L’FBI offre una generosa ricompensa a chiunque aiuti a trovare Amin Stigal, 23 anni, e Timur Stigal, 47 anni, padre e figlio. Sono accusati di aver violato i sistemi informatici di agenzie governative in Ucraina e in decine di paesi occidentali. Inoltre, i loro precedenti includono presunte “azioni sovversive” in collaborazione con ufficiali russi del GRU, traffico di dati di carte di credito rubate, estorsione e altro ancora.

A quanto pare, la famiglia Stigall ora vive a Saratov.

Timur Stigall ha ammesso in una conversazione con i giornalisti di aver partecipato ad alcune operazioni contro i servizi segreti stranieri. Tuttavia, nega la colpevolezza del figlio Amin.

Va notato che anche Amin Stigall è rimasto sorpreso quando, il 26 giugno 2024, una persona sconosciuta gli ha inviato un link a un messaggio su Telegram in cui si affermava che l’FBI lo aveva dichiarato ricercato.

A quel tempo, il ragazzo studiava in un istituto tecnico a Khasavyurt, specializzato in “operatore di risorse informative”, ma è stato espulso al primo anno per assenteismo. Secondo le agenzie di intelligence americane, Amin, in collaborazione con cinque dipendenti del GRU dello Stato Maggiore delle Forze Armate della Federazione Russa, avrebbe partecipato all’hacking di sistemi informatici a partire da dicembre 2020, in particolare sarebbe stato coinvolto in attacchi al portale ucraino Diya (analogo al russo “Gosuslugi”). All’epoca, Amin non aveva nemmeno 20 anni.

Di conseguenza, nell’agosto del 2024, un tribunale americano emise un mandato di arresto per Amin e l’FBI fissò una ricompensa.

Per questo motivo, l’uomo vive in uno stato di costante stress. Crede di essere stato accusato di qualcosa che non ha commesso.

Un rapporto del National Cyber ​​Security Center (NCSC) degli Stati Uniti ha inoltre coinvolto il GRU nel tentativo di interferire nelle elezioni che hanno portato al potere Donald Trump. Secondo l’NCSC, il GRU è associato a diversi gruppi di hacker: Fancy Bear; Sofacy; Pawnstorm; Sednit; CyberCaliphate; CyberBerkut; Voodoo bear; BlackEnergy Actors; Strontium; Tsar Team e Sandworm.

Anche Germania, Paesi Bassi, Australia e Nuova Zelanda hanno accusato il GRU di aver condotto una campagna mondiale di attacchi informatici “dannosi”.

L'articolo Padre e Figlio ricercati dall’FBI. 10 milioni di ricompensa per gli hacker che collaboravano con il GRU proviene da il blog della sicurezza informatica.

È iniziato il processo all’equipaggio della petroliera Eagle S, che nel 2024 ha strappato diversi cavi sottomarini nel Golfo di Finlandia. Il capitano di una petroliera e i suoi due ufficiali, sono stati accusati di aver danneggiato cinque cavi sottomarini per l’energia e le telecomunicazioni mentre la nave lasciava la Russia e attraversava il Golfo di Finlandia. Entrambi hanno negato la loro colpevolezza durante il processo iniziato lunedì a Helsinki.

L’accusa sostiene che l’equipaggio della petroliera Eagle S abbia deliberatamente trascinato l’ancora sul fondale marino per recidere il cavo di trasmissione elettrica Estlink 2 che collega Estonia e Finlandia, nonché altre quattro linee Internet. Secondo l’accusa, le forze di sicurezza finlandesi hanno intercettato l’imbarcazione dall’alto e l’hanno costretta a entrare nelle acque territoriali del Paese facendo sbarcare truppe da elicotteri.

Gli imputati hanno negato la loro colpevolezza e hanno respinto le richieste degli operatori via cavo secondo cui avrebbero chiesto un risarcimento danni per un valore di 70 milioni di dollari.

I procuratori finlandesi chiedono una condanna a 2 anni e mezzo di carcere per il capitano, il cittadino georgiano David Vadachkoria, che comandava la petroliera registrata nelle Isole Cook. Sono state richieste anche pene detentive effettive per i vice capitani indiani, il primo e il secondo ufficiale. Sono accusati di un reato grave di danneggiamento e grave interferenza con le telecomunicazioni.

L’avvocato del capitano, Tommi Heinonen, ha insistito in tribunale affinché l’incidente venisse classificato come “incidente marittimo”. Ha inoltre sostenuto che la giurisdizione finlandese non era applicabile, poiché il cavo era stato danneggiato in acque internazionali.

Secondo la difesa, l’ancora è finita sul fondo a causa di un malfunzionamento. Secondo la procura, il 25 dicembre la petroliera ha continuato a navigare a bassa velocità per tre ore dopo la rottura del primo cavo.

Le autorità finlandesi hanno contattato l’equipaggio e hanno chiesto se l’ancora fosse stata sollevata e assicurata. L’equipaggio ha risposto affermativamente. Gli avvocati degli imputati hanno affermato che l’equipaggio si è basato sulle informazioni fornite dal meccanico, che ha spiegato il calo di velocità come un “malfunzionamento del motore”.

Secondo la procura, quella sera la nave avrebbe danneggiato altri quattro cavi, il che, secondo la procura, conferma l’esistenza di un dolo. Nel diritto penale finlandese, la pena massima per un reato grave che comporti danni è di dieci anni di carcere. Per gravi interferenze con le infrastrutture di telecomunicazione, è prevista una pena detentiva fino a cinque anni.

I pubblici ministeri sottolineano che le azioni dell’equipaggio hanno creato gravi rischi per l’approvvigionamento energetico e le comunicazioni della Finlandia.

L'articolo Processo in corso per i 4 cavi internet danneggiati nel Mar Baltico. l capitano: “sono estraneo da ogni accusa” proviene da il blog della sicurezza informatica.

L’esercito statunitense sta investendo sempre più nella reintroduzione delle capacità di guerra elettronica tra le sue truppe, prevedendo di potenziare le unità a livello di divisione con strumenti informatici avanzati nei prossimi due anni. Questo sviluppo nasce dalla necessità di rispondere a operazioni di guerra informatica a livello tattico, dato che la Cyber Mission Force si concentra principalmente su obiettivi strategici accessibili via Internet, lasciando un vuoto operativo per ciò che avviene direttamente sul campo. Le nuove capacità permetteranno ai comandanti di manovra di utilizzare strumenti digitali terrestri per supportare le proprie formazioni, integrando le operazioni elettroniche e informatiche nelle strategie di combattimento quotidiane.

La maggior parte di queste capacità sarà gestita dall’11° Battaglione Cyber, che fornisce operazioni tattiche di rete terrestre, guerra elettronica e operazioni di informazione. Il battaglione include team di attività informatiche ed elettromagnetiche (ECT) di spedizione, progettati per essere scalabili in base alle esigenze operative. Durante le rotazioni recenti, i team hanno condotto ricognizioni elettromagnetiche, operazioni offensive a radiofrequenza e attacchi speciali a supporto di unità corazzate, di fanteria e aviotrasportate, dimostrando la capacità di integrare strumenti digitali avanzati nelle operazioni sul campo.

Il personale del ramo cyber dell’Esercito, incluso nella 17th Career Series, viene formato sia nella guerra informatica sia in quella elettromagnetica, permettendo di affrontare le sfide che sorgono nei confini sfumati tra cybersecurity tattica, networking RF e guerra elettronica pura. L’istituzione di cellule di Cyber ed Electromagnetic Activity (CEMA) all’interno degli staff di tutti i livelli garantisce la pianificazione e la sincronizzazione delle capacità, consentendo ai team ECT di essere schierati rapidamente quando i comandanti lo ritengono necessario. La sperimentazione in corso mira a individuare le sedi più efficaci per distribuire questi team, sia a livello di teatro operativo sia di corpo d’armata.

Uno dei principali obiettivi dell’Esercito è trovare un equilibrio tra capacità a livello locale e a livelli superiori, permettendo alle forze informatiche di comprendere le attività nemiche e decidere se intervenire direttamente o richiedere supporto superiore. La sperimentazione condotta dal Cyber Center of Excellence ha evidenziato come la comprensione dello spazio IP e dello spettro RF sia fondamentale per una risposta tempestiva ed efficace, garantendo al contempo la protezione delle proprie reti e la capacità di neutralizzare le minacce avversarie.

Le capacità informatiche a livello di divisione non saranno fornite solo dall’11° Battaglione Cyber, ma anche dalla Multi-Domain Task Force dell’esercito statunitense. L’integrazione di questi strumenti nelle formazioni tattiche sul campo diventa una priorità strategica per il capo consulente informatico dell’Esercito, il quale ha il compito di garantire che le risorse necessarie siano allocate in modo efficiente e che la cyber-expeditionary sia pienamente operativa. L’adozione di tali capacità consente di operare efficacemente in ambienti complessi, dove l’accesso remoto non è sempre possibile e la guerra elettronica richiede interventi ravvicinati.

Il Generale Ryan Janovic ha sottolineato che comprendere lo spazio IP e la rete in cui si opera è essenziale per fornire supporto immediato ai comandanti, mentre Brandon Pugh, primo consulente informatico capo dell’Esercito, ha evidenziato l’importanza di sensibilizzare l’opinione pubblica e i vertici militari sulla necessità di integrare le capacità informatiche e di guerra elettronica in tutta la forza di combattimento. Solo attraverso questa integrazione sarà possibile garantire prontezza operativa, rapidità di risposta e sicurezza sul futuro campo di battaglia.

In conclusione, l’Esercito degli Stati Uniti sta trasformando la propria struttura digitale e tattica per affrontare le minacce informatiche emergenti. Con la creazione di team specializzati, l’istituzione di cellule CEMA e la sperimentazione di strategie di integrazione, le divisioni saranno in grado di operare con maggiore autonomia e efficacia, portando la guerra elettronica e le operazioni cyber direttamente dove servono, rafforzando le capacità complessive delle forze statunitensi sul terreno.

L'articolo L’Esercito USA si evolve: più potenza per operazioni cyber e elettroniche proviene da il blog della sicurezza informatica.

I ricercatori di Zscaler hanno scoperto che 77 app Android dannose, con un totale complessivo di oltre 19 milioni di installazioni, distribuivano varie famiglie di malware nello store ufficiale di Google Play.

“Abbiamo identificato un forte aumento del numero di app pubblicitarie dannose nel Google Play Store, insieme a minacce come Joker, Harly e trojan bancari come Anatsa”, scrivono gli esperti. “Allo stesso tempo, si è registrata una notevole diminuzione dell’attività di famiglie di malware come Facestealer e Coper.”

I ricercatori hanno scoperto la campagna mentre indagavano su una nuova ondata di infezioni da trojan bancario Anatsa (noto anche come Tea Bot) che prendevano di mira i dispositivi Android.

Sebbene la maggior parte delle app dannose (oltre il 66%) contenesse adware, la minaccia più comune era Joker, che i ricercatori hanno trovato in quasi il 25% delle app analizzate. Una volta installato sul dispositivo della vittima, Joker è in grado di leggere e inviare SMS, acquisire screenshot, effettuare chiamate, rubare elenchi di contatti, accedere alle informazioni del dispositivo e iscrivere gli utenti a servizi premium.

Una percentuale minore di applicazioni dannose si è rivelata mascherata da vari programmi innocui (i ricercatori hanno definito tali minacce con il termine “maskware“). Tali applicazioni fingono di essere legittime e di avere le funzioni dichiarate nella descrizione, ma svolgono attività dannose in background.

È stata scoperta anche una variante del malware Joker chiamata Harly, un’app legittima con un payload dannoso nascosto in profondità nel codice per evitare di essere rilevato. A marzo di quest’anno, Human Security ha segnalato che Harly potrebbe nascondersi in app popolari come giochi, sfondi, torce elettriche ed editor di foto.

Il rapporto di Zscaler rileva che l’ultima versione di Anatsa Banker è in grado di attaccare ancora più applicazioni bancarie e di criptovaluta, aumentandone il numero da 650 a 831. Pertanto, il malware scarica pagine di phishing e un modulo keylogger dal suo server di comando e controllo e ora può attaccare utenti da Germania e Corea del Sud.

Gli autori del malware utilizzano come esca un’applicazione chiamata Document Reader – File Manager, che scarica Anatsa solo dopo l’installazione per eludere i controlli di Google. Inoltre, nella nuova campagna, gli aggressori sono passati dal caricamento dinamico remoto del codice DEX all’installazione diretta del malware, decomprimendolo dai file JSON ed eliminandolo.

Per evitare l’analisi statica, il trojan utilizza archivi APK corrotti, la crittografia DES delle stringhe durante l’esecuzione ed è in grado di rilevare l’emulazione. Anche i nomi e gli hash dei pacchetti cambiano periodicamente.Gli analisti di Zscaler segnalano che Google ha rimosso dallo store ufficiale tutte le app dannose rilevate.

L'articolo 19 milioni di installazioni relative a 77APP distribuiscono malware su Google Play proviene da il blog della sicurezza informatica.

Neutrinos are exceedingly common in the Universe, with billions of them zipping around us throughout the day from a variety of sources. Due to their extremely low mass and no electric charge they barely ever interact with other particles, making these so-called ‘ghost particles’ very hard to detect. That said, when they do interact the result is rather spectacular as they impart significant kinetic energy. The resulting flash of energy is used by neutrino detectors, with most neutrinos generally pegging out at around 10 petaelectronvolt (PeV), except for a 2023 event.

This neutrino event which occurred on February 13th back in 2023 was detected by the KM3NeT/ARCA detector and has now been classified as an ultra-high energy neutrino event at 220 PeV, suggesting that it was likely a cosmogenic neutrinos. When we originally reported on this KM3-230213A event, the data was still being analyzed based on a detected muon from the neutrino interaction even, with the researchers also having to exclude the possibility of it being a sensor glitch.

By comparing the KM3-230213A event data with data from other events at other detectors, it was possible to deduce that the most likely explanation was one of these ultra-high energy neutrinos. Since these are relatively rare compared to neutrinos that originate within or near Earth’s solar system, it’ll likely take a while for more of these detection events. As the KM3NeT/ARCA detector grid is still being expanded, we may see many more of them in Earth’s oceans. After all, if a neutrino hits a particle but there’s no sensor around to detect it, we’d never know it happened.

Top image: One of the photo-detector spheres of ARCA (Credit: KM3NeT)

hackaday.com/2025/08/26/confir…

Il 31 agosto e il 4 settembre 2025, una flottiglia internazionale, la Global Sumud Flotilla, salperà da Spagna, Tunisia e altri porti del Mediterraneo, con una sola rotta: verso Gaza.

Decine di imbarcazioni da oltre 44 Paesi unite in una missione civile per rompere l’assedio illegale imposto al popolo Palestinese.

A bordo: medici, avvocati, giornalisti, artisti e attivisti.
Non solo aiuti: presenza civile internazionale per denunciare crimini e testimoniare resistenza.

Un’intercettazione da parte di Israele sarebbe pirateria, una violazione del diritto internazionale.

La missione GSF chiede:
Stop all’assedio
Stop alla fame usata come arma
Stop alla disumanizzazione
Stop al genocidio

Unisciti. Condividi. Mobilitati.

Dona alla delegazione italiana

Segui global movement to gaza italia

L'articolo Possibile sostiene la Global Sumud Flotilla proviene da Possibile.

Il 24 agosto 2025 ha segnato i 30 anni dal lancio di Windows 95, il primo sistema operativo consumer a 32 bit di Microsoft destinato al mercato di massa, che ha rivoluzionato in modo significativo il mondo dei personal computer. Nell’era della limitata connettività Internet domestica, il software veniva venduto in confezioni e la domanda era da record: un milione di copie furono vendute nei primi quattro giorni e circa 40 milioni in un anno.

Un sistema operativo moderno

Windows 95 rappresentò una svolta nella strategia aziendale. Dopo il successo di Windows 3.0, Microsoft si propose di unire i mondi disparati di MS-DOS e Windows in un’unica esperienza utente. Per raggiungere il pubblico più vasto possibile, i requisiti minimi furono mantenuti molto bassi: un processore 386DX, 4 MB di RAM e 50-55 MB di spazio su disco. In pratica, molti PC “da gioco” a 16 bit dell’epoca non soddisfacevano questi standard, il che causò reazioni contrastanti da parte degli utenti al lancio.

Le principali innovazioni divennero rapidamente standard del settore. C’erano un pulsante e un menu Start, un’interfaccia unificata basata su Windows Explorer, un’API Win32 completa a 32 bit e un ambiente multitasking preselezionato.

Il sistema eseguiva software di tre generazioni contemporaneamente – programmi DOS, applicazioni Windows a 16 bit e nuove applicazioni a 32 bit – grazie a un’architettura ibrida in cui il “kernel” DOS a 16 bit fungeva da bootloader e livello di compatibilità. Persino il programma di installazione si basava su diversi mini-sistemi per supportare il numero massimo di configurazioni PC.

Le basi per tutti gli OS di oggi

Contrariamente a quanto si pensa, non fu il “DOS 7 con shell”, ma un sistema operativo multitasking a 32 bit a tutti gli effetti a stabilire nuove regole sia in ambito tecnologico che di marketing.

Il supporto ufficiale per Windows 95 terminò nel dicembre 2001, ma la sua influenza si fa sentire ancora oggi, dalle abitudini informatiche agli approcci allo sviluppo e alla distribuzione del software.

Il trentesimo anniversario di Windows 95 non è solo una celebrazione nostalgica: rappresenta il riconoscimento di un sistema operativo che ha segnato un punto di svolta nell’informatica consumer. Con la sua interfaccia unificata, il menu Start e il supporto multitasking a 32 bit, Windows 95 ha posto le basi per gli standard dei sistemi operativi moderni e ha cambiato il modo in cui milioni di persone interagiscono con i computer.

Il successo immediato e l’adozione di massa dimostrano quanto fosse importante rendere la tecnologia accessibile, mantenendo requisiti minimi bassi e combinando innovazione e praticità. Ancora oggi, molte delle idee introdotte in quel lontano 1995 – dall’esperienza utente all’integrazione di software legacy – influenzano il design dei sistemi operativi contemporanei, confermando l’eredità duratura di Windows 95 nel mondo dell’informatica.

youtube.com/embed/wRdl1BjTG7c?…

Un lancio esplosivo con i Rolling Stone

Nel lancio di Windows 95, Microsoft ha scelto la celebre canzone dei Rolling Stones, “Start Me Up”, come colonna sonora per la sua campagna pubblicitaria. Questa decisione non solo ha reso memorabile il debutto del sistema operativo, ma ha anche segnato una svolta nel marketing tecnologico.

La scelta di “Start Me Up” si è rivelata perfetta: il titolo della canzone si sposava idealmente con il nuovo “Start Button” introdotto in Windows 95. Tuttavia, ottenere i diritti per utilizzare il brano non è stato semplice. Secondo Brad Chase, responsabile del marketing di Windows 95, Microsoft ha dovuto affrontare trattative difficili con i rappresentanti dei Rolling Stones, che inizialmente chiedevano una cifra considerevole per l’uso del brano. Brad Chase

Nonostante le sfide, l’accordo è stato raggiunto e “Start Me Up” è diventata la colonna sonora di uno degli spot più iconici nella storia della tecnologia. La campagna pubblicitaria, che ha incluso anche apparizioni di celebrità come Jay Leno, Jennifer Aniston e Matthew Perry, ha contribuito a rendere Windows 95 un fenomeno culturale, attirando l’attenzione di milioni di consumatori in tutto il mondo.

Questa mossa ha dimostrato l’importanza di un marketing creativo e mirato, capace di associare un prodotto tecnologico a elementi della cultura popolare, creando un legame emotivo con il pubblico. L’uso di “Start Me Up” ha trasformato il lancio di Windows 95 in un evento memorabile, consolidando la sua posizione nella storia dell’informatica.

L'articolo Buon compleanno Windows 95: 30 anni per un sistema che ha cambiato i PC per sempre! proviene da il blog della sicurezza informatica.

C’è un filo rosso che collega luoghi e tempi distanti nella Storia come l’Irlanda, gli Stati Uniti, l’Australia, il Sud Africa e Israele, un filo che lo storico sudafricano Leonard Thompson ha definito come “mito politico”.

Nel suo libro The political Mythology of Apartheid (1985) lo storico analizza il sistema sudafricano dell’Apartheid e tramite ciò arriva a definire il mito politico come quella “narrazione del passato atta a legittimare o screditare un sistema politico”, più narrazioni unite e atte a rafforzarsi reciprocamente formano, poi, la mitologia politica.

Nel libro, Thompson parla del Sud Africa e dell’avvento dei cosiddetti afrikaner, i primi colonizzatori europei bianchi provenienti dai Paesi Bassi. Per legittimare la loro presenza, infatti, i coloni affermavano fondamentalmente due principi: prima di tutto che i popoli africani fossero presenti da poco in Sud Africa e in seconda battuta che, data la prima affermazione, fossero pochi e quindi selvaggi.

Quest’ultima affermazione, ossia poche persone equivale a essere selvaggi, era stata alla base del ragionamento di un altro storico sudafricano: Francis Jennings. Jennings, che scriveva nel 1975 il suo The Invasion of Americas: Indians, Colonialism and the Cant of Conquest, affermava che il mito politico serviva a “mettere a tacere gli scrupoli morali circa gli eventi passati” e quanto riportato sopra era utile a ciò.

Assieme a lui, anche Robert Berkhofer giunse alla stessa conclusione: “L’immagine del selvaggio serve a razionalizzare la conquista europea”.

Sia Jennings che Berkhofer ragionavano sulla colonizzazione delle Americhe, ma è evidente come questo pensiero possa essere applicato anche in altri contesti, in particolare in quello palestinese. Sarà Edward Said che facendo riferimento a questi studi, infatti, nel suo The Question of Palestine del 1979 chiamò “epistemologia morale dell’imperialismo” quello che potremmo definire come l’inesistente limite morale dei colonizzatori che iniziava, secondo lo scrittore, già con quell’azione definita “annientamento della conoscenza”, ossia la cancellazione della Storia dei popoli indigeni dalle storie ufficiali dei Paesi nati dall’Imperialismo, come ad esempio Israele e gli Stati Uniti stessi.

Una definizione di ciò molto “poetica” viene da Paul Carter che scrisse che i popoli nativi, questa volta riferito agli aborigeni australiani, erano spesso trattati alla stregua della flora e della fauna e quindi “consegnati alla categoria delle informazioni generali […] che abitano il degno dell’eccetera”.

Tutto questo ci mette davanti alla deumanizzazione completa dei Palestinesi che il Sionismo sta compiendo quotidianamente tramite informazioni falsate, narrazioni volutamente propagandistiche e, aggiungo, anche necessariamente tali per riuscire ad unire l’opinione pubblica. Come scriveva Frantz Fanton, “Il colonialista […] arriva al punto di non riuscire più a immaginare che ci sia stato un tempo senza di lui. La sua irruzione nella storia del popolo colonizzato è idealizzata, trasformata in una necessità assoluta”.

Da questo deriva la visione di Israele come salvatore dei fondamenti democratici nei territori del Medio Oriente, nonostante le reiterate violazioni dei diritti umani sui cittadini palestinesi. A ciò va aggiunta la riflessione di Said sul fatto che il gruppo colonizzatore si assume il ruolo di vittima: la madrepatria europea dei coloni è l’oppressore mentre loro perseguono pace e libertà.

Ora, legando tutto questo ragionamento alla propaganda sionista e letta all’interno della questione del genocidio palestinese, capiamo come questo filo rosso non sia nient’altro che il volto più evidente dell’imperialismo coloniale.

Thomas Predieri

(Su www.possibile.com/unafirmaper puoi firmare la petizione per chiedere che Italia-Israele, in programma il 14 ottobre a Udine, non venga disputata.)

L'articolo Il genocidio del popolo palestinese è il volto più evidente dell’imperialismo coloniale proviene da Possibile.

All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli aggressori è stato un account VPN rimasto attivo dopo la cessazione di un ex dipendente. Una semplice dimenticanza che ha permesso agli attaccanti di infiltrarsi nella rete senza sforzi apparenti. Da lì in poi, il resto è stato un gioco di pazienza: movimento silenzioso, escalation dei privilegi e mesi di presenza nascosta all’interno dell’infrastruttura.

All’analisi hanno partecipato Manuel Roccon, Alessio Stefan, Bajram Zeqiri (aka Frost), Agostino pellegrino, Sandro Sana e Bernardo Simonetto.

Scarica il report STAGERSHELL realizzato da Malware Forge

La scoperta di StagerShell

Durante le operazioni di incident response un Blue Team ha individuato due artefatti sospetti. Non erano i soliti file eseguibili, ma script PowerShell capaci di agire direttamente in memoria.

È qui che entra in scena il malware il protagonista del report pubblicato dal laboratorio di Malware Analysis di Red Hot Cyber Malware Forge, che il laboratorio ha dato nome StagerShell. Si tratta di un componente invisibile agli occhi dei sistemi meno evoluti, progettato per preparare il terreno a un secondo stadio più aggressivo, con ogni probabilità un ransomware.

La caratteristica principale di StagerShell è la sua natura fileless. Questo significa che non lascia file sul disco, non sporca l’ambiente con tracce evidenti, ma si insinua nei processi di memoria. Un approccio che gli consente di sfuggire a gran parte delle difese tradizionali. In pratica, il malware non è un ladro che sfonda la porta, ma un intruso che si mescola silenziosamente tra chi vive già nell’edificio, diventando difficile da riconoscere.

Il nome non è casuale: StagerShell è uno “stager”, ovvero un trampolino di lancio. Il suo compito non è infliggere il danno finale, ma aprire un canale invisibile attraverso cui far arrivare il vero payload. In altre parole, prepara la strada e rende più semplice e rapido il lavoro del malware principale, che spesso entra in scena solo nella fase finale, quella più devastante. È il preludio di un attacco che si concretizza quando ormai gli aggressori hanno già ottenuto un vantaggio tattico enorme.

Somiglianze con i grandi gruppi criminali

Gli analisti del Malware Forge hanno notato una forte somiglianza tra StagerShell e strumenti già utilizzati da gruppi criminali come Black Basta. Dopo il collasso di quella sigla, molti suoi affiliati sono confluiti in organizzazioni come Akira e Cactus, molto attive anche in Italia e in particolare nel Nord-Est, la stessa area colpita da questo episodio. Non è stato possibile attribuire con certezza l’attacco, ma il contesto lascia pochi dubbi: si trattava di una campagna ransomware interrotta prima della fase di cifratura. Resta però l’ombra dell’esfiltrazione: su un Domain Controller è stato trovato un file da 16 GB, segno evidente che i dati erano già stati trafugati.

Errori banali e lezioni imparate

Questo caso mostra chiaramente come, spesso, non siano i super exploit a mettere in crisi le aziende, ma gli errori di gestione quotidiani. Un account non disabilitato, una credenziale dimenticata, un controllo mancante. A questo si somma la capacità degli attaccanti di combinare strumenti noti con tecniche di elusione avanzate, capaci di confondere antivirus e sistemi di difesa meno evoluti. È la combinazione perfetta: da una parte la leggerezza delle vittime, dall’altra la creatività dei criminali.

Il report lancia un messaggio chiaro: la sicurezza non è statica. Non basta avere firewall e antivirus se non vengono accompagnati da monitoraggio continuo, revisione costante degli accessi e capacità di risposta rapida agli incidenti. In questo caso sono stati gli alert EDR e la prontezza del Blue Team a impedire il peggio. Ma è evidente che senza un’attenzione maggiore, l’operazione avrebbe potuto concludersi con una cifratura massiva e un fermo totale dell’infrastruttura.

Gli attacchi fileless non sono un fenomeno raro né circoscritto a grandi multinazionali. Sono una realtà quotidiana, che colpisce imprese di tutte le dimensioni. Per gli attaccanti, l’Italia – e in particolare le aree produttive – è un obiettivo redditizio: catene di fornitura critiche, aziende manifatturiere che non possono fermarsi, informazioni preziose da rivendere o utilizzare come leva di ricatto. È un problema sistemico che va affrontato con consapevolezza e serietà.

Perché leggere il report

Il documento del Malware Forge non è un semplice approfondimento tecnico. È uno strumento pratico per capire come gli aggressori operano davvero, quali errori sfruttano e quali contromisure possono fare la differenza. Racconta un caso reale, con protagonisti e dinamiche concrete, e lo traduce in lezioni che ogni organizzazione può applicare. Non è teoria, è esperienza sul campo.

Pubblicare questo tipo di analisi significa trasformare la conoscenza in difesa. È l’idea che guida Red Hot Cyber: riconoscere il rischio, raccontarlo, condividere ciò che si è imparato. Non è un gesto accademico, ma un modo concreto per rendere più difficile la vita agli aggressori e più matura la comunità della sicurezza. Perché il sapere, in questo ambito, non è potere se resta chiuso in un cassetto: diventa potere solo quando è diffuso.

Una sveglia per tutti

StagerShell ci insegna che l’intrusione più pericolosa è spesso quella che non vedi. È il segnale che non ha ancora fatto rumore, la presenza silenziosa che prepara un attacco devastante. Leggere il report significa prendere coscienza di queste dinamiche e portarsi a casa tre convinzioni semplici: chiudere ciò che non serve, vedere ciò che conta, reagire senza esitazione.

La prossima intrusione potrebbe essere già iniziata. E, come StagerShell dimostra, quello che non vedi è proprio ciò che ti mette più in pericolo.

Chi sono gli specialisti di Malware Forge

Gli specialisti di Malware Forge rappresentano il cuore tecnico della sotto-community di Red Hot Cyber dedicata alla Malware Analysis. Si tratta di professionisti con competenze avanzate nell’analisi dei malware, nella reverse engineering, nella sicurezza offensiva e difensiva, capaci di ricostruire comportamenti complessi dei codici malevoli e di tradurli in informazioni pratiche per aziende, istituzioni e professionisti del settore.

Il loro lavoro non si limita alla semplice identificazione di un malware: gli specialisti studiano come gli attaccanti operano, quali vulnerabilità sfruttano, come si muovono lateralmente all’interno delle reti e come pianificano le loro campagne (anche con la collaborazione degli altri gruppi di Red Hot Cyber come HackerHood specializzati nell’hacking etico oppure Dark Lab, specializzati nella cyber threat intelligence. Grazie a questa expertise, Malware Forge produce report dettagliati e documenti tecnici, trasformando dati grezzi in intelligence operativa e tattica che permette di prevenire e mitigare attacchi reali.

Chi fosse interessato a entrare a far parte della community e collaborare con Malware Forge può trovare tutte le informazioni e le modalità di adesione in questo articolo ufficiale: Malware Forge: nasce il laboratorio di Malware Analysis di Red Hot Cyber.

L'articolo STAGERSHELL: quando il malware non lascia tracce. L’analisi di Malware Forge proviene da il blog della sicurezza informatica.