Introduction

The Evasive Panda APT group (also known as Bronze Highland, Daggerfly, and StormBamboo) has been active since 2012, targeting multiple industries with sophisticated, evolving tactics. Our latest research (June 2025) reveals that the attackers conducted highly-targeted campaigns, which started in November 2022 and ran until November 2024.

The group mainly performed adversary-in-the-middle (AitM) attacks on specific victims. These included techniques such as dropping loaders into specific locations and storing encrypted parts of the malware on attacker-controlled servers, which were resolved as a response to specific website DNS requests. Notably, the attackers have developed a new loader that evades detection when infecting its targets, and even employed hybrid encryption practices to complicate analysis and make implants unique to each victim.

Furthermore, the group has developed an injector that allows them to execute their MgBot implant in memory by injecting it into legitimate processes. It resides in the memory space of a decade-old signed executable by using DLL sideloading and enables them to maintain a stealthy presence in compromised systems for extended periods.

Additional information about this threat, including indicators of compromise, is available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.

Technical details

Initial infection vector

The threat actor commonly uses lures that are disguised as new updates to known third-party applications or popular system applications trusted by hundreds of users over the years.

In this campaign, the attackers used an executable disguised as an update package for SohuVA, which is a streaming app developed by Sohu Inc., a Chinese internet company. The malicious package, named sohuva_update_10.2.29.1-lup-s-tp.exe, clearly impersonates a real SohuVA update to deliver malware from the following resource, as indicated by our telemetry:
p2p.hd.sohu.com[.]cn/foxd/gz?f…
There is a possibility that the attackers used a DNS poisoning attack to alter the DNS response of p2p.hd.sohu.com[.]cn to an attacker-controlled server’s IP address, while the genuine update module of the SohuVA application tries to update its binaries located in appdata\roaming\shapp\7.0.18.0\package. Although we were unable to verify this at the time of analysis, we can make an educated guess, given that it is still unknown what triggered the update mechanism.

Furthermore, our analysis of the infection process has identified several additional campaigns pursued by the same group. For example, they utilized a fake updater for the iQIYI Video application, a popular platform for streaming Asian media content similar to SohuVA. This fake updater was dropped into the application’s installation folder and executed by the legitimate service qiyiservice.exe. Upon execution, the fake updater initiated malicious activity on the victim’s system, and we have identified that the same method is used for IObit Smart Defrag and Tencent QQ applications.

The initial loader was developed in C++ using the Windows Template Library (WTL). Its code bears a strong resemblance to Wizard97Test, a WTL sample application hosted on Microsoft’s GitHub. The attackers appear to have embedded malicious code within this project to effectively conceal their malicious intentions.

The loader first decrypts the encrypted configuration buffer by employing an XOR-based decryption algorithm:
for ( index = 0; index < v6; index = (index + 1) )
{
if ( index >= 5156 )
break;
mw_configindex ^= (&mw_deflated_config + (index & 3));
}
After decryption, it decompresses the LZMA-compressed buffer into the allocated buffer, and all of the configuration is exposed, including several components:

• Malware installation path: %ProgramData%\Microsoft\MF
• Resource domain: http://www.dictionary.com/
• Resource URI: image?id=115832434703699686&product=dict-homepage.png
• MgBot encrypted configuration

The malware also checks the name of the logged-in user in the system and performs actions accordingly. If the username is SYSTEM, the malware copies itself with a different name by appending the ext.exe suffix inside the current working directory. Then it uses the ShellExecuteW API to execute the newly created version. Notably, all relevant strings in the malware, such as SYSTEM and ext.exe, are encrypted, and the loader decrypts them with a specific XOR algorithm.

Decryption routine of encrypted strings

If the username is not SYSTEM, the malware first copies explorer.exe into %TEMP%, naming the instance as tmpX.tmp (where X is an incremented decimal number), and then deletes the original file. The purpose of this activity is unclear, but it consumes high system resources. Next, the loader decrypts the kernel32.dll and VirtualProtect strings to retrieve their base addresses by calling the GetProcAddress API. Afterwards, it uses a single-byte XOR key to decrypt the shellcode, which is 9556 bytes long, and stores it at the same address in the .data section. Since the .data section does not have execute permission, the malware uses the VirtualProtect API to set the permission for the section. This allows for the decrypted shellcode to be executed without alerting security products by allocating new memory blocks. Before executing the shellcode, the malware prepares a 16-byte-long parameter structure that contains several items, with the most important one being the address of the encrypted MgBot configuration buffer.

Multi-stage shellcode execution

As mentioned above, the loader follows a unique delivery scheme, which includes at least two stages of payload. The shellcode employs a hashing algorithm known as PJW to resolve Windows APIs at runtime in a stealthy manner.
unsigned int calc_PJWHash(_BYTE *a1)
{
unsigned int v2;
v2 = 0;
while ( *a1 )
{
v2 = *a1++ + 16 * v2;
if ( (v2 & 0xF0000000) != 0 )
v2 = ~(v2 & 0xF0000000) & (v2 ^ ((v2 & 0xF0000000) >> 24));
}
return v2;
}
The shellcode first searches for a specific DAT file in the malware’s primary installation directory. If it is found, the shellcode decrypts it using the CryptUnprotectData API, a Windows API that decrypts protected data into allocated heap memory, and ensures that the data can only be decrypted on the particular machine by design. After decryption, the shellcode deletes the file to avoid leaving any traces of the valuable part of the attack chain.

If, however, the DAT file is not present, the shellcode initiates the next-stage shellcode installation process. It involves retrieving encrypted data from a web source that is actually an attacker-controlled server, by employing a DNS poisoning attack. Our telemetry shows that the attackers successfully obtained the encrypted second-stage shellcode, disguised as a PNG file, from the legitimate website dictionary[.]com. However, upon further investigation, it was discovered that the IP address associated with dictionary[.]com had been manipulated through a DNS poisoning technique. As a result, victims’ systems were resolving the website to different attacker-controlled IP addresses depending on the victims’ geographical location and internet service provider.

To retrieve the second-stage shellcode, the first-stage shellcode uses the RtlGetVersion API to obtain the current Windows version number and then appends a predefined string to the HTTP header:
sec-ch-ua-platform: windows %d.%d.%d.%d.%d.%d
This implies that the attackers needed to be able to examine request headers and respond accordingly. We suspect that the attackers’ collection of the Windows version number and its inclusion in the request headers served a specific purpose, likely allowing them to target specific operating system versions and even tailor their payload to different operating systems. Given that the Evasive Panda threat actor has been known to use distinct implants for Windows (MgBot) and macOS (Macma) in previous campaigns, it is likely that the malware uses the retrieved OS version string to determine which implant to deploy. This enables the threat actor to adapt their attack to the victim’s specific operating system by assessing results on the server side.

Downloading a payload from the web resource

From this point on, the first-stage shellcode proceeds to decrypt the retrieved payload with a XOR decryption algorithm:
key = *(mw_decryptedDataFromDatFile + 92);
index = 0;
if ( sz_shellcode )
{
mw_decryptedDataFromDatFile_1 = Heap;
do
{
*(index + mw_decryptedDataFromDatFile_1) ^= *(&key + (index & 3));
++index;
}
while ( index < sz_shellcode );
}
The shellcode uses a 4-byte XOR key, consistent with the one used in previous stages, to decrypt the new shellcode stored in the DAT file. It then creates a structure for the decrypted second-stage shellcode, similar to the first stage, including a partially decrypted configuration buffer and other relevant details.

Next, the shellcode resolves the VirtualProtect API to change the protection flag of the new shellcode buffer, allowing it to be executed with PAGE_EXECUTE_READWRITE permissions. The second-stage shellcode is then executed, with the structure passed as an argument. After the shellcode has finished running, its return value is checked to see if it matches 0x9980. Depending on the outcome, the shellcode will either terminate its own process or return control to the caller.

Although we were unable to retrieve the second-stage payload from the attackers’ web server during our analysis, we were able to capture and examine the next stage of the malware, which was to be executed afterwards. Our analysis suggests that the attackers may have used the CryptProtectData API during the execution of the second shellcode to encrypt the entire shellcode and store it as a DAT file in the malware’s main installation directory. This implies that the malware writes an encrypted DAT file to disk using the CryptProtectData API, which can then be decrypted and executed by the first-stage shellcode. Furthermore, it appears that the attacker attempted to generate a unique encrypted second shellcode file for each victim, which we believe is another technique used to evade detection and defense mechanisms in the attack chain.

Secondary loader

We identified a secondary loader, named libpython2.4.dll, which was disguised as a legitimate Windows library and used by the Evasive Panda group to achieve a stealthier loading mechanism. Notably, this malicious DLL loader relies on a legitimate, signed executable named evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e), which is an older version of python.exe. This executable is a Python wrapper that normally imports the libpython2.4.dll library and calls the Py_Main function.

The secondary loader retrieves the full path of the current module (libpython2.4.dll) and writes it to a file named status.dat, located in C:\ProgramData\Microsoft\eHome, but only if a file with the same name does not already exist in that directory. We believe with a low-to-medium level of confidence that this action is intended to allow the attacker to potentially update the secondary loader in the future. This suggests that the attacker may be planning for future modifications or upgrades to the malware.

The malware proceeds to decrypt the next stage by reading the entire contents of C:\ProgramData\Microsoft\eHome\perf.dat. This file contains the previously downloaded and XOR-decrypted data from the attacker-controlled server, which was obtained through the DNS poisoning technique as described above. Notably, the implant downloads the payload several times and moves it between folders by renaming it. It appears that the attacker used a complex process to obtain this stage from a resource, where it was initially XOR-encrypted. The attacker then decrypted this stage with XOR and subsequently encrypted and saved it to perf.dat using a custom hybrid of Microsoft’s Data Protection Application Programming Interface (DPAPI) and the RC5 algorithm.

General overview of storing payload on disk by using hybrid encryption

This custom encryption algorithm works as follows. The RC5 encryption key is itself encrypted using Microsoft’s DPAPI and stored in the first 16 bytes of perf.dat. The RC5-encrypted payload is then appended to the file, following the encrypted key. To decrypt the payload, the process is reversed: the encrypted RC5 key is first decrypted with DPAPI, and then used to decrypt the remaining contents of perf.dat, which contains the next-stage payload.

The attacker uses this approach to ensure that a crucial part of the attack chain is secured, and the encrypted data can only be decrypted on the specific system where the encryption was initially performed. This is because the DPAPI functions used to secure the RC5 key tie the decryption process to the individual system, making it difficult for the encrypted data to be accessed or decrypted elsewhere. This makes it more challenging for defenders to intercept and analyze the malicious payload.

After completing the decryption process, the secondary loader initiates the runtime injection method, which likely involves the use of a custom runtime DLL injector for the decrypted data. The injector first calls the DLL entry point and then searches for a specific export function named preload. Although we were unable to determine which encrypted module was decrypted and executed in memory due to a lack of available data on the attacker-controlled server, our telemetry reveals that an MgBot variant is injected into the legitimate svchost.exe process after the secondary loader is executed. Fortunately, this allowed us to analyze these implants further and gain additional insights into the attack, as well as reveal that the encrypted initial configuration was passed through the infection chain, ultimately leading to the execution of MgBot. The configuration file was decrypted with a single-byte XOR key, 0x58, and this would lead to the full exposure of the configuration.

Our analysis suggests that the configuration includes a campaign name, hardcoded C2 server IP addresses, and unknown bytes that may serve as encryption or decryption keys, although our confidence in this assessment is limited. Interestingly, some of the C2 server addresses have been in use for multiple years, indicating a potential long-term operation.

Decryption of the configuration in the injected MgBot implant

Victims

Our telemetry has detected victims in Türkiye, China, and India, with some systems remaining compromised for over a year. The attackers have shown remarkable persistence, sustaining the campaign for two years (from November 2022 to November 2024) according to our telemetry, which indicates a substantial investment of resources and dedication to the operation.

Attribution

The techniques, tactics, and procedures (TTPs) employed in this compromise indicate with high confidence that the Evasive Panda threat actor is responsible for the attack. Despite the development of a new loader, which has been added to their arsenal, the decade-old MgBot implant was still identified in the final stage of the attack with new elements in its configuration. Consistent with previous research conducted by several vendors in the industry, the Evasive Panda threat actor is known to commonly utilize various techniques, such as supply-chain compromise, Adversary-in-the-Middle attacks, and watering-hole attacks, which enable them to distribute their payloads without raising suspicion.

Conclusion

The Evasive Panda threat actor has once again showcased its advanced capabilities, evading security measures with new techniques and tools while maintaining long-term persistence in targeted systems. Our investigation suggests that the attackers are continually improving their tactics, and it is likely that other ongoing campaigns exist. The introduction of new loaders may precede further updates to their arsenal.

As for the AitM attack, we do not have any reliable sources on how the threat actor delivers the initial loader, and the process of poisoning DNS responses for legitimate websites, such as dictionary[.]com, is still unknown. However, we are considering two possible scenarios based on prior research and the characteristics of the threat actor: either the ISPs used by the victims were selectively targeted, and some kind of network implant was installed on edge devices, or one of the network devices of the victims — most likely a router or firewall appliance — was targeted for this purpose. However, it is difficult to make a precise statement, as this campaign requires further attention in terms of forensic investigation, both on the ISPs and the victims.

The configuration file’s numerous C2 server IP addresses indicate a deliberate effort to maintain control over infected systems running the MgBot implant. By using multiple C2 servers, the attacker aims to ensure prolonged persistence and prevents loss of control over compromised systems, suggesting a strategic approach to sustaining their operations.

Indicators of compromise

File Hashes
c340195696d13642ecf20fbe75461bed sohuva_update_10.2.29.1-lup-s-tp.exe
7973e0694ab6545a044a49ff101d412a libpython2.4.dll
9e72410d61eaa4f24e0719b34d7cad19 (MgBot implant)

File Paths
C:\ProgramData\Microsoft\MF
C:\ProgramData\Microsoft\eHome\status.dat
C:\ProgramData\Microsoft\eHome\perf.dat

URLs and IPs
60.28.124[.]21 (MgBot C2)
123.139.57[.]103 (MgBot C2)
140.205.220[.]98 (MgBot C2)
112.80.248[.]27 (MgBot C2)
116.213.178[.]11 (MgBot C2)
60.29.226[.]181 (MgBot C2)
58.68.255[.]45 (MgBot C2)
61.135.185[.]29 (MgBot C2)
103.27.110[.]232 (MgBot C2)
117.121.133[.]33 (MgBot C2)
139.84.170[.]230 (MgBot C2)
103.96.130[.]107 (AitM C2)
158.247.214[.]28 (AitM C2)
106.126.3[.]78 (AitM C2)
106.126.3[.]56 (AitM C2)

securelist.com/evasive-panda-a…

Quando si parla di sicurezza informatica, non si può mai essere troppo prudenti.

Inoltre quando si parla di backdoor (o di presunte tali), la domanda che segue è: chi l’ha inserita? Era per scopo di manutenzione o per altri secondi fini? Ma gli Stati Uniti non parlavano di Backdoor nei prodotti cinesi inserite al loro interno? Ma ora che gli USA hanno sbloccato l’utilizzo di tecnologia NVIDIA verso la Cina?

Tante domande, tanti dubbi che si mischiano tra tecnologie a geopolitica.

Ma in sostanza, NVIDIA, il colosso delle GPU, ha appena rilasciato un aggiornamento di sicurezza urgente per il suo software Isaac Launchable Tre vulnerabilità critiche, tutte con un punteggio CVSS 9,8, minacciavano di compromettere la sicurezza dei sistemi interessati, e solo un aggiornamento può risolvere il problema.

Il colosso delle GPU ha rivelato tre distinte falle : CVE-2025-33222, CVE-2025-33223 e CVE-2025-33224, che segnalano un pericolo per gli ambienti di sviluppo robotico e di intelligenza artificiale.

Secondo il l’avviso rilasciato da NVIDIA “Isaac Launchable contiene una vulnerabilità che potrebbe consentire a un aggressore di sfruttare un problema di credenziali hard-coded”.

Le vulnerabilità interessano tutte le versioni del software precedenti alla nuova versione 1.1, esponendo gli utenti a rischi che vanno dall’esecuzione di codice in modalità remota alla manomissione dei dati.

Una falla di sicurezza estremamente critica, identificata come CVE-2025-33222, è costituita da un errore di sicurezza classico ma dalle conseguenze pesanti: l’utilizzo di credenziali codificate hardcoded. Un aggressore può sfruttare questa vulnerabilità per superare completamente il sistema di autenticazione, grazie a credenziali che sono state direttamente inserite nel codice del software. “Uno sfruttamento riuscito di questa vulnerabilità potrebbe portare all’esecuzione di codice, all’escalation dei privilegi, al diniego del servizio e alla manomissione dei dati”.

Gli utenti che utilizzano versioni precedenti alla 1.1 sono vulnerabili e dovrebbero effettuare immediatamente l’aggiornamento alla versione 1.1 per colmare queste lacune critiche nella sicurezza.

Le restanti due vulnerabilità, CVE-2025-33223 e CVE-2025-33224, derivano da una gestione impropria dei privilegi. Queste falle consentono a un aggressore di attivare esecuzioni con permessi superiori a quelli di cui avrebbe bisogno.

Vista l’entità “Critica” e la vasta estensione dei possibili danni, è vivamente consigliato da NVIDIA che tutti gli utenti installino la patch al più presto. Su tutte le piattaforme, le vulnerabilità sono relative a Isaac Launchable.

Come la falla nelle credenziali hard-coded , questi problemi possono portare alla compromissione completa del sistema. Le potenziali conseguenze sono ampie e includono “esecuzione di codice, escalation dei privilegi, negazione del servizio, divulgazione di informazioni e manomissione dei dati”.

L'articolo Una Backdoor nel codice NVIDIA. 3 bug da 9.8 affliggono i sistemi di sviluppo di AI e robotica proviene da Red Hot Cyber.

The SIDKick Pico installed on a breadboard. (Credit: Ben Eater)
Despite the Commodore 64 having been out of production for probably longer than many Hackaday readers have been alive, its SID audio chip remains a very popular subject of both retrocomputing and modern projects. Consequently a range of substitutes have been developed over the decades, all of which seek to produce the audio quality of one or more variants of the SID. This raises the question of which of these to pick when at first glance they seem so similar. Fret not, for [Ben Eater] did an entire video on comparing some modern SID substitutes and his thoughts on them.

First is the SIDKick Pico, which as the name suggests uses a Raspberry Pi Pico board for its Cortex-M0+ MCU. This contrasts with the other option featured in the video, in the form of the STM32F410-based ARMSID.

While the SIDKick Pico looks good on paper, it comes with a number of different configurations, some with an additional DAC, which can be confusing. Because of how it is stacked together with the custom PCB on which the Pi Pico is mounted, it’s also pretty wide and tall, likely leading to fitment issues. It also doesn’t work as a drop-in solution by default, requiring soldering to use the SID’s normal output pins. Unfortunately this led to intense distortion in [Ben]’s testing leading him to give up on this.

Meanwhile the ARMSID is about as boring as drop-in replacements get. After [Ben] got the ARMSID out of its packaging, noted that it is sized basically identical to the original SID and inserted it into the breadboard, it then proceeded to fire right up with zero issues.

It’s clear that the SIDKick Pico comes with a lot of features and such, making it great for tinkering. However, if all you want is a SID-shaped IC that sounds like a genuine SID chip, then the ARMSID is a very solid choice.

Thanks to [Mark Stevens] for the tip.

youtube.com/embed/nooPmXxO6K0?…

hackaday.com/2025/12/23/explor…

We love 3D printing here, but we also love clean air, which produces a certain tension. There’s no way around the fact that printing produces various volatile organic compounds (VOCs), and that we don’t want to breathe those any more than necessary. Which VOCs, and how much? Well, [Jere Saikkonen] has created a handy-dandy calculator to help you guesstimate your exposure, or size your ventilation system, at least for FDM printing.

The emissions of most common FDM filaments are well-known by this point, so [Jere] was able to go through the literature and pull out values for different VOCs of concern like styrene and formaldehyde for ABS, PLA, Nylon, HIPS and PVA. We’re a bit disappointed not to see PETG or TPU on there, as those are common hobbyist materials, but this is still a great resource.

If you don’t like the numbers the calculator is spitting out, you can play with the air exchange rate setting to find out just how much extra ventilation you need. The one limitation here is that this assumes equilibrium conditions, which won’t be met save for very large prints. That’s arguably a good thing, since it errs on the side of over- rather than underestimating your exposure.

If you want to ground-truth this calculator, we’ve featured VOC-sensing projects before. If you’re convinced the solution to pollution is dilution, check out some ventilated enclosures. If you don’t want to share chemistry with the neighborhood, perhaps filtration is in order.

Thanks to [Jere] for the tip!

hackaday.com/2025/12/23/breath…

Everyone loves tiny microcontroller boards, and the ESP32-C3 Super Mini boards are no exception. Unfortunately if you just casually stroll over to your nearest online purveyor of such goods to purchase a bunch of them, you’re likely to be disappointed. The reason for this is, as explained in a video by [Hacker University] that these boards are equipped with any of the variants of the ESP32-C3. The worst offender here is probably the version with the ESP32-C3 without further markings, as this one has no built-in Flash for program storage.

Beyond that basic MCU version we can see the other versions clearly listed in the Espressif ESP32-C3 datasheet. Of these, the FN4 is already listed as EOL, the FH4AZ as NRND, leaving only the FH4 and FH4X with the latter as ‘recommended’ as the newest chip revision. Here the F stands for built-in Flash with the next character for its temperature rating, e.g. H for ‘High’. Next is the amount of Flash in MB, so always 4 MB for all but the Flash-less variant.

Identifying this information from some online listing is anything but easy unless the seller is especially forthcoming. The chip markings show this information on the third row, as can be seen in the top image, but relying solely on a listing’s photos is rather sketchy. If you do end up with a Flash-less variant, you can still wire up an external Flash chip yourself, but obviously this is probably not the intended use case.

As always, caveat emptor.

youtube.com/embed/ZMnSjpFgwdQ?…

hackaday.com/2025/12/23/be-war…

Corso di duo acrobatico

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(martedì, 23 dicembre 19:00)

GallinƏ!
Da questo mese partono ben tre nuovi corsi, per cui correte in cascina, vi aspettiamo con gioia e voglia espressiva!

Da martedì 8 ottobre!

puntello.org/event/corso-di-du…

XXIX Natale Anticlericale emmezzo Fede zero, gravità pure

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(giovedì, 25 dicembre 22:00)

XXIX Natale Anticlericale emmezzo
Fede zero, gravità pure

C’è sempre meno spazio per gli spazi 🔭
Oltre la città conquistiamo anche le galassie 🚀
Unitevi a noi in questo viaggio oltre i dogmi la sera del 25 dicembre in Cascina Torchiera 🐔

Cena degli avanzi 🍽️
Dj set alieni 👽
Socialità e cloro al clero ⛪️

puntello.org/event/xxix-natale…

RENMIN - la cena popolare

Revdar - Via Quinto Romano 17, Milano
(venerdì, 26 dicembre 20:00)

RENMIN – La cena popolare

📆 Primo appuntamento: venerdì 28 febbraio

Ogni ultimo venerdì del mese si cucina, si mangia e si parla. Non è solo una cena, è un momento per stare insieme e discutere di resistenza, di guerra, di lotte sociali… ma anche di perché il sugo è sempre meglio il giorno dopo e di chi ha davvero vinto la lotta tra guanciale e pancetta. Perché il cibo è politica, ma anche piacere e condivisione.

Menù della serata:

– Antipasto

– Pasta al sugo di costine

- Dolce

* alternativa vegana disponibile

📍 Dove: via Quinto Romano 17

⏰ Quando: venerdì 28 febbraio e poi ogni ultimo venerdì del mese

Vieni, porta amiche e fame. Prenotati!

puntello.org/event/renmin-la-c…

Odiamo Ogni Maledettissimo Lunedì

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(lunedì, 29 dicembre 19:00)

Vi aspettiamo dalle 19, come ogni stramaledettissimo lunedì dell'anno con

• il "Mercatork" di frutta, verdura e autoproduzioni
• la libreria/biblioteca "Bibliotork"
• il corso di Yoga
• le prove della "Banda degli Ottoni a Scoppio"
• Cena Popolare Vegana
• Musica/Proiezioni/Presentazioni/Dibattiti (restate aggiornatx)
• Convivialità & Autogestione

In questo spazio si pratica l’autogestione come espressione di responsabilità verso se stess* e tutto ciò che ci circonda. Come uno strumento di libertà e liberazione dai canoni del consumismo, come presa in carico del benessere collettivo e del pianeta

Quindi ricordati di lavare piatto e posate nell’area lavastoviglie

Riutilizza il bicchiere e quando hai finito di usarlo mettilo nei contenitori predisposti

Non buttare rifiuti per terra, utilizza i posacenere e bidoni della raccolta differenziata

Se hai dubbi CHIEDI: il tuo interessamento sarà apprezzato e ti sentirai parte di ciò che stai vivendo. Collabora alla buona riuscita dell’esperienza per tutt*, sii rispettos* e condividi la presa bene ❤

Lasciare pulito ciò che trovi pulito è Autogestione.

Lasciare pulito ciò che trovi sporco è Cura.

Lo spazio della Cascina è accessibile alle persone con difficoltà o disabilità motorie

puntello.org/event/odiamo-ogni…

VINYASA YOGA

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(lunedì, 29 dicembre 19:30)

Corso all'attivo da anni e aperto a tuttə!

Un'occasione per ricontattare il corpo, spingendolo al di là del proprio limite personale per restare con la mente ben salda al presente!

A offerta libera e consapevole

Per info: Maria 3396787195

puntello.org/event/vinyasa-yog…

Qui la registrazione su YouTube

Buongiorno a tutte e a tutti e grazie di essere qui.

Diciannove anni dopo la morte di Piergiorgio Welby ci ritroviamo non solo per ricordare una persona che ha segnato profondamente la coscienza civile del nostro Paese, ma per fare il punto su dove siamo oggi: con i diritti, con la legge e con la politica.

Piergiorgio Welby era immobilizzato da una malattia incurabile, imprigionato in un corpo che aveva perso ogni funzione. Voleva essere libero: di parlare, di votare, di decidere, di non soffrire e anche di morire. Scriveva: “Morire mi fa orrore, purtroppo ciò che mi è rimasto non è più vita”. Quella libertà, però, Piergiorgio non la rivendicava solo per sé. Voleva che fosse una libertà per tutte e tutti. Ed è per questo che la sua richiesta diventa pubblica e politica, non nascosta, non privata. La libertà, lo sappiamo, ha un prezzo molto alto. Passano ottantotto giorni tra la sua lettera pubblica e la possibilità di morire come desiderava.

Dal podcast di Chiara Lalli Sei stato felice? Mina e Piero Welby, una lunga storia d’amore ascoltiamo le sue ultime parole con Mina: “Sei stato felice?” chiede Mina a suo marito, l’amore della sua vita. “Io sì. E tu?” le risponde Piergiorgio.

La sera del 20 dicembre 2006 Piergiorgio muore. Mina dirà: “Tutto intorno a me è sparito”. E questa è la verità di chi vive la sofferenza di una malattia e affronta con coraggio i propri giorni fino a quando è possibile, è la verità di chi ama quella persona che resta fino a quando è possibile come nel caso di Piergiorgio… Ma il diritto e la legge sembrano guardare da lontano tutto ciò – che non è un film, ma vita reale – e Piergiorgio Welby è stato il primo cittadino italiano che, con determinazione, ha mostrato al Paese cosa significa rivendicare fino all’ultimo istante della propria vita il diritto di scegliere. Non ci ha lasciato un’eredità astratta, ma una domanda ancora oggi viva: chi decide della vita e della morte di una persona che vuole invece scegliere autonomamente? Ogni volta che rileggo la lettera di Welby al Presidente Giorgio Napolitano ne sento l’attualità intatta.

Se oggi il diritto in materia di fine vita è cambiato, lo dobbiamo solo alle persone. A una storia fatta di dolore, coraggio e difesa ostinata dei propri diritti: Welby, Nuvoli, Englaro, Piera, Dominique e tante e tanti altri, fino a DJ Fabo, Davide, Massimiliano, Elena, Romano, Margherita, Sibilla, Federico, Gloria, Anna, Vittoria, Ines, Serena, Libera. Laura Santi e Martina Oppelli. E alle disobbedienze civili in cui Marco Cappato, insieme ad altre e altri, ha messo e continua a mettere a rischio la propria libertà per rispettare la libertà di chi chiede solo di poter scegliere.

Nel 2019 la Corte costituzionale, con la sentenza Cappato, ha affermato un principio chiaro: in determinate condizioni, l’aiuto al suicidio non è punibile. La Corte ha collegato questo principio all’autodeterminazione terapeutica, alla sofferenza insopportabile e alla capacità della persona di compiere scelte libere e consapevoli. Ma la Corte ha detto anche un’altra cosa, fondamentale: spetta al Parlamento legiferare per una legge organica, capace di tenere conto delle diverse condizioni delle persone malate che vogliono scegliere. E qui siamo oggi. L’Italia vive una situazione paradossale: la Corte ha indicato la strada, ma il legislatore non l’ha percorsa — anzi, oggi rischia di cambiarne il senso.

Abbiamo bisogno di una legge?

No. Dodici persone hanno potuto accedere alla morte assistita, ma abbiamo bisogno di una legge per tutti coloro che non possono accedervi perché non hanno abbastanza tempo o perché manca il requisito del sostegno vitale. Oggi penso a Roberto, che ha un tumore ma nessun sostegno vitale e anche se ha avuto il via libera in Svizzera vorrebbe morire a casa sua in Italia. Allora sì, abbiamo bisogno di una legge che non lascia solo nessuno, che rispetti la libertà di scelta della persona in determinate condizioni senza viaggi come quello di Martina, Elena, Romano, Margherita, Ines, Paola, Massimiliano, Fabrizio… che sono dovuti andare in Svizzera per poter morire.

In assenza di una legge nazionale, il rispetto della scelta delle persone malate c’è grazie alla la sentenza Cappato ma dipende da alcuni fattori: dal tipo di patologia, dalle interpretazioni locali, perfino dalla Regione in cui si vive. Abbiamo bisogno di una legge giusta.

All’indomani della storia di Federico Carboni, che ha atteso due anni nelle Marche per le verifiche da parte del servizio sanitario nazionale, abbiamo redatto una legge di iniziativa popolare per le Regioni che tratta il fattore tempo delle erogazioni di prestazioni sanitarie.

“Liberi Subito” per le Regioni nasce proprio per garantire tempi certi nelle verifiche e per evitare che l’accesso ai diritti dipenda dal luogo di residenza. Gloria in Veneto in poco tempo ha ricevuto le verifiche dal servizio sanitario, Laura Santi in Umbria ha impiegato due anni e otto mesi. Alcune Regioni, come la Toscana e la Sardegna, hanno approvato la nostra legge. Il Governo ha impugnato entrambe le leggi. Per quella toscana siamo oggi in attesa della decisione della Corte costituzionale. Una legge che non aggiunge nulla al giudicato costituzionale, ma tratta di erogazione di prestazioni stabilite dalla Corte in tempi certi. Queste esperienze mostrano chiaramente i limiti di un’Italia “a macchia di leopardo”, dove i diritti fondamentali variano in base al luogo di residenza, producendo disuguaglianze e conflitti interpretativi.

Negli ultimi anni molte persone hanno scelto di proseguire il cammino iniziato da Welby. Lo hanno fatto, attraverso forme di disobbedienza civile nonviolenta, che ci hanno portato davanti alla Corte costituzionale.

Dopo la sentenza Cappato che ha reso non punibile l’aiuto alla morte volontaria se sono rispettate determinate condizioni, il caso di Massimiliano, il suo coraggio, determina un passaggio essenziale della giurisprudenza costituzionale. Grazie alla disobbedienza di Marco Cappato, Chiara Lalli e Felicetta Maltese, che lo hanno aiutato a raggiungere la Svizzera, è stata sollevata la questione di legittimità costituzionale e la Corte costituzionale, con la sentenza n. 135 del 2024, ha chiarito un punto decisivo: il servizio sanitario nazionale ha un ruolo indispensabile per le verifiche e le strutture pubbliche devono verificare i requisiti in tempi brevi. In quella stessa sentenza la Corte ha fornito un’interpretazione importante — purtroppo non vincolante — del concetto di “trattamento di sostegno vitale”, che resta ancora oggi fonte di gravi difficoltà applicative. Il procedimento nei confronti di Cappato, Lalli e Maltese è tuttora pendente davanti alla Procura di Como.

Poi c’è stato il caso di Elena e quello di Romano. Anche loro hanno chiesto aiuto a Marco Cappato, quindi hanno scelto la via della disobbedienza civile per far emergere un vuoto normativo che pesa sulla vita di troppe persone. Con la sentenza n. 66 del 2025la Corte costituzionale ha ribadito quanto già affermato, richiamando la necessità di ristabilire un equilibrio tra diritto, dignità e realtà concreta dei pazienti. Ancora una volta, però, si tratta di indicazioni prive di forza vincolante anche se forniscono un’interpretazione di cui bisogna tenere conto. Il procedimento prosegue oggi davanti al tribunale di Milano.

E c’è stato il caso di Margherita, anche lei aiutata a raggiungere la Svizzera da Cappato e dal fratello Paolo: per questo caso sono in corso ancora indagini presso la procura di Milano. In totale vi sono sei procedimenti in corso dove Marco Cappato e altri sono indagati.

Invece per l’aiuto a Ines, Martina e Fabrizio non sono state aperte indagini. E poi c’è Libera. Libera ha tutti i requisiti previsti dalla sentenza 242 del 2019. Tutti. Ma non può autosomministrarsi il farmaco.

Come illustrerà nel dettaglio l’avvocata Alessia Cicatelli, Libera è in attesa di una strumentazione compatibile con le sue condizioni. I tempi si allungano e, comunque vada, Libera è già vittima di una discriminazione evidente e inaccettabile: la sua libertà di scelta dipende dalle sue capacità motorie assenti. In questo caso per la prima volta è stata sollevata la questione di legittimità costituzionale sull’omicidio del consenziente (articolo 579 del codice penale).

Ma tutto questo significa che chi è in condizioni peggiori, chi non può più muoversi, è paradossalmente più penalizzato. Un Paese che consente questo discrimine tradisce l’articolo 3 della Costituzione e il principio di pari dignità che lo Stato deve – o dovrebbe – garantire a tutte e tutti rimuovendo ogni ostacolo.

E il prossimo anno saremo di nuovo davanti alla Corte costituzionale, con il caso di Paola, a Bologna. Paola non era dipendente da trattamenti vitali, era malata di Parkinson e dipendeva dall’aiuto di terzi. Ancora una volta, un vuoto normativo che il legislatore non ha colmato pesa direttamente sulla vita e sulla libertà delle persone.

Da Welby in poi, Fabo, Federico, Daniela, Fabio Ridolfi, Massimiliano, Elena e Romano, Libera, Paola, Fabrizio, Sibilla, Martina e a tutti coloro che non sono ancora storie pubbliche: non sono storie isolate. Sono un unico filo che attraversa diciannove anni della nostra storia civile. Ci ricordano che la battaglia sul fine vita non riguarda la morte, ma la libertà nella vita.

Oggi al centro dell’azione parlamentare c’è un disegno di legge al Senato, il testo unificato adottato dalle Commissioni riunite 2a e 10a, che intende disciplinare la morte volontaria medicalmente assistita. Si tratta di un passaggio politicamente e giuridicamente rilevante, perché segna il tentativo del Parlamento di intervenire in una materia che, fino a oggi, è stata regolata in larga misura dalla giurisprudenza costituzionale.

Proprio per questo è necessario dirlo con chiarezza e senza ambiguità: il testo in discussione è la peggiore scelta legislativa fatta dal parlamento dopo le sentenze della Corte costituzionale, con previsioni che incidono direttamente sui diritti fondamentali e pongono seri problemi di compatibilità costituzionale.

Da un lato, si rafforza un’idea di indisponibilità della vita che entra in collisione con l’autodeterminazione già riconosciuta dalla Corte costituzionale come espressione dei diritti inviolabili della persona, tutelati dagli articoli 2, 13 e 32 della Costituzione. Dall’altro, si irrigidiscono requisiti e procedure: il concetto di trattamento di sostegno vitale viene ristretto ai soli trattamenti sostitutivi di funzioni vitali; il percorso di cure palliative diventa una condizione obbligata (ma quale trattamento sanitario può essere obbligatorio?), da intraprendere e poi eventualmente sospendere. Il servizio sanitario nazionale viene escluso, sostituito da un comitato unico, sottraendo alle strutture pubbliche un ruolo che la Corte ha invece definito indispensabile.

E come se non bastasse, c’è dell’altro, ancora più grave: è la previsione secondo cui, nel corso delle verifiche, il peggioramento delle condizioni della persona determina che non potrà avvalersi delle scelte effettuate tramite legge 219/17 poiché il disegno di legge prevede la sospensione delle scelte effettuate con le disposizioni anticipate di trattamento se si fa richiesta di verifica delle condizioni: una scelta che tradisce la logica di tutela e introduce una disparità irragionevole tra persone malate, in aperto contrasto con l’articolo 3 della Costituzione.

Siamo quindi di fronte al rischio concreto di una legge che, lungi dal dare attuazione alle pronunce della Corte costituzionale, pretende di riscrivere il giudicato costituzionale per via legislativa, comprimendo l’efficacia delle decisioni del giudice delle leggi e producendo una frattura istituzionale rispetto al principio di separazione dei poteri e alla leale collaborazione tra Parlamento e Corte costituzionale.

Con l’Associazione Luca Coscioni abbiamo raccolto le firme e depositato una proposta di legge di iniziativa popolare che disciplina l’aiuto medico alla morte volontaria in modo coerente con la Costituzione e con la giurisprudenza costituzionale, prevedendo sia l’autosomministrazione sia la somministrazione del farmaco per il fine vita su richiesta del medico e introducendo, come requisito alternativo al sostegno vitale, la prognosi infausta. Una proposta che rispetta la nostra Carta costituzionale, il diritto all’ autodeterminazione e il dovere dello Stato di garantire pari dignità e pari diritti.

Qui si misura, oggi, la responsabilità della politica. Il Parlamento è chiamato a riconoscere diritti già esistenti, affermati dalla Costituzione e chiariti dalla Corte costituzionale. Non può limitarsi a un compromesso al ribasso, né può usare il linguaggio della tutela per sottrarre libertà.

I diritti fondamentali non si comprimono, non si sospendono, non si riscrivono al ribasso.Si garantiscono.

Oggi parleremo di giurisprudenza, di Parlamento, di testi di legge. Ma è essenziale non perdere mai di vista il dato centrale: dietro ogni norma ci sono persone, vite concrete, corpi che soffrono, relazioni, scelte che riguardano la dignità stessa dell’esistenza e la nostra libertà.

Questo incontro non è un esercizio accademico. È un atto politico nel senso più alto del termine. È una chiamata alle istituzioni affinché rispettino la Costituzione, diano piena e leale attuazione alle sentenze della Corte costituzionale e assumano finalmente la responsabilità di garantire alle persone malate il diritto di essere riconosciute come soggetti liberi e titolari della propria autodeterminazione fino all’ultimo istante della loro vita.

Non voltarsi dall’altra parte significa questo: mettere la persona al centro del diritto e dell’azione politica, con rigore costituzionale, con coraggio istituzionale e con rispetto profondo della dignità umana.

Grazie.

L'articolo Intervento di Filomena Gallo per il seminario giuridico “Fine vita in Italia: diritti da difendere, libertà da conquistare” proviene da Associazione Luca Coscioni.

serena bortone: "nessuno parlerebbe di fascismo se evitassero di inneggiare alla decima mas, fare francobolli sui fascisti, picchiare un deputato in aula. basterebbe avere un minimo di decenza" (https://x.com/grande_flagello/status/1802299304628941244)

e vogliamo parlare dei busti dell'appeso, che la seconda carica dello stato si tiene in casa?

#fascismo #neofascismo #governo #governoitaliano #antifascismo #Resistenza

ma gli studi decoloniali che ci stanno a fare, se non si vede quello che israhell ha fatto e fa da un secolo circa?
marcogiovenale.me/2025/08/03/c…

#israhell #colonialismo #genocidio #Palestinalibera #Palestina #gaza

“Leoncavallo, i giorni dello sgombero” / Alberto Grifi, Paola Pannicelli + Collettivo Video csoa Leoncavallo

differx.noblogs.org/2025/12/23…

#leoncavallo

Il 19 mattina una delegazione di dirigenti e militanti dell’Associazione Luca Coscioni ha consegnato 17.782 firme per chiedere che anche in Italia le terapie psichedeliche siano inserite all’interno delle cure compassionevoli e palliative. Il Ministro Schillaci non ci ha ricevuto, per questo abbiamo deciso di tenere aperto l’appello per tornare a insistere l’anno nuovo e considerare la consegna anche all’altro destinatario delle richieste, il Ministro Crosetto.

La raccolta firme ha accompagnato incontri pubblici e contatti con persone interessate, competenti e pronte a unirsi in quanto resta necessario affinché l’Italia apra alle terapie psichedeliche che hanno delineato le priorità di azione dell’Associazione per l’anno venturo. Nei prossimi mesi avremo convegni e conferenze a Chieti, Pavia e Milano.

Qui sotto, invece, un’anteprima del prosieguo delle attività psichedeliche per il 2026:

1. Formazione nelle Regioni e nei territori
   
   • incontri e seminari rivolti a psichiatre e psichiatri, psicologhe e psicologi, medici palliativisti, direzioni sanitarie e professionisti dei Dipartimenti di Salute Mentale, Comitati Etici e Istituzioni regionali, per presentare lo stato dell’arte scientifico e il quadro regolatorio europeo e italiano sull’uso compassionevole;

   
   

2. Sostegno alle istanze di uso compassionevole ai Comitati etici
   
   • predisposizione di materiali giuridici e clinici per accompagnare le équipe che intendano presentare richieste di uso compassionevole di terapie psichedeliche in casi di sofferenza psichica grave e resistente ai trattamenti;
   • promozione, nel rispetto dell’autonomia dei Comitati etici, di formazione interna e rivolta alla cittadinanza, di criteri omogenei per la valutazione delle proposte e per la tutela delle persone coinvolte.

   
   

3. Prosecuzione di Interlocuzioni con Ministero della Salute, AIFA, EMA e CHMP
   
   • richiesta al Ministro della Salute di attivarsi presso l’Agenzia Europea per i Medicinali (EMA) e il Comitato per i Medicinali per Uso Umano (CHMP) per ottenere pareri e protocolli europei sull’uso compassionevole delle terapie psichedeliche, come previsto dall’articolo 83 del Regolamento 726/2004; (EUR-Lex)
   • richiesta di linee guida nazionali per tradurre tali indicazioni in procedure applicabili nei servizi di salute mentale, nelle reti delle cure palliative e nei contesti ospedalieri.

   
   

L'articolo Il Ministro Schillaci non ci ha ricevuto, quindi torneremo proviene da Associazione Luca Coscioni.