi più ampi descritti nell’emergente Internet degli Agenti: intelligenza artificiale autonoma che utilizza strumenti e agisce su protocolli e servizi diversi. Man mano che le organizzazioni integrano questi assistenti in caselle di posta, CRM, sistemi HR e SaaS, il rischio aziendale si sposta da “ciò che il modello dice” a “ciò che l’agente fa”.

Ingegneria sociale per le persone applicata alle macchine

L’astuzia dell’attaccante si estende tanto all’ingegneria sociale applicata alle macchine quanto a quella rivolta verso le persone.

In ripetute esecuzioni riporta Radware, l’attacco ha funzionato circa la metà delle volte con una semplice istruzione e un URL di esfiltrazione semplice, come hr-service.net/{params}. Un avversario determinato che utilizza prompt migliori e un dominio che riflette l’intento del prompt malevolo può ottenere risultati molto migliori.

Nei test, i tassi di successo sono migliorati considerevolmente quando è stata aggiunta l’urgenza all’istruzione del prompt e l’endpoint di esfiltrazione è stato reso simile a un controllo di conformità con un endpoint di ricerca nella directory dei dipendenti: compliance.hr-service.net/publ…

Il ragionamento interno dell’agente ora tratta il prompt malevolo come parte di un’attività urgente di conformità delle risorse umane.

L'articolo Arriva ShadowLeak: un bug 0click in ChatGPT porta all’esfiltrazione dei dati sensibili proviene da il blog della sicurezza informatica.