Dear Friend of Press Freedom,

This week we examine how leaks are fueling reporting in spite of crackdowns on whistleblowers and journalists. And Rümeysa Öztürk may be out of jail but her ordeal isn’t over. It’s now the 59th day that she’s facing deportation by the United States government for writing an op-ed it didn’t like. More press freedom news below.

Recent leaks show why source protection matters

Our Freedom of Information Act request for an intelligence community memo and the reporting that’s followed have turned into “exhibit A” on why leaks to the press serve the public interest.

Journalists have written about how the memo belies the Trump administration’s own rationale for mass deporting Venezuelans, and we’ve explained how it confirms that Attorney General Pam Bondi’s basis for repealing her predecessor’s safeguards against subpoenaing journalists was bunk.

But even more revelations have followed. This week the Times reported that Director of National Intelligence official Joe Kent pressured intelligence agencies to rewrite their assessment on the Venezuelan government’s control of gang members to support Trump’s position and then supported the release of the rewritten memo because he didn’t understand what it actually said. We also learned that there is a major rift between Secretary of State Marco Rubio and the intelligence community.

Read on our website. For more on leak investigations, catch us live on May 28 at 11 a.m. PT / 2 p.m. ET with Telos.news founder Ryan Lizza and Pulitzer Prize winner James Risen.

Don’t empower Trump to define terrorism

Rümeysa Öztürk never supported terrorism. That’s not even debatable now.

But lack of evidence isn’t stopping the Trump administration’s efforts to deport her and others. So when Congress contemplates further empowering the same administration to arbitrarily deem its opponents’ conduct “support of terrorism,” alarm bells should sound.

Well, ring-a-ling. Last year’s “nonprofit killer” bill, which would allow the administration to deem rights organizations and nonprofit news outlets terrorist supporters and revoke their tax-exempt status, is making a comeback. Read more here.

An open letter to leaders of American institutions

Freedom of the Press Foundation (FPF) was proud to join a letter led by the Knight First Amendment Institute at Columbia University urging leaders of civic and other major institutions to defend free speech amid the Trump administration’s multifront assault on First Amendment freedoms.

As the letter says, “If our democracy is to survive, the freedoms of speech and the press need a vigorous, determined defense.” Read the whole thing.

US press freedom groups launch Journalist Assistance Network

Five major U.S.-based press freedom organizations (including FPF) announced the launch of a network to provide legal and safety resources and training to journalists and newsrooms in the United States. Read more about it here.

What we’re reading

Coalition to Columbia, Barnard: ‘Do better’ for student journalists (Student Press Law Center). We joined a coalition demanding Columbia stop investigating student journalists and respect students’ free press rights.

Paramount could violate anti-bribery law if it pays to settle Trump’s ‘60 Minutes’ lawsuit, senators claim (Variety). Don’t just take our word for it. Settling with Trump puts Paramount executives at risk of significant liability. It also puts CBS at risk of further shakedowns.

Why does GOP budget bill focus on punishing people who leak tax returns? (The Intercept). “Lawmakers and judges should focus on stopping tax evasion by the rich and powerful, not on disproportionate punishments for whistleblowers,” explained FPF Advocacy Director Seth Stern.

Trump administration asks Supreme Court to keep DOGE records secret (Politico). Seems like it’d be more “efficient” to comply with basic transparency requests than waste government resources to keep your work secret.

Judge orders U.S. to keep custody of migrants amid claims they were sent to South Sudan (The New York Times). The Trump administration says “that’s classified” any time it doesn’t want to answer difficult questions to the courts or to the public.

Disclose the Trump crypto dinner guests (The Wall Street Journal). So much for the “most transparent administration in history.”

FCC Chairman Carr seeks to designate NBC equal time issue for hearing (The Desk). Another week, another sham investigation by Brendan Carr in the news.

Indiana hides executions. Firing squads would be more honest. (IndyStar). “Indiana killed Ritchie under a veil of secrecy, with no media present . ... We don't know if Ritchie suffered."

New Montana law blocks the state from buying private data to skirt the Fourth Amendment (Reason). Montana is leading the way. Other states and the federal government should follow.

freedom.press/issues/recent-le…

It’s been a universal trait among the different faithful Hackaday Hounds who have loped around these parts over the decades, that there is no place warm enough for their tastes. Fire up the stove and the dog is there stretched out in front of it, leaving one to wonder whether our house temperature is being cruel to the mutt, or simply that they are heat sponges with infinite capacity. There’s got to be some joy in doggy circles then at the prospect of [John.r.sheahan]’s heated dog bed, designed in particular with the comfort of an older dog in mind.

In electronics terms it’s a relatively low-tech project, using as it does a 12 volt electric lap blanket aimed at motorists. It’s none the less a hack though, because it has a frame made of PVC pipe to hold it, and a blanked clipped in place. This forms a box-like structure above the sleeping position keeping the dog very comfortable indeed over chilly nights. We’ve cared for more than one geriatric dog over the years, and can see that something like this is vital for their comfort and well-being.

This project is part of the 2025 Pet Hacks contest, so look out for more like it. Alternatively if your faithful friend uses something you made, why not enter yourself!

hackaday.com/2025/05/23/2025-p…

Our Spring 2025 conference will be Sunday, June 15th in the Lavender Room at Arts at the Armory, 191 Highland Ave., Somerville. The conference starts at 10am and ends by 4pm.

Arts at the Armory is wheelchair accessible, has free parking in the back, is on the Route 88 and 90 bus lines and walking distance from the Gilman and Magoun Squares MBTA Green Line stations. The Lavender Room is in the basement and is accessible by stair and elevator.

Registration

The conference is free, but we request that participants register in advance. We encourage attendees to mask to protect everyone’s health. We will have masks and COVID tests for attendees as well as air purifiers. We plan to live stream it for people who cannot attend in person.

Speakers Wanted

If you would like to speak at our conference, please fill out our speaker registration form.

Want to Help?

If you can help with the conference, please take a look at our conference pirate pad and put your name down for anything you will do.

masspirates.org/blog/2025/05/2…

We’re back in Europe for this week’s Hackaday podcast, as Elliot Williams is joined by Jenny List. In the news this week is the passing of Ed Smylie, the engineer who devised the famous improvised carbon dioxide filter that saved the Apollo 13 astronauts with duct tape.

Closer to home is the announcement of the call for participation for this year’s Hackaday Supercon; we know you will have some ideas and projects you’d like to share.

Interesting hacks this week include a new Mac Plus motherboard and Doom (just) running on an Atari ST, while a LoRa secure messenger and an astounding open-source Ethernet switch captivated us on the hardware front. We also take a dive into the Mouse programming language, a minimalist stack-based environment from the 1970s. Among the quick hacks are a semiconductor dopant you can safely make at home, and a beautiful Mac Mini based cyberdeck.

Finally, we wrap up with our colleague [Maya Posch] making the case for a graceful degradation of web standards, something which is now sadly missing from so much of the online world, and then with the discovery that ChatGPT can make a passable show of emulating a Hackaday scribe. Don’t worry folks, we’re still reassuringly meat-based.

html5-player.libsyn.com/embed/…

Insesrt MP3 podcast link here.

Episode 322 Show Notes:

News:

• Hackaday Supercon 2025 Call For Participation: We Want You!
• In Memory Of Ed Smylie, Whose Famous Hack Saved The Apollo 13 Crew

What’s That Sound:

• Congrats to [calculus] for picking up the [Jerobeam Fenderson] mushrooms.
• A Wrencher on Your Oscilloscope

Interesting Hacks of the Week:

• Escaping US Tech Giants Leads European YouTuber To Open Source
• A New Mac Plus Motherboard, No Special Chips Required
  
  • The Lost 256 KB Japanese ROM For The Macintosh Plus Has Been Found

  
  

• As The World Burns, At Least You’ll Have Secure Messaging
• Working On Open-Source High-Speed Ethernet Switch
• The Mouse Language, Running On Arduino
  
  • MUSYS. Peter Grogono, United Kingdom, 1969 – 120 Years of Electronic Music

  
  

• Running DOOM On An Atari ST

Quick Hacks:

• Elliot’s Picks:
  
  • PentaPico: A Pi Pico Cluster For Image Convolution
  • Designing A Hobbyist’s Semiconductor Dopant
  • LACED: Peeling Back PCB Layers With Chemical Etching And A Laser
  • MCP Blender Addon Lets AI Take The Wheel And Wield The Tools

  
  

• Jenny’s Picks:
  
  • An Awful 1990s PDA Delivers AI Wisdom
  • Speed Up Arduino With Clever Coding
  • Stylus Synth Should Have Used A 555– And Did!
  • A Portable M4 Mac Mini

  
  

Can’t-Miss Articles:

• The World Wide Web And The Death Of Graceful Degradation
• ChatGPT & Me. ChatGPT Is Me!

hackaday.com/2025/05/23/hackad…

Google ci porta nel futuro con le traduzioni simultanee in Google Meet!

In occasione del suo evento annuale Google I/O 2025, Google ha presentato uno dei suoi aggiornamenti più entusiasmanti per la comunicazione globale: la traduzione vocale in tempo reale in Google Meet . Ora disponibile in versione beta per gli abbonati a Google One AI Pro, questa funzionalità consente conversazioni multilingue naturali e fluide durante le videochiamate, mantenendo voci, toni ed espressioni nell’audio tradotto.

Questa innovazione sfrutta un modello avanzato di linguaggio audio sviluppato da Google DeepMind , che traduce le parole pronunciate nella lingua scelta dall’ascoltatore, così come vengono pronunciate. Il discorso tradotto viene riprodotto sopra la voce originale, che rimane appena udibile per mantenere contesto e tono. Immagina di sentire qualcuno parlare in spagnolo mentre la sua voce tradotta in inglese, che ne cattura comunque l’intonazione e le emozioni, si sovrappone perfettamente.

youtube.com/embed/hyXqcsWOONo?…

“Immaginate di avere un interprete dal vivo nella stanza, ma invece della voce di qualcun altro, la vostra”, ha affermato Yulie Kwon Kim , vicepresidente del settore Prodotti di Google Workspace.

Lo strumento è progettato per rendere le conversazioni multilingue più fluide e accessibili in tempo reale. Attualmente supporta inglese e spagnolo, e altre lingue come italiano, tedesco e portoghese sono previste nelle prossime settimane.

Google ha sottolineato che questa funzionalità è particolarmente utile per la comunicazione personale e professionale, dalle chat dei nipoti con i nonni che non parlano inglese ai team internazionali che collaborano senza barriere linguistiche. Google sostiene che, poiché il ritardo nella traduzione del parlato è così minimo, ora è possibile che più persone parlino tra loro, cosa che finora non era possibile.

L’azienda ha scritto nel suo post sul blog: “Gli abbonati a Google AI Pro e Ultra possono ora usufruire della traduzione in inglese e spagnolo in versione beta, a cui seguiranno altre lingue nelle prossime settimane. Questa funzionalità sarà disponibile per i clienti aziendali di Workspace per i primi test quest’anno”.

news18.com/videos/

L'articolo Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato proviene da il blog della sicurezza informatica.

The Flipper Zero can do all kinds of neat stuff, like helping you cut keys or decode various radio transmissions. However, until now, it hasn’t been particularly adept at persistence of vision tasks. For that very purpose, [Derek] built the LightMessenger.
The device doing its job.
The LightMessenger is a hardware add-on module for the Flipper Zero. In persistence-of-vision mode, you can plug it in via the GPIO header and display messages in the air by shaking it around. Even better, you can do so in color, with a height resolution of 16 pixels—meaning you can display some nice text or basic graphics. You can key in different text or select and edit bitmaps using the utility on the Flipper screen itself.

[Derek] also included a flashlight mode for the simple utility of it all. In Part 2 of [Derek’s] write-up, he also goes into detail on the development and manufacturing process for the device.

Files are on GitHub for the curious. We’ve gone over the basics of POV projects before, too.

youtube.com/embed/NlNuNxXg9r0?…

hackaday.com/2025/05/23/pov-on…

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei pazienti. Nell’immagine potete vedere i medici mentre operano i loro pazienti. 😄 I giornalisti ci accuseranno di nuovo di cyberterrorismo?”

Questo è il messaggio, cinico e inquietante, pubblicato dagli hacktivisti del gruppo SECTOR16 dopo aver violato i sistemi di un ospedale italiano. Hanno preso il controllo dell’impianto di videosorveglianza. Hanno registrato e poi diffuso pubblicamente le immagini delle sale operatorie. Hanno sottratto dati sensibili dei pazienti. Hanno dimostrato – ancora una volta – quanto i nostri presidi sanitari siano esposti, vulnerabili, indifesi.

Ma se l’attacco fosse stato distruttivo?

Questa non è una simulazione. Non è un test. È un fatto gravissimo!

Se l’attacco fosse stato distruttivo – come spesso accade con i ransomware – i sistemi dell’ospedale avrebbero potuto andare in blocco totale: reparti paralizzati, documentazione clinica inaccessibile, operazioni sospese, soccorsi ritardati. Quando si parla di ospedali, ogni secondo può fare la differenza tra la vita e la morte.

E invece, oggi, lasciamo che i cybercriminali si introducano nei nostri ospedali con la stessa facilità con cui entrano in un sito mal protetto.

Sono Cybercriminali? Si. Ma noi siamo degli incapaci a gestire la cyber-sicurezza delle infrastrutture critiche.

Perché mancano risorse, competenze, operatività e attenzione. Perché non c’è ancora una cultura della sicurezza digitale nel settore sanitario. E questo è inaccettabile. I dati sanitari sono il nuovo oro del dark web: completi, dettagliati, altamente sensibili. Ma non è solo la privacy a essere a rischio. Sono i pazienti. Sono i medici. È la sanità pubblica nel suo complesso.

Dobbiamo agire. Subito

Occorrono investimenti reali in sicurezza informatica per gli ospedali. Occorre formare il personale. Occorre dotarsi di sistemi di difesa adeguati. Perché proteggere le strutture sanitarie oggi non significa solo evitare una violazione: significa salvare vite umane.

E mentre gruppi come SECTOR16 ironizzano sulle immagini rubate da una sala operatoria, noi dovremmo smettere di minimizzare. Dovremmo smettere di far finta che “tanto queste cose succedono solo altrove”.

Succedono qui! E quando sarai tu ad andare all’ospedale e non potranno darti le cure dovute perché drasticamente sottodimensionati a causa di un attacco informatico, ti ricorderai di questo articolo.

È il momento di trattare la cybersicurezza come una questione di salute pubblica. Perché lo è.

E volete saperne una? Ecco la lista degli attacchi noti agli ospedali italiani. Perché noi di Red Hot Cyber non dimentichiamo.

Gli attacchi noti agli ospedali italiani

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali hanno un” postura cyber” da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato. La Lista delle organizzazioni sanitare colpite, dove ne conosciamo le rivendicazioni della PA si allunga sempre di più giorno dopo giorno:

• L’ospedale San Giovanni Addolorata di Roma,
• ASL 3 di Roma
• ASL 2 di Savona
• ASL 2 di Terni
• ASP di Messina 2021
• ULSS6 di Padova
• ASL Napoli 3
• ASST Lecco
• ASP Messina 2022
• ATS Insubria
• Fatebenefratelli Sacco
• Ospedale Macedonio Melloni
• ASL5 di La Spezia
• Ospedale Universitario di Parma
• Ospedale Niguarda
• ASL1 Abruzzo
• Centro Ortopedico di Quadrante
• Azienda ospedaliera universitaria integrata di Verona
• Attacco alla Synlab
• ASST Rhodense

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica a livello di sicurezza nazionale di queste infrastrutture. Tali infrastrutture vengono continuamente bersagliato dal cybercrime e che devono essere protette per garantire la salute delle persone.

L'articolo Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online! proviene da il blog della sicurezza informatica.

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta in seguito all’utilizzo di un infostealer, uno strumento sempre più diffuso nel panorama del cybercrime, capace di sottrarre in modo silenzioso credenziali aziendali e facilitare accessi non autorizzati.

L’attacco è stato reso noto attraverso il portale onion gestito dal gruppo Everest, dove sono state pubblicate prove dell’intrusione e annunciata l’intenzione di diffondere pubblicamente i dati sottratti entro pochi giorni. Parallelamente, parte del database esfiltrato sembrerebbe già in vendita nel dark web, come indicato da thread rilevanti su forum underground.

Attualmente, non sono ancora stati confermati i volumi precisi di dati esfiltrati, né l’impatto operativo sulle attività dell’azienda nella regione. Tuttavia, la pubblicazione dell’attacco sui canali criminali indica con ogni probabilità l’intenzione del gruppo di passare alla fase di estorsione o vendita dei dati, strategia già adottata in passato da Everest.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

I dati sottratti

Secondo quanto pubblicato da Everest sul proprio portale Tor, i dati compromessi includono informazioni sensibili relative a circa 959 dipendenti, tra cui:

• Documenti d’identità
• Profili Salesforce
• Anagrafiche complete
• Informazioni interne e riservate

Screenshot mostrano dati personali, documenti ufficiali e profili utente interni, segnalando un potenziale impatto severo sulla privacy dei dipendenti e sulla sicurezza operativa dell’organizzazione.

Inoltre, un’altra parte dei dati appare in vendita su forum underground, come evidenziato nell’immagine sottostante, a conferma dell’avvenuta esfiltrazione e del tentativo di monetizzazione da parte degli attori coinvolti.

Come prassi del gruppo Everest, è stato attivato un timer visibile sul portale dark web associato all’attacco. Questo countdown rappresenta la scadenza entro la quale l’organizzazione vittima è chiamata a negoziare o pagare un riscatto. Al termine del tempo stabilito, i dati verranno presumibilmente resi pubblici o venduti definitivamente a terzi.

Questo meccanismo di pressione è parte integrante della tattica di triple extortion, che combina cifratura, minaccia reputazionale e in alcuni casi persino il contatto diretto con clienti o partner dell’azienda colpita.

Chi è Everest? Un attore tra ransomware e estorsione

Everest è un gruppo ransomware-as-a-service (RaaS) attivo dal 2020, noto per attacchi mirati a grandi imprese e infrastrutture critiche. Il loro modus operandi si basa spesso sulla collaborazione con access broker, criminali che forniscono credenziali aziendali compromesse ottenute tramite infostealer, phishing o vulnerabilità note.

Una volta all’interno della rete, Everest esegue movimenti laterali, esfiltra dati sensibili e infine avvia la cifratura dei sistemi. Le vittime vengono poi ricattate con la minaccia di divulgare pubblicamente i dati rubati – una strategia nota come double extortion.

Conclusioni

Il caso Coca-Cola Emirati Arabi rappresenta un esempio concreto della catena d’attacco moderna: dall’infezione con infostealer all’infiltrazione della rete aziendale, fino all’attacco ransomware e alla vendita dei dati nel dark web.

RHC continuerà a monitorare la situazione e pubblicherà eventuali ulteriori aggiornamenti qualora emergessero informazioni significative.
Invitiamo chiunque sia a conoscenza di dettagli rilevanti a contattarci attraverso la mail crittografata del whistleblower, garantendo la possibilità di rimanere anonimi.

L'articolo Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer proviene da il blog della sicurezza informatica.

Digital Rights Management (DRM) has been the bane of users since it was first introduced. Who remembers the battle it was getting Netflix running on Linux machines, or the literal legal fight over the DVD DRM decryption key? So the news from Signal, that DRM is finally being put to use to protect users is ironic.

The reason for this is Microsoft Recall — the AI powered feature that takes a snapshot of everything on the user’s desktop every few seconds. For whatever reason, you might want to exempt some windows from Recall’s memory window. It doesn’t speak well for Microsoft’s implementation that the easiest way for an application to opt out of the feature is to mark its window as containing DRM content. Signal, the private communications platform, is using this to hide from Recall and other screenshotting applications.

The Signal blogs warns that this may be just the start of agentic AI being rolled out with insufficient controls and permissions. The issue here isn’t the singularity or AI reaching sentience, it’s the same old security and privacy problems we’ve always had: Too much information being collected, data being shared without permission, and an untrusted actor having access to way more than it should.

Legacy Malware?

The last few stories we’ve covered about malicious code in open source repositories have featured how quickly the bad packages were caught. Then there’s this story about two-year-old malicious packages on NPM that are just now being found.

It may be that the reason these packages weren’t discovered until now, is that these packages aren’t looking to exfiltrate data, or steal bitcoin, or load other malware. Instead, these packages have a trigger date, and just sabotage the systems they’re installed on — sometimes in rather subtle ways. If a web application you were writing was experiencing intermittent failures, how long would it take you to suspect malware in one of your JavaScript libraries?

Where Are You Calling From?

Phone phreaking isn’t dead, it has just gone digital. One of the possibly apocryphal origins of phone phreaking was a toy bo’sun whistle in boxes of cereal, that just happened to play a 2600 Hz tone. More serious phreakers used more sophisticated, digital versions of the whistle, calling them blue boxes. In modern times, apparently, the equivalent of the blue box is a rooted Android phone. [Daniel Williams] has the story of playing with Voice over LTE (VoLTE) cell phone calls. A bug in the app he was using forced him to look at the raw network messages coming from O2 UK, his local carrier.

And those messages were weird. VoLTE is essentially using the Session Initiation Protocol (SIP) to handle cell phone calls as Voice over IP (VoIP) calls using the cellular data network. SIP is used in telephony all over the place, from desk phones to video conferencing solutions. SIP calls have headers that work to route the call, which can contain all sorts of metadata about the call. [Daniel] took a look at the SIP headers on a VoLTE call, and noticed some strange things. For one, the International Mobile Subscriber Identity (IMSI) and International Mobile Equipment Identity (IMEI) codes for both the sender and destination were available.

He also stumbled onto an interesting header, the Cellular-Network-Info header. This header encodes way too much data about the network the remote caller is connected to, including the exact tower being used. In an urban environment, that locates a cell phone to an area not much bigger than a city block. Together with leaking the IMSI and IMEI, this is a dangerous amount of information to leak to anyone on the network. [Daniel] attempted to report the issue to O2 in late March, and was met with complete silence. However, a mere two days after this write-up was published, on May 19th, O2 finally made contact, and confirmed that the issue had finally been resolved.

ARP Spoofing in Practice

TCP has an inherent security advantage, because it’s a stateful connection, it’s much harder to make a connection from a spoofed IP address. It’s harder, but it’s not impossible. One of the approaches that allows actual TCP connections from spoofed IPs is Address Resolution Protocol (ARP) poisoning. Ethernet switches don’t look at IP addresses, but instead route using MAC addresses. ARP is the protocol that distributes the MAC Address to IP mapping on the local network.

And like many protocols from early in the Internet’s history, ARP requests don’t include any cryptography and aren’t validated. Generally, whoever claims an IP address first wins, so the key is automating this process. And hence, enter NetImposter, a new tool specifically designed to automate this process, sending spoofed ARP packets, and establishing an “impossible” TCP connection.

Impossible RCE in SSH

Over two years ago, researchers at Qualsys discovered a pre-authentication double-free in OpenSSH server version 9.1. 9.2 was quickly released, and because none of the very major distributions had shipped 9.1 yet, what could have been a very nasty problem was patched pretty quietly. Because of the now-standard hardening features in modern Linux and BSD distributions, this vulnerability was thought to be impossible to actually leverage into Remote Code Execution (RCE).

If someone get a working OpenSSH exploit from this bug, I'm switching my main desktop to Windows 98 (this bug was discovered by a Windows 98 user who noticed sshd was crashing when trying to login to a Linux server!)

— Tavis Ormandy (@taviso) February 14, 2023

The bug was famously discovered by attempting to SSH into a modern Linux machine from a Windows 98 machine, and Tavis Ormandy claimed he would switch to Windows 98 on his main machine if someone did actually manage to exploit it for RCE. [Perri Adams] thought this was a hilarious challenge, and started working an exploit. Now we have good and bad news about this effort. [Perri] is pretty sure it is actually possible, to groom the heap and with enough attempts, overwrite an interesting pointer, and leak enough information in the process to overcome address randomization, and get RCE. The bad news is that the reward of dooming [Tavis] to a Windows 98 machine for a while wasn’t quite enough to be worth the pain of turning the work into a fully functional exploit.

But that’s where [Perri’s] OffensiveCon keynote took an AI turn. How well would any of the cutting-edge AIs do at finding, understanding, fixing, and exploiting this vulnerability? As you probably already guessed, the results were mixed. Two of the three AIs thought the function just didn’t have any memory management problems at all. Once informed of the problem, the models had more useful analysis of the code, but they still couldn’t produce any remotely useful code for exploitation. [Perri’s] takeaway is that AI systems are approaching the threshold of being useful for defensive programming work. Distilling what code is doing, helping in reverse engineering, and working as a smarter sort of spell checker are all wins for programmers and security researchers. But fortunately, we’re not anywhere close to a world where AI is developing and deploying exploitations.

youtube.com/embed/Y1naY3gupRw?…

Bits and Bytes

There are a pair of new versions of reverse engineering/forensic tools released very recently. Up first is Frida, a runtime debugger on steroids, that is celebrating its 17th major version release. One of the major features is migrating to pluggable runtime bridges, and moving away from strictly bundling them. We also have Volatility 3, a memory forensics framework. This isn’t the first Volatility 3 release, but it is the release where version three officially has parity with the version two of the framework.

The Foscam X5 security camera has a pair of buffer overflows, each of which can be leveraged to acieve arbitrary RCE. One of the proof-of-concepts has a very impressive use of a write-null-anywhere primitive to corrupt a return pointer, and jump into a ROP gadget. The concerning element of this disclosure is that the vendor has been completely unresponsive, and the vulnerabilities are still unaddressed.

And finally, one of the themes that I’ve repeatedly revisited is that airtight attribution is really difficult. [Andy Gill] walks us through just one of the many reasons that’s difficult. Git cryptographically signs the contents of a commit, but not the timestamps. This came up when looking through the timestamps from “Jia Tan” in the XZ compromise. Git timestamps can be trivially rewritten. Attestation is hard.

hackaday.com/2025/05/23/this-w…

Gli operatori del ransomware 3AM eseguono attacchi mirati contro i bersagli designati. Gli hacker bombardano i dipendenti delle aziende con e-mail e telefonate, fingendosi personale di supporto, per costringere gli utenti a fornire le credenziali per l’accesso remoto ai sistemi aziendali.

Gli esperti di Sophos scrivono che in passato tali tattiche erano utilizzate principalmente dagli autori del ransomware Black Basta e dal gruppo di hacker FIN7, ma ora l’efficacia di tali attacchi ha portato alla loro più ampia diffusione.

I ricercatori riferiscono che tra novembre 2024 e gennaio 2025 sono stati rilevati almeno 55 attacchi che hanno utilizzato tali tecniche e collegano l’attività a due diversi cluster di minacce.

Gli attacchi includono l’invio di più e-mail, vishing (phishing vocale) tramite Microsoft Teams e l’abuso di Quick Assist. A quanto pare, la fuga di notizie delle chat interne di Black Basta , avvenuta all’inizio del 2025, si è rivelata utile ad altri aggressori. Ora stanno utilizzando un modello per attacchi di phishing tramite Microsoft Teams, fingendosi dipendenti IT.

Uno degli attacchi ransomware 3AM a un cliente Sophos si è verificato nel primo trimestre del 2025, è durato nove giorni e gli hacker hanno utilizzato un approccio simile. Solo che invece di usare Microsoft Teams, hanno iniziato con il phishing telefonico.

Gli aggressori hanno sostituito il vero numero di telefono del reparto IT del cliente per rendere la chiamata più credibile. Gli hacker hanno telefonato inviando contemporaneamente numerose e-mail dannose: in soli tre minuti, la vittima ne ha ricevute 24.

In questo modo, l’aggressore ha convinto un dipendente dell’azienda presa di mira ad aprire Microsoft Quick Assist e a fornire l’accesso remoto, presumibilmente per proteggersi da attività dannose. L’hacker ha quindi scaricato e decompresso un archivio dannoso contenente uno script VBS, un emulatore QEMU e un’immagine di Windows 7 con la backdoor QDoor.

QEMU veniva utilizzato per eludere il rilevamento instradando il traffico di rete attraverso macchine virtuali create sulla piattaforma, consentendo agli hacker di ottenere un accesso persistente ma non rilevato alla rete della vittima. Infine, gli aggressori hanno eseguito una ricognizione sulla rete dell’azienda presa di mira utilizzando WMIC e PowerShell, hanno creato un account amministratore locale per la connessione tramite RDP, hanno installato lo strumento RMM commerciale XEOXRemote e hanno compromesso l’account amministratore di dominio.

L'articolo Vishing da incubo: 24 email in 3 minuti e una telefonata per hackerare un’intera azienda proviene da il blog della sicurezza informatica.