Esercito ridotto e Donbass a Mosca. Sul piano Trump Bruxelles frena: “Servono Kiev e Ue”
[quote]KIEV – Il Donbass non ancora conquistato a Mosca e la promessa di ridurre la portata operativa dell’esercito di Kiev. Sono queste le due condizioni che Stati Uniti e Russia…
L'articolo Esercito ridotto e Donbass a Mosca. Sul piano Trump Bruxelles frena: “Servono
Ferrari, Hamilton risponde alle critiche di Elkann: “Penso a guidare anche mentre dormo”
[quote]LAS VEGAS – “Mi sveglio pensandoci, vado a dormire pensandoci, e ci penso mentre dormo”. Lewis Hamilton risponde ai rimproveri del presidente della Ferrari John Elkann, che aveva criticato i…
L'articolo Ferrari, Hamilton risponde alle critiche di Elkann: “Penso a
Caporalato, indagati tre manager di Tod’s. Cassazione respinge richieste del pm di Milano
[quote]MILANO – La Corte di Cassazione ha respinto ieri (19 novembre) le richieste del pm di Milano, Paolo Storari, che chiedeva il mantenimento della competenza territoriale sul procedimento di prevenzione…
L'articolo Caporalato, indagati tre manager di Tod’s.
Perché la trimestrale e la Casa Bianca fanno esultare Nvidia
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Nvidia festeggia tre volte: la Casa Bianca si schiera contro le limitazioni commerciali del Gain Ai Act, il governo autorizza le vendite in Medioriente e gli ottimi risultati del terzo trimestre allontanano i timori sulla bolla
Informatica (Italy e non Italy 😁) reshared this.
Ex Ilva, occupata l’acciaieria di Taranto (Il Fatto del giorno)
A cura di Clara Lacorte
L'articolo Ex Ilva, occupata l’acciaieria di Taranto (Il Fatto del giorno) su Lumsanews.
Universitaly: università & universitari reshared this.
Ex Ilva, fabbrica occupata a Taranto e blocchi stradali. Urso convoca tavolo con sindacati
[quote]Al grido "vergogna" i lavoratori diretti e dell’appalto insieme ai sindacati hanno occupato lo stabilimento siderurgico ex Ilva di Taranto
L'articolo Ex Ilva, fabbrica occupata a Taranto e blocchi stradali. Urso convoca tavolo con sindacati su
Giubileo 2025, primo bilancio di un Anno Santo da numeri straordinari
Servizio di Sofia Landi
L'articolo Giubileo 2025, primo bilancio di un Anno Santo da numeri straordinari su Lumsanews.
Universitaly: università & universitari reshared this.
Scontro Colle – FdI, Meloni va da Mattarella. Tregua dichiarata ma resta alta tensione
Giorgia Meloni e Sergio Mattarella verso il disgelo istituzionale. Le parole della discordia colte durante una cena tra amici
L'articolo Scontro Colle – FdI, Meloni va da Mattarella. Tregua dichiarata ma resta alta tensione su Lumsanews.
Trasferimento dati: il Consiglio d’Europa chiarisce le modalità per eventuali reclami
@Informatica (Italy e non Italy 😁)
Il Consiglio d’Europa ha adottato una nuova legge tesa ad accelerare la gestione dei reclami transfrontalieri in materia di protezione dati. Le misure intendono semplificare l’iter procedurale, burocratico e amministrativo, rendendo più
Informatica (Italy e non Italy 😁) reshared this.
Diskette Game Floppy Flopper is Certainly no Flop
There’s a tactile joy to the humble 3.5″ floppy that no USB stick will ever match. It’s not just the way they thunk into place in a well-made drive, the eject button, too, is a tactile experience not to be missed. If you were a child in disk-drive days, you may have popped a disk in-and-out repeatedly just for the fun of it — and if you weren’t a child, and did it anyway, we’re not going to judge. [igor] has come up with a physical game called “Floppy Flopper” that provides an excuse to do just that en masse, and it looks like lots of fun.
It consists of nine working floppy drives in a 3×3 grid, all mounted on a hefty welded-steel frame. Each drive has an RGB LED above it. The name of the game is to swap floppies as quickly as possible so that the color of the floppy in the drive matches the color flashing above it. Each successful insertion is worth thirteen points, tracked on a lovely matrix display. Each round is faster than the last, until you miss the window or mix up colors in haste. That might make more sense if you watch the demo video below.
[igor] could have easily faked this with NFC tags, as we’ve seen floppy-like interfaces do, or perhaps just use a color sensor. But no, those nine drives are all in working order. In the interest of speed — this is a timed challenge, after all, and we don’t need a PC slowing it down — each floppy is given its own microcontroller. Rather than reading data off the disk, only the disk’s write-protect and density holes are checked. He’s only using R, G, and B for floppy colors, so those four bits are enough. Unfortunately [igor]’s collection of floppies is very professional — lots of black and grey — so he needed to use colored stickers instead of technicolor plastic.
The project is open source, if you happen to have a stack of floppy drives of your own. If you don’t, but still want to play, the area, the Floppy Flopper is being exhibited at RADIONA in Rijeka, Croatia until December 5th 2025. If you happen to be in the neighborhood, it might be worth a trip.
If we had a nickle for every physical game that used a floppy drive, we’d have two nickles just this year. Which isn’t a lot, but it’s kind of neat to see so long after the last diskettes came off the production lines.
youtube.com/embed/wWfkXNIbJLw?…
scrittura asemica al #PalazzoEsposizioni domenica: palazzoesposizioniroma.it/even…
presentazione e dialoghi per
IN ITINERE, di Fabrizio M. Rossi
reshared this
“In Italia, decine di bambini e bambine sono discriminati e invisibili alle istituzioni perché nati con tecniche di fecondazione non gradite al Governo”
Questo il commento delle avvocate Francesca Re e Filomena Gallo nella Giornata mondiale dei diritti dell’infanzia
Oggi è la Giornata mondiale per i diritti dell’infanzia, che sono violati in tanta parte del mondo a causa di guerre, sfruttamento e violenze, anche all’interno della famiglia. Come se tutto ciò non bastasse, in Italia lo Stato aggiunge l’ottusità burocratica di negare a decine di bambini nati all’estero, grazie alla gravidanza per altri all’estero, in paesi in cui è perfettamente legale, la trascrizione del certificato di nascita. Così facendo, li si discrimina e mette a repentaglio la loro sicurezza affettiva e giuridica. Questo non è più accettabile. La trascrizione di un certificato di nascita nel paese in cui si vive non è solo una formalità ma un atto che rende pubblico e certo un fatto, ovvero il rapporto di genitorialità da cui derivano diritti fondamentali irrinunciabili.
Esistono bambini invisibili alle istituzioni solo perché nati con tecniche di fecondazione assistita non gradite al governo italiano, come la gravidanza per altri.
Impedire le trascrizioni, in assenza di una legge che lo preveda, bensì solo sulla base di una decisione degli ufficiali di stato civile, è oggi una forma subdola di punizione delle coppie o delle persone che vanno all’estero dove alcune tecniche di fecondazione assistita sono consentite, ma che di fatto determina una grave lesione dei diritti dei minori nati da queste tecniche. La legge 40 del 2004 al contrario, prevede che tutti i nati da tecniche di fecondazione assistita devono essere riconosciuti dai genitori, biologici o intenzionali, che hanno fatto ricorso a quelle tecniche.
In questa giornata, nata proprio per riconoscere diritti civili, sociali e politici a tutti i bambini e le bambine chiediamo al Governo, ai comuni, alle istituzioni di assumersi la responsabilità di garantire a ogni bambino e bambina il pieno riconoscimento giuridico e affettivo della propria famiglia, senza discriminazioni basate sulle modalità di nascita o sull’orientamento dei genitori, anche alla luce degli obblighi e le prospettive derivanti dal diritto europeo.
L'articolo “In Italia, decine di bambini e bambine sono discriminati e invisibili alle istituzioni perché nati con tecniche di fecondazione non gradite al Governo” proviene da Associazione Luca Coscioni.
Inside the dark web job market
In 2022, we published our research examining how IT specialists look for work on the dark web. Since then, the job market has shifted, along with the expectations and requirements placed on professionals. However, recruitment and headhunting on the dark web remain active.
So, what does this job market look like today? This report examines how employment and recruitment function on the dark web, drawing on 2,225 job-related posts collected from shadow forums between January 2023 and June 2025. Our analysis shows that the dark web continues to serve as a parallel labor market with its own norms, recruitment practices and salary expectations, while also reflecting broader global economic shifts. Notably, job seekers increasingly describe prior work experience within the shadow economy, suggesting that for many, this environment is familiar and long-standing.
The majority of job seekers do not specify a professional field, with 69% expressing willingness to take any available work. At the same time, a wide range of roles are represented, particularly in IT. Developers, penetration testers and money launderers remain the most in-demand specialists, with reverse engineers commanding the highest average salaries. We also observe a significant presence of teenagers in the market, many seeking small, fast earnings and often already familiar with fraudulent schemes.
While the shadow market contrasts with legal employment in areas such as contract formality and hiring speed, there are clear parallels between the two. Both markets increasingly prioritize practical skills over formal education, conduct background checks and show synchronized fluctuations in supply and demand.
Looking ahead, we expect the average age and qualifications of dark web job seekers to rise, driven in part by global layoffs. Ultimately, the dark web job market is not isolated — it evolves alongside the legitimate labor market, influenced by the same global economic forces.
In this report, you’ll find:
- Demographics of the dark web job seekers
- Their job preferences
- Top specializations on the dark web
- Job salaries
- Comparison between legal and shadow job markets
Read the full report (English, PDF)
freezonemagazine.com/news/sian…
Ore dopo la scorgiamo, un luccichio in lontananza. Port Man Tou. La città fantasma. Non so cosa mi aspettavo. Sembra vera. Sembra una città vera. Solo a osservarne le vie non si capisce che è un falso. Ha la stessa planimetria e gli stessi schemi di qualunque agglomerato urbano, lo stesso DNA di cemento. La differenza è che non […]
L'articolo Siang Lu – Le città impossibili proviene da FREE ZONE M
Fs, tutto sul cyber attacco ad Almaviva
@Informatica (Italy e non Italy 😁)
Un pesante attacco hacker ai sistemi di Almaviva che gestisce l'infrastruttura telematica del Gruppo Fs avrebbe permesso ai pirati informatici di incamerare non meno di 2,3 TB di dati tra materiale confidenziale, contratti, Nda e forse persino archivi Hr. Nel bottino potrebbero essere finiti pure i dati dei passeggeri. Cosa
Informatica (Italy e non Italy 😁) reshared this.
freezonemagazine.com/articoli/…
Il sassolino che cade e diventa valanga. Pare questo il destino dell‘inchiesta aperta dalla Procura di Milano e denominata “Safari Sarajevo“. Sui giornali italiani si continuano a ripetere le stesse notizie: le dichiarazioni del giornalista e scrittore milanese Ezio Gavazzeni che ha coraggiosamente scoperchiato una pentola che bolliva da troppi anni, la denuncia presentata dalla […]
L'articolo Saf
Il sassolino che cade e
Aperitivo assemblea della Cellula Coscioni Roma con Marco Cappato e Filomena Gallo
Friccicore – Via delle Acacie 14, Roma
Mercoledì 26 novembre 2025
Ore 19:30 – 21:00
Un’occasione di confronto, aggiornamento e rilancio delle attività della Cellula Coscioni di Roma in compagnia di Marco Cappato, tesoriere dell’Associazione Luca Coscioni, e Filomena Gallo, Segretaria nazionale, da anni in prima linea nelle battaglie per la libertà di scelta e per i diritti civili.
Durante l’aperitivo si discuterà delle campagne in corso, delle nuove iniziative locali e nazionali e dei prossimi obiettivi
Contributo richiesto: 15€. Parte del contributo sarà destinato a finanziare le attività della Cellula.
Per partecipare, è necessario preannunciare la propria presenza preferibilmente entro domenica 23 novembre all’indirizzo email cellularoma@associazionelucacoscioni.it
L'articolo Aperitivo assemblea della Cellula Coscioni Roma con Marco Cappato e Filomena Gallo proviene da Associazione Luca Coscioni.
Blockchain and Node.js abused by Tsundere: an emerging botnet
Introduction
Tsundere is a new botnet, discovered by our Kaspersky GReAT around mid-2025. We have correlated this threat with previous reports from October 2024 that reveal code similarities, as well as the use of the same C2 retrieval method and wallet. In that instance, the threat actor created malicious Node.js packages and used the Node Package Manager (npm) to deliver the payload. The packages were named similarly to popular packages, employing a technique known as typosquatting. The threat actor targeted libraries such as Puppeteer, Bignum.js, and various cryptocurrency packages, resulting in 287 identified malware packages. This supply chain attack affected Windows, Linux, and macOS users, but it was short-lived, as the packages were removed and the threat actor abandoned this infection method after being detected.
The threat actor resurfaced around July 2025 with a new threat. We have dubbed it the Tsundere bot after its C2 panel. This botnet is currently expanding and poses an active threat to Windows users.
Initial infection
Currently, there is no conclusive evidence on how the Tsundere bot implants are being spread. However, in one documented case, the implant was installed via a Remote Monitoring and Management (RMM) tool, which downloaded a file named pdf.msi from a compromised website. In other instances, the sample names suggest that the implants are being disseminated using the lure of popular Windows games, particularly first-person shooters. The samples found in the wild have names such as “valorant”, “cs2”, or “r6x”, which appear to be attempts to capitalize on the popularity of these games among piracy communities.
Malware implants
According to the C2 panel, there are two distinct formats for spreading the implant: via an MSI installer and via a PowerShell script. Implants are automatically generated by the C2 panel (as described in the Infrastructure section).
MSI installer
The MSI installer was often disguised as a fake installer for popular games and other software to lure new victims. Notably, at the time of our research, it had a very low detection rate.
The installer contains a list of data and JavaScript files that are updated with each new build, as well as the necessary Node.js executables to run these scripts. The following is a list of files included in the sample:
nodejs/B4jHWzJnlABB2B7
nodejs/UYE20NBBzyFhqAQ.js
nodejs/79juqlY2mETeQOc
nodejs/thoJahgqObmWWA2
nodejs/node.exe
nodejs/npm.cmd
nodejs/npx.cmd
The last three files in the list are legitimate Node.js files. They are installed alongside the malicious artifacts in the user’s AppData\Local\nodejs directory.
An examination of the CustomAction table reveals the process by which Windows Installer executes the malware and installs the Tsundere bot:
RunModulesSetup 1058 NodeDir powershell -WindowStyle Hidden -NoLogo -enc JABuAG[...]ACkAOwAiAA==
After Base64 decoding, the command appears as follows:
$nodePath = "$env:LOCALAPPDATA\nodejs\node.exe";
& $nodePath - e "const { spawn } = require('child_process'); spawn(process.env.LOCALAPPDATA + '\\nodejs\\node.exe', ['B4jHWzJnlABB2B7'], { detached: true, stdio: 'ignore', windowsHide: true, cwd: __dirname }).unref();"
This will execute Node.js code that spawns a new Node.js process, which runs the loader JavaScript code (in this case, B4jHWzJnlABB2B7). The resulting child process runs in the background, remaining hidden from the user.
Loader script
The loader script is responsible for ensuring the correct decryption and execution of the main bot script, which handles npm unpackaging and configuration. Although the loader code, similar to the code for the other JavaScript files, is obfuscated, it can be deobfuscated using open-source tools. Once executed, the loader attempts to locate the unpackaging script and configuration for the Tsundere bot, decrypts them using the AES-256 CBC cryptographic algorithm with a build-specific key and nonce, and saves the decrypted files under different filenames.
encScriptPath = 'thoJahgqObmWWA2',
encConfigPath = '79juqlY2mETeQOc',
decScript = 'uB39hFJ6YS8L2Fd',
decConfig = '9s9IxB5AbDj4Pmw',
keyBase64 = '2l+jfiPEJufKA1bmMTesfxcBmQwFmmamIGM0b4YfkPQ=',
ivBase64 = 'NxrqwWI+zQB+XL4+I/042A==',
[...]
const h = path.dirname(encScriptPath),
i = path.join(h, decScript),
j = path.join(h, decConfig)
decryptFile(encScriptPath, i, key, iv)
decryptFile(encConfigPath, j, key, iv)
The configuration file is a JSON that defines a directory and file structure, as well as file contents, which the malware will recreate. The malware author refers to this file as “config”, but its primary purpose is to package and deploy the Node.js package manager (npm) without requiring manual installation or downloading. The unpackaging script is responsible for recreating this structure, including the node_modules directory with all its libraries, which contains packages necessary for the malware to run.
With the environment now set up, the malware proceeds to install three packages to the node_modules directory using npm:
ws: a WebSocket networking libraryethers: a library for communicating with Ethereumpm2: a Node.js process management tool
Loader script installing the necessary toolset for Tsundere persistence and execution
The pm2 package is installed to ensure the Tsundere bot remains active and used to launch the bot. Additionally, pm2 helps achieve persistence on the system by writing to the registry and configuring itself to restart the process upon login.
PowerShell infector
The PowerShell version of the infector operates in a more compact and simplified manner. Instead of utilizing a configuration file and an unpacker — as done with the MSI installer — it downloads the ZIP file node-v18.17.0-win-x64.zip from the official Node.js website nodejs[.]org and extracts it to the AppData\Local\NodeJS directory, ultimately deploying Node.js on the targeted device. The infector then uses the AES-256-CBC algorithm to decrypt two large hexadecimal-encoded variables, which correspond to the bot script and a persistence script. These decrypted files, along with a package.json file are written to the disk. The package.json file contains information about the malicious Node.js package, as well as the necessary libraries to be installed, including the ws and ethers packages. Finally, the infector runs both scripts, starting with the persistence script that is followed by the bot script.
The PowerShell infector creates a package file with the implant dependencies
Persistence is achieved through the same mechanism observed in the MSI installer: the script creates a value in the HKCU:\Software\Microsoft\Windows\CurrentVersion\Run registry key that points to itself. It then overwrites itself with a new script that is Base64 decoded. This new script is responsible for ensuring the bot is executed on each login by spawning a new instance of the bot.
Tsundere bot
We will now delve into the Tsundere bot, examining its communication with the command-and-control (C2) server and its primary functionality.
C2 address retrieval
Web3 contracts, also known as smart contracts, are deployed on a blockchain via transactions from a wallet. These contracts can store data in variables, which can be modified by functions defined within the contract. In this case, the Tsundere botnet utilizes the Ethereum blockchain, where a method named setString(string _str) is defined to modify the state variable param1, allowing it to store a string. The string stored in param1 is used by the Tsundere botnet administrators to store new WebSocket C2 servers, which can be rotated at will and are immutable once written to the Ethereum blockchain.
The Tsundere botnet relies on two constant points of reference on the Ethereum blockchain:
- Wallet:
0x73625B6cdFECC81A4899D221C732E1f73e504a32 - Contract:
0xa1b40044EBc2794f207D45143Bd82a1B86156c6b
In order to change the C2 server, the Tsundere botnet makes a transaction to update the state variable with a new address. Below is a transaction made on August 19, 2025, with a value of 0 ETH, which updates the address.
Smart contract containing the Tsundere botnet WebSocket C2
The state variable has a fixed length of 32 bytes, and a string of 24 bytes (see item [2] in the previous image) is stored within it. When this string is converted from hexadecimal to ASCII, it reveals the new WebSocket C2 server address: ws[:]//185.28.119[.]179:1234.
To obtain the C2 address, the bot contacts various public endpoints that provide remote procedure call (RPC) APIs, allowing them to interact with Ethereum blockchain nodes. At the start of the script, the bot calls a function named fetchAndUpdateIP, which iterates through a list of RPC providers. For each provider, it checks the transactions associated with the contract address and wallet owner, and then retrieves the string from the state variable containing the WebSocket address, as previously observed.
Malware code for retrieval of C2 from the smart contract
The Tsundere bot verifies that the C2 address starts with either ws:// or wss:// to ensure it is a valid WebSocket URL, and then sets the obtained string as the server URL. But before using this new URL, the bot first checks the system locale by retrieving the culture name of the machine to avoid infecting systems in the CIS region. If the system is not in the CIS region, the bot establishes a connection to the server via a WebSocket, setting up the necessary handlers for receiving, sending, and managing connection states, such as errors and closed sockets.
Bot handlers for communication
Communication
The communication flow between the client (Tsundere bot) and the server (WebSocket C2) is as follows:
- The Tsundere bot establishes a WebSocket connection with the retrieved C2 address.
- An AES key is transmitted immediately after the connection is established.
- The bot sends an empty string to confirm receipt of the key.
- The server then sends a nonce (IV), enabling the use of encrypted communication from that point on.
Encryption is required for all subsequent communication. - The bot transmits the OS information of the infected machine, including the MAC address, total memory, GPU information, and other details. This information is also used to generate a unique identifier (UUID).
- The C2 server responds with a JSON object, acknowledging the connection and confirming the bot’s presence.
- With the connection established, the client and server can exchange information freely.
- To maintain the connection, keep-alive messages are sent every minute using ping/pong messages.
- The bot sends encrypted responses as part of the ping/pong messages, ensuring continuous communication.
Tsundere communication process with the C2 via WebSockets
The connections are not authenticated through any additional means, making it possible for a fake client to establish a connection.
As previously mentioned, the client sends an encrypted ping message to the C2 server every minute, which returns a pong message. This ping-pong exchange serves as a mechanism for the C2 panel to maintain a list of currently active bots.
Functionality
The Tsundere bot is designed to allow the C2 server to send dynamic JavaScript code. When the C2 server sends a message with ID=1 to the bot, the message is evaluated as a new function and then executed. The result of this operation is sent back to the server via a custom function named serverSend, which is responsible for transmitting the result as a JSON object, encrypted for secure communication.
Tsundere bot evaluation code once functions are received from the C2
The ability to evaluate code makes the Tsundere bot relatively simple, but it also provides flexibility and dynamism, allowing the botnet administrators to adapt it to a wide range of actions.
However, during our observation period, we did not receive any commands or functions from the C2 server, possibly because the newly connected bot needed to be requested by other threat actors through the botnet panel before it could be utilized.
Infrastructure
The Tsundere bot utilizes WebSocket as its primary protocol for establishing connections with the C2 server. As mentioned earlier, at the time of writing, the malware was communicating with the WebSocket server located at 185.28.119[.]179, and our tests indicated that it was responding positively to bot connections.
The following table lists the IP addresses and ports extracted from the provided list of URLs:
| IP | Port | First seen (contract update) | ASN |
| 185.28.119[.]179 | 1234 | 2025-08-19 | AS62005 |
| 196.251.72[.]192 | 1234 | 2025-08-03 | AS401120 |
| 103.246.145[.]201 | 1234 | 2025-07-14 | AS211381 |
| 193.24.123[.]68 | 3011 | 2025-06-21 | AS200593 |
| 62.60.226[.]179 | 3001 | 2025-05-04 | AS214351 |
Marketplace and control panel
No business is complete without a marketplace, and similarly, no botnet is complete without a control panel. The Tsundere botnet has both a marketplace and a control panel, which are integrated into the same frontend.
Tsundere botnet panel login
The notable aspect of Tsundere’s control panel, dubbed “Tsundere Netto” (version 2.4.4), is that it has an open registration system. Any user who accesses the login form can register and gain access to the panel, which features various tabs:
- Bots: a dashboard displaying the number of bots under the user’s control
- Settings: user settings and administrative functions
- Build: if the user has an active license, they can create new bots using the two previously mentioned methodologies (MSI or PowerShell)
- Market: this is the most interesting aspect of the panel, as it allows users to promote their individual bots and offer various services and functionalities to other threat actors. Each build can create a bot that performs a specific set of actions, which can then be offered to others
- Monero wallet: a wallet service that enables users to make deposits or withdrawals
- Socks proxy: a feature that allows users to utilize their bots as proxies for their traffic
Tsundere botnet control panel, building system and market
Each build generates a unique build ID, which is embedded in the implant and sent to the C2 server upon infection. This build ID can be linked to the user who created it. According to our research and analysis of other URLs found in the wild, builds are created through the panel and can be downloaded via the URL:
hxxps://idk.1f2e[REDACTED]07a4[.]net/api/builds/{BUILD-ID}.msi.
At the time of writing this, the panel typically has between 90 and 115 bots connected to the C2 server at any given time.
Attribution
Based on the text found in the implants, we can conclude with high confidence that the threat actor behind the Tsundere botnet is likely Russian-speaking. The use of the Russian language in the implants is consistent with previous attacks attributed to the same threat actor.
Russian being used throughout the code
Furthermore, our analysis suggests a connection between the Tsundere botnet and the 123 Stealer, a C++-based stealer available on the shadow market for $120 per month. This connection is based on the fact that both panels share the same server. Notably, the main domain serves as the frontend for the 123 Stealer panel, while the subdomain “idk.” is used for the Tsundere botnet panel.
123 Stealer C2 panel sharing Tsundere’s infrastructure and showcasing its author
By examining the available evidence, we can link both threats to a Russian-speaking threat actor known as “koneko”. Koneko was previously active on a dark web forum, where they promoted the 123 Stealer, as well as other malware, including a backdoor. Although our analysis of the backdoor revealed that it was not directly related to Tsundere, it shared similarities with the Tsundere botnet in that it was written in Node.js and used PowerShell or MSI as infectors. Before the dark web forum was seized and shut down, koneko’s profile featured the title “node malware senior”, further suggesting their expertise in Node.js-based malware.
Conclusion
The Tsundere botnet represents a renewed effort by a presumably identified threat actor to revamp their toolset. The Node.js-based bot is an evolution of an attack discovered in October of last year, and it now features a new strategy and even a new business model. Infections can occur through MSI and PowerShell files, which provides flexibility in terms of disguising installers, using phishing as a point of entry, or integrating with other attack mechanisms, making it an even more formidable threat.
Additionally, the botnet leverages a technique that is gaining popularity: utilizing web3 contracts, also known as “smart contracts”, to host command-and-control (C2) addresses, which enhances the resilience of the botnet infrastructure. The botnet’s possible author, koneko, is also involved in peddling other threats, such as the 123 Stealer, which suggests that the threat is likely to escalate rather than diminish in the coming months. As a result, it is essential to closely monitor this threat and be vigilant for related threats that may emerge in the near future.
Indicators of compromise
More IoCs related to this threat are available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.
File hashes
235A93C7A4B79135E4D3C220F9313421
760B026EDFE2546798CDC136D0A33834
7E70530BE2BFFCFADEC74DE6DC282357
5CC5381A1B4AC275D221ECC57B85F7C3
AD885646DAEE05159902F32499713008
A7ED440BB7114FAD21ABFA2D4E3790A0
7CF2FD60B6368FBAC5517787AB798EA2
E64527A9FF2CAF0C2D90E2238262B59A
31231FD3F3A88A27B37EC9A23E92EBBC
FFBDE4340FC156089F968A3BD5AA7A57
E7AF0705BA1EE2B6FBF5E619C3B2747E
BFD7642671A5788722D74D62D8647DF9
8D504BA5A434F392CC05EBE0ED42B586
87CE512032A5D1422399566ECE5E24CF
B06845C9586DCC27EDBE387EAAE8853F
DB06453806DACAFDC7135F3B0DEA4A8F
File paths
%APPDATA%\Local\NodeJS
Domains and IPs
ws://185.28.119[.]179:1234
ws://196.251.72[.]192:1234
ws://103.246.145[.]201:1234
ws://193.24.123[.]68:3011
ws://62.60.226[.]179:3001
Cryptocurrency wallets
Note: These are wallets that have changed the C2 address in the smart contract since it was created.
0x73625B6cdFECC81A4899D221C732E1f73e504a32
0x10ca9bE67D03917e9938a7c28601663B191E4413
0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
0x10ca9bE67D03917e9938a7c28601663B191E4413
0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC
Giornata Mondiale dell’Infanzia: I bambini vivono nel digitale, ma il digitale non è stato progettato per loro
Oggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la Convenzione sui Diritti dell’Infanzia e dell’Adolescenza del 1989.
Un appuntamento che, ogni anno, rischia di diventare un gesto rituale, un promemoria sterile sul “diritto al futuro”.
Eppure il presente ci dice che la vera fragilità non sta nel futuro, ma nel modo in cui i bambini vivono oggi: in un ecosistema digitale che non è stato pensato per loro, non li protegge e li espone a rischi che non assomigliano più a niente di ciò che conoscevamo.
Un mondo adulto abitato da minori
Negli ultimi anni la ricerca internazionale, dai rapporti dell’OECD alla documentazione tecnica della Internet Watch Foundation, mostra con sempre maggiore chiarezza un fenomeno che continuiamo a non guardare con lucidità: i minori non sono più utenti occasionali. Sono immersi nella rete, dentro sistemi che funzionano per adulti e secondo logiche che ignorano completamente ciò che significa essere vulnerabili a undici o dodici anni.
Secondo l’OECD, nei paesi occidentali oltre il novantacinque per cento degli adolescenti accede a Internet ogni giorno, spesso più volte al giorno. Non si tratta semplicemente di “uso intensivo”, ma di un’esposizione costante a piattaforme dove identità e intenzioni non sono mai del tutto leggibili. La rete è diventata lo spazio principale di relazione, gioco, confronto e scoperta. Ma resta un ambiente progettato per massimizzare attenzione e permanenza, non per ridurre i rischi.
L’abuso che nasce dentro le relazioni
La Internet Watch Foundation, nel suo report 2023, ha analizzato 275.652 pagine web contenenti materiale di abuso sessuale su minori. Oltre il 92% di queste è stato classificato come “self-generated”: un termine che la stessa IWF definisce inadeguato, perché non riflette la realtà dei fatti. In molti casi i bambini vengono ingannati, manipolati, estorti o addirittura registrati a loro insaputa da qualcuno che non è fisicamente presente nella stanza.
È il segnale più chiaro della trasformazione in corso: l’abuso non arriva più da un luogo remoto, ma si infiltra nelle interazioni quotidiane, dentro applicazioni usate da tutti, dentro conversazioni che iniziano in modo innocuo e poi scivolano verso spazi sempre più privati. L’immagine del “predatore digitale” che si affaccia dall’esterno è superata. Oggi la minaccia si costruisce dall’interno delle relazioni, nelle chat dei videogiochi, nei social più popolari, in un ecosistema che rende semplice avvicinare, convincere, manipolare. Un ragazzino non deve cercare il rischio: è il rischio che trova lui, spesso travestito da normalità.
Un ecosistema criminale frammentato
Nel frattempo le reti criminali hanno adottato un modello operativo molto più frammentato rispetto al passato. Le indagini europee – dai rapporti IOCTA di Europol alla documentazione di INHOPE e IWF – mostrano che la vera trasformazione non riguarda più il contatto iniziale, ma ciò che accade dopo: una volta ottenuto il materiale, la sua circolazione segue una catena complessa, che attraversa livelli diversi della rete.
La raccolta avviene sempre più spesso in spazi intermedi, come chat private o servizi cloud, mentre la distribuzione si sposta verso circuiti chiusi o criptati, e solo in una fase successiva, quando necessario, negli strati meno accessibili della rete.
Questo meccanismo multilivello non riguarda l’adescamento, ma la diffusione, e riduce drasticamente la possibilità di intercettare tracce dirette. Ogni anomalia, per quanto minima, diventa un indizio prezioso.
L’esplosione silenziosa di Telegram
La portata del problema emerge anche da ciò che accade nelle piattaforme che consideriamo “ordinarie”. Negli ultimi giorni il canale ufficiale “Stop Child Abuse” di Telegram ha pubblicato una sequenza di aggiornamenti che difficilmente può essere ignorata: 1.998 gruppi e canali chiusi il 15 novembre, 1.937 il 16, 2.359 il 17. In tre giorni, più di seimila spazi dedicati alla condivisione o circolazione di materiale di abuso. Nel mese, la conta supera già le trentaseimila chiusure.
Non sono numeri del dark web, e non riguardano reti sotterranee. Sono gruppi visibili abbastanza da essere rilevati, segnalati e rimossi ogni giorno. La quantità non racconta solo la gravità. Racconta soprattutto la continuità: ogni rimozione è rimpiazzata da nuove aperture, con strutture che si ricostruiscono in poche ore, spesso automaticamente, spesso con gli stessi amministratori, spesso con gli stessi contenuti che migrano di stanza in stanza.
Questi dati mostrano con crudezza ciò che il dibattito pubblico fatica ancora a riconoscere: il problema non è confinato nelle periferie della rete. È parte integrante dell’infrastruttura digitale che usiamo tutti, tutti i giorni. Ed è proprio questa vicinanza – silenziosa, normalizzata, tecnicamente invisibile a chi non la cerca – che rende la protezione dell’infanzia un tema strutturale e non emergenziale.
Il lavoro invisibile che salva i bambini
In questo contesto, una parte cruciale del contrasto all’abuso resta quasi invisibile: l’identificazione delle vittime. È un lavoro silenzioso, fatto di dettagli – un oggetto sullo sfondo, un arredo ricorrente, un frammento visivo che riappare altrove – ricomposti fino a restituire un luogo, una situazione reale, una persona da proteggere.
Ed è qui che oggi si concentra gran parte dell’attività investigativa. Riconoscere una vittima permette molto più spesso di arrivare anche all’autore. Il contrario non è sempre vero: un account può essere identificato, ma i minori coinvolti restano senza nome, senza contesto, senza un perimetro di intervento.
Questo lavoro non produce annunci né operazioni spettacolari, ma risultati concreti. Ogni volta che un bambino viene localizzato, quasi sempre la traccia iniziale era un dettaglio che nessuno avrebbe notato. È un processo che non si vede; si vedono solo gli effetti.
L’IA che amplifica il danno senza che il minore agisca
A rendere il quadro ancora più complesso c’è l’introduzione massiva dell’intelligenza artificiale generativa. Non serve essere allarmisti per riconoscere che basta una singola immagine pubblica per creare, manipolare o distorcere contenuti che il minore non ha mai prodotto. Il danno non avviene più solo attraverso ciò che viene chiesto ai bambini, ma attraverso ciò che la tecnologia può costruire al posto loro. È una vulnerabilità che esiste anche quando il minore non compie nessuna azione.
Non è solo un problema educativo: è un problema di architettura
Tutto questo ci porta a un punto chiave: la protezione dei minori non è solo questione di educazione digitale. È, prima di tutto, una questione di architettura. Le piattaforme sono nate per incentivare la condivisione, non per prevenirne gli abusi. Gli algoritmi ottimizzano engagement, non sicurezza. I sistemi di segnalazione sono reattivi, non preventivi. E la risposta non può essere banalizzata con l’idea che basti un controllo dell’età, un accesso con SPID o un filtro all’ingresso. La vulnerabilità non nasce dal login: nasce da ciò che accade dentro le piattaforme, da come vengono modellate le interazioni, da quali dinamiche favoriscono o ignorano.
Ridurre la sicurezza dei bambini a un problema di autenticazione significa guardare la porta d’ingresso e ignorare tutto ciò che accade nelle stanze interne. La protezione reale si gioca nei processi invisibili: nei criteri con cui gli algoritmi decidono cosa mostrare, nei limiti imposti alle interazioni, nella capacità delle piattaforme di riconoscere comportamenti anomali prima che diventino danno.
Ripensare il digitale dalla base
Se la Giornata Mondiale dell’Infanzia ha ancora un senso, allora oggi deve diventare il momento in cui accettiamo che la rete non è un luogo neutrale e che i diritti dei bambini, nell’ambiente digitale, non possono essere consigliati: devono essere progettati. Finché le piattaforme continueranno a considerare i minori come utenti qualsiasi, finché gli algoritmi continueranno a trattare i loro comportamenti come segnali da ottimizzare, finché la moderazione resterà un tappabuchi e non una funzione strutturale, la vulnerabilità rimarrà sistemica.
L’infanzia digitale non è un’estensione dell’infanzia reale. È un terreno diverso, con rischi diversi, costruito su logiche che bambini e adolescenti non hanno gli strumenti per interpretare. E finché questa distanza non verrà colmata, continueremo a celebrare una ricorrenza che parla di diritti, mentre il mondo che abbiamo costruito li mette costantemente alla prova.
Come affrontare davvero il problema
Affrontare questo problema non significa solo “educare meglio i bambini”, né “mettere più controllo”, né pretendere che famiglie e scuole compensino limiti che non dipendono esclusivamente da loro.
Significa riprogettare il digitale in modo che i minori non siano più un effetto collaterale del sistema.
Vuol dire chiedere alle piattaforme trasparenza sugli algoritmi, limiti chiari sulle interazioni, controlli strutturali sulle dinamiche di contatto, moderazione che intervenga prima e non dopo. Vuol dire spostare la responsabilità su chi costruisce gli ambienti – non su chi li subisce. Vuol dire considerare l’infanzia non come un caso particolare, ma come una condizione di progetto, al pari della sicurezza informatica, della privacy o dell’accessibilità.
E, soprattutto, significa smettere di pensare che il rischio sia un incidente. Il rischio è una conseguenza del design.
La protezione dei minori nel digitale non è un gesto di cura: è un requisito tecnico.
E finché non verrà trattato come tale, continueremo a discutere di diritti mentre il sistema, semplicemente, non li contempla.
Punto di vista finale
Ogni volta che qualcuno dice “ma i ragazzi devono imparare a difendersi, ormai sono nativi digitali e più svegli di noi”, ricordo che nel 2025 un adolescente ha la stessa capacità esecutiva e di previsione delle conseguenze che aveva nel 1990.
È l’ambiente che è cambiato radicalmente, non la neurobiologia infantile.
Il digitale non è “nato cattivo”.
È nato senza considerare che ci sarebbero stati dentro anche loro.
Adesso lo sappiamo.
Non abbiamo più scuse.
L'articolo Giornata Mondiale dell’Infanzia: I bambini vivono nel digitale, ma il digitale non è stato progettato per loro proviene da Red Hot Cyber.
COP30, Leone XIV: «Abbracciare con coraggio la conversione ecologica»
«La pace è minacciata anche dalla mancanza del dovuto rispetto per il creato, dal saccheggio delle risorse naturali e dal progressivo peggioramento della qualità della vita a causa del cambiamento climatico»[1], così, in un messaggio pronunciato dal Cardinale Segretario di Stato Pietro Parolin, papa Leone XIV si è rivolto ai partecipanti della Conferenza delle Nazioni Unite sui cambiamenti climatici, meglio nota come COP30, in corso a Belém do Pará, in Brasile.
Ad accogliere la trentesima edizione della Conferenza, quest’anno, è il cuore dell’Amazzonia. Un luogo emblematico scelto non a caso per la sua incredibile biodiversità, ma al tempo stesso perché colpito da deforestazione e sfruttamento. Quella che in molti considerano una delle conferenze più decisive degli ultimi anni, ha visto i leader internazionali confrontarsi su diversi temi, dall’emergenza climatica e i fenomeni meteorologici sempre più estremi; fino alla necessità di mantenere le promesse dell’Accordo di Parigi, affinché non restino solo parole. «Un decennio fa, la comunità internazionale ha adottato l’Accordo di Parigi, riconoscendo il bisogno di una risposta efficace e progressiva all’urgente minaccia del cambiamento climatico – continua il messaggio del Pontefice -. Purtroppo, dobbiamo ammettere che il cammino verso il raggiungimento degli obiettivi fissati in quell’Accordo rimane lungo e complesso. Su questo sfondo, si esortano gli Stati Parte ad accelerare con coraggio l’attuazione dell’Accordo di Parigi e della Convenzione quadro delle Nazioni Unite sui cambiamenti climatici».
Iscriviti alla newsletter
Leggie ascolta in anteprima La Civiltà Cattolica, ogni giovedì, direttamente nella tua casella di posta.
Il messaggio di papa Leone XIV, poi, ricorda l’impegno del suo predecessore e i suoi accorati appelli alle nazioni. «Dieci anni fa, Papa Francesco firmava la Lettera enciclica Laudato si’, in cui sosteneva una conversione ecologica che includesse tutti, poiché “il clima è un bene comune, di tutti e per tutti. Esso, a livello globale, è un sistema complesso in relazione con molte condizioni essenziali per la vita umana”. Possano tutti i partecipanti a questa COP30, come anche coloro che ne seguono attivamente i lavori, essere ispirati ad abbracciare con coraggio questa conversione ecologica con il pensiero e con le azioni, tenendo presente il volto umano della crisi climatica. Possa questa conversione ecologica ispirare lo sviluppo di una nuova architettura finanziaria internazionale incentrata sull’uomo che assicuri che tutti i Paesi, specialmente quelli più poveri e quelli più vulnerabili ai disastri climatici, riescano a raggiungere il loro pieno potenziale e vedere rispettata la dignità dei propri cittadini. Questa architettura deve tener conto anche del legame tra debito ecologico e debito estero».
Già prima dell’inizio dei lavori della Conferenza, alla stampa il cardinale Parolin aveva sottolineato l’urgenza degli interventi per rispondere alla crisi climatica. «Il tempo si è fatto breve, nel senso che la domanda di fondo è proprio che siamo consapevoli che i tempi si fanno sempre più brevi – ha affermato Parolin a Vatican News -. Quindi l’urgenza è presente, deve esserci questa urgenza. Poi anche la dimensione del multilateralismo: questa dei cambiamenti climatici diventa veramente un’occasione per rilanciare il multilateralismo che ha conosciuto in questi anni una crisi grossissima. Ed allora credo che siano queste le direzioni nelle quali bisogna camminare e lavorare».
Nel frattempo, a Belém, la Conferenza ha già raccolto alcuni risultati intermedi, accolti con un cauto ottimismo. Il governo brasiliano, infatti, ha annunciato che la deforestazione nella sua parte di Amazzonia è scesa dell’11% nell’ultimo anno[2]. Un segnale positivo, anche se gli osservatori avvertono che il problema della deforestazione è tutt’altro che risolto. Fanno ben sperare anche alcune delle iniziative lanciate durante la conferenza, come il Tropical Forest Forever Facility[3], un fondo internazionale da 125 miliardi di dollari (di cui 100 miliardi da investitori privati e il resto da realtà governative e filantropiche) destinato alla protezione delle foreste tropicali. I fondi raccolti, tuttavia, sono ancora limitati[4]. Infine, in questa COP30 si è registrata la più grande partecipazione indigena nella storia della conferenza, anche se non sono mancate manifestazioni di protesta[5].
A richiamare l’attenzione dei partecipanti alla COP30 sui rischi drammatici dell’inazione da parte degli Stati è stato lo stesso Segretario generale dell’Onu António Guterres nel suo discorso inaugurale[6]. Secondo Guterres, mancare l’obiettivo di limitare il riscaldamento globale a 1,5 gradi sarebbe un «fallimento morale e una negligenza mortale». Per il Segretario generale dell’Onu, «la scienza ora ci dice che un superamento temporaneo del limite di 1,5 gradi, a partire al più tardi all’inizio degli anni 30, è inevitabile. Abbiamo bisogno di un cambiamento di paradigma per limitare l’entità e la durata di questo superamento e ridurlo rapidamente. Anche un superamento temporaneo avrà conseguenze drammatiche. Potrebbe spingere gli ecosistemi oltre punti di non ritorno irreversibili, esporre miliardi di persone a condizioni invivibili e amplificare le minacce alla pace e alla sicurezza. Ogni frazione di grado significa più fame, sfollamenti e perdite, soprattutto per i meno responsabili». Per Guterres, «il limite di 1,5 °C è una linea rossa per l’umanità» ha aggiunto, «se agiamo ora, con rapidità e su larga scala, possiamo rendere questo superamento il più piccolo, breve e sicuro possibile e riportare le temperature al di sotto di 1,5 °C prima della fine del secolo».
«In un mondo che brucia, sia per il surriscaldamento terrestre sia per i conflitti armati, questa Conferenza deve diventare un segno di speranza – ha ribadito papa Leone XIV nel suo messaggio -, attraverso il rispetto mostrato alle idee altrui nel tentativo collettivo di cercare un linguaggio comune e un consenso mettendo da parte interessi egoistici, tenendo presente la responsabilità gli uni per gli altri e per le generazioni future».
[1] vatican.va/content/leo-xiv/it/…
[2] reuters.com/sustainability/cop…
[3] euronews.com/green/2025/11/11/…
[4] theguardian.com/environment/20…
[5] apnews.com/article/cop30-belem…
[6] unfccc.int/news/this-cop-must-…
The post COP30, Leone XIV: «Abbracciare con coraggio la conversione ecologica» first appeared on La Civiltà Cattolica.