Transparenzbericht 2. Quartal 2025: Unsere Einnahmen und Ausgaben und mehr Reichweite
netzpolitik.org/2025/transpare…
Stop Killing Games
Pirate Parties International supports the
Stop Killing Games Initiative.
Let people keep playing the games they bought!
Provide gamers basic consumer rights.
Give clear notice before shutting down a game.
Offer refunds when access is removed.
Provide offline play or patches when servers close.
Be transparent about data use.
Protect game history and preservation.
Recent commentary by a Youtube games vlogger named “Pirate Software” misstates these aims. The Stop Killing Games Initiative was created to foster an open, inclusive, and democratic dialogue around the future of gaming culture, policy, and rights. Pirate Software’s portrayal distorts these core principles and risks undermining the credibility and positive aims of the initiative.
These recent portrayals of the project are misleading and risk creating division. The initiative’s true goal is to protect consumer rights and ensure game preservation. It is meant to be an open conversation, not an attack on game developers.
We want to build a positive movement. This requires collaboration between gamers, developers, and publishers to find fair solutions. Our focus is on digital rights, transparency, and clear policy.
We urge the gaming community to focus on these core principles. Let’s work together to build a future where games are preserved and gamers’ rights are respected.
The Stop Killing Games Initiative is, and must remain, a space for empowering the global gaming community through collaboration, openness, and respect. We call on all stakeholders to reject divisive or harmful misrepresentations and continue building a future where the voices of gamers everywhere are heard and respected.
pp-international.net/2025/09/s…
Gazzetta del Cadavere reshared this.
LIBERI DAI VELENI DI ROMA
Il 9 settembre al corteo che sarà aperto dai più piccoli, parteciperanno le donne e gli uomini che vogliono continuare a vivere LIBERI DAI VELENI DI ROMA
Santa Palomba siamo tutti noi che non ci arrenderemo mai alla tracotanza di un potere che vorrebbe annientarci.
#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita
Le cose che ci raccontiamo sugli smartphone a scuola
Noi invece abbiamo vietato tutto, e così per lavarci la coscienza sull'abuso degli smartphone da parte dei ragazzi impediamo l'unico uso sensato e monitorato. Buttiamo il bambino con l'acqua sporca, ma il bambino lo buttiamo dal balcone, l'acqua ce la buttiamo addosso.
Io non posso, andateci voi e mettete tante foto.
GIÙ LE MANI DALLA CITTÀ: DOMANI A MILANO IL CORTEO NAZIONALE PER LEONCAVALLO E SPAZI SOCIALI radiondadurto.org/2025/09/05/g… #centrisociali #Leoncavallo #NAZIONALI #milanoGIÙ LE MANI DALLA CITTÀ: DOMANI A MILANO IL CORTEO NAZIONALE PER LEONCAVALLO E SPAZI SOCIALI
Sabato attese decine di migliaia di persone per il corteo lanciato dopo lo sgombero del Leoncavallo alle 14 in porta Venezia. Spazi sociali e realtà di movimento precedono con un corteo dalle 12...Radio Onda d`Urto
Poliversity - Università ricerca e giornalismo reshared this.
lindipendente.online/2025/09/0…
fabiolinux likes this.
Se non mandiamo a casa tutta la gentaglia che abbiamo al governo e rinnoviamo radicalmente la nostra politica, siamo un Paese finito.
In Italia non ci si può far giustizia da soli, deve pensarci lo Stato. Ma se lo Stato non lo fa, e anzi s’inventa una legge per cui non può perseguire determinati reati, si arriva al paradosso emerso martedì a Venezia: i borseggiatori (presunti e non) stanno iniziando a denunciare chi li filma, chi li trattiene, chi cerca di sventarne i crimini. Il caso è stato sollevato davanti ai cronisti attoniti dal comandante della polizia locale di Venezia, con accanto il sindaco Luigi Brugnaro: “Un paio di cittadini sono stati denunciati dai delinquenti – ha detto – perché di fatto non possono fermare i borseggiatori”. Ed è esploso un tema che, oltreché giuridico, è anche politico: nessun privato può trattenere una persona che ha commesso un reato non procedibile d’ufficio e, dalla riforma Cartabia, il furto con destrezza non lo è.
“Se in uno Stato di diritto i criminali dediti al borseggio, fermati più volte dalle forze dell’ordine, possono continuare ad agire indisturbati, mentre i cittadini che li hanno giustamente fotografati mentre rubano vengono denunciati per stalking, è evidente che siamo alla follia”, ha commentato il direttore della Confartigianato Venezia, Matteo Masat.
Leggi l'articolo completo a cura di Leonardo Bison su Il Fatto Quotidiano
Italia nello Spazio. In arrivo il bando Asi per la costellazione nazionale di satelliti
@Notizie dall'Italia e dal mondo
L’Italia si trova nel pieno di una fase cruciale della sua politica spaziale: quest’estate è entrata in vigore la nuova legge quadro che disciplina il settore, ponendo le basi per un rilancio strategico della Space economy nazionale. Proprio in questo contesto, l’Agenzia spaziale italiana (Asi) si prepara
Putin, 'se si raggiunge la pace, nessun bisogno di truppe'
piccolo putin... le truppe servono con la pace giusto perché nessuno si fida che la russia manterrà a lungo la parola data... davvero dovremmo fidarci? quante volte la russia si è già rimangiata la parola data?
Solo le sanzioni promosse dagli USA hanno causato morte e sofferenza, senza contare i morti nelle guerre
I morti nelle guerre imperialiste USA per controllare i paesi del mondo, piegando la resistenza contro neoliberismo e i governi canaglia, non si contano.
Se poi si aggiunge il lavoro nascosto della CIA nell'alimentare il terrorismo, finte rivoluzioni (si pensi ai 30 anni di guerra civile nel Guatemala), si capisce l'egemonia e imperialismo americano è stato una sciagura per il mondo, causa di miseria, mancato sviluppo e povertà. Non si parla mai o troppo delle condizioni in cui vige la gente nei paesi colonizzati, dove si i governo sono solo fantocci che rispondono alle multinazionali, le quali sfruttano a loro esclusivo vantaggio i territori.
Eppure nell'inconscio collettivo degli europei gli USA sono una democrazia sana e le loro guerra sono guerre per esportare la democrazia.
<<Negli ultimi cinquant’anni le sanzioni unilaterali imposte da Stati Uniti e Unione Europea hanno avuto un costo umano devastante: secondo una ricerca pubblicata sulla rivista scientifica The Lancet Global Health, dal 1970 al 2021 hanno provocato la morte di oltre 38 milioni di morti. Un numero impressionante, che in molti anni ha superato di gran lunga le vittime dirette della guerra.
Nel 1996, in un’intervista a CBS 60 Minutes, l’ex Segretario di Stato USA Madeleine Albright, interrogata sulle conseguenze delle sanzioni in Iraq e sulla morte di circa mezzo milione di bambini, commentò: “È una scelta difficile, ma pensiamo che il prezzo ne valga la pena”.
Durante gli anni '90 sono state uccise più di un milione di persone. Solo nel 2021 si stimano più di 800mila decessi, oltre la metà tra bambini e anziani, i più vulnerabili alla malnutrizione.>>
Da InsideOver
fabiolinux likes this.
fabiolinux reshared this.
Il caso Francesca Albanese
Francesca Albanese, giurista, esperta in diritto internazionale, diritti umani e in questioni Medio Orientali, dal 2022 redattrice speciale delle Nazioni Unite sui territori palestinesi occupati, è rea di aver presentato al Consigli per i diritti umani delle Nazioni Unite un rapporto in cui si diceva che c'erano ragionevoli basi per credere che Israele stava commettendo un genocidio a Gaza.
Il 5 luglio del corrente anno è stata sanzionata dal segretario di Stato USA con l'accusa di fomentare l'antisemitismo, dare sostegno al terrorismo e disprezzare gli Stati Uniti!
Dopo la scomunica dice Francesca Abanese: “Non posso nemmeno aprire un conto corrente bancario, dunque non posso fare quasi niente. Sono rientrata a Napoli per ragioni familiari e, non avendo una carta di credito, non ho potuto nemmeno affittare un’auto.
Sono costretta a girare con i contanti.
Sono accusata di essere una minaccia per l'economia globale.
Questo significa che le persone che hanno rapporti con me, in particolare dal punto di vista finanziario, possono essere soggette a sanzioni penali e pecuniarie fino a un miliardo e a 20 anni di carcere.
Significa, per esempio, che mia figlia, che è cittadina statunitense, è tecnicamente passibile di arresto per avermi comprato un caffè.
Questo ha creato il gelo intorno a me, non per mancanza di fiducia ma per l'atteggiamento di minaccia dell'amministrazione Usa."
Avete idea della realtà del mondo occidentale!? Del fatto stiamo entrando in una delle peggiori dittature della storia. Chi dissente viene escluso dal social, dall'uso del denaro e quindi sarà impossibile ribellarsi.
Ma non facciamo nulla per impedire ciò avvenga.
Salesforce-Salesloft Drift, il breach si allarga: colpiti anche Proofpoint, SpyCloud, Tanium e Tenable. Spuntano strumenti di tracking
@Informatica (Italy e non Italy 😁)
La scia di danni lasciata dall’attacco alla piattaforma di Salesforce attraverso l’integrazione compromessa di Salesloft Drift continua ad allargarsi,
Solo perché siamo gypsy (reggae) nessuno vuole ingaggiarci 😭
Ingaggiateci Stronzi - Profondo Nord Edition 🎪🙌🤣
Gentile pubblico e coraggiosi impresari dell’Italia Boreale, la presente è per avvertire che Sabato 4 Ottobre lo stimato fondatore del Reggae Circus, Mr. Adriano Bono in persona, partirà verso il profondo nord per partecipare in versione one-man-band a un festival bellissimo chiamato Freak Circus Festival, nella bella e famosa località di Fara Gera D’Adda, nella solare provincia di Bergamo. Siccome il viaggio è lungo si starebbe cercando date d’appoggio super strapagate per dare più senso logistico alla trasferta. Si potrebbe fare spettacolo in versione one-man-band, oppure insieme a due o più artisti circensi a formare un piccolo ma esplosivo Reggae Circus, con anche dj-set finale volendo, così diventa un festone. Insomma, ce n’è per tutti i gusti, a fronte chiaramente di un lauto pagamento in dobloni d’oro. Se siete particolarmente ricchi e attrezzati possiamo anche allungarci con la band al gran completo e fare un Reggae Circus vero e proprio su palco grande. Però non so se i vostri cuori sono pronti e i vostri forzieri pieni abbastanza per tanta bellezza.
ATTENZIONE: se dalle vostre parti sul weekend indicato non si muove una foglia sappiate che lo stesso discorso vale anche per il weekend successivo, in quanto anche sull’11 Ottobre si avrebbe data secca nel profondo nord e quindi si starebbe cercando date d’appoggio, per il direttore da solo oppure con tutta la gang al seguito, dipende sempre dal vostro Isee.
Forza gente, fuori i dobloni, con il Reggae Circus (o con solo pezzi di esso!) aspettiamo solo voi impresari coraggiosi e il vostro gentile pubblico, per metterci in marcia con i nostri carrozzoni sgangheratissimi 🎪🤹🙌😅
#ReggaeCircus #Reggae #Circus #Buskers #MusicaDalVivo #ArteCircense
Music Channel reshared this.
freezonemagazine.com/news/edwa…
Live at Nidaba, questo il titolo dell’album registrato nel celebre locale milanese. Un album che trasmette tutta l’energia pura ed elettrizzante di Edward Abbiati & The Rattling Chains. Il disco pesca dalla produzione solista di Abbiati, ma anche da quelli delle sue band, i Lowlands gli ACC e dalla sua collaborazione con Chris Cacavas. Attenzione […]
L'articolo Edward Abbiati
Otto nuovi nati in 12 ore all'ospedale Beauregard
Non accadeva da anni. A darne notizia sui social, in un periodo di calo delle nascite, è il primario Livio Leo
reshared this
mi sa che a Capodanno in Valle si sono dati da fare, eh...
GiocAosta il fan account nel Fediverso likes this.
reshared this
Intelligenza artificiale, cosa farà OpenAi con Broadcom e Tsmc
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Per ridurre la dipendenza da Nvidia e contenere i costi dell'intelligenza artificiale, anche OpenAi si prepara a produrre il suo primo microchip assieme a Broadcom e a Tsmc.startmag.it/innovazione/openai…
SUMUD FLOTILLA: Maria Elena Delia: “Siamo determinati a raggiungere Gaza”
@Notizie dall'Italia e dal mondo
Intervista alla portavoce italiana della GSF diretta verso le acque della Striscia di Gaza. "Le minacce del ministro Ben Gvir ci preoccupano, ma non rinunciamo alla nostra missione a sostegno della popolazione di palestinese. Il diritto internazionale è dalla
Formula1 a Monza: Ferrari in cerca di riscatto nel segno di Lauda
[quote]MONZA – La Formula 1 torna a Monza, nel tempio della velocità, per quello che sarà uno dei weekend più caldi e attesi della stagione in corso. Torna il Gran…
L'articolo Formula1 a Monza: Ferrari in cerca di riscatto lumsanews.it/formula1-a-monza-…
Treviso, oltre 2mila video privati rubati e venduti online. La Procura apre un fascicolo
[quote]TREVISO – Oltre duemila videocamere di sorveglianza hackerate installate all’interno di alberghi, stanze da letto, spogliatoi, studi medici o centri estetici per sottrarre illecitamente momenti privati. Dopo i siti sessisti…
L'articolo Treviso, oltre 2mila
Hackerato l’account su X del ministro della Difesa Guido Crosetto. Pubblicati post falsi
[quote]ROMA – L’account personale di X del ministro della Difesa, Guido Crosetto, è stato hackerato. Ad annunciarlo è una nota del suo dicastero: “Comunicazione ufficiale, l’account personale del ministro Guido…
L'articolo Hackerato l’account su X del ministro della
Filomena Gallo a Reggio Emilia: “Servizio Sanitario Nazionale e fine vita”
Filomena Gallo a Festa dell’Unità – Servizio Sanitario Nazionale e fine vita
Filomena Gallo, avvocata e Segretaria nazionale dell’Associazione Luca Coscioni, interverrà al dibattito “Servizio Sanitario Nazionale e fine vita: una legge per una risposta di civiltà”, insieme a esponenti del mondo politico e istituzionale.
L’appuntamento è per martedì 9 settembre alle ore 21:00, presso la Sala Dibattiti Nilde Iotti, Festa dell’Unità Nazionale, in Via dell’Aeronautica, 17, a Reggio Emilia. L’ingresso è libero e gratuito.
Con:
Modera: Wanda Marra
L'articolo Filomena Gallo a Reggio Emilia: “Servizio Sanitario Nazionale e fine vita” proviene da Associazione Luca Coscioni.
Francesca Re a Parma al festival Resister! – “Libere e capaci di scegliere”
All’interno del festival femminista Resister! Francesca Re, Consigliera Generale dell’Associazione Luca Coscioni e coordinatrice della campagna PMA per tutte, interverrà durantel’incontro “Libere e capaci di scegliere”.
L’ingresso è libero e gratuito.
L'articolo Francesca Re a Parma al festival Resister! – “Libere e capaci di scegliere proviene da Associazione Luca Coscioni.
A Padova riflessioni sul fine vita con Filomena Gallo, in ricordo di Maria Vittoria Milanesi:
In ricordo di Maria Vittoria Milanesi: riflessioni sul fine vita con Filomena Gallo
Un incontro pubblico per ricordare Maria Vittoria Milanesi (1962–2025) e aprire un confronto sul tema del fine vita, tra diritti civili, libertà individuali e scelte consapevoli.
L’appuntamento è per venerdì 26 settembre alle ore 18:15, presso la Sala Paladin, all’interno del Palazzo Moroni, a Padova. L’ingresso è libero fino ad esaurimento dei posti.
Interverrà Filomena Gallo, segretaria nazionale dell’Associazione Luca Coscioni, da anni in prima linea per l’affermazione del diritto all’autodeterminazione e all’assistenza legale delle persone che chiedono di poter scegliere fino alla fine.
Modera l’incontro: Ernesto Milanesi, giornalista e fratello di Maria Vittoria.
L'articolo A Padova riflessioni sul fine vita con Filomena Gallo, in ricordo di Maria Vittoria Milanesi: proviene da Associazione Luca Coscioni.
Mostra del Cinema di Venezia 2025, arriva il film italiano di Maresco
VENEZIA – Nel penultimo giorno dell’82esima edizione della Mostra Internazionale del Cinema di Venezia arriva il 5 settembre “Un film fatto per bene” di Franco Maresco, l’ultimo dei cinque film…
L'articolo Mostra del Cinema di Venezia 2025, arriva il film italiano di Maresco su Lumsanews.
Yoox annuncia 211 licenziamenti in Italia. I sindacati proclamano sciopero da sedici ore
[quote]I lavoratori di Yoox Net a Porter scendono in campo contro l'annuncio di licenziamento collettivo da parte del colosso dello shopping online nelle sedi di Bologna e Milano
L'articolo Yoox annuncia 211 licenziamenti in Italia. I sindacati proclamano sciopero da
Mosca avverte l’Ue: “Truppe in Ucraina bersaglio legittimo”. Zelensky: “Garanzie subito”
[quote]MOSCA – Le “truppe occidentali in Ucraina sono un bersaglio legittimo”. Le dure parole del presidente russo Vladimir Putin riassumono la presa di posizione del Cremlino nei confronti dell’Europa. A…
L'articolo Mosca avverte l’Ue: “Truppe in Ucraina bersaglio
Associazione Peacelink reshared this.
IT threat evolution in Q2 2025. Mobile statistics
IT threat evolution in Q2 2025. Non-mobile statistics
The mobile section of our quarterly cyberthreat report includes statistics on malware, adware, and potentially unwanted software for Android, as well as descriptions of the most notable threats for Android and iOS discovered during the reporting period. The statistics in this report are based on detection alerts from Kaspersky products, collected from users who consented to provide anonymized data to Kaspersky Security Network.
Quarterly figures
According to Kaspersky Security Network, in Q2 2025:
- Our solutions blocked 10.71 million malware, adware, and unwanted mobile software attacks.
- Trojans, the most common mobile threat, accounted for 31.69% of total detected threats.
- Just under 143,000 malicious installation packages were detected, of which:
- 42,220 were mobile banking Trojans;
- 695 packages were mobile ransomware Trojans.
Quarterly highlights
Mobile attacks involving malware, adware, and unwanted software dropped to 10.71 million.
Attacks on users of Kaspersky mobile solutions, Q4 2023 — Q2 2025 (download)
The trend is mainly due to a decrease in the activity of RiskTool.AndroidOS.SpyLoan. These are applications typically associated with microlenders and containing a potentially dangerous framework for monitoring borrowers and collecting their data, such as contacts lists. Curiously, such applications have been found pre-installed on some devices.
In Q2, we found a new malicious app for Android and iOS that was stealing images from the gallery. We were able to determine that this campaign was linked to the previously discovered SparkCat, so we dubbed it SparkKitty.
Fake app store page distributing SparkKitty
Like its “big brother”, the new malware most likely targets recovery codes for crypto wallets saved as screenshots.
Trojan-DDoS.AndroidOS.Agent.a was this past quarter’s unusual discovery. Malicious actors embedded an SDK for conducting dynamically configurable DDoS attacks into apps designed for viewing adult content. The Trojan allows for sending specific data to addresses designated by the attacker at a set frequency. Building a DDoS botnet from mobile devices with adult apps installed may seem like a questionable venture in terms of attack efficiency and power – but apparently, some cybercriminals have found a use for this approach.
In Q2, we also encountered Trojan-Spy.AndroidOS.OtpSteal.a, a fake VPN client that hijacks user accounts. Instead of the advertised features, it uses the Notification Listener service to intercept OTP codes from various messaging apps and social networks, and sends them to the attackers’ Telegram chat via a bot.
Mobile threat statistics
The number of Android malware and potentially unwanted app samples decreased from Q1, reaching a total of 142,762 installation packages.
Detected malware and potentially unwanted app installation packages, Q2 2024 — Q2 2025 (download)
The distribution of detected installation packages by type in Q2 was as follows:
Detected mobile malware by type, Q1 — Q2 2025 (download)
* Data for the previous quarter may differ slightly from previously published data due to some verdicts being retrospectively revised.
Banking Trojans remained in first place, with their share increasing relative to Q1. The Mamont family continues to dominate this category. In contrast, spy Trojans dropped to fifth place as the surge in the number of APK files for the SMS-stealing Trojan-Spy.AndroidOS.Agent.akg subsided. The number of Agent.amw spyware files, which masquerade as casino apps, also decreased.
RiskTool-type unwanted apps and adware ranked second and third, respectively, while Trojans – with most files belonging to the Triada family – occupied the fourth place.
Share* of users attacked by the given type of malicious or potentially unwanted apps out of all targeted users of Kaspersky mobile products, Q1 — Q2 2025 (download)
* The total may exceed 100% if the same users experienced multiple attack types.
The distribution of attacked users remained close to that of the previous quarter. The increase in the share of backdoors is linked to the discovery of Backdoor.Triada.z, which came pre-installed on devices. As for adware, the proportion of users affected by the HiddenAd family has grown.
TOP 20 most frequently detected types of mobile malware
Note that the malware rankings below exclude riskware or potentially unwanted software, such as RiskTool or adware.
| Verdict | %* Q1 2025 | %* Q2 2025 | Difference (p.p.) | Change in rank |
| Trojan.AndroidOS.Fakemoney.v | 26.41 | 14.57 | -11.84 | 0 |
| Trojan-Banker.AndroidOS.Mamont.da | 11.21 | 12.42 | +1.20 | +2 |
| Backdoor.AndroidOS.Triada.z | 4.71 | 10.29 | +5.58 | +3 |
| Trojan.AndroidOS.Triada.fe | 3.48 | 7.16 | +3.69 | +4 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00 | 6.97 | +6.97 | |
| Trojan.AndroidOS.Triada.gn | 2.68 | 6.54 | +3.86 | +3 |
| Trojan-Banker.AndroidOS.Mamont.db | 16.00 | 5.50 | -10.50 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 1.83 | 5.09 | +3.26 | +7 |
| DangerousObject.Multi.Generic. | 19.30 | 4.21 | -15.09 | -7 |
| Trojan-Banker.AndroidOS.Mamont.eb | 1.59 | 2.58 | +0.99 | +7 |
| Trojan.AndroidOS.Triada.hf | 3.81 | 2.41 | -1.40 | -4 |
| Trojan-Downloader.AndroidOS.Dwphon.a | 2.19 | 2.24 | +0.05 | 0 |
| Trojan-Banker.AndroidOS.Mamont.ef | 2.44 | 2.20 | -0.24 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.05 | 2.13 | +2.08 | |
| Trojan-Banker.AndroidOS.Mamont.dn | 1.46 | 2.13 | +0.67 | +5 |
| Trojan-Downloader.AndroidOS.Agent.mm | 1.45 | 1.56 | +0.11 | +6 |
| Trojan-Banker.AndroidOS.Agent.rj | 1.86 | 1.45 | -0.42 | -3 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00 | 1.42 | +1.42 | |
| Trojan-Banker.AndroidOS.Mamont.bc | 7.61 | 1.39 | -6.23 | -14 |
| Trojan.AndroidOS.Boogr.gsh | 1.41 | 1.36 | -0.06 | +3 |
* Unique users who encountered this malware as a percentage of all attacked users of Kaspersky mobile solutions.
The activity of Fakemoney scam apps noticeably decreased in Q2, but they still held the top position. Almost all the other entries on the list are variants of the popular banking Trojan Mamont, pre-installed Trojans like Triada and Dwphon, and modified messaging apps with the Triada Trojan built in (Triada.fe, Triada.gn, Triada.ga, and Triada.gs).
Region-specific malware
This section describes malware types that mostly affected specific countries.
| Verdict | Country* | %** |
| Trojan-Banker.AndroidOS.Coper.c | Türkiye | 98.65 |
| Trojan-Banker.AndroidOS.Coper.a | Türkiye | 97.78 |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | India | 95.62 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | India | 95.48 |
| Trojan-Dropper.AndroidOS.Agent.sm | Türkiye | 94.52 |
| Trojan.AndroidOS.Fakeapp.hy | Uzbekistan | 86.51 |
| Trojan.AndroidOS.Piom.bkzj | Uzbekistan | 85.83 |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Brazil | 83.06 |
* The country where the malware was most active.
** Unique users who encountered this Trojan variant in the indicated country as a percentage of all Kaspersky mobile security solution users attacked by the same variant.
In addition to the typical banking Trojans for this category – Coper, which targets users in Türkiye, and Rewatrdsteal, active in India – the list also includes the fake job search apps Fakeapp.hy and Piom.bkzj, which specifically target Uzbekistan. Both families collect the user’s personal data. Meanwhile, new droppers named “Pylcasa” operated in Brazil. They infiltrate Google Play by masquerading as simple apps, such as calculators, but once launched, they open a URL provided by malicious actors – similar to Trojans of the Fakemoney family. These URLs may lead to illegal casino websites or phishing pages.
Mobile banking Trojans
The number of banking Trojans detected in Q2 2025 was slightly lower than in Q1 but still significantly exceeded the figures for 2024. Kaspersky solutions detected a total of 42,220 installation packages of this type.
Number of installation packages for mobile banking Trojans detected by Kaspersky, Q2 2024 — Q2 2025 (download)
The bulk of mobile banking Trojan installation packages still consists of various modifications of Mamont, which account for 57.7%. In terms of the share of affected users, Mamont also outpaced all its competitors, occupying nearly all the top spots on the list of the most widespread banking Trojans.
TOP 10 mobile bankers
| Verdict | %* Q1 2025 | %* Q2 2025 | Difference (p.p.) | Change in rank |
| Trojan-Banker.AndroidOS.Mamont.da | 26.68 | 30.28 | +3.59 | +1 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00 | 17.00 | +17.00 | |
| Trojan-Banker.AndroidOS.Mamont.db | 38.07 | 13.41 | -24.66 | -2 |
| Trojan-Banker.AndroidOS.Mamont.ek | 4.37 | 12.42 | +8.05 | +2 |
| Trojan-Banker.AndroidOS.Mamont.eb | 3.80 | 6.29 | +2.50 | +2 |
| Trojan-Banker.AndroidOS.Mamont.ef | 5.80 | 5.36 | -0.45 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.12 | 5.20 | +5.07 | +23 |
| Trojan-Banker.AndroidOS.Mamont.dn | 3.48 | 5.20 | +1.72 | +1 |
| Trojan-Banker.AndroidOS.Agent.rj | 4.43 | 3.53 | -0.90 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00 | 3.47 | +3.47 | 9 |
Conclusion
In Q2 2025, the number of attacks involving malware, adware, and unwanted software decreased compared to Q1. At the same time, Trojans and banking Trojans remained the most common threats, particularly the highly active Mamont family. Additionally, the quarter was marked by the discovery of the second spyware Trojan of 2025 to infiltrate the App Store, along with a fake VPN client stealing OTP codes and a DDoS bot concealed within porn-viewing apps.
securelist.com/malware-report-…
Gli aggressori utilizzano Velociraptor per gli attacchi informatici. Rapid7 è al corrente
Gli specialisti della sicurezza di Sophos hanno attirato l’attenzione su un attacco informatico in cui aggressori sconosciuti hanno utilizzato lo strumento forense open source Velociraptor per monitorare gli endpoint .
“In questo incidente, gli aggressori hanno utilizzato uno strumento per scaricare ed eseguire Visual Studio Code con il probabile intento di creare un tunnel verso un server di comando e controllo”, hanno affermato gli esperti della Sophos Counter Threat Unit.
Il rapporto sottolinea che gli aggressori spesso impiegano tattiche di tipo “living-off-the-land” (LotL) e utilizzano legittimi strumenti di monitoraggio e controllo remoto negli attacchi, ma l’uso di Velociraptor segnala un’evoluzione di tali tattiche, in cui il software di risposta agli incidenti viene utilizzato per scopi dannosi.
L’analisi dell’incidente ha mostrato che gli aggressori hanno utilizzato l’utility msiexec di Windows per scaricare un programma di installazione MSI dal dominio Cloudflare Workers, che funge anche da area di staging per altre soluzioni utilizzate dagli hacker, tra cui lo strumento di tunneling Cloudflare e l’utility di amministrazione remota Radmin.
Il file MSI è stato progettato per distribuire Velociraptor, che avrebbe poi comunicato con un altro dominio Cloudflare Workers. L’accesso è stato quindi utilizzato per scaricare Visual Studio Code dallo stesso server di staging utilizzando un comando PowerShell codificato ed eseguirlo con l’opzione di tunneling abilitata per consentire sia l’accesso remoto che l’esecuzione di codice remoto.
Inoltre, è stato osservato che gli aggressori riutilizzavano l’utilità msiexec di Windows per scaricare payload aggiuntivi. “Le organizzazioni dovrebbero monitorare e indagare sull’uso non autorizzato di Velociraptor e considerare l’impiego di tali tattiche come un precursore della distribuzione di ransomware”, avverte Sophos.
In seguito alla pubblicazione di questo rapporto da parte di Sophos, la società di sicurezza Rapid7, che sviluppa Velociraptor, ha pubblicato un white paper che spiega nel dettaglio come le organizzazioni possono rilevare l’abuso di Velociraptor nei loro ambienti.
“Rapid7 è a conoscenza di segnalazioni di abusi dello strumento open source di risposta agli incidenti Velociraptor. Velociraptor è ampiamente utilizzato dai difensori per scopi legittimi di analisi forense digitale e risposta agli incidenti. Ma come molti altri strumenti di sicurezza e amministrazione, può essere utilizzato per scopi dannosi se finisce nelle mani sbagliate”, commentano gli sviluppatori.
L'articolo Gli aggressori utilizzano Velociraptor per gli attacchi informatici. Rapid7 è al corrente proviene da il blog della sicurezza informatica.
IT threat evolution in Q2 2025. Non-mobile statistics
IT threat evolution in Q2 2025. Mobile statistics
The statistics in this report are based on detection verdicts returned by Kaspersky products unless otherwise stated. The information was provided by Kaspersky users who consented to sharing statistical data.
The quarter in numbers
In Q2 2025:
- Kaspersky solutions blocked more than 471 million attacks originating from various online resources.
- Web Anti-Virus detected 77 million unique links.
- File Anti-Virus blocked nearly 23 million malicious and potentially unwanted objects.
- There were 1,702 new ransomware modifications discovered.
- Just under 86,000 users were targeted by ransomware attacks.
- Of all ransomware victims whose data was published on threat actors’ data leak sites (DLS), 12% were victims of Qilin.
- Almost 280,000 users were targeted by miners.
Ransomware
Quarterly trends and highlights
Law enforcement success
The alleged malicious actor behind the Black Kingdom ransomware attacks was indicted in the U.S. The Yemeni national is accused of infecting about 1,500 computers in the U.S. and other countries through vulnerabilities in Microsoft Exchange. He also stands accused of demanding a ransom of $10,000 in bitcoin, which is the amount victims saw in the ransom note. He is also alleged to be the developer of the Black Kingdom ransomware.
A Ukrainian national was extradited to the U.S. in the Nefilim case. He was arrested in Spain in June 2024 on charges of distributing ransomware and extorting victims. According to the investigation, he had been part of the Nefilim Ransomware-as-a-Service (RaaS) operation since 2021, targeting high-revenue organizations. Nefilim uses the classic double extortion scheme: cybercriminals steal the victim’s data, encrypt it, then threaten to publish it online.
Also arrested was a member of the Ryuk gang, charged with organizing initial access to victims’ networks. The accused was apprehended in Kyiv in April 2025 at the request of the FBI and extradited to the U.S. in June.
A man suspected of being involved in attacks by the DoppelPaymer gang was arrested. In a joint operation by law enforcement in the Netherlands and Moldova, the 45-year-old was arrested in May. He is accused of carrying out attacks against Dutch organizations in 2021. Authorities seized around €84,800 and several devices.
A 39-year-old Iranian national pleaded guilty to participating in RobbinHood ransomware attacks. Among the targets of the attacks, which took place from 2019 to 2024, were U.S. local government agencies, healthcare providers, and non-profit organizations.
Vulnerabilities and attacks
Mass exploitation of a vulnerability in SAP NetWeaver
In May, it was revealed that several ransomware gangs, including BianLian and RansomExx, had been exploiting CVE-2025-31324 in SAP NetWeaver software. Successful exploitation of this vulnerability allows attackers to upload malicious files without authentication, which can lead to a complete system compromise.
Attacks via the SimpleHelp remote administration tool
The DragonForce group compromised an MSP provider, attacking its clients with the help of the SimpleHelp remote administration tool. According to researchers, the attackers exploited a set of vulnerabilities (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726) in the software to launch the DragonForce ransomware on victims’ hosts.
Qilin exploits vulnerabilities in Fortinet
In June, news broke that the Qilin gang (also known as Agenda) was actively exploiting critical vulnerabilities in Fortinet devices to infiltrate corporate networks. The attackers allegedly exploited the vulnerabilities CVE-2024-21762 and CVE-2024-55591 in FortiGate software, which allowed them to bypass authentication and execute malicious code remotely. After gaining access, the cybercriminals encrypted data on systems within the corporate network and demanded a ransom.
Exploitation of a Windows CLFS vulnerability
April saw the detection of attacks that leveraged CVE-2025-29824, a zero-day vulnerability in the Windows Common Log File System (CLFS) driver, a core component of the Windows OS. This vulnerability allows an attacker to elevate privileges on a compromised system. Researchers have linked these incidents to the RansomExx and Play gangs. The attackers targeted companies in North and South America, Europe, and the Middle East.
The most prolific groups
This section highlights the most prolific ransomware gangs by number of victims added to each group’s DLS during the reporting period. In the second quarter, Qilin (12.07%) proved to be the most prolific group. RansomHub, the leader of 2024 and the first quarter of 2025, seems to have gone dormant since April. Clop (10.83%) and Akira (8.53%) swapped places compared to the previous reporting period.
Number of each group’s victims according to its DLS as a percentage of all groups’ victims published on all the DLSs under review during the reporting period (download)
Number of new variants
In the second quarter, Kaspersky solutions detected three new families and 1,702 new ransomware variants. This is significantly fewer than in the previous reporting period. The decrease is linked to the renewed decline in the count of the Trojan-Ransom.Win32.Gen verdicts, following a spike last quarter.
Number of new ransomware modifications, Q2 2024 — Q2 2025 (download)
Number of users attacked by ransomware Trojans
Our solutions protected a total of 85,702 unique users from ransomware during the second quarter.
Number of unique users attacked by ransomware Trojans, Q2 2025 (download)
Geography of attacked users
TOP 10 countries and territories attacked by ransomware Trojans
| Country/territory* | %** | |
| 1 | Libya | 0.66 |
| 2 | China | 0.58 |
| 3 | Rwanda | 0.57 |
| 4 | South Korea | 0.51 |
| 5 | Tajikistan | 0.49 |
| 6 | Bangladesh | 0.45 |
| 7 | Iraq | 0.45 |
| 8 | Pakistan | 0.38 |
| 9 | Brazil | 0.38 |
| 10 | Tanzania | 0.35 |
* Excluded are countries and territories with relatively few (under 50,000) Kaspersky users.
** Unique users whose computers were attacked by ransomware Trojans as a percentage of all unique users of Kaspersky products in the country/territory.
TOP 10 most common families of ransomware Trojans
| Name | Verdict | %* | |
| 1 | (generic verdict) | Trojan-Ransom.Win32.Gen | 23.33 |
| 2 | WannaCry | Trojan-Ransom.Win32.Wanna | 7.80 |
| 3 | (generic verdict) | Trojan-Ransom.Win32.Encoder | 6.25 |
| 4 | (generic verdict) | Trojan-Ransom.Win32.Crypren | 6.24 |
| 5 | (generic verdict) | Trojan-Ransom.Win32.Agent | 3.75 |
| 6 | Cryakl/CryLock | Trojan-Ransom.Win32.Cryakl | 3.34 |
| 7 | PolyRansom/VirLock | Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom | 3.03 |
| 8 | (generic verdict) | Trojan-Ransom.Win32.Crypmod | 2.81 |
| 9 | (generic verdict) | Trojan-Ransom.Win32.Phny | 2.78 |
| 10 | (generic verdict) | Trojan-Ransom.MSIL.Agent | 2.41 |
* Unique Kaspersky users attacked by the specific ransomware Trojan family as a percentage of all unique users attacked by this type of threat.
Miners
Number of new variants
In the second quarter of 2025, Kaspersky solutions detected 2,245 new modifications of miners.
Number of new miner modifications, Q2 2025 (download)
Number of users attacked by miners
During the second quarter, we detected attacks using miner programs on the computers of 279,630 unique Kaspersky users worldwide.
Number of unique users attacked by miners, Q2 2025 (download)
Geography of attacked users
TOP 10 countries and territories attacked by miners
| Country/territory* | %** | |
| 1 | Senegal | 3.49 |
| 2 | Panama | 1.31 |
| 3 | Kazakhstan | 1.11 |
| 4 | Ethiopia | 1.02 |
| 5 | Belarus | 1.01 |
| 6 | Mali | 0.96 |
| 7 | Tajikistan | 0.88 |
| 8 | Tanzania | 0.80 |
| 9 | Moldova | 0.80 |
| 10 | Dominican Republic | 0.80 |
* Excluded are countries and territories with relatively few (under 50,000) Kaspersky users.
** Unique users whose computers were attacked by miners as a percentage of all unique users of Kaspersky products in the country/territory.
Attacks on macOS
Among the threats to macOS, one of the biggest discoveries of the second quarter was the PasivRobber family. This spyware consists of a huge number of modules designed to steal data from QQ, WeChat, and other messaging apps and applications that are popular mainly among Chinese users. Its distinctive feature is that the spyware modules get embedded into the target process when the device goes into sleep mode.
Closer to the middle of the quarter, several reports (1, 2, 3) emerged about attackers stepping up their activity, posing as victims’ trusted contacts on Telegram and convincing them to join a Zoom call. During or before the call, the user was persuaded to run a seemingly Zoom-related utility, but which was actually malware. The infection chain led to the download of a backdoor written in the Nim language and bash scripts that stole data from browsers.
TOP 20 threats to macOS
* Unique users who encountered this malware as a percentage of all attacked users of Kaspersky security solutions for macOS (download)
* Data for the previous quarter may differ slightly from previously published data due to some verdicts being retrospectively revised.
A new piece of spyware named PasivRobber, discovered in the second quarter, immediately became the most widespread threat, attacking more users than the fake cleaners and adware typically seen on macOS. Also among the most common threats were the password- and crypto wallet-stealing Trojan Amos and the general detection Trojan.OSX.Agent.gen, which we described in our previous report.
Geography of threats to macOS
TOP 10 countries and territories by share of attacked users
| Country/territory | %* Q1 2025 | %* Q2 2025 |
| Mainland China | 0.73% | 2.50% |
| France | 1.52% | 1.08% |
| Hong Kong | 1.21% | 0.84% |
| India | 0.84% | 0.76% |
| Mexico | 0.85% | 0.76% |
| Brazil | 0.66% | 0.70% |
| Germany | 0.96% | 0.69% |
| Singapore | 0.32% | 0.63% |
| Russian Federation | 0.50% | 0.41% |
| South Korea | 0.10% | 0.32% |
* Unique users who encountered threats to macOS as a percentage of all unique Kaspersky users in the country/territory.
IoT threat statistics
This section presents statistics on attacks targeting Kaspersky IoT honeypots. The geographic data on attack sources is based on the IP addresses of attacking devices.
In the second quarter of 2025, there was another increase in both the share of attacks using the Telnet protocol and the share of devices connecting to Kaspersky honeypots via this protocol.
Distribution of attacked services by number of unique IP addresses of attacking devices (download)
Distribution of attackers’ sessions in Kaspersky honeypots (download)
TOP 10 threats delivered to IoT devices
Share of each threat delivered to an infected device as a result of a successful attack, out of the total number of threats delivered (download)
In the second quarter, the share of the NyaDrop botnet among threats delivered to our honeypots grew significantly to 30.27%. Conversely, the number of Mirai variants on the list of most common malware decreased, as did the share of most of them. Additionally, after a spike in the first quarter, the share of BitCoinMiner miners dropped to 1.57%.
During the reporting period, the list of most common IoT threats expanded with new families. The activity of the Agent.nx backdoor (4.48%), controlled via P2P through the BitTorrent DHT distributed hash table, grew markedly. Another newcomer to the list, Prometei, is a Linux version of a Windows botnet that was first discovered in December 2020.
Attacks on IoT honeypots
Geographically speaking, the percentage of SSH attacks originating from Germany and the U.S. increased sharply.
| Country/territory | Q1 2025 | Q2 2025 |
| Germany | 1.60% | 24.58% |
| United States | 5.52% | 10.81% |
| Russian Federation | 9.16% | 8.45% |
| Australia | 2.75% | 8.01% |
| Seychelles | 1.32% | 6.54% |
| Bulgaria | 1.25% | 3.66% |
| The Netherlands | 0.63% | 3.53% |
| Vietnam | 2.27% | 3.00% |
| Romania | 1.34% | 2.92% |
| India | 19.16% | 2.89% |
The share of Telnet attacks originating from China and India remained high, with more than half of all attacks on Kaspersky honeypots coming from these two countries combined.
| Country/territory | Q1 2025 | Q2 2025 |
| China | 39.82% | 47.02% |
| India | 30.07% | 28.08% |
| Indonesia | 2.25% | 5.54% |
| Russian Federation | 5.14% | 4.85% |
| Pakistan | 3.99% | 3.58% |
| Brazil | 12.03% | 2.35% |
| Nigeria | 3.01% | 1.66% |
| Germany | 0.09% | 1.47% |
| United States | 0.68% | 0.75% |
| Argentina | 0.01% | 0.70% |
Attacks via web resources
The statistics in this section are based on detection verdicts by Web Anti-Virus, which protects users when suspicious objects are downloaded from malicious or infected web pages. Cybercriminals create malicious pages with a goal in mind. Websites that host user-generated content, such as message boards, as well as compromised legitimate sites, can become infected.
Countries that served as sources of web-based attacks: TOP 10
This section gives the geographical distribution of sources of online attacks blocked by Kaspersky products: web pages that redirect to exploits; sites that host exploits and other malware; botnet C2 centers, and the like. Any unique host could be the source of one or more web-based attacks.
To determine the geographic source of web attacks, we matched the domain name with the real IP address where the domain is hosted, then identified the geographic location of that IP address (GeoIP).
In the second quarter of 2025, Kaspersky solutions blocked 471,066,028 attacks from internet resources worldwide. Web Anti-Virus responded to 77,371,384 unique URLs.
Web-based attacks by country, Q2 2025 (download)
Countries and territories where users faced the greatest risk of online infection
To assess the risk of malware infection via the internet for users’ computers in different countries and territories, we calculated the share of Kaspersky users in each location who experienced a Web Anti-Virus alert during the reporting period. The resulting data provides an indication of the aggressiveness of the environment in which computers operate in different countries and territories.
This ranked list includes only attacks by malicious objects classified as Malware. Our calculations leave out Web Anti-Virus detections of potentially dangerous or unwanted programs, such as RiskTool or adware.
| Country/territory* | %** | |
| 1 | Bangladesh | 10.85 |
| 2 | Tajikistan | 10.70 |
| 3 | Belarus | 8.96 |
| 4 | Nepal | 8.45 |
| 5 | Algeria | 8.21 |
| 6 | Moldova | 8.16 |
| 7 | Turkey | 8.08 |
| 8 | Qatar | 8.07 |
| 9 | Albania | 8.03 |
| 10 | Hungary | 7.96 |
| 11 | Tunisia | 7.95 |
| 12 | Portugal | 7.93 |
| 13 | Greece | 7.90 |
| 14 | Serbia | 7.84 |
| 15 | Bulgaria | 7.79 |
| 16 | Sri Lanka | 7.72 |
| 17 | Morocco | 7.70 |
| 18 | Georgia | 7.68 |
| 19 | Peru | 7.63 |
| 20 | North Macedonia | 7.58 |
* Excluded are countries and territories with relatively few (under 10,000) Kaspersky users.
** Unique users targeted by Malware attacks as a percentage of all unique users of Kaspersky products in the country.
On average during the quarter, 6.36% of internet users’ computers worldwide were subjected to at least one Malware web-based attack.
Local threats
Statistics on local infections of user computers are an important indicator. They include objects that penetrated the target computer by infecting files or removable media, or initially made their way onto the computer in non-open form. Examples of the latter are programs in complex installers and encrypted files.
Data in this section is based on analyzing statistics produced by anti-virus scans of files on the hard drive at the moment they were created or accessed, and the results of scanning removable storage media. The statistics are based on detection verdicts from the On-Access Scan (OAS) and On-Demand Scan (ODS) modules of File Anti-Virus. This includes malware found directly on user computers or on connected removable media: flash drives, camera memory cards, phones, and external hard drives.
In the second quarter of 2025, our File Anti-Virus recorded 23,260,596 malicious and potentially unwanted objects.
Countries and territories where users faced the highest risk of local infection
For each country and territory, we calculated the percentage of Kaspersky users whose devices experienced a File Anti-Virus triggering at least once during the reporting period. This statistic reflects the level of personal computer infection in different countries and territories around the world.
Note that this ranked list includes only attacks by malicious objects classified as Malware. Our calculations leave out File Anti-Virus detections of potentially dangerous or unwanted programs, such as RiskTool or adware.
| Country/territory* | %** | |
| 1 | Turkmenistan | 45.26 |
| 2 | Afghanistan | 34.95 |
| 3 | Tajikistan | 34.43 |
| 4 | Yemen | 31.95 |
| 5 | Cuba | 30.85 |
| 6 | Uzbekistan | 28.53 |
| 7 | Syria | 26.63 |
| 8 | Vietnam | 24.75 |
| 9 | South Sudan | 24.56 |
| 10 | Algeria | 24.21 |
| 11 | Bangladesh | 23.79 |
| 12 | Belarus | 23.67 |
| 13 | Gabon | 23.37 |
| 14 | Niger | 23.35 |
| 15 | Cameroon | 23.10 |
| 16 | Tanzania | 22.77 |
| 17 | China | 22.74 |
| 18 | Iraq | 22.47 |
| 19 | Burundi | 22.30 |
| 20 | Congo | 21.84 |
* Excluded are countries and territories with relatively few (under 10,000) Kaspersky users.
** Unique users on whose computers Malware local threats were blocked, as a percentage of all unique users of Kaspersky products in the country/territory.
Overall, 12.94% of user computers globally faced at least one Malware local threat during the second quarter.
The figure for Russia was 14.27%.
securelist.com/malware-report-…
Heart Rate Monitoring via WiFi
Before you decide to click away, thinking we’re talking about some heart rate monitor that connects to a display using WiFi, wait! Pulse-Fi is a system that monitors heart rate using the WiFi signal itself as a measuring device. No sensor, no wires, and it works on people up to ten feet away.
Researchers at UC Santa Cruz, including a visiting high school student researcher, put together a proof of concept. Apparently, your heart rate can modify WiFi channel state information. By measuring actual heart rate and the variations in the WiFi signal, the team was able to fit data to allow for accurate heart rate prediction.
The primary device used was an ESP32, although the more expensive Raspberry Pi performed the same trick using data generated in Brazil. The Pi appeared to work better, but it is also more expensive. However, that implies that different WiFi chipsets probably need unique training, which, we suppose, makes sense.
Like you, we’ve got a lot of questions about this one — including how repeatable this is in a real-world environment. But it does make you wonder what we could use WiFi permutations to detect. Or other ubiquitous RF signals like Bluetooth.
No need for a clunky wristband. If you could sense enough things like this, maybe you could come up with a wireless polygraph.
GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca
Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati.
Al centro ci sono due componenti appositamente scritti. Rungan è una backdoor passiva scritta in C++ che, una volta attivata, accetta comandi su una macchina compromessa e funge da meccanismo di amministrazione remota silenzioso. Gamshen è un trojan per Internet Information Services che modifica le risposte del server web in modo che Googlebot non veda le pagine originali, ma versioni modificate utili per i domini di gioco d’azzardo di terze parti.
A livello di motore di ricerca, sembra che i siti legittimi linkino massicciamente a risorse promosse e gli algoritmi di ranking interpretano questi link artificiali come raccomandazioni. Di conseguenza, le posizioni dei siti di gioco d’azzardo aumentano e i proprietari di host hackerati non sospettano nemmeno che i loro siti stiano alimentando lo schema SEO di qualcun altro .
La geografia dell’attacco mostra una chiara prevalenza nei paesi del Sud America e dell’Asia meridionale. Il maggior numero di computer infetti è stato rilevato in Brasile, Perù, Thailandia, Vietnam e Stati Uniti, e gli aggressori non si sono limitati a un singolo settore. Sono stati colpiti istituti scolastici, organizzazioni mediche, compagnie assicurative, aziende di trasporti, aziende tecnologiche e del commercio al dettaglio. Tale distribuzione suggerisce che la selezione delle vittime non sia stata determinata dal profilo dell’azienda, ma da segnali tecnici di vulnerabilità e dalla facilità di successiva operatività.
Secondo gli analisti, il punto di ingresso iniziale è associato a specifiche vulnerabilità di SQL injection. Dopo aver compromesso l’applicazione web, gli aggressori hanno proceduto alla fase di espansione dell’accesso e hanno distribuito una catena di loader e strumenti sul server. Gli script di controllo in PowerShell hanno estratto tutti i componenti necessari dallo stesso nodo 868id[.]com, semplificando la logistica dell’attacco e consentendo una rapida sostituzione delle versioni del payload.
Per uscire dal contesto del processo web e raggiungere il livello di amministratore, sono state utilizzate utility basate su exploit pubblici della famiglia Potato, in particolare sulle idee di EfsPotato e BadPotato, ampiamente utilizzate nel segmento criminale di lingua cinese. Alcuni dei campioni presentavano una firma digitale corretta: il certificato è stato rilasciato dal centro TrustAsia RSA Code Signing CA G3 alla società Shenzhen Diyuan Technology. La presenza di una firma valida aumenta l’affidabilità dei meccanismi di protezione nei file eseguibili e ne facilita l’avvio. Dopo aver completato con successo l’escalation dei privilegi , il lavoro è stato completato creando o modificando un account locale con inclusione nel gruppo degli amministratori, il che ha garantito la stabilità del controllo e la possibilità di eseguire operazioni sensibili senza ripetuti attacchi informatici.
Oltre alle backdoor finali, i ricercatori descrivono due moduli ausiliari che forniscono ricognizione e controllo. La libreria Comdai assume una serie di funzioni a livello di backdoor: stabilisce l’interazione di rete con la parte di controllo, crea account con diritti amministrativi, esegue file, ottiene elenchi di directory, interferisce con il funzionamento dei servizi e modifica le chiavi del registro di Windows. Un componente separato, Zunput, è responsabile dell’inventario dei siti web in grado di eseguire contenuti dinamici. Controlla l’attività delle raccolte siti, ne raccoglie i parametri (il percorso fisico alla radice web, il nome del sito, l’indirizzo IP, il nome host) e quindi lascia una web shell sul server per ulteriori operazioni.
La fase finale della catena è l’implementazione di una coppia di Rungan e Gamshen. Il primo esegue una serie di comandi su un nodo hackerato e supporta l’attività operativa remota senza rumore nei log, il secondo trasforma una risorsa legittima in una guarnizione invisibile per la manipolazione delle ricerche. Il trucco chiave di Gamshen è la sostituzione selettiva della risposta solo per Googlebot, e gli inserimenti vengono formati dinamicamente in base ai dati provenienti dal server di controllo C2. In questo modo vengono creati backlink artificiali da domini attendibili alle pagine desiderate, che li spostano nelle prime righe per le query di destinazione. A giudicare dalla descrizione della meccanica, un progetto di terze parti ne trae vantaggio, il che è molto probabile che paghi per il servizio di cheating, e GhostRedirector agisce come un appaltatore tecnico con il proprio arsenale e un proprio set di accessi.
Il quadro emerso da questa operazione mostra quanto strettamente si intersechino oggi le pratiche SEO criminali e l’hacking tradizionale dei server. Da un lato, lo sfruttamento mirato di vulnerabilità, l’escalation dei privilegi, l’entrenchment e i moduli di controllo; dall’altro, un attento lavoro su contenuti e traffico, basato sui segnali comportamentali dei motori di ricerca. Nel complesso, ciò consente in un breve lasso di tempo di creare una rete di link di supporto provenienti da risorse altrui e di aumentare la visibilità dei siti promossi, senza lasciare praticamente tracce visibili per i proprietari dei siti compromessi.
L'articolo GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca proviene da il blog della sicurezza informatica.
Windows: gli aggiornamenti di sicurezza causano problemi con UAC e installazione app
Microsoft ha annunciato che gli aggiornamenti di sicurezza di Windows di agosto 2025 potrebbero causare richieste impreviste di Controllo dell’account utente (UAC) e problemi durante l’installazione delle app. Il bug riguarda gli utenti non amministratori su tutte le versioni supportate di Windows.
Il problema è causato da una patch che risolve una vulnerabilità di escalation dei privilegi in Windows Installer (CVE-2025-50173). Questa vulnerabilità consentiva ad aggressori autenticati di ottenere privilegi a livello di SISTEMA.
Per risolvere il problema, Microsoft ha implementato nuovi prompt di Controllo dell’account utente che richiedono le credenziali di amministratore in varie situazioni per impedire potenziali escalation dei privilegi da parte di aggressori. In alcuni scenari, questi prompt possono verificarsi durante l’esecuzione di comandi di riparazione MSI (come msiexec /fu), nonché durante l’installazione di applicazioni che si configurano automaticamente per singoli utenti ed eseguono Windows Installer durante l’installazione attiva.
Tali modifiche potrebbero inoltre impedire agli utenti di: distribuire pacchetti tramite Configuration Manager (ConfigMgr) che dipendono da configurazioni pubblicitarie specifiche dell’utente; abilitare Secure Desktop; eseguire applicazioni Autodesk, tra cui alcune versioni di AutoCAD, Civil 3D e Inventor CAM.
L’elenco completo delle piattaforme interessate è ampio e comprende sia le versioni client che quelle server.
- Windows 11 24H2
- Windows 11 23H2
- Windows 11 22H2
- Windows 10 22H2
- Windows 10 21H2
- Windows 10 1809
- Windows 10 Enterprise LTSC 2019
- Windows 10 Enterprise LTSC 2016
- Windows 10 1607
- Windows 10 Enterprise 2015 LTSB
- Server: Windows Server 2025
- Windows Server 2022
- Windows Server 1809
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012.
“L’aggiornamento di sicurezza di Windows di agosto 2025 (KB5063878) e gli aggiornamenti successivi includevano un miglioramento per garantire che il Controllo dell’account utente (UAC) richiedesse le credenziali di amministratore durante l’esecuzione della riparazione di Windows Installer (MSI) e delle operazioni correlate”, spiegano gli sviluppatori. “Se un utente standard esegue un’applicazione che avvia un’operazione di riparazione MSI senza visualizzare un’interfaccia utente, l’operazione fallirà e verrà visualizzato un messaggio di errore. Ad esempio, l’installazione e l’esecuzione di Office Professional Plus 2010 da parte di un utente standard fallirà e verrà visualizzato l’errore 1730 durante il processo di configurazione.”
Microsoft ha affermato di essere già al lavoro su una soluzione per questo problema. Gli amministratori potranno presto consentire ad alcune applicazioni di eseguire operazioni di riparazione MSI senza richiedere l’intervento del Controllo dell’account utente.
Finché non verrà rilasciata una correzione, Microsoft consiglia agli utenti di eseguire le applicazioni che utilizzano Windows Installer (MSI) come amministratore.
L'articolo Windows: gli aggiornamenti di sicurezza causano problemi con UAC e installazione app proviene da il blog della sicurezza informatica.
Sentenza reshared this.
Armani, lo stilista che inventò la “rivoluzione sottovoce” della moda
MILANO – “Io non sono né un couturier né un sarto, sono uno che crea uno stile”. È stato proprio Giorgio Armani, scomparso a 91 anni il 4 settembre 2025,…
L'articolo Armani, lo stilista che inventò la “rivoluzione sottovoce” della moda su Lumsanews.
Meet the Experts: AI tra hype e realtà
L’AI è davvero la nostra alleata? O nasconde vulnerabilità che non possiamo ignorare?
Il 25 settembre alla Factory NoLo (Milano) ne parleremo con il Prof. Alessandro Piva, che presenterà i dati dell’Osservatorio AI. Con lui condivideranno scenari, opportunità e rischi della dipendenza dall’AI Matteo Macina e Arturo Di Corinto professionisti di provata esperienza. Modera Gianni Rusconi, giornalista.
Partecipa gratuitamente: bit.ly/4p9u8ZA
#evento #milano #cybersecurity #ai #technology
reshared this
Nazionale, Gattuso al debutto con l’obiettivo mondiale: stasera in campo contro l’Estonia.
[quote]BERGAMO – Adesso si fa sul serio. Si può riassumere così quello che sarà il ritorno in campo della Nazionale italiana nella sfida di stasera contro l’Estonia, per continuare il…
L'articolo Nazionale, Gattuso al debutto con l’obiettivo mondiale: stasera in
Altbot
in reply to Adriano Bono • • •L'immagine è un poster promozionale per un tour intitolato "Ingaggiateci Stronzi Tour" con Adriano Bono One-Man-Band e artisti del circo. Il poster presenta un uomo con barba e capelli lunghi, vestito con un abito rustico e un turbante, che suona una chitarra di colore giallo. Dietro di lui, un gruppo di persone indossa costumi circofili, con abiti colorati e accessori come piume e gioielli. Lo sfondo mostra un tendone circo e un edificio antico. Il testo in alto recita "INGAGGIATECI STRONZI TOUR" in caratteri grandi e bianchi su uno sfondo rosso e blu a raggi. In basso, il testo specifica: "ADRIANO BONO ONE-MAN-BAND + CIRCUS ARTISTS SABATO 4 OTTOBRE [@] FREAK CIRCUS FESTIVAL (BG)" e "CERCASI ALTRI SERATE STRAPAGATE NEL CENTRO-NORD".
Fornito da @altbot, generato localmente e privatamente utilizzando Ovis2-8B
🌱 Energia utilizzata: 0.265 Wh