3D prints destined for presentation need smooth surfaces, and that usually means sanding. [Uncle Jessy] came across an idea he decided to try out for himself: spraying Bondo spot putty onto a 3D print. Bondo spot putty comes from a tube, cures quickly, and sands smoothly. It’s commonly used to hide defects and give 3D prints a great finish. Could spraying liquified Bondo putty onto a 3D print save time, or act as a cheat code for hiding layer lines? [Uncle Jessy] decided to find out.
Gaps and larger flaws still need to be filled by hand, but spray application seems to be a big time saver if nothing else.
The first step is to turn the distinctive red putty into something that can be sprayed through a cheap, ten dollar airbrush. That part was as easy as squeezing putty into a cup and mixing in acetone in that-looks-about-right proportions. A little test spray showed everything working as expected, so [Uncle Jessy] used an iron man mask (smooth surfaces on the outside, textured inside) for a trial run.

Spraying the liquified Bondo putty looks about as easy as spraying paint. The distinctive red makes it easy to see coverage, and it cures very rapidly. It’s super easy to quickly give an object an even coating — even in textured and uneven spots — which is an advantage all on its own. To get a truly smooth surface one still needs to do some sanding, but the application itself looks super easy.

Is it worth doing? [Uncle Jessy] says it depends. First of all, aerosolizing Bondo requires attention to be paid to safety. There’s also a fair bit of setup involved (and a bit of mess) so it might not be worth the hassle for small pieces, but for larger objects it seems like a huge time saver. It certainly seems to cover layer lines nicely, but one is still left with a Bondo-coated object in the end that might require additional sanding, so it’s not necessarily a cheat code for a finished product.

If you think the procedure might be useful, check out the video (embedded below) for a walkthrough. Just remember to do it in a well-ventilated area and wear appropriate PPE.

An alternative to applying Bondo is brush application of UV resin, but we’ve also seen interesting results from non-planar ironing.

youtube.com/embed/dj6PETgwqgY?…

hackaday.com/2025/08/31/watch-…

LA TUA FIRMA CONTRO L'INCENERITORE, BASTA POTERI SPECIALI!

Ad Albano piazza San Pietro fino alle 12.30, a Genzano Piazza Francioni fino alle 13 e a Tor San Lorenzo Piazza Falcone e Borsellino tutto il giorno (ore 20.00).

Ospitando progetti falsi su piattaforme di sviluppo popolari (GitHub e GitLab), gli aggressori inducono gli utenti a eseguire payload dannosi che estraggono componenti aggiuntivi da un repository controllato dagli hacker. Di conseguenza, trojan di accesso remoto e spyware vengono scaricati sui dispositivi delle vittime.

Gli analisti di Positive Technologies hanno presentato un rapporto sulle minacce informatiche per la prima metà del 2025. Secondo i loro dati, il metodo principale per attaccare con successo le organizzazioni rimane il malware: è stato utilizzato nel 63% dei casi.

Allo stesso tempo, la quota di distribuzione di malware tramite siti web ha raggiunto il 13%: quasi il doppio rispetto allo stesso periodo del 2024. Secondo i ricercatori, il numero record di tali attacchi in tre anni è dovuto alla crescente popolarità di strategie mirate agli sviluppatori. Compromettendo repository aperti e typosquatting, i criminali si infiltrano nelle catene di approvvigionamento.

Ad esempio, in Russia, Brasile e Turchia, una campagna dannosa mascherata da centinaia di progetti open source ha preso di mira giocatori e investitori in criptovalute, scaricando sui loro dispositivi un infostealer che ruba indirizzi di portafogli crittografici, dati personali e bancari.

Nel frattempo, almeno 233 vittime negli Stati Uniti, in Europa e in Asia sono state colpite da una campagna del gruppo nordcoreano Lazarus, che ha impiantato un programma JavaScript nei sistemi degli sviluppatori, progettato per raccogliere informazioni di sistema.

“Le tattiche dei gruppi APT si stanno evolvendo: si passa dal phishing di massa ad attacchi mirati agli sviluppatori. Il loro nuovo obiettivo sono le supply chain di diverse tecnologie. Introducendo malware nei processi di sviluppo, gli aggressori sferrano un doppio colpo: colpiscono non solo la vittima stessa, ma anche i progetti a cui sono associati. Prevediamo che questa tendenza acquisirà slancio: gli attacchi alle aziende IT e agli sviluppatori con l’obiettivo di indebolire le supply chain si verificheranno più spesso”, commenta Anastasia Osipova, analista junior del gruppo di ricerca Positive Technologies.

Il rapporto rileva inoltre che dall’inizio dell’anno gli aggressori hanno utilizzato attivamente tecniche di typosquatting negli ecosistemi open source, sfruttando gli errori degli utenti durante l’inserimento dei nomi dei pacchetti.

Ad esempio, gli esperti avevano precedentemente identificato una campagna dannosa nel repository PyPI che prendeva di mira sviluppatori, specialisti di ML e appassionati interessati a integrare DeepSeek nei loro sistemi. I pacchetti dannosi deepseeek e deepseekai potevano raccogliere dati sull’utente e sul suo computer, oltre a rubare variabili d’ambiente.

L'articolo GitHub e GitLab sempre più nel mirino! Attacchi mirati agli sviluppatori tramite repository falsi proviene da il blog della sicurezza informatica.

Meta si è ritrovata al centro di uno scandalo dopo che un’indagine di Reuters che ha rivelato che sulle piattaforme dell’azienda venivano distribuiti chatbot dotati di intelligenza artificiale che imitavano le celebrità. Questi personaggi virtuali, creati sia dagli utenti che dai dipendenti di Meta, copiavano le sembianze di Taylor Swift, Scarlett Johansson, Anne Hathaway, Selena Gomez e altre senza il loro consenso.

I bot non solo fingevano di essere persone reali, ma flirtavano attivamente con i loro interlocutori e, in alcuni casi, generavano immagini a sfondo sessuale. Particolarmente scandaloso era il fatto che fossero stati creati avatar di attori minorenni, tra cui il sedicenne Walker Scobell. Uno dei bot inviava foto di lui in spiaggia e le commentava con le parole: “Carino, eh?”

Meta ha riconosciuto che i suoi strumenti non erano progettati per produrre tali contenuti. Andy Stone, portavoce dell’azienda, ha affermato che le violazioni erano dovute a un malfunzionamento dei suoi controlli. Secondo lui, la generazione di immagini di personaggi pubblici è consentita, ma la politica aziendale proibisce scene di nudo o intime. Poco prima della pubblicazione dell’indagine, Meta ha rimosso circa una dozzina di questi bot.

Gli avvocati sottolineano che casi simili potrebbero violare il diritto di utilizzo dell’immagine. Il professore della Stanford University Mark Lemley ha ricordato che le leggi della California proibiscono l’uso commerciale dell’aspetto di qualcun altro senza autorizzazione. Un’eccezione è rappresentata dalle nuove opere creative; tuttavia, ha osservato, è improbabile che ciò si applichi a questa situazione.

Anche il sindacato SAG-AFTRA ha espresso preoccupazione. Il suo direttore esecutivo, Duncan Crabtree-Ireland, ha avvertito che tali chatbot potrebbero creare legami dolorosi tra fan e star e aumentare il rischio di molestie da parte di persone instabili. Il team di Anne Hathaway ha confermato che l’attrice è a conoscenza della situazione e sta valutando possibili misure. I rappresentanti degli altri artisti hanno rifiutato di commentare.

L’indagine di Reuters ha anche rivelato il coinvolgimento di un dipendente di Meta. Uno dei responsabili di prodotto della divisione di intelligenza artificiale generativa ha creato chatbot che ritraevano Taylor Swift e il pilota automobilistico Lewis Hamilton, oltre ad altri personaggi virtuali, da una dominatrice a un simulatore dell’Impero Romano che offriva all’utente il ruolo di una ragazza diciottenne venduta come schiava sessuale. Ufficialmente, questi bot erano stati presentati come test, ma in realtà hanno raccolto oltre 10 milioni di interazioni con gli utenti.

Alcuni degli avatar stavano flirtando attivamente. Ad esempio, un bot ha scritto per conto di Swift: “Ti piacciono le bionde, Jeff? Forse dovremmo inventare una storia d’amore… su di te e una cantante bionda. La vuoi?”. In mezzo allo scandalo, è emersa anche una tragica storia: un residente del New Jersey di 76 anni è morto mentre si recava a New York per incontrare un chatbot che lo invitava. Il bot era una variante di un precedente personaggio virtuale basato su Kendall Jenner.

Meta ha promesso di rivedere le sue regole dopo che Reuters ha scoperto che le sue linee guida interne in precedenza consentivano dialoghi romantici o sensuali anche con i bambini. L’azienda ha poi affermato che la formulazione era errata. La situazione ha messo in luce il problema dell’abuso dell’intelligenza artificiale e la necessità di una rigorosa tutela dell’immagine degli artisti. SAG-AFTRA sta spingendo per una legge federale che sancisca il diritto delle star alla propria voce, al proprio aspetto e alla propria identità digitale per prevenire tali casi.

L'articolo Avatar di minorenni e celebrità usati dai bot AI di Meta: esplode la bufera proviene da il blog della sicurezza informatica.

Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione articolato in diverse fasi. L’operazione subdola prende di mira gli utenti con esche legate al recente scontro tra Pakistan e India, conosciuto con il nome di Operazione Sindoor, al fine di convincerli ad attivare file nocivi.

La campagna Sindoor Dropper evidenzia un’evoluzione nelle tecniche di attacco degli autori delle minacce, dimostrando una chiara attenzione agli ambienti Linux, meno presi di mira dalle campagne di phishing.

L’attacco inizia quando un utente apre un .desktopfile dannoso, denominato “Note_Warfare_Ops_Sindoor.pdf.desktop”, che si spaccia per un normale documento PDF . Secondo l’analisi del sistema Nextron, una volta eseguito, apre un PDF escamotage benigno per mantenere l’illusione di legittimità, mentre avvia silenziosamente in background un processo di infezione complesso e fortemente offuscato.

Il .desktopfile, riporta Nextron, scarica diversi componenti, tra cui un decryptor AES ( mayuw) e un downloader crittografato ( shjdfhd). Un tratto peculiare di questa attività è l’utilizzo di file desktop trasformati in strumenti offensivi, tecnica in precedenza attribuita al gruppo APT36, altresì noto come Transparent Tribe o Mythic Leopard, specializzato nelle minacce avanzate e persistenti.

Il processo in questione è stato ideato per sfuggire sia all’analisi statica sia a quella dinamica. Al momento della sua individuazione, il payload iniziale non aveva lasciato traccia su VirusTotal, risultando quindi non rilevato. Il decryptor, un binario Go compresso con UPX, viene intenzionalmente corrotto rimuovendo i suoi magic byte ELF, probabilmente per bypassare le scansioni di sicurezza su piattaforme come Google Docs. Il .desktopfile ripristina questi byte sul computer della vittima per rendere nuovamente eseguibile il binario.

Questo avvia un processo in più fasi in cui ogni componente decifra ed esegue il successivo. La catena include controlli anti-macchina virtuale di base, come la verifica dei nomi delle schede e dei fornitori, l’inserimento nella blacklist di specifici prefissi di indirizzi MAC e il controllo del tempo di attività della macchina.

Il payload finale è una versione riadattata di MeshAgent, uno strumento di amministrazione remota open source legittimo. Una volta implementato, MeshAgent si connette a un server di comando e controllo (C2) ospitato su un’istanza EC2 di Amazon Web Services (AWS) all’indirizzo wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.

Ciò fornisce all’aggressore l’accesso remoto completo al sistema compromesso, consentendogli di monitorare l’attività dell’utente, spostarsi lateralmente sulla rete ed esfiltrare dati sensibili, ha affermato Nextron.

L'articolo Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux proviene da il blog della sicurezza informatica.

Gli sforzi di mediazione guidati dalle nazioni arabe per garantire il rilascio degli israeliani detenuti da Hamas e un cessate il fuoco a Gaza sono stati interrotti da attacchi informatici provenienti dall’Iran, ha affermato un’azienda di sicurezza informatica.

Come riportato ieri nell’articolo che evidenziava gli attacchi scoperti dall’azienda israeliana Dream, i criminali informatici iraniani si sono infiltrati nelle reti diplomatiche in Medio Oriente durante i negoziati per il cessate il fuoco al Cairo e hanno compromesso comunicazioni internazionali sensibili.

La campagna di spear phishing, mascherata da comunicazione del Ministero degli Affari Esteri dell’Oman, è stata condotta dal gruppo Homeland Justice associato al Ministero dell’Intelligence e della Sicurezza dell’Iran, ha affermato. Era i destinatari dell’e-mail inviata dai presunti hacker iraniani figurano funzionari egiziani, rappresentanti degli Stati Uniti e del Qatar.

Dopo aver ottenuto l’accesso all’account di posta elettronica legittimo di un dipendente dell’ambasciata dell’Oman a Parigi, i criminali informatici hanno inviato e-mail che sembravano autentica corrispondenza diplomatica, ma erano infette da malware nascosti all’interno di documenti Word.

Secondo Dream, tra i destinatari dell’e-mail figurano funzionari egiziani impegnati nella mediazione per il cessate il fuoco, nonché rappresentanti degli Stati Uniti e del Qatar. Anche dieci organizzazioni internazionali, tra cui l’ONU, l’UNODC, l’UNICEF, la Banca Mondiale, l’Ordine di Malta e l’Unione Africana, sono state prese di mira dagli hacker iraniani, ha affermato la società.

Dream ha osservato che l’attacco informatico iraniano era simile a un attacco informatico del 2023 in Albania, anch’esso attribuito ad attori iraniani, suggerendo un modello geopolitico più ampio in cui gli strumenti informatici vengono utilizzati per interrompere l’impegno diplomatico. La rivelazione giunge in un momento in cui l’accordo di cessate il fuoco di Gaza è bloccato nel limbo a causa della mancanza di risposta da parte di Israele.

Il 18 agosto, Hamas aveva accettato l’accordo di cessate il fuoco, proposto dai mediatori del Qatar e dell’Egitto. L’accordo prevedeva la cessazione delle operazioni dell’esercito israeliano per 60 giorni, durante i quali si sarebbe ritirato per consentire l’ingresso degli aiuti umanitari. Come parte dell’accordo, metà dei restanti 50 prigionieri sarebbe stata scambiata con detenuti palestinesi.

L'articolo Gli attacchi informatici iraniani interrompono i negoziati per il cessate il fuoco a Gaza proviene da il blog della sicurezza informatica.

The Neon glow of a Nixie tube makes for an attractive clock, but that’s not enough neon for some people. [Changliang Li] is apparently one of those people, because he’s using soviet-era cold-cathode tubes as the logic for his “Soviet-Era Style Clock”

Aside from the nixies for display, the key component you see working in this beautiful machine are the MTX-90 cold cathode thyratrons, which look rather like neon tubes in action. That’s because they essentially are, just with an extra trigger electrode (that this circuit doesn’t use). The neon tubes are combined into a loop counter, which translates the 50 Hz mains circuit in to seconds, minutes, and hours. The circuit is not original to this project, and indeed was once common to electronics books. The version used in this project is credited to [PA3FWM].

The Nixie tubes are new-made by [Sadudu] of iNixie labs, and we get a fascinating look in how they are made. (Tubemaking starts at around 1:37 in the video below.) It looks like a fiber laser is used to cut out glow elements for the tube, which is then encapsulated on a device which appears to be based around a lathe.

The cold-cathode tubes used as logic rely on ambient light or background radiation to start reliably, since the trigger electrode is left floating. In order to ensure reliable switching from the thyratrons, [Changliang Li] includes a surplus smoke detector source to ensure sufficient ionization. (The video seems to imply the MTX-90 was seeded with radioisotopes that have since decayed, but we could find no evidence for this claim. Comment if you know more.)

The end result is attractive and rather hypnotic. (Jump to 3:37 to see the clock in action.) If you want to know more about this sort of use for neon lamps (and the Soviet MTX-90) we featured a deeper dive a while back.

Thanks to [Changliang Li] for the incandescent tip. If one of your bright ideas has had a glow up into a project, don’t hesitate to share it on our tips line.

youtube.com/embed/rrTGYVDJwLA?…

hackaday.com/2025/08/31/this-s…

ECE 4760/5730 is the Digital Systems Design Using Microcontrollers course at Cornell University taught by [Hunter Adams]. The list of projects for spring this year includes forty write-ups — if you haven’t got time to read the whole lot you can pick a random project between 1 and 40 with: shuf -i 1-40 -n 1 and let the cards fall where they may. Or if you’re made of time you could spend a few days watching the full playlist of 119 projects, embedded below.

We won’t pick favorites from this semester’s list of projects, but having skimmed through the forty reports we can tell you that the creativity and acumen of the students really shines through. If the name [Hunter Adams] looks familiar that might be because we’ve featured his work here on Hackaday before. Earlier this year we saw his Love Letter To Embedded Systems.

While on the subject, [Hunter] also wanted us to know that he has updated his lectures, which are here: Raspberry Pi Pico Lectures 2025. Particularly these have expanded to include a bunch of Pico W content (making Bluetooth servers, connecting to WiFi, UDP communication, etc.), and some fun lower-level stuff (the RP2040 boot sequence, how to write a bootloader), and some interesting algorithms (FFT’s, physics modeling, etc.).

youtube.com/embed/U21oHzGhfk4?…

hackaday.com/2025/08/30/the-la…

While we have nothing against other 1980s 8-bit machines, the Commodore 64 has always been something special. A case in point: another new instrument using the C-64 and its beloved SID chip. Not just new to retrocomputing, either, but new entirely. [Linus Åkesson] has invented the QWERTY Theremin, and there’s a Commodore at its core.

If this project sounds vaguely familiar, it’s because it’s based off of the C-64 Theremin [Linus] built a couple of years back. According to [Linus], there were a few issues with the instrument. A real thereminist told him there were issues with the volume response; his own experience taught him that theremins are very, very hard to play for the uninitiated.

This model fixes both problems: first, the volume circuit now includes a pair of digital-analog-converters (DACs) connected to the Commodore’s user port, allowing smooth and responsive volume control.In this case the DAC is being used solely for volume control: SID provides the analog reference voltage, while the 12-bit digital input served as volume control. That proved noisy, however, thanks to the DC bias voltage of the audio output being scaled by the DAC even when the SID was silent. A second DAC was the answer, providing a signal to cancel out the scaled bias voltage. That in and of itself is a clever hack.

The biggest change is that this instrument no longer plays like a theremin. Pitch has been taken out of the 555-based antenna circuit entirely; while vertical distance from the spoon-antenna still controls volume as in a regular theremin and the last version, the horizontal distance from the second antenna (still a clamp) now controls vibrato. Pitch is now controlled by the QWERTY keyboard. That’s a much easier arrangement for [Linus] — this isn’t his first chiptune QWERTY instrument, after all.

youtube.com/embed/LNGH_I8hkXM?…

youtube.com/embed/elkDTdB0rXk?…

hackaday.com/2025/08/30/the-qu…

One of the interesting things about Prusa’s FDM 3D printers is the availability of official upgrade kits, which allow you to combine bits off an older machine with those of the target machine to ideally save some money and not have an old machine gathering dust after the upgrade. While for a bedslinger-to-bedslinger upgrade this can make a lot of sense, the bedslinger to CoreXY Core One upgrade path is a bit more drastic. Recently the [Aurora Tech] channel had a look at which upgrade path makes the most sense, and in which scenario.

A big part of the comparison is the time and money spent compared to the print result, as you have effectively four options. Either you stick with the MK4S, get the DIY Core One (~8 hours of assembly time), get the pre-assembled Core One (more $$), or get the upgrade kit (also ~8 hours). There’s also the fifth option of getting the enclosure for the MK4S, but it costs about as much as the upgrade kit, so that doesn’t make a lot of logical sense.

In terms of print quality, it’s undeniable that the CoreXY motion system provides better results, with less ringing and better quality with tall prints, but unless you’re printing more than basic PLA and PETG, or care a lot about the faster print speeds of the CoreXY machine with large prints, the fully enclosed Core One is a bit overkill and sticking with the bedslinger may be the better choice.

The long and short of it is that you have look at each option and consider what works best for your needs and your wallet.

youtube.com/embed/vC-F1i0gt2Q?…

hackaday.com/2025/08/30/does-i…

Some of these Mark 4S parts will become a Prusa Core One. (Credit: Aurora Tech, YouTube)
One of the interesting things about Prusa’s FDM 3D printers is the availability of official upgrade kits, which allow you to combine bits off an older machine with those of the target machine to ideally save some money and not have an old machine gathering dust after the upgrade. While for a bedslinger-to-bedslinger upgrade this can make a lot of sense, the bedslinger to CoreXY Core One upgrade path is a bit more drastic. Recently the [Aurora Tech] channel had a look at which upgrade path makes the most sense, and in which scenario.

A big part of the comparison is the time and money spent compared to the print result, as you have effectively four options. Either you stick with the Mark 4S, get the DIY Core One (~8 hours of assembly time), get the preassembled Core One (more $$), or get the upgrade kit (also ~8 hours). There’s also the fifth option of getting the enclosure for the Mark 4S, but it costs about as much as the upgrade kit, so that doesn’t make a lot of logical sense.

In terms of print quality, it’s undeniable that the CoreXY motion system provides better results, with less ringing and better quality with tall prints, but unless you’re printing more than basic PLA and PETG, or care a lot about the faster print speeds of the CoreXY machine with large prints, the fully enclosed Core One is a bit overkill and sticking with the bedslinger may be the better choice. The long and short of it is that you have look at each option and consider what works best for your needs and your wallet.

youtube.com/embed/vC-F1i0gt2Q?…

hackaday.com/2025/08/30/does-i…

30 AGOSTO: SETTE ORE DI RACCOLTA, OLTRE 800 FIRME

youtu.be/d-0w-OrXD0g?feature=s…

“Sorry, my mic was muted…” With the rise of video calls, we’ve all found ourselves rushing to mute or unmute our mics in the midst of a call. This open-source Mute Button, sent in by [blackdevice], aims to take out the uncertainty and make toggling your mic easy.

It’s centered around a small PIC32MM microcontroller that handles the USB communications, controls the three built-in RGB LEDs, and reads the inputs from the encoder mounted to the center of this small device. The button knob combo is small enough to easily move around your desk, yet large enough to toggle without fuss when it’s your turn to talk.

To utilize all the functions of the button, you’ll need to install the Python-based driver on your machine. Doing so will let you not only toggle your microphone and volume, but it will also allow the button to light up to get your attention should you be trying to talk with the mic muted.

Although small, it’s also quite rugged, knowing it will spend its life being treated much like a game of Whac-A-Mole—slapped whenever needed. The case is designed to be 3D printed by any FDM printer, with the top knob section printed in translucent material to make the notification light clearly visible.

All of the design files, firmware, and parts list are available over on [blackdevices]’s GitHub page, and they are open-source, allowing you to tweak the design to fit your unique needs. Thank you for sending in this well-documented project, [blackdevices]; we look forward to seeing future work. If you like this type of thing, be sure to check out some of our other cool featured desk gadgets.

youtube.com/embed/E6khKvduem4?…

hackaday.com/2025/08/30/silent…

E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, parecchi mesi prima della messa a disposizione di una soluzione correttiva. Inizialmente Citrix aveva parlato di una semplice vulnerabilità di overflow di memoria in grado di causare un flusso di controllo anomalo e un Denial of Service, ma in seguito è emerso che la breccia di sicurezza in realtà permette l’esecuzione di codice remoto (RCE) senza necessità di autenticazione, con il risultato di una potenziale vasta compromissione di sistemi a livello mondiale.

Il bug monitorato come CVE-2025-6543 consente a un aggressore di sovrascrivere la memoria di sistema fornendo un certificato client dannoso all’endpoint /cgi/api/loginsu un dispositivo NetScaler vulnerabile. Inviando centinaia di queste richieste, un aggressore può sovrascrivere una quantità di memoria sufficiente per eseguire codice arbitrario sul sistema. Questo metodo gli fornisce un punto d’appoggio nella rete, che ha utilizzato per spostarsi lateralmente negli ambienti Active Directory , abusando delle credenziali rubate dell’account del servizio LDAP.

La società ha messo a disposizione uno script di verifica per rilevare le compromissioni, ma soltanto su richiesta specifica e in circostanze molto ristrette, senza tuttavia offrire una spiegazione approfondita circa la situazione o le limitazioni dello script stesso. Le prove suggeriscono che Citrix era a conoscenza della gravità e dello sfruttamento in corso, ma non ha rivelato la reale portata della minaccia ai propri clienti, ha affermato Kevin Beaumont .

Le organizzazioni che hanno dispositivi Citrix NetScaler collegati a Internet sono invitate dagli esperti di sicurezza a prendere immediati provvedimenti. Se si ritiene che un sistema sia compromesso, i passaggi consigliati sono:

• Disattivare immediatamente il dispositivo NetScaler.
• Creare un’immagine del sistema per l’analisi forense.
• Modificare le credenziali dell’account del servizio LDAP per impedire spostamenti laterali.
• Distribuisci una nuova istanza di NetScaler con patch e credenziali aggiornate.

Gli Stati Uniti hanno incluso la CVE-2025-6543 nel catalogo delle vulnerabilità sfruttate note (KEV) tramite la Cybersecurity and Infrastructure Security Agency (CISA), evidenziando la necessità impellente per le organizzazioni di aggiornare con patch e monitorare possibili tracce di attività malevola.

Il Centro Nazionale Olandese per la Sicurezza Informatica (NCSC) ha svolto un ruolo fondamentale nello svelare la vera natura degli attacchi. La sua indagine ha confermato che la vulnerabilità è stata sfruttata come vulnerabilità zero-day e che gli aggressori hanno attivamente coperto le proprie tracce, rendendo difficile l’analisi forense. Il rapporto, pubblicato nell’agosto 2025, affermava che “diverse organizzazioni critiche nei Paesi Bassi sono state attaccate con successo” e che la vulnerabilità è stata sfruttata almeno dall’inizio di maggio.

A Giugno 2025 si è concluso il rilascio da parte di Citrix di una patch riguardante la CVE-2025-6543. Gli aggressori, tuttavia, avevano sfruttato la falla di sicurezza già da diverse settimane. La vulnerabilità è stata sfruttata per violare i sistemi di accesso remoto NetScaler, diffondere webshell in grado di assicurare un accesso persistente anche dopo l’applicazione delle patch, e portare via le credenziali.

Si ritiene che lo stesso sofisticato autore di minacce sia dietro lo sfruttamento di un altro zero-day, CVE-2025-5777, noto anche come CitrixBleed 2, utilizzato per rubare le sessioni utente. Sono in corso specifiche indagini per stabilire se questo attore sia responsabile anche dello sfruttamento di una vulnerabilità più recente, CVE-2025-7775.

L'articolo Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali proviene da il blog della sicurezza informatica.