Qualche giorno fa ho installato l'app dell'Aeronautica Militare per il meteo.
Confrontando le previsioni con quelle di LaMMA, un consorzio per il meteo di alto dettaglio sulla Toscana, vedo delle previsioni molto diverse già a 24 ore.
Per esempio, domani l'AM dà una massima di 29 gradi e LaMMA di 33.
Possibile che due organizzazioni così importanti facciano previsioni così diverse, già a 24 ore?
Poliversity - Università ricerca e giornalismo reshared this.
Amnesty. Nuove prove sulla fame a Gaza: “Politica deliberata”
@Notizie dall'Italia e dal mondo
Il rapporto della Ong raccoglie diverse testimonianze sulla combinazione mortale tra fame e malattie, concludendo che non si tratta di un effetto secondario delle operazioni militari ma è il risultato atteso di piani e politiche che Israele ha ideato e attuato, negli ultimi 22 mesi
Addio a Giulia Simi, tra le prime a credere nella necessità di un’associazione radicale per la libertà di ricerca scientifica.
“Con dolore abbiamo appreso della morte di Giulia. Era la mia forza e guida nella battaglia per diffondere nelle regioni le DAT. Uno spirito deciso e forte senza fronzoli né calcoli. che mi dava forza di credere nella libertà di scelta nella vita dei cittadini. Grazie, Giulia, la vita è fatta anche di matematica. Ti ho voluto bene. Mi e ci hai incoraggiati sempre. Grazie!
Sentite condoglianze a Marcello!”
Mina Welby
Giulia Simi, fin dall’arrivo di Luca Coscioni nel mondo radicale gli si affezionò rendendosi da subito disponibile a concorrere alla fondazione dell’Associazione che ancora oggi porta il suo nome.
Iscritta fino al 2025, negli anni Giulia ha ricoperto vari incarichi tra cui quello di vice-segretaria, impegnandosi in particolare nelle iniziative dell’Associazione per la promozione della legalizzazione dell’eutanasia e la promozione del metodo scientifico (anche) in politica.
Un pensiero pieno di riconoscenza per Giulia, per quello che ha fatto per la sua e nostra associazione. Resterà nel cuore di chi l’ha conosciuta.
Filomena Gallo e Marco Cappato
L'articolo Addio a Giulia Simi proviene da Associazione Luca Coscioni.
GodRAT – New RAT targeting financial institutions
Summary
In September 2024, we detected malicious activity targeting financial (trading and brokerage) firms through the distribution of malicious .scr (screen saver) files disguised as financial documents via Skype messenger. The threat actor deployed a newly identified Remote Access Trojan (RAT) named GodRAT, which is based on the Gh0st RAT codebase. To evade detection, the attackers used steganography to embed shellcode within image files. This shellcode downloads GodRAT from a Command-and-Control (C2) server.
GodRAT supports additional plugins. Once installed, attackers utilized the FileManager plugin to explore the victim’s systems and deployed browser password stealers to extract credentials. In addition to GodRAT, they also used AsyncRAT as a secondary implant to maintain extended access.
GodRAT is very similar to the AwesomePuppet, another Gh0st RAT-based backdoor, which we reported in 2023, both in its code and distribution method. This suggests that it is probably an evolution of AwesomePuppet, which is in turn likely connected to the Winnti APT.
As of this blog’s publication, the attack remains active, with the most recent detection observed on August 12, 2025. Below is a timeline of attacks based on detections of GodRAT shellcode injector executables. In addition to malicious .scr (screen saver) files, attackers also used .pif (Program Information File) files masquerading as financial documents.
| GodRAT shellcode injector executable MD5 | File name | Detection date | Country/territory | Distribution |
| cf7100bbb5ceb587f04a1f42939e24ab | 2023-2024ClientList&.scr | 2024.09.09 | Hong Kong | via Skype |
| e723258b75fee6fbd8095f0a2ae7e53c | 2024-11-15_23.45.45 .scr | 2024.11.28 | Hong Kong | via Skype |
| d09fd377d8566b9d7a5880649a0192b4 | 2024-08-01_2024-12-31Data.scr | 2025.01.09 | United Arab Emirates | via Skype |
| a6352b2c4a3e00de9e84295c8d505dad | 2025TopDataTransaction&.scr | 2025.02.28 | United Arab Emirates | NA |
| 6c12ec3795b082ec8d5e294e6a5d6d01 | 2024-2025Top&Data.scr | 2025-03-17 | United Arab Emirates | via Skype |
| bb23d0e061a8535f4cb8c6d724839883 |
| 2025-05-26 |
| NA |
| 160a80a754fd14679e5a7b5fc4aed672 |
| 2025-07-17 | Hong Kong | NA |
| 2750d4d40902d123a80d24f0d0acc454 | 2025TopClineData&1.scr | 2025-08-12 | United Arab Emirates | NA |
| 441b35ee7c366d4644dca741f51eb729 | 2025TopClineData&.scr | 2025-08-12 | Jordan | NA |
Technical details
Malware implants
Shellcode loaders
We identified the use of two types of shellcode loaders, both of which execute the shellcode by injecting it into their own process. The first embeds the shellcode bytes directly into the loader binary, and the second reads the shellcode from an image file.
A GodRAT shellcode injector file named “2024-08-01_2024-12-31Data.scr” (MD5 d09fd377d8566b9d7a5880649a0192b4) is an executable that XOR-decodes embedded shellcode using the following hardcoded key: “OSEDBIU#IUSBDGKJS@SIHUDVNSO*SKJBKSDS#SFDBNXFCB”. A new section is then created in the memory of an executable process, where the decoded shellcode is copied. Then the new section is mapped into the process memory and a thread is spawned to execute the shellcode.
Another file, “2024-11-15_23.45.45 .scr” (MD5 e723258b75fee6fbd8095f0a2ae7e53c), serves as a self-extracting executable containing several embedded files as shown in the image below.
Content of self-extracting executable
Among these is “SDL2.dll” (MD5 512778f0de31fcce281d87f00affa4a8), which is a loader. The loader “SDL2.dll” is loaded by the legitimate executable Valve.exe (MD5 d6d6ddf71c2a46b4735c20ec16270ab6). Both the loader and Valve.exe are signed with an expired digital certificate. The certificate details are as follows:
- Serial Number: 084caf4df499141d404b7199aa2c2131
- Issuer Common Name: DigiCert SHA2 Assured ID Code Signing CA
- Validity: Not Before: Friday, September 25, 2015 at 5:30:00 AM; Not After: Wednesday, October 3, 2018 at 5:30:00 PM
- Subject: Valve
The loader “SDL2.dll” extracts shellcode bytes hidden within an image file “2024-11-15_23.45.45.jpg”. The image file represents some sort of financial details as shown below.
The loader allocates memory, copies the extracted shellcode bytes, and spawns a thread to execute it. We’ve also identified similar loaders that extracted shellcode from an image file named “2024-12-10_05.59.18.18.jpg”. One such loader (MD5 58f54b88f2009864db7e7a5d1610d27d) creates a registry load point entry at “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyStartupApp” that points to the legitimate executable Valve.exe.
Shellcode functionality
The shellcode begins by searching for the string “godinfo,” which is immediately followed by configuration data that is decoded using the single-byte XOR key 0x63. The decoded configuration contains the following details: C2 IP address, port, and module command line string. The shellcode connects to the C2 server and transmits the string “GETGOD.” The C2 server responds with data representing the next (second) stage of the shellcode. This second-stage shellcode includes bootstrap code, a UPX-packed GodRAT DLL and configuration data. However, after downloading the second-stage shellcode, the first stage shellcode overwrites the configuration data in the second stage with its own configuration data. A new thread is then created to execute the second-stage shellcode. The bootstrap code injects the GodRAT DLL into memory and subsequently invokes the DLL’s entry point and its exported function “run.” The entire next-stage shellcode is passed as an argument to the “run” function.
GodRAT
The GodRAT DLL has the internal name ONLINE.dll and exports only one method: “run”. It checks the command line parameters and performs the following operations:
- If the number of command line arguments is one, it copies the command line from the configuration data, which was “C:\Windows\System32\curl.exe” in the analyzed sample. Then it appends the argument “-Puppet” to the command line and creates a new process with the command line “C:\Windows\System32\curl.exe -Puppet”. The parameter “-Puppet” was used in AwesomePuppet RAT in a similar way. If this fails, GodRAT tries to create a process with the hardcoded command “%systemroot%\system2\cmd.exe -Puppet”. If successful, it suspends the process, allocates memory, and writes the shellcode buffer (passed as a parameter to the exported function “run”) to the allocated memory. A thread is then created to execute the shellcode, and the current process exits. This is done to execute GodRAT inside the curl.exe or cmd.exe process.
- If the number of command line arguments is greater than one, it checks if the second argument is “-Puppet.” If true, it proceeds with the RAT’s functionality; otherwise, it acts as if the number of command line arguments is one, as described in the previous case.
The RAT establishes a TCP connection to the C2 server on the port from the configuration blob. It collects the following victim information: OS information, local hostname, malware process name and process ID, user account name associated with malware process, installed antivirus software and whether a capture driver is present. A capture driver is probably needed for capturing pictures, but we haven’t observed such behavior in the analyzed sample.
The collected data is zlib (deflate) compressed and then appended with a 15-byte header. Afterward, it is XOR-encoded three times per byte. The final data sent to the C2 server includes a 15-byte header followed by the compressed data blob. The header consists of the following fields: magic bytes (\x74\x78\x20) , total size (compressed data size + header size), decompressed data size, and a fixed DWORD (1 for incoming data and 2 for outgoing data). The data received from the C2 is only XOR-decoded, again three times per byte. This received data includes a 15-byte header followed by the command data. The RAT can perform the following operations based on the received command data:
- Inject a received plugin DLL into memory and call its exported method “PluginMe”, passing the C2 hostname and port as arguments. It supports different plugins, but we only saw deployment of the FileManager plugin
- Close the socket and terminate the RAT process
- Download a file from a provided URL and launch it using the CreateProcessA API, using the default desktop (WinSta0\Default)
- Open a given URL using the shell command for opening Internet Explorer (e.g. “C:\Program Files\Internet Explorer\iexplore.exe” %1)
- Same as above but specify the default desktop (WinSta0\Default)
- Create the file “%AppData%\config.ini”, create a section named “config” inside this file, and, create in that section a key called “NoteName” with the string provided from the C2 as its value
GodRAT FileManager plugin
The FileManager plugin DLL has the internal name FILE.dll and exports a single method called PluginMe. This plugin gathers the following victim information: details about logical drives (including drive letter, drive type, total bytes, available free bytes, file system name, and volume name), the desktop path of the currently logged-on user, and whether the user is operating under the SYSTEM account. The plugin can perform the following operations based on the commands it receives:
- List files and folders at a specified location, collecting details like type (file or folder), name, size, and last write time
- Write data to an existing file at a specified offset
- Read data from a file at a specified offset
- Delete a file at a specified path
- Recursively delete files at a specified path
- Check for the existence of a specified file. If the file exists, send its size; otherwise, create a file for writing.
- Create a directory at a specified path
- Move an existing file or directory, including its children
- Open a specified application with its window visible using the ShellExecuteA API
- Open a specified application with its window hidden using the ShellExecuteA API
- Execute a specified command line with a hidden window using cmd.exe
- Search for files at a specified location, collecting absolute file paths, sizes, and last write times
- Stop a file search operation
- Execute 7zip by writing hard-coded 7zip executable bytes to “%AppData%\7z.exe” (MD5 eb8d53f9276d67afafb393a5b16e7c61) and “%AppData%\7z.dll” (MD5 e055aa2b77890647bdf5878b534fba2c), and then runs “%AppData%\7z.exe” with parameters provided by the C2. The utility is used to unzip dropped files.
Second-stage payload
The attackers deployed the following second-stage implants using GodRAT’s FileManager plugin:
Chrome password stealer
The stealer is placed at “%ALLUSERSPROFILE%\google\chrome.exe” (MD5 31385291c01bb25d635d098f91708905). It looks for Chrome database files with login data for accessed websites, including URLs and usernames used for authentication, as well as user passwords. The collected data is saved in the file “google.txt” within the module’s directory. The stealer searches for the following files:
- %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data – an SQLite database with login and stats tables. This can be used to extract URLs and usernames used for authentication. Passwords are encrypted and not visible.
- %LOCALAPPDATA%\Google\Chrome\User Data\Local State – a file that contains the encryption key needed to decrypt stored passwords.
MSEdge password stealer
The stealer is placed at “%ALLUSERSPROFILE%\google\msedge.exe” (MD5 cdd5c08b43238c47087a5d914d61c943). The collected data is stored in the file “edge.txt” in the module’s directory. The module attempts to extract passwords using the following database and file:
- %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Login Data – the “Login Data” SQLite database stores Edge logins in the “logins” table.
- %LOCALAPPDATA%\Microsoft\Edge\User Data\Local State – this file contains the encryption key used to decrypt saved passwords.
AsyncRAT
The DLL file (MD5 605f25606bb925d61ccc47f0150db674) is an injector and is placed at “%LOCALAPPDATA%\bugreport\LoggerCollector.dll” or “%ALLUSERSPROFILE%\bugreport\LoggerCollector.dll”. It verifies that the module name matches “bugreport_.exe”. The loader then XOR-decodes embedded shellcode using the key “EG9RUOFIBVODSLFJBXLSVWKJENQWBIVUKDSZADVXBWEADSXZCXBVADZXVZXZXCBWES”. After decoding, it subtracts the second key “IUDSY86BVUIQNOEWSUFHGV87QCI3WEVBRSFUKIHVJQW7E8RBUYCBQO3WEIQWEXCSSA” from each shellcode byte.
A new memory section is created, the XOR-decoded shellcode is copied into it, and then the section is mapped into the current process memory. A thread is started to execute the code in this section. The shellcode is used to reflectively inject the C# AsyncRAT binary. Before injection, it patches the AMSI scanning functions (AmsiScanBuffer, AmsiScanString) and the EtwEventWrite function to bypass security checks.
AsyncRAT includes an embedded certificate with the following properties:
- Serial Number: df:2d:51:bf:e8:ec:0c:dc:d9:9a:3e:e8:57:1b:d9
- Issuer: CN = marke
- Validity: Not Before: Sep 4 18:59:09 2024 GMT; Not After: Dec 31 23:59:59 9999 GMT
- Subject: CN = marke
GodRAT client source and builder
We discovered the source code for the GodRAT client on a popular online malware scanner. It had been uploaded in July 2024. The file is named “GodRAT V3.5_______dll.rar” (MD5 04bf56c6491c5a455efea7dbf94145f1). This archive also includes the GodRAT builder (MD5 5f7087039cb42090003cc9dbb493215e), which allows users to generate either an executable file or a DLL. If an executable is chosen, users can pick a legitimate executable name from a list (svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe and QQScLauncher.exe) to inject the code into. When saving the final payload, the user can choose the file type (.exe, .com, .bat, .scr and .pif). The source code is based on Gh0st RAT, as indicated by the fact that the auto-generated UID in “GodRAT.h” file matches that of “gh0st.h”, which suggests that GodRAT was originally just a renamed version of Gh0st RAT.
GodRAT.h
gh0st.h
Conclusions
The rare command line parameter “puppet,” along with code similarities to Gh0st RAT and shared artifacts such as the fingerprint header, indicate that GodRAT shares a common origin with AwesomePuppet RAT, which we described in a private report in 2023. This RAT is also based on the Gh0st RAT source code and is likely connected with Winnty APT activities. Based on these findings, we are highly confident that GodRAT is an evolution of AwesomePuppet. There are some differences, however. For example, the C2 packet of GodRAT uses the “direction” field, which was not utilized in AwesomePuppet.
Old implant codebases, such as Gh0st RAT, which are nearly two decades old, continue to be used today. These are often customized and rebuilt to target a wide range of victims. These old implants are known to have been used by various threat actors for a long time, and the GodRAT discovery demonstrates that legacy codebases like Gh0st RAT can still maintain a long lifespan in the cybersecurity landscape.
Indicator of Compromise
File hashes
cf7100bbb5ceb587f04a1f42939e24ab
d09fd377d8566b9d7a5880649a0192b4 GodRAT Shellcode Injector
e723258b75fee6fbd8095f0a2ae7e53c GodRAT Self Extracting Executable
a6352b2c4a3e00de9e84295c8d505dad
6c12ec3795b082ec8d5e294e6a5d6d01
bb23d0e061a8535f4cb8c6d724839883
160a80a754fd14679e5a7b5fc4aed672
2750d4d40902d123a80d24f0d0acc454
441b35ee7c366d4644dca741f51eb729
318f5bf9894ac424fd4faf4ba857155e GodRAT Shellcode Injector
512778f0de31fcce281d87f00affa4a8 GodRAT Shellcode Injector
6cad01ca86e8cd5339ff1e8fff4c8558 GodRAT Shellcode Injector
58f54b88f2009864db7e7a5d1610d27d GodRAT Shellcode Injector
64dfcdd8f511f4c71d19f5a58139f2c0 GodRAT FileManager Plugin(n)
8008375eec7550d6d8e0eaf24389cf81 GodRAT
04bf56c6491c5a455efea7dbf94145f1 GodRAT source code
5f7087039cb42090003cc9dbb493215e GodRAT Builder
31385291c01bb25d635d098f91708905 Chrome Password Stealer
cdd5c08b43238c47087a5d914d61c943 MSEdge Password Stealer
605f25606bb925d61ccc47f0150db674 Async RAT Injector (n)
961188d6903866496c954f03ecff2a72 Async RAT Injector
4ecd2cf02bdf19cdbc5507e85a32c657 Async RAT
17e71cd415272a6469386f95366d3b64 Async RAT
File paths
C:\users\[username]\downloads\2023-2024clientlist&.scr
C:\users\[username]\downloads\2024-11-15_23.45.45 .scr
C:\Users\[username]\Downloads\2024-08-01_2024-12-31Data.scr
C:\Users\[username]\\Downloads\2025TopDataTransaction&.scr
C:\Users\[username]\Downloads\2024-2025Top&Data.scr
C:\Users\[username]\Downloads\2025TopClineData&1.scr
C:\Users\[username]\Downloads\Corporate customer transaction &volume.pif
C:\telegram desktop\Company self-media account application qualifications&.zip
C:\Users\[username]\Downloads\个人信息资料&.pdf.pif
%ALLUSERSPROFILE%\bugreport\360Safe2.exe
%ALLUSERSPROFILE%\google\chrome.exe
%ALLUSERSPROFILE%\google\msedge.exe
%LOCALAPPDATA%\valve\valve\SDL2.dll
%LOCALAPPDATA%\bugreport\LoggerCollector.dll
%ALLUSERSPROFILE%\bugreport\LoggerCollector.dll
%LOCALAPPDATA%\bugreport\bugreport_.exe
Domains and IPs
103[.]237[.]92[.]191 GodRAT C2
118[.]99[.]3[.]33 GodRAT С2
118[.]107[.]46[.]174 GodRAT C2
154[.]91[.]183[.]174 GodRAT C2
wuwu6[.]cfd AsyncRAT C2
156[.]241[.]134[.]49 AsyncRAT C2
https://holoohg.oss-cn-hongkong.aliyuncs[.]com/HG.txt AsyncRAT URL
47[.]238[.]124[.]68 AsyncRAT C2
Volkswagen Joins the Car-As-A-Service Movement With Its ID.3 BEV
More and more car manufacturers these days are becoming interested in the recurring revenue model, with Volkswagen’s ID.3 BEV being the latest to have an optional ‘motor power upgrade’ that you can pay for either monthly or with a ‘lifetime’ payment.
As the BBC reports, this option is now available in the UK, with customers offered the option to pay £16.50 per month or £165 annually, or opt to shell out £649 for what is reportedly a ‘car lifetime’ subscription.
It appears that this subscription service has been in the works for a while already, with it being offered first last year in countries like Denmark, following which it appears to be rolled out in other countries too. The software unlock changes the maximum motor output from 150 kW to 170 kW, which some users report as being noticeable.
Regardless of whether you find this to be a good deal, the concept of Car-As-A-Service (CAAS) has becoming increasingly prevalent, with the BBC article referencing BMW’s heated seats subscription and Mercedes’ acceleration subscription. Considering that all the hardware is already in the car that you purportedly purchased, this is sure to rub people the wrong way, not to mention that from a car tuning perspective this seems to suggest that third-party tuners don’t need to apply.
Thanks to [Robert Piston] for the tip.
Giorgia Meloni alza gli occhi al cielo mentre parla il cancelliere tedesco Merz | VIDEO
@Politica interna, europea e internazionale
Stanno facendo il giro del web le espressioni facciali che la premier Giorgia Meloni ha assunto durante il vertice alla Casa Bianca per la pace in Ucraina, in particolar modo mentre parlava il cancelliere tedesco Fridriech Merz. “Aiuteremo Kiev, ma il cessate il
ho fatto a gemina la seguente domanda:
"è possibile che chi vede nel "riscaldamento globale" anche un effetto utile a causa della recente "apertura" delle rotte artiche, sia presto trombato dai problemi dell'AMOC che possono provocare un raffreddamento dell'europa nord?"
la risposta:
"Sì, la sua osservazione è pertinente e tocca un punto cruciale del dibattito sul cambiamento climatico. Chi vede un vantaggio nell'apertura delle rotte artiche, reso possibile dal riscaldamento globale, potrebbe presto trovarsi a fare i conti con gli impatti negativi di un potenziale indebolimento o collasso della Corrente Meridionale di Ribaltamento Atlantica (AMOC), un sistema di correnti oceaniche di cui fa parte anche la Corrente del Golfo."
in sostanza un'altra trombata per putin.
Clicchi sui link degli SMS? Ecco 4,2 milioni di motivi per non farlo
Proofpoint ha pubblicato il secondo volume del suo studio annuale “Human Factor 2025” , incentrato sul phishing e sugli attacchi basati su URL. L’analisi dei dati da maggio 2024 a maggio 2025 mostra che gli aggressori utilizzano sempre più spesso il social engineering in combinazione con i link, che sono diventati il principale vettore per attaccare gli utenti.
Secondo le statistiche, i link sono stati riscontrati quattro volte più spesso degli allegati con contenuti dannosi. Oltre il 55% degli SMS con tracce di phishing conteneva un URL e il numero di campagne con la tecnica ClickFix è aumentato di quasi il 400% in un anno. In totale, i ricercatori hanno registrato 3,7 miliardi di tentativi di furto di credenziali tramite link dannosi, contro gli 8,3 milioni di tentativi di distribuzione di malware, il che conferma che l’obiettivo principale degli aggressori oggi è compromettere gli account.
Particolarmente preoccupante è il crescente numero di attacchi che utilizzano servizi legittimi. Gli aggressori mascherano URL dannosi come documenti su OneDrive o Google Drive e creano anche pagine di autorizzazione false, indistinguibili da quelle reali. L’uso diffuso di modelli di intelligenza artificiale generativa consente loro di perfezionare all’infinito i modelli di email di phishing, aumentandone la persuasività.
Tra gli strumenti principali ci sono kit di phishing già pronti all’uso come CoGUI e Darcula. Il primo è attivamente utilizzato da gruppi di lingua cinese e si rivolge principalmente agli utenti in Giappone, il secondo viene utilizzato negli attacchi SMS , spesso spacciandosi per messaggi provenienti da agenzie governative o aziende postali. Entrambi gli strumenti possono aggirare la protezione e persino intercettare i codici MFA.
Una delle tendenze più evidenti è stata la diffusione del programma ClickFix . Alla vittima viene mostrata una falsa finestra di errore o un CAPTCHA, che la invita a eseguire manualmente i comandi. Questo installa RAT , infostealer e downloader sul dispositivo. Le campagne ClickFix sono diventate una pratica comune, utilizzata sia da gruppi motivati finanziariamente che da attori statali.
Separatamente, gli esperti notano la crescita degli attacchi ai dispositivi mobili. Secondo il rapporto, nel 2024, il numero di minacce URL negli SMS è aumentato del 2534%. Nel 2025, almeno il 55% degli SMS di phishing conteneva link e il 75% delle organizzazioni ha confermato di aver subito tali attacchi. I principali attacchi sono le frodi con “multe stradali” e false notifiche di consegna.
Anche gli attacchi di phishing tramite QR code stanno guadagnando terreno. Solo nei primi sei mesi del 2025, Proofpoint ha identificato quasi 4,2 milioni di casi di abuso di codici QR. Questo vettore è comodo per i criminali, poiché consente loro di aggirare il filtro del gateway di posta: la vittima scansiona il codice su uno smartphone e finisce su un sito falso per rubare password o dati di carte di credito.
Il rapporto conclude che gli attacchi più distruttivi oggi non sono rivolti ai sistemi, ma alle persone. Tali campagne non possono avere successo senza un clic da parte dell’utente, il che significa che la principale linea di difesa è proteggere tutti i canali di comunicazione: dalle email aziendali alla messaggistica istantanea e ai servizi SaaS. Proofpoint consiglia soluzioni di intelligenza artificiale multilivello in grado di rilevare anche i più piccoli segnali di phishing in qualsiasi flusso digitale.
L'articolo Clicchi sui link degli SMS? Ecco 4,2 milioni di motivi per non farlo proviene da il blog della sicurezza informatica.
Dietro al calo delle anguille c’è una storia pazzesca
C’entrano anche Comacchio, il fiume Po, ma soprattutto un viaggio che attraversa mezzo mondo e ancora un sacco di misteriIl Post
freezonemagazine.com/rubriche/…
Era quasi inevitabile, dopo l’episodio su Una vita difficile di Dino Risi, improntare la puntata successiva di Celluloide, su un lavoro del regista “gemello” di Risi, cioè Mario Monicelli; Risi e Monicelli, sono stati, senza ombra di dubbio, non solo due grandi registi, ma per giudizio unanime, i due maggiori autori della cosiddetta commedia all’italiana […]
L'articolo Vogliamo i colonnelli provie
Era quasi
Chat Control è tornato e abbiamo 2 mesi per fermarlo - Aggregatore GNU/Linux e dintorni
Amici del software libero e open source, quest'oggi torniamo a parlare di “Chat Control“, la proposta di legge dell'Unione Europea che, qualora dovesse essereMarco Giannini (Aggregatore GNU/Linux e dintorni)
ə-Li 🐝💨💨🍯 reshared this.
L'antica epigrafe di Euskia ci può insegnare molto sull'intelligenza artificiale e sull'epoca della post-verità
L’epigrafe di Euskia, fotografata al Museo Archeologico Paolo Orsi di Siracusa, è diventata il punto di partenza per esplorare le potenzialità e i limiti dei sistemi di intelligenza artificiale applicati all’analisi del greco anticoEnrico Frumento (Wired Italia)
Il fuori onda di Giorgia Meloni con Donald Trump: “Io non voglio mai parlare con la stampa italiana” | VIDEO
@Politica interna, europea e internazionale
Meloni è allergica alla stampa italiana: lo conferma lei stessa in un’imbarazzante fuori onda con Donald Trump andato in scena durante il vertice alla Casa Bianca per la pace in Ucraina. Tutto ha inizio quando il presidente finlandese Stubb, rivolgendosi allo
The Pursuit
The Pursuit(D) by TomZaneVirtual.Band
Cinematic trip-hop with orchestral intro, pizzicato strings, synth bass and glitch elements. Male vocals: deep, hoarse, raspy, soul-blues, crooning in a raw and emotional, bluesy style.Riffusion
I Criminal Hacker sfruttano Cisco Safe Links per attacchi di phishing
Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I malintenzionati prendono di mira la tecnologia Cisco Safe Links, ideata per mettere al sicuro gli utenti da indirizzi URL pericolosi, al fine di sviare i sistemi di individuazione e superare i controlli di rete, approfittando della credibilità legata al nome Cisco nel settore della sicurezza.
Secondo l’analisi di Raven AI, il vettore di attacco sfrutta Cisco Safe Links, un componente della suite Secure Email Gateway e Web Security di Cisco che riscrive gli URL sospetti nelle e-mail, indirizzando i clic attraverso l’infrastruttura di scansione di Cisco su secure-web.cisco[.]com. Gli aggressori hanno scoperto diversi metodi per generare Cisco Safe Link legittimi per scopi dannosi.
Quando gli utenti vedono URL che inizia con secure-web[.]cisco.com, istintivamente si fidano del collegamento grazie alla reputazione di Cisco nel campo della sicurezza informatica, creando quella che i ricercatori definiscono “fiducia per associazione”. Inoltre l’attacco aggira i tradizionali gateway di sicurezza della posta elettronica perché molti sistemi concentrano la loro analisi sui domini visibili negli URL.
Le tecniche principali includono sfruttano i servizi cloud che inviano e-mail tramite ambienti protetti da Cisco e riciclando i collegamenti sicuri generati in precedenza da campagne precedenti. Quando il dominio viene visualizzato come secure-web.cisco[.]com, spesso passa attraverso filtri che altrimenti segnalerebbero contenuti sospetti.
Tra gli esempi recenti rilevati da Raven AI figurano e-mail di “Richiesta di revisione documenti” dall’aspetto professionale provenienti da presunti servizi di firma elettronica, complete di branding e terminologia aziendale appropriati.
L’intelligenza artificiale contestuale di Raven AI ha identificato con successo questi attacchi analizzando simultaneamente più segnali, tra cui identità del mittente incoerenti, strutture URL sospette con parametri codificati e modelli di richiesta di documenti comunemente utilizzati nel phishing delle credenziali. La capacità del sistema di comprendere flussi di lavoro aziendali legittimi gli consente di individuare quando le comunicazioni si discostano dagli schemi previsti, anche quando sembrano redatte in modo professionale.
Questo comporta una trasformazione radicale nel panorama delle minacce informatiche, dove i malintenzionati prendono di mira i processi organizzativi e la psicologia dell’utente, andando oltre le semplici vulnerabilità tecnologiche.
L'articolo I Criminal Hacker sfruttano Cisco Safe Links per attacchi di phishing proviene da il blog della sicurezza informatica.
La coalizione dei polli da spennare, altro che dei volenterosi...
Zelensky chiede armi Usa per 100 miliardi di dollari pagate dalla UE • Imola Oggi
imolaoggi.it/2025/08/19/zelens…
Antiviral PPE for the Next Pandemic
In what sounds like the plot from a sci-fi movie, scientists have isolated an incredibly rare immune mutation to create a universal antiviral treatment.
Only present in a few dozen people worldwide, ISG15 immunodeficiency causes people to be more susceptible to certain bacterial illnesses, but it also grants the people with this condition immunity to known viruses. Researchers think that the constant, mild inflammation these individuals experience is at the root of the immunoresponse.
Where things get really interesting is how the researchers have found a way to stimulate protein production of the most beneficial 10 proteins of the 60 created by the natural mutation using 10 mRNA sequences inside a lipid nanoparticle. Lead researcher [Vagelos Bogunovic] says “we have yet to find a virus that can break through the therapy’s defenses.” Researchers hope the treatment can be administered to first responders as a sort of biological Personal protective equipment (PPE) against the next pandemic since it would likely work against unknown viruses before new targeted vaccines could be developed.
Hamsters and mice were given this treatment via nasal drip, but how about intranasal vaccines when it comes time for human trials? If you want a short history of viruses or to learn how smartwatches could help flatten the curve for the next pandemic, we’ve got you covered.
giardino-punk.it/anarchism-and…
Leggi: Anarchismo e modernità politica
Alcune delle app VPN utilizzate da milioni di persone contengono chiavi condivise e backdoor nascoste
@Informatica (Italy e non Italy 😁)
Un nuovo studio accademico ha scoperto preoccupanti falle di sicurezza e pratiche ingannevoli in alcune delle app VPN più scaricate al mondo, che complessivamente hanno un impatto su oltre 700 milioni di utenti Android.
La ricerca rivela che decine di servizi VPN popolari, spesso pubblicizzati come indipendenti e sicuri, sono segretamente connessi tramite proprietà condivisa, infrastrutture server e persino credenziali crittografiche, esponendo il traffico degli utenti a sorveglianza e decrittazione.
Il documento è stato redatto da Benjamin Mixon-Baca (ASU/Breakpointing Bad), Jeffrey Knockel ( Citizen Lab /Bowdoin College) e Jedidiah R. Crandall (Arizona State University) ed è stato presentato alla conferenza Free and Open Communications on the Internet (FOCI) 2025. Attraverso una combinazione di analisi APK, indagini sui record aziendali e analisi forense di rete, i ricercatori hanno identificato tre distinte famiglie di provider VPN che offuscano la loro proprietà aziendale e introducono significativi rischi per la sicurezza
cyberinsider.com/vpn-apps-used…
VPN Apps Used by Millions Contain Shared Keys and Hidden Backdoors
A study uncovered flaws and deceptive practices among some of the most downloaded VPN apps, collectively impacting over 700 million users.Alex Lekander (CyberInsider)
reshared this
Grazie per le risposte, preciso che non mi riferivo a prodotti gratuiti, sono ben conscio del fatto che se non pago in soldi è perché pago con qualcos'altro, e in questo caso senza neanche sapere "quanto" sto pagando.
È un po' che penso che due lirette in una VPN mi converrebbe spenderle.
E visto che siamo a parlarne (scusate, sono un po' ignorante) esistono soluzioni "self made" che uno può mettere in piedi da solo (tipo WordPress o un'istanza Mastodon) o è proprio un'altra partita?
Anche link sono benvenuti, così non perdete troppo tempo. Vorrei farmi un po' di cultura sulla materia.
Il problema è che una soluzione "self-made" per quello che fa una vpn riguardo la tua privacy non esiste. Ovvero, esiste, ma elimina proprio la componente privacy. Potresti avere una vpn verso un tuo homeserver (o server virtuale sul cloud) e stabilire come punto di uscita verso internet, quel server. Ma a quel punto, il tuo IP diventa sempre identificabile perche è soltanto tuo.
Una vpn di aziende terze (proton, mullvad, ecc) ti offre una certa privacy perche il punto di uscita su internet è tuo e di altre persone ma per via di questo non può essere collegato a te e quindi diventa, di fatto, privato.
(C'è un discorso da fare riguardo i log della compagnia vpn, e dei metodi di pagamento, ecc, che si può anche affrontare).
like this
Informa Pirata reshared this.
Dark web e hotel italiani: ecco cosa ci ha rivelato MyDocs sui documenti rubati
A cura di Luca Stivali e Roland Kapidani.
Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-action su Telegram, stessi sample in alta risoluzione. Cambiano solo i nomi degli hotel.
La geografia delle vittime è sorprendentemente estesa: da Milano a Roma, passando per Rimini, Bardonecchia, Montecatini, Venezia e Ischia, fino a Palma di Maiorca. Ed è proprio quest’ultimo caso, quello di Maiorca, che introduce un dettaglio critico — l’esplicita menzione di un ‘private cloud bucket’ — che ha acceso il nostro campanello d’allarme sull’esistenza di una probabile catena d’attacco unificata, ben oltre gli scenari di compromissione individuale degli hotel.
A ogni post corrisponde un pacchetto di scansioni fronte/retro di documenti d’identità, ordinate “per paese d’origine” e vendute a blocchi da qualche migliaio fino a decine di migliaia di documenti. In totale, oltre 177.000 immagini sensibili messe sul banco.
La tempistica è troppo precisa per essere casuale. I post parlano di “guest management system” e “KYC di check-in”. I nomi dei file nei sample seguono lo stesso schema (UUID con suffisso _front/_back.jpg). In diversi thread la finestra è “fine luglio / inizio agosto 2025”. In quello spagnolo si cita esplicitamente un “private cloud bucket”.
Non è la classica somma di piccoli disastri locali: è l’effetto di un unico punto debole a monte, molto probabilmente un fornitore SaaS che tanti hotel usano per acquisire e archiviare i documenti alla reception. Una volta dentro quel perimetro – pannello multi-tenant, API, bucket di storage – si scarica cliente per cliente. E si monetizza per lotti.
L’economia della campagna è lineare. I pacchetti “turistici” da 20–22 mila immagini stanno a 10.000 dollari l’uno, i dataset “premium” come Venezia (38k) e Ischia (30k) salgono a 20k e 14k. I dump piccoli (Cassino 1,7k, Montecatini 3,6k) fanno da esca: prezzo accessibile, velocità di vendita, feedback sul profilo.
In media siamo intorno a 0,46$ per documento, una cifra che dice tutto sulla disponibilità del mercato nero a pagare per materiale che bypassa i controlli KYC. Perché è questo il punto: scansioni nitide, MRZ leggibile, fronte/retro. Il carburante perfetto per frodi identitarie di nuova generazione.
Cosa ci fanno, davvero, con questi documenti
Il primo utilizzo è banale e devastante: onboarding KYC su neo banche, wallet e exchange crypto che accettano la verifica solo documentale o con selfie liveness di base. Con scansioni in alta qualità e qualche trucco (stampa in scala reale, schermo ad alta luminanza, “document puppeteering”), molte pipeline di verifica cedono.
Si aprono conti “puliti” per riciclare denaro, incassare truffe, far transitare pagamenti di mule. Il secondo è il credito istantaneo: BNPL, microprestiti, linee revolving. Qui contano rapidità e tasso di accettazione; se la piattaforma è poco matura, bastano foto chiare e dati coerenti per ottenere merce o denaro che non verrà mai restituito.
Quando parliamo di onboarding KYC ci riferiamo al momento in cui una banca, un’app di pagamenti o una piattaforma di trading online deve “conoscere il cliente” (Know Your Customer). In pratica, al nuovo utente viene chiesto di caricare la foto del documento e talvolta un selfie, per dimostrare che la persona esiste davvero. È una misura pensata per fermare truffatori e riciclatori di denaro. Ma se i criminali mettono le mani su scansioni autentiche di passaporti e carte d’identità, possono usarle al posto della vittima e ottenere accesso a conti e servizi in maniera fraudolenta.
Poi c’è il mondo delle telecomunicazioni. Con un documento valido e l’abbinata di dati anagrafici reperibili altrove, si forza una portabilità o un duplicato SIM: il passaggio successivo è il SIM swap, con l’accesso ai codici OTP e l’account takeover di servizi bancari e caselle email. Non serve essere un APT: serve il documento giusto e l’operatore sbagliato.
Un altro uso meno evidente è la creazione di identità sintetiche. Si combinano pezzi reali (documento di Tizio) con tracce digitali di Caio (residenza, utenze, social “di supporto”), si costruisce un soggetto semi-plausibile e lo si fa crescere: piccoli acquisti, sottoscrizioni, cronologia “pulita”. Dopo qualche mese quell’identità è abbastanza “viva” da superare score di antifrode più severi. Le scansioni di qualità sono la base iconografica per questi avatar: consentono anche manipolazioni convincenti (cambio foto, ritocchi del background, watermark rimossi) che confondono sia l’occhio umano sia alcuni motori di validazione automatica.
C’è poi l’ingegneria sociale. Con il documento in mano, un helpdesk è più incline a “riconoscere” il chiamante; nei processi di account recovery molti operatori ancora accettano un ID mostrato in video call. Quei file resteranno in circolazione per anni, perché un documento d’identità non “scade” come una password.
Come si buca un fornitore a monte
Il quadro tecnico più verosimile è un pannello multi-tenant o un object storage condiviso tra clienti, con controlli granulari insufficienti. Bastano API key finite in log pubblici, una chiave hard-coded in un device di scansione, o una vulnerabilità nel modulo di upload/consultazione per ottenere un primo accesso. Da lì, se i tenant non sono isolati come dovrebbero, si passa da un hotel all’altro. A volte non serve neppure la vulnerabilità: una exposed bucket policy “list/get” senza ip-allow list è un invito. E se il provider non applica rotazioni e MFA sugli account operativi, l’accesso resta silenzioso per settimane.
Non è un caso che i post abbiano tutti la stessa finestra temporale: fine luglio / inizio agosto. È la fase in cui l’attaccante ha probabilmente stabilizzato l’accesso, schedulato gli export, e assemblato i pacchetti da vendere.
L’inserzione spagnola, con il riferimento esplicito al “private cloud bucket”, è il tassello che unisce i puntini: un servizio transnazionale, non il NAS di un singolo hotel.
Perché succede (e continuerà a succedere)
Abbiamo chiesto direttamente a MyDocs di darci qualche indizio su cosa accomuna tutti gli exploit che hanno colpito gli hotel italiani. Questa la sua risposta:
Thank you for your message.If we had to point to a common factor behind the recent incidents affecting hotels in Italy, it would likely be the human element — specifically, the tendency not to change default or weak passwords, combined with the effectiveness of social engineering techniques.
These two aspects continue to be exploited across various sectors, and unfortunately, hospitality is no exception.
We hope this small insight is helpful for your research and awareness initiatives.
Best regards, MyDocs
L’attaccante mette in evidenza un punto che a noi di RHC sta particolarmente a cuore: il problema legato alle persone e ai processi. Negli hotel, come in molti altri settori, la priorità è spesso l’esperienza del cliente, mentre la sicurezza rimane in secondo piano. Questo favorisce la persistenza di password di default, scarsa rotazione delle credenziali e bassa formazione del personale: condizioni che aprono la porta a intrusioni malevole.
Come dimostra la risposta di MyDocs, la minaccia non è solo tecnica, ma organizzativa e culturale. Threat actor come lui sfruttano vulnerabilità “semplici” e ripetibili, scalando facilmente da una struttura all’altra con lo stesso approccio.
L’intervento del CERT-AgID
Nel pieno dell’escalation dei post di mydocs, il CERT‑AgID si è attivato con comunicati ufficiali per mettere in guardia sia il settore digitale sia i cittadini. Il primo, pubblicato il 6 agosto 2025, rilevava la presenza “di decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento” sottratti a hotel italiani attraverso accessi non autorizzati.
Il dipartimento ha anche diramato una circolare ai gestori di servizi fiduciari (ad es. SPID o firma digitale), invitandoli a rafforzare le pratiche di verifica documentale e sensibilizzando le strutture sull’impatto della vendita illegale di documenti. Inoltre, AgID ha rivolto un appello ai cittadini affinché prestino attenzione a possibili utilizzi illeciti dei propri documenti, come richieste di credito sospette o l’apertura non autorizzata di conti, e a segnalarli tempestivamente alle autorità.
E adesso?
La risposta non può essere solo legale, anche se qui il GDPR sarà protagonista: trattamenti ad alta sensibilità, dovere di notifica al Garante e agli interessati, audit sui Data Processing Agreement con il fornitore. Serve rimettere mano all’architettura. Tradotto: conservare meno, per meno tempo, e meglio. Le copie di documenti dovrebbero essere tokenizzate e segregate; gli originali cifrati con chiavi gestite dal titolare; l’accesso ai bucket ristretto a processi server-to-server con policy minimali. Telemetria: se qualcuno scarica ventimila JPG in tre ore, deve accendersi un riflettore, non un LED.
Il conto, alla fine, lo pagano tutti: gli hotel, che vedono la fiducia dei clienti sgretolarsi, i fornitori, che dovranno spiegare tecnicamente l’accaduto, le persone ritratte che scopriranno tra mesi – magari alla prima carta rifiutata o alla SIM disattivata – cosa significa far parte di un dataset “ordinato per paese”. Finché continueremo a trattare il documento d’identità come un semplice allegato JPG dentro un SaaS, la domanda non sarà se vedremo un’altra campagna come questa. Ma quando e quanto grande.
Ed è qui che torna il nodo centrale: le persone e i processi. Nessuna tecnologia, da sola, potrà mai prevenire la mancanza di una cultura alla sicurezza. Senza formazione continua per chi lavora in reception, senza procedure chiare per la gestione delle identità digitali, ogni investimento tecnico rischia di trasformarsi in un castello di sabbia. La sicurezza non è (solo) un firewall o un cloud più robusto: è la somma di scelte quotidiane, di processi corretti e di persone consapevoli.
L'articolo Dark web e hotel italiani: ecco cosa ci ha rivelato MyDocs sui documenti rubati proviene da il blog della sicurezza informatica.
Ghost-tapping: come i truffatori asiatici riciclano denaro con dalle carte di credito rubate
I truffatori del Sud-est asiatico hanno trovato un nuovo modo per riciclare denaro utilizzando carte di credito rubate. I ricercatori hanno segnalato un sistema che chiamano “ghost-tapping“, in cui i dati delle carte rubate vengono caricati su un telefono chiamato “bruciatore” e poi utilizzati per effettuare acquisti nei negozi.
In primo luogo, i criminali ottengono i dati delle carte di credito tramite phishing, ingegneria sociale o virus per dispositivi mobili. Per aggirare la protezione, intercettano i codici monouso che la banca invia al cliente. Le informazioni rubate vengono quindi collegate al telefono sotto il controllo dei truffatori. A volte viene utilizzato un software speciale che consente di inviare i dati a più dispositivi contemporaneamente.
Questi telefoni vengono poi venduti su canali Telegram chiusi. Gli acquirenti sono organizzazioni criminali che assoldano prestanome per fare shopping. Il più delle volte, si tratta di beni di lusso che vengono poi rivenduti, anche attraverso gli stessi canali Telegram.
La polizia di Singapore ha già registrato un aumento di tali attacchi. Solo negli ultimi tre mesi del 2024, sono stati registrati 656 casi in cui i dati delle carte rubate sono stati utilizzati per collegare portafogli mobili. Il danno totale è ammontato a circa 1,2 milioni di dollari. Le autorità avvertono i residenti di non inserire i dati delle carte di credito su siti dubbi e soprattutto di non confermare le transazioni con password monouso.
Lo scorso novembre, la polizia di Singapore ha arrestato quattro cittadini cinesi che cercavano di acquistare beni costosi per conto di gruppi criminali. In primavera, due cittadini taiwanesi sono stati arrestati per azioni simili. Questo si inserisce in una tendenza più ampia: l’Ufficio delle Nazioni Unite contro la Droga e il Crimine ha precedentemente rilevato un rapido aumento delle operazioni fraudolente nella regione e la creazione di un’intera “industria” di servizi a supporto di tali schemi.
Secondo i ricercatori, una parte significativa delle vendite tramite ghost-tapping avviene tramite i canali Telegram associati alla piattaforma Huione Guarantee. Nonostante l’annuncio della sua chiusura a maggio, la sua infrastruttura continua a funzionare ed è utilizzata dai criminali. Inoltre, le piattaforme alternative Xinbi Guarantee e Tudou Guarantee sono attive e offrendo servizi simili per incassare fondi rubati.
Gli esperti avvertono che la combinazione di professionalità e portata di tali programmi oltre i confini nazionali li rende una seria sfida per le forze dell’ordine in Asia e altrove.
L'articolo Ghost-tapping: come i truffatori asiatici riciclano denaro con dalle carte di credito rubate proviene da il blog della sicurezza informatica.
Guerra Elettronica. La Cina sviluppa una lampada che blocca i radar nemici per chilometri
Gli ingegneri cinesi hanno annunciato lo sviluppo di un tubo a onda progressiva (TWT) in miniatura che potrebbe rivoluzionare le capacità dei sistemi di guerra elettronica e dei radar moderni. Questo speciale tipo di tubo a vuoto amplifica i segnali a radiofrequenza nella gamma delle microonde ed è da tempo considerato un elemento chiave dei sistemi radar e dei collegamenti di comunicazione satellitare. La caratteristica principale del TWT è che l’onda elettromagnetica interagisce con il fascio di elettroni lungo l’intera lunghezza della spirale, garantendo un’ampia larghezza di banda e un’elevata efficienza.
Per lungo tempo, l’introduzione su larga scala dei TWT è stata ostacolata dalle loro dimensioni: integrare centinaia e migliaia di tali moduli in array di antenne a fasatura variabile era tecnicamente difficile. Tuttavia, gli specialisti cinesi sono riusciti a ridurre le dimensioni di un potente TWT della gamma X-Ku a 20 millimetri di altezza, ovvero meno della metà dello spessore degli analoghi occidentali. Secondo quanto riportato dai media, la nuova lampada ha dimensioni paragonabili a quelle di una pistola ed è in grado di amplificare impulsi a microonde nell’intervallo da 8 a 18 gigahertz, erogando oltre 500 watt di potenza attraverso sottili conduttori a spirale.
Strutturalmente, un tubo a onda progressiva è un cilindro con un cannone elettronico che forma il catodo, le piastre anodiche, un collettore e una spirale (o sistema di risonatori). Il segnale a radiofrequenza in ingresso viene inviato a un’estremità della spirale e il segnale amplificato viene prelevato dall’estremità opposta. Per aumentare il tempo di interazione del fascio di elettroni con il campo elettromagnetico, viene utilizzata una cosiddetta struttura di rallentamento: le più comuni sono una spirale e un sistema di risonatori accoppiati. Queste soluzioni consentono di “adattare” la velocità di propagazione del campo alla velocità degli elettroni, il che è fondamentale per un’amplificazione efficace.
La ricerca è stata guidata da Shi Xuechun, scienziato presso il Beijing Institute of Vacuum Electronics, parte della China Electronics Technology Group Corporation. A giugno, il team di ricerca ha pubblicato i risultati sulla rivista peer-reviewed Vacuum Electronics. L’articolo ha evidenziato progressi significativi nei TWT miniaturizzati in Cina, con maggiore larghezza di banda, potenza ed efficienza.
Nei test di laboratorio, il nuovo TWT ha mostrato dimensioni di 185 × 30 × 20 mm con una potenza di uscita di oltre 549 watt, un guadagno di 26 dB e un’efficienza dinamica di trasmissione del fascio di elettroni superiore al 97% sull’intero raggio. Tali parametri garantiscono un notevole aumento della portata e della precisione di rilevamento nei sistemi di difesa aerea e missilistica. Allo stesso tempo, l’efficienza di soppressione e la portata dei sistemi di guerra elettronica multiraggio risultano significativamente aumentate.
Gli autori del lavoro sottolineano che negli array di antenne a fase il numero di elementi radianti si misura in centinaia o migliaia, e sono le dimensioni del TWT a influenzare direttamente i parametri critici del sistema, dai lobi laterali del diagramma di radiazione al peso totale e alla possibilità di installazione su diverse piattaforme. La miniaturizzazione e l’aumento dell’efficienza consentono a tali moduli di essere integrati in moderni complessi multifunzionali di nuova generazione, tra cui sistemi di comunicazione satellitare e radar a lungo raggio.
Pertanto, lo sviluppo degli ingegneri cinesi non solo dimostra l’indipendenza tecnologica del Paese nel campo dell’elettronica del vuoto, ma apre anche la strada alla creazione di sistemi di guerra elettronica più potenti e compatti, in grado di fornire un vantaggio strategico in un conflitto militare.
L'articolo Guerra Elettronica. La Cina sviluppa una lampada che blocca i radar nemici per chilometri proviene da il blog della sicurezza informatica.
reshared this
Vulnerabilità critica da score 10 in Erlang/Open Telecom Platform: exploit attivi in aumento
I ricercatori hanno registrato che una falla critica nell’implementazione dello stack SSH di Erlang/Open Telecom Platform ha iniziato a essere sfruttata attivamente già all’inizio di maggio 2025; circa il 70% dei rilevamenti si è verificato su firewall che proteggevano i segmenti industriali . La campagna è iniziata dopo il rilascio delle correzioni: le patch sono apparse ad aprile nelle versioni OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20.
Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-32433 e un punteggio CVSS massimo di 10,0. Riguarda la mancanza di autenticazione nell’implementazione nativa di SSH: avendo accesso di rete al servizio Erlang/OTP, un aggressore può eseguire codice arbitrario senza credenziali. Considerando che l’SSH integrato è responsabile non solo delle sessioni crittografate, ma anche del trasferimento di file e dell’esecuzione di comandi remoti, tale difetto minaccia direttamente tutte le istanze aperte.
Nel giugno 2025, il CISA ha aggiunto il CVE-2025-32433 al catalogo KEV , confermando la presenza di exploit pubblici. Gli analisti dell’Unità 42 di Palo Alto Networks, Adam Robbie, Yiheng An, Malaw Vyas, Cecilia Hu, Matthew Tennis e Zhanghao Chen , sottolineano che una falla in questo sottosistema apre le porte a exploit senza password, rendendo i nodi vulnerabili facili bersagli.
La telemetria mostra che oltre l’85% dei tentativi è stato effettuato nei settori medico, agricolo, dei media e dell’alta tecnologia. La geografia è ampia: Stati Uniti, Canada, Brasile, India, Australia e altre regioni. Sono state osservate brevi serie di richieste intensive, rivolte principalmente alle reti OT, e gli aggressori hanno cercato di raggiungere sia le consuete porte IT sia i servizi industriali specializzati.
Le infiltrazioni riuscite utilizzavano reverse shell per ottenere accesso remoto e insediarsi all’interno dell’infrastruttura della vittima, dopodiché iniziavano le operazioni di ricognizione, estrazione dei dati e spostamento tra i nodi. L’identità del gruppo dietro l’ondata non è ancora stata accertata.
I servizi aperti sulle porte comuni ai sistemi industriali mostrano che nelle reti OT di tutto il mondo permane un’enorme superficie di attacco. La natura degli attacchi varia, ma il quadro generale è lo stesso: brevi periodi di attività, una chiara propensione verso l’OT e tentativi di sfruttare sia i gateway IT che quelli industriali, tutti elementi che suggeriscono sofisticate tattiche offensive volte a rilevare rapidamente i punti vulnerabili prima che gli amministratori possano distribuire gli aggiornamenti.
L'articolo Vulnerabilità critica da score 10 in Erlang/Open Telecom Platform: exploit attivi in aumento proviene da il blog della sicurezza informatica.
Ho sognato che mi prodigavo nel fornire a persone mezzi per esprimersi.
Un po' come fa l'amico @Snow.
Oppure come vedo accadere nella serie americana In Treatment, che — a tempo perso — sto seguendo in questi giorni con mia moglie. È una serie televisiva del 2008, molto avvincente, incentrata sulle sedute psicoterapeutiche del protagonista Paul Weston, interpretato dall'irlandese Gabriel Byrne (che conoscevo per avere interpretato il professor Friedrich Bhaer in Piccole Donne ma che ha una filmografia più lunga della Divina Commedia).
La serie è stata prodotta dal colombiano Rodrigo Garcia, figlio dello scrittore Gabriel García Márquez ed è ispirata a una serie israeliana il cui ideatore figura fra i produttori esecutivi.
Estiqaatzi reshared this.
Silent Speak and Spell Gets Its Voice Back
While talking computers are old hat today, in 1978, a talking toy like the Speak and Spell was the height of novel tech. [Kevin] found a vintage one, but it didn’t work. It looked like someone had plugged in the wrong power adapter, leading to, undoubtedly, one or more unhappy children. There was some damage that suggests someone had already tried to repair it, but without success.
In addition to effecting the repair, [Kevin] took lots of pictures, so if you ever wanted to peek inside one of these, this is your chance. The case had no screws, just clips, although apparently some of the newer models did have some screws.
In addition to a sophisticated speech synthesizer, the gadget had a sophisticated power supply to drive the vacuum fluorescent display. The power supply board had a suspicious burn mark and a cracked TO-92 transistor.
[Kevin] found that someone had reversed a schematic for a similar power board used in a different version of the toy, but it was close enough. The simple switching power supply used a handful of bipolar transistors. The cracked transistor was one of a pair, so to be safe, both needed replacement. After all, the transistor failing either put a high load on the uncracked transistor or, perhaps, it cracked because the other transistor failed first.
Oddly, after that repair, the device would work with an AC adapter, but not with batteries. The battery voltage is a little lower, so with a little simulation and some changes in components, the device works again, even with weaker batteries. You can see the startup sequence on a scope in the video below.
If you want to explore Speak and Spells yourself, don’t miss the bibliography at the end of the post. Some people swear by these toys. Other people make them swear. If you’d rather build something new than repair, there’s help for you.
youtube.com/embed/dADi1DFhypU?…
Il tribunale decide che "Pay or Okay" su DerStandard.at è illegale Il Tribunale amministrativo federale austriaco conferma che il quotidiano "DerStandard" ha violato il GDPR introducendo il modello "Pay or Okay". franziska18 August 2025
The PC In Your Pico
We’re all used to emulating older computers here, and we’ve seen plenty of projects that take a cheap microcontroller and use it to emulate a classic home computer or gaming platform. They’re fun, but serve mostly as a way to relive old toys.
As microcontrollers become faster though it’s inevitable that the machines they can emulate become more powerful too, so we’re moving into the realm of emulating productivity machines from years past. An example is [Ilya Maslennikov]’s pico-286, which as its name suggests, is a 286 PC emulator for the Raspberry Pi Pico.
It has an impressive set of sound and video card emulations, can drive either a VGA or an HDMI monitor, and uses a PS/2 keyboard and mouse. If DOS games are your thing it should provide what you want, but it’s caught our eye because there was a time when a 286 DOS PC was a productivity machine. There’s a huge library of still-useful software for DOS, and thus the prospect of a handheld DOS PC still has some appeal. We’d love to see someone put this in a badge.
MS-DOS may no longer be for sale, but there are several ways to land an open-source DOS in 2025. FreeDOS is something of a powerhouse.
Adjustable Allen Key After All These Years
The Allen key turns 115 this year. It’s strange to believe that in all that time, no one has come up with an adjustable version, but apparently true. Luckily [Chronova Engineering] has taken up the challenge in his latest video.
The video is a fascinating glimpse at the toolmaker’s art–manual machining and careful human judgement. Humans being the fallable creatures we are, the design goes through a few iterations. After the first failure in metal, [Chronova] falls back on 3D printing to rapidly prototype the next six iterations. Given how much work goes into manually machining the designs, we can only imagine the time savings that represents.
The final version is has classic hexagonal rod split in two, so that a chisel-shaped rod can spread the two prongs out to engage the sides of the Allen bolt. Even with that settled, the prongs and wedge had to be redesigned several times to find exact shape and heat-treatment that would work. At this point the range is anything between 4 mm and 6 mm, which is admittedly narrow, but [Chronova Engineering] believes the mechanism has the potential to go wider.
The design is not being patented, but the drawings are available via the [Chronova Engineering] Patreon if you really need an adjustable Allen key and don’t feel like reverse-engineering the mechanism from video. It’s a much larger project than we’ve featured from this channel before– enormous, really, compared to steam engines that fit on pencil erasers or electric motors that squeeze through the eye of a needle.
Our thanks hall-of-fame tipster [Keith Olson] for letting us know about this one. If you want a slice of that fame for yourself, the tips line is always open.
youtube.com/embed/8IewMXUzt7U?…
Comunque vada oggi inizia il processo di disgregazione sia della NATO sia della UE.
Se i leaders europei si allineano ammettono di parlare a vanvera e la loro irrilevanza.
Se non si allineano Trump lascerà a loro il compito di portare la Russia "alla resa", come dice la Picierno e suggerisce anche Provenzano. E buona fortuna.
A quel punto alcuni leaders e alcuni paesi (i volenterosi) sono di fatto in guerra con la Russia. Gli usa inizieranno a ritirare le loro truppe dall'Europa.
La Meloni dovrà scegliere tra questi leaders e Trump. Credo si sgancerà dai volenterosi. Gli USA non lasceranno il territorio italiano e manterranno le loro basi in Italia. Gli serve per il mediterraneo. L'Italia non sarà toccata dalla guerra.
A Spagnoli, slovacchi e ungheresi di fare una guerra non importa davvero. A quel punto la UE e la nato di fatto non esistono più. Al massimo rimangono carrozzoni vuoti.
A quel punto, dato che gli ucraini (quelli reali) non vogliono e non possono più combattere, gli europei volenterosi dovranno combattere, senza il sostegno americano e pagando per le armi che questi forniranno.
Tutti gli amici che si sono ubriacati di retorica saranno accontentati.
Perché parlano di "pace giusta" intendendo che la Russia si arrenda dopo centinaia di miglia di morti. Se fossero meno ipocriti parlerebbero chiaro: la loro pace giusta e' la guerra.
Se l'Europa vuole la guerra, ed è chiaro che vuole solo quello (la kallas è stata chiarissima), avrà la guerra.
(Vincenzo Costa)
📍 Embrun, la città sospesa tra cielo e roccia
Immagina una città che sembra sfidare la gravità, aggrappata a uno sperone roccioso che domina la valle della Durance. Benvenuti a Embrun, la “piccola Nizza delle Alpi” 🌄, dove il sole bacia le pietre antiche e il vento racconta storie millenarie.
Fondata dai Celti con il nome di Eburodunum (da Ebr = acqua e Dun = collina fortificata), Embrun ha sempre avuto un legame profondo con la sua posizione: arroccata su una morena glaciale, il famoso Roc en poudingue, che le dona un panorama mozzafiato e una posizione strategica da cui dominava la Via Domizia, l’antica strada romana che collegava la Gallia all’Italia.
Nel Medioevo fu una potente città episcopale, tanto da essere considerata la capitale delle Alpi Marittime. La sua cattedrale di Notre-Dame-du-Réal, con il suo portico sorvegliato da leoni di pietra e il campanile piramidale, è ancora oggi uno dei gioielli religiosi più importanti delle Alpi francesi.
Ma ciò che rende Embrun davvero unica è il precipizio su cui sorge: una terrazza naturale a 870 metri d’altitudine, da cui si gode una vista a 360° sulle montagne dell’Embrunais e sulla valle sottostante. Un tempo torre di guardia e prigione, oggi la Tour Brune offre uno dei punti panoramici più spettacolari della regione.
📸 Se ti capita di passare da queste parti, non dimenticare di alzare lo sguardo e lasciarti incantare dalla città che sembra sospesa nel tempo… e nello spazio.
#Embrun #StoriaAlpina #ViaggioNelTempo #CittàSospesa #AlteAlpi #NotreDameDuReal #TourBrune #SerrePonçon #NaturaEStoria #PanoramiDaFavola
Lolita Lobosco e la sua capacità di affascinare grazie alla scrittura luminosa di chi l’ha creata
@Giornalismo e disordine informativo
articolo21.org/2025/08/lolita-…
Nell’epoca buia delle narrazioni sghembe, dove troppo spesso le storie si piegano
Mauro andante con moto likes this.
I, 3D Printer
Like many of us, [Ben] has too many 3D printers. What do you do with the old ones? In his case, he converted it into a robotic camera rig. See the results, including footage from the robot, in the video below. In addition to taking smooth video, the robot can spin around to take photos for photogrammetry.
In fact, the whole thing started with an idea of building a photogrammetry rig. That project didn’t go as well as planned, but it did lead to this interesting project.
Motion control used to be exotic, but 3D printers really put it in the mainstream. The printer has motors, lead screws, gears, and belts. Of course, there are plenty of 3D printed parts, too. He did buy a few new pieces of extrusion and some longer belts. In addition, he had to upgrade one stepper to one that uses gears.
The camera tilts plus or minus 90 degrees on what used to be the X axis. The Y axis moves the camera forward and backward. The Z axis still moves up and down, but the extruder motor has a new job.
The extruder motor rotates the target object. Originally, the plan was to spin the camera, but that was difficult since the ring is 18 inches across. In addition to reliably moving it, there’s the wire management to worry about, too. So even though the original plan was to rotate the camera, the final project rotates the object on a turntable.
After prototyping with the 3D printer, he had an outside service CNC many of the parts in metal, both for the appearance and for the rigidity. But we imagine it would be fine with good-quality 3D printed parts.
Overall, a nice way to upcycle an old printer. We didn’t see the design files for any of the parts, but you’d probably have to customize your approach anyway. We’ve seen plenty of these camera rigs. Some of them recycle other tech.
youtube.com/embed/Qk4X3khyoXI?…
Reintegrati gli agenti che hanno ucciso Federico Aldovrandi. La frasi del padre
@Giornalismo e disordine informativo
articolo21.org/2025/08/reinteg…
I quattro agenti condannati per la morte di Federico Aldovrandi, il ragazzo di 18 anni bloccato, manganellato e soffocato il 25 settembre
2025 One Hertz Challenge: Timekeeping at One Becquerel
The Becquerel (Bq) is an SI unit of radioactivity: one becquerel is equivalent to one radioactive decay per second. That absolutely does not make it equivalent to one hertz — the random nature of radioactive decay means you’ll never get one pulse every second — but it does make it interesting. [mihai.cuciuc] certainly thought so, when he endeavored to create a clock that would tick at one becquerel.
The result is an interesting version of a Vetinari Clock, first conceived of by [Terry Pratchett] in his Discworld books. In the books, the irregular tick of the clock is used by Lord Vetinari as a form of psychological torture. For some reason, imposing this torture on ourselves has long been popular amongst hackers.
Without an impractical amount of shielding, any one-becquerel source would be swamped by background radiation, so [mihai] had to get creative. Luckily, he is the creator of the Pomelo gamma-ray spectroscope, which allowed him to be discriminating. He’s using an Am-241 source, but just looking for the characteristic 59.5 KeV gamma rays was not going to cut it at such a low count rate. Instead he’s using two of the Pomelo solid-state scintillation as a coincidence detector, with one tuned for the Am-241’s alpha emissions. When both detectors go off simultaneously, that counts as an event and triggers the clock to tick.
How he got exactly one becquerel of activity is a clever hack, too. The Am-241 source he has is far more active than one decay per second, but by varying the distance from the gamma detector he was able to cut down to one detection per second using the inverse square law and the shielding provided by Earth’s atmosphere. The result is a time signal that is a stable one hertz… if averaged over a long enough period. For now, anyway. As the Am-241 decays away, its activity decreases, and [mihai] admits the clock loses about 0.4 seconds per day.
While we won’t be giving the prize for accuracy in this contest, we are sure Lord Vetinari would be proud. The Geiger-counter sound effect you can hear in the demo video embedded below is great touch. It absolutely increases the psychic damage this cursed object inflicts.
youtube.com/embed/x_zuBJ4F6ZQ?…
Tuesday: Oppose Police Social Media Surveillance
Boston Police (BPD) continue their efforts rollout more surveillance tools. This time on social media.
Tuesday, August 19th, the Boston Public Safety Committee will hold a hearing on the Boston 2024 Surveillance Technology Report including police usage of three new tools to monitor social media posts. Any tool BPD uses will feed into the Boston Regional Information Center (BRIC) and Federal agencies such as ICE, CBP and the FBI.
If you want to tell the Boston Public Safety committee to oppose this expansion of surveillance, please show up on the 19th virtually. Details are posted, but to sign up to speak, email ccc.ps@boston.gov and they will send you a video conference link. We especially encourage Boston Pirates to attend and speak against this proposal. The Docket # is 1357.
Paolo Redaelli
in reply to Cybersecurity & cyberwarfare • • •Cybersecurity & cyberwarfare
in reply to Paolo Redaelli • •Oggi L'unica cosa che può tenere in vita un produttore di auto è farsi pagare i servizi a valore aggiunto.
Non voglio giustificare i produttori, ma far capire che non c'è una grande alternativa
Paolo Redaelli
in reply to Cybersecurity & cyberwarfare • • •Cybersecurity & cyberwarfare likes this.
Cybersecurity & cyberwarfare
in reply to Paolo Redaelli • •