Salta al contenuto principale

friendica (DFRN) - Collegamento all'originale

Lug Bolzano - LINUXDAY 2025 – 25.10.2025 – everywhere and in BZ – come and see!


lugbz.org/linuxday-2025-25-10-…
Segnalato da Linux Italia e pubblicato sulla comunità Lemmy @GNU/Linux Italia
Dove in Italia ? – Wo in Italien? BZ: Ma anche a Bolzano ! Auch in Bozen! PASSA PAROLA – SAG’s

@GNU/Linux Italia

friendica (DFRN) - Collegamento all'originale

MADAGASCAR. Deposto Rajoelina, al potere i militari


@Notizie dall'Italia e dal mondo
Dopo due settimane di proteste popolari e di crescente dissenso all’interno delle forze armate, il capo dello stato è stato ufficialmente deposto da un intervento del Capsat
L'articolo MADAGASCAR. Deposto pagineesteri.it/2025/10/16/med…

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale
si può cercare la pace o la guerra. cercare di sterminare il nemico in mondo da firmare la pace alla fine per conto proprio, come unico interlocutore sopravvissuto, provoca una grave maledizione sul popolo che ha fatto tutto questo...

reshared this

friendica (DFRN) - Collegamento all'originale
se israele non sostiene di avere un problema con i propri coloni israeliani in cisgiodania, ma sostiene di avere un problema con i "terroristi" /tutti i palestinesi, io ho difficoltà a ritenere israele un interlocutore valido, e pensare che israele parli onestamente e non mi stia prendendo per il culo...

reshared this

friendica (DFRN) - Collegamento all'originale
combattere l'anti-semitismo è ovviamente sacrosanto (perlomeno in quando discriminazione verso una qualsiasi categoria), ma chissà per quante persone questo significa uccidere tutti i palestinesi (o ridurli alla fame) senza ovviamente che questo sia un genocidio (il corretto genocidio per definizione è solo quello subito dagli ebrei a opera di hitler, unico ed inimitabile per crudeltà). forse se più genericamente invocassimo una civiltà più libera, per tutti (anche per quelli che ci stanno sulle palle) questi contrasti neppure si verificherebbero. chi è causa del suo male pianga se stesso. i coloni israeliani, fuori israele, stanno costruendo un mondo migliore di rispetto con gli abitanti della cisgiordania con i quali a quanto pare, secondo molti, NON sono in conflitto (le armi che hanno a casa servono per il tiro al piattello)?

friendica (DFRN) - Collegamento all'originale

Apple prende a bordo il colosso cinese dell’auto Byd

L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Con l'asiatica Byd l'americana Apple avrebbe sviluppato le batterie per l'auto elettrica Project Titan, abbandonata nei garage di Cupertino. Il fallimento di quel prototipo non ha però interrotto quella curiosa collaborazione che

#StartMag @Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

se tutti i motivi di distinguo politici contro la salis sono di questo genere ho capito che è il problema della solita destra italia. personalmente sonno con la salis. la politica non si può disinteressare dell rispetto del diritto alla casa di ogni cittadini. e quando questo non è garantito è le persone impazziscono è inevitabile che la responsabilità politica del gesto sia anche della politica. a me pare quasi ovvio. e non è strumentalizzazione politica. è un fatto ripeto ovvio. e chi lo nega credo sia in mala fede. la meloni, come politica (ma non la sola) dovrebbe solo idre: si abbiamo, sbagliato, e purtroppo succedono anche queste cose.

e poi non è questione di giustificare nessuno, ma di capire un problema e di chi ha la responsabilità sociale di risolverlo. e non certo il singolo cittadino.


Salis parla di "disagio" per Castel d'Azzano e chiama la politica, Gasparri :"Difende la strage"

Per Ilaria Salis quello che hanno fatto i fratelli Ramponi è stato "un gesto disperato e terribile", legato anche al "disagio" di non avere una casa. Il centrodestra si infuria: "Giustifica la strage"
Marcella Piretti (Agenzia di Stampa Dire)

friendica (DFRN) - Collegamento all'originale

Francia, il governo Lecornu supera il voto di sfiducia (Il Fatto del giorno)

A cura di Chiara Di Benedetto
L'articolo Francia, il governo Lecornu supera il voto di sfiducia (Il Fatto del giorno) su Lumsanews.

@Universitaly: università & universitari

lumsanews.it/francia-il-govern…

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale
“In questi giorni chiedo insieme a voi l’intercessione di san Giovanni Paolo II, testimone di speranza e guida dei giovani”. È il saluto del Papa ai fedeli polacchi, al termine dell’udienza di oggi.

Leone XIV: udienza, cita Giovanni Paolo II, “possa ispirare insegnanti, catechisti ed educatore nella formazione dei giovani” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Leone XIV: udienza, “il desiderio abissale del nostro cuore può trovare la sua risposta ultima non nei ruoli, nel potere, nell’avere”

Leone XIV: udienza, “il desiderio abissale del nostro cuore può trovare la sua risposta ultima non nei ruoli, nel potere, nell’avere” - AgenSIR

“Non siamo stati creati per la mancanza, ma per la pienezza, per gioire della vita e della vita in abbondanza”.
M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

GAZA. Infantino (Fifa) ha ignorato i massacri, ora parla di ricostruzione


@Notizie dall'Italia e dal mondo
La presenza a Sharm El Sheikh su invito di Trump del presidente della Federazione Calcio non è legata alla ricostruzione degli stadi, ma a molteplici interessi politici ed economici. Infantino negli ultimi anni ha impedito l'esclusione del calcio israeliano dalle

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale
Il prologo dell'udienza generale di oggi è stata una sorpresa. Dopo l'ingresso della jeep bianca scoperta in piazza e il giro tra i vari settori delimitati dal colonnato del Bernini, il Papa ha prolungato il giro percorrendo sulla papamobile tutta vi…

Leone XIV: udienza, a sorpresa in papamobile su via della Conciliazione - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Veneto, Zaia capolista. Nella Lega scatta il processo a Vannacci

PADOVA – Luca Zaia correrà come capolista per la Lega in tutte le circoscrizioni alle prossime elezioni regionali, che si terranno il 23 e il 24 novembre. L’annuncio del presidente…
L'articolo Veneto, Zaia capolista. Nella Lega scatta il processo a Vannacci su Lumsanews.

@Universitaly: università & universitari

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale

Al via la festa del Cinema di Roma con La vita va così di Riccardo Milani

ROMA – La festa del Cinema di Roma si apre con la commedia sociale di Riccardo Milani. È La Vita va così a inaugurare il festival. La pellicola, tra resistenza…
L'articolo Al via la festa del Cinema di Roma con La vita va così di Riccardo Milani su Lumsanews.

friendica (DFRN) - Collegamento all'originale

Giornata mondiale alimentazione, il Papa alla Fao: “Uso della fame come arma è un crimine”

[quote]ROMA – Occorre “mobilitare tutte le energie disponibili, in uno spirito di solidarietà, affinché nel mondo a nessuno manchi il cibo necessario, sia in quantità sia in qualità”. Interviene così…
L'articolo Giornata mondiale alimentazione, il Papa alla Fao:

friendica (DFRN) - Collegamento all'originale

This is a test post from Friendica to see if the presence of a link causes transcoding issues in NodeBB

@Testing Ground

As already reported at this link by the user @ska NodeBB appears to be transcoding messages from Mastodon Glitch-soc (but possibly also from Friendica) poorly, which contain a hyperlink.

@Testing Ground @ska

friendica (DFRN) - Collegamento all'originale

Manovra 2026 verso il Cdm. Dal taglio Irpef ai bonus per le famiglie, tutte le misure

Dal taglio dell’Irpef ai bonus per le famiglie, passando per il nodo pensioni e il ruolo delle banche e assicurazioni
L'articolo Manovra 2026 verso il Cdm. Dal taglio Irpef ai bonus per le famiglie, tutte le misure su Lumsanews.

@Universitaly: università & universitari

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale

Rafah, Israele rinvia l’apertura: “Gli aiuti non passano da lì”. Trump: “Nuovi attacchi se Hamas non rispetta accordi”

[quote]GAZA CITY – Altre due bare in viaggio verso Israele. Salgono a nove i corpi degli ostaggi israeliani che Hamas ha riconsegnato come parte dell’accordo. Si tratta di Inbar Hayman e…
L'articolo Rafah, Israele

friendica (DFRN) - Collegamento all'originale

Ragazzi sempre più classificati e spesa per l’aiuto previsto

@Politica interna, europea e internazionale

Nelle scuole italiane cresce ogni anno il numero di bambini e ragazzi che hanno bisogno di sostegno perché – a detta degli insegnanti – manifestano difficoltà. La richiesta è esplosa al punto da rendere difficile distinguere una condizione reale da ciò che, in fondo, è una normale fase

@Politica interna, europea e internazionale

friendica (DFRN) - Collegamento all'originale

linkiesta.it/2025/10/le-chat-d…

quanto diventa più brutto e triste e ingiusto il mondo ogni giorno che passa. noi abbiamo la meloni, loro hanno trump, ma alla fine il problema p chi si rifiuta di vedere. prima della seconda guerra mondiale molto si rifiutarono di vedere. un po' come quando da no diciamo con superficialità "ragazzate". ma poi + finita davvero tragicamente. non interessa impedire che si ripeta? devo ancora capire in base a quale logica così tanti si sonno convinti che il fascismo non possa tornare, specie quando in piccole dosi non è mai davvero sparito dall'italia.

Enter a title

www.linkiesta.it

friendica (DFRN) - Collegamento all'originale

Genova, una jihad contro le donne


@Giornalismo e disordine informativo
articolo21.org/2025/10/genova-…
(Il brano che segue è tratto dal romanzo di Roberto Bertoni “Raccontami ogni cosa. Genova, per non dimenticare”, uscito il 15 ottobre per Santelli. CRATERI Penso spesso a lei, che all’epoca era una studentessa dai lineamenti dolci, bellissima anche se non appariscente. Penso

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

Sicurezza cognitiva. Come si difende l’Europa quando il campo di battaglia è la mente

@Notizie dall'Italia e dal mondo

Droni che violano gli spazi aerei, profili psicometrici che anticipano le reazioni di cittadini e leader, deepfake sempre più convincenti e cloni di siti media che replicano perfettamente i loghi istituzionali. La guerra ibrida ha abbandonato il confine tra reale e virtuale e si combatte oggi

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

Una federazione partitica non è la via per il centro

@Politica interna, europea e internazionale

L'articolo Una federazione partitica non è la via per il centro proviene da Fondazione Luigi Einaudi.

fondazioneluigieinaudi.it/una-…

@Politica interna, europea e internazionale

friendica (DFRN) - Collegamento all'originale

Scattered LAPSUS$ Hunters, Salesforce, il riscatto da un miliardo e la pigrizia aziendale


@Informatica (Italy e non Italy 😁)
Una riflessione sulla scarsa efficacia delle procedure aziendali e sulla cultura del lavoro, entrambe protagoniste di ogni disavventura aziendale, non solo informatica. Scattered LAPSUS$ Hunters e Salesforce sono attori digitali di una commedia fin troppo umana
L'articolo Scattered

@Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

ILS Pavia - Appuntamento imperdibile il 25 Ottobre 2025 con il Linux Day a Pavia


pavia.ils.org/eventi/appuntame…
Segnalato da Linux Italia e pubblicato sulla comunità Lemmy @GNU/Linux Italia
il 25 Ottobre 2025 a Pavia si tiene il Linux Day 2025
L'articolo

@GNU/Linux Italia

friendica (DFRN) - Collegamento all'originale

Terza prova da Friendica

@Test: palestra e allenamenti :-)

Ciao ciao gente

@Test: palestra e allenamenti :-)

macfranc reshared this.

friendica (DFRN) - Collegamento all'originale

Regionali Toscana 2020
Lega Salvini Premier 21,78

Regionali Toscana 2025
Lega Toscana per Salvini Premier 4,38

In Toscana, aver appaltato la gestione della campagna a Vannacci ha indubbiamente avuto un impatto.

#Lega

#Lega

friendica (DFRN) - Collegamento all'originale

A Malta non solo per ricordare Daphne ma per difendere la libertà di stampa in Europa


@Giornalismo e disordine informativo
articolo21.org/2025/10/a-malta…
La sua lezione valida anche oggi
L'articolo A Malta non solo per ricordare Daphne ma per difendere la libertà di

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

Livorno, il Vernacoliere sospende le pubblicazioni: "Dopo il numero di novembre ci fermiamo"

L'annuncio del direttore Mario Cardinali: "Nessuno è eterno, serve una pausa di riorganizzazione. I costi hanno superato ormai gli incassi"
redazione (LivornoToday)

reshared this

in reply to simona

Simon Perry
friendica (DFRN) - Collegamento all'originale
Simon Perry
@simona noooo, mi dispiace tantissimo!
Ma era davvero incredibile che avessero resistito per così tanto tempo, visti i tempi che corrono... 😭
@simona

friendica (DFRN) - Collegamento all'originale

La chiave e la ferita: anatomia di un femminicidio e dell’ossessione del possesso


@Giornalismo e disordine informativo
articolo21.org/2025/10/la-chia…
Martedì 14 ottobre, la normalità della sera è stata squarciata da un atto che, pur nella sua ferocia, non è un’eccezione ma un

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

F5 nel mirino di attori statali: il codice sorgente di BIG-IP è stato compromesso. Un’ipotesi di threat actor


@Informatica (Italy e non Italy 😁)
F5, colosso americano delle soluzioni di networking e sicurezza, ha dovuto ammettere pubblicamente quello che nessuna azienda vorrebbe mai rivelare: attori sponsorizzati da uno stato-nazione hanno

@Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

Gianluca Soncin. Anzi, il Gianluca, ué figa!

Questo signore con l'aria un po' alla Gèc Nìcolson si chiama Gianluca (ué figa) Soncin.
Ha una cinquantina d'anni, proprio come il vignaiolo Emanuele Ragnedda; è nato a Biella e abita a Cervia.
Veste con eleganza, e la cosa già dovrebbe destare sospetti.
Secondo il gazzettaio del 16 ottobre 2025 guadagna denaro vendendo e comprando automobili invece che facendo strizzare frutta per venderne il succo fermentato, e ha anche lui i comportamenti di consumo di chi guadagna -o meglio, di chi vuol fare intendere di guadagnare- molto denaro.
Il che dovrebbe destare ancora più sospetti.
Chi guadagna molto denaro dovrebbe essere contento di non doversela vedere con l'indigenza.
Invece chi guadagna molto denaro -e soprattutto chi vuol fare intendere di guadagnarne- risulta per lo più decisamente antipatico.
Il che fa aumentare i sospetti e li rafforza.
Se poi si legge che una volta stretta con burocratica rapidità una relazione peccaminosa con un individuo consimile di sesso opposto -solo con i costumi da bagno al posto delle automobili- lo avrebbe esortato, incentivato e accompagnato all'uso di "sostanze psicotrope", i sospetti diventano certezze.
Una attendibile ricostruzione dei comportamenti di consumo e della natura delle relazioni tra individui di questo genere non è certo ricavabile dal gazzettaio; unica fonte documentale minimamente attendibile sarebbero i rispettivi estratti conto.
Ma insomma, dal poco che si può capire -oltre a vendere e comprare automobili- Gianluca Soncin nel corso degli ultimi due anni avrebbe trovato il tempo per le seguenti attività relazionali, non si sa se remunerate o meno.
L'epilogo si è tenuto in un quartiere della periferia milanese eloquentemente privo di qualsiasi caratteristica instagrammabile.
La coprotagonista è sempre la stessa, che a distanza di chissà quanti anni verrà ricordata come una "fotomodella a cui piace vestire alla modo [sic] rigorosamente firmato, uscire con gli amici, viaggiare per il mondo e gustarsi ogni momento della giornata per essere felice".

Estate 2024: viaggio all’Elba. Lui la tempesta di calci e pugni durante una lite, e «cerca di buttarla dal balcone».
Settembre 2024: un’altra aggressione, questa volta durante una gita a Venezia.
Lo scorso aprile lei vuole chiudere la relazione. Lascia Cervia. Lui l’avverte: «Se mi lasci t’ammazzo, e ammazzo tua madre». Pamela spaventata si sfoga con l’ex: «Non posso lasciarlo altrimenti m’ammazza». Tra loro è un tira e molla.
Il 9 maggio, nella casa di Milano interviene la polizia per una lite.
Gli episodi si moltiplicano.
Ad agosto lui le punta una pistola alla pancia.
Sabato scorso, durante una gita a Padova, lui minaccia di ucciderle il cane, la schiaffeggia.
Dopo quel giorno, lei lo caccia di casa.


Solo che il Gianluca (ué figa) si era fatto una copia delle chiavi.

friendica (DFRN) - Collegamento all'originale
Questo essere l'ha detto veramente? l'UE è l'antidoto per le guerre? Ma vive in questo mondo o in un mondo parallelo? Fategli ascoltare le dichiarazioni delle varie Von Der Layen, Kallas, Metsola, Merz, Tusk ecc. Veramente senza parole, VERGOGNATI!

friendica (DFRN) - Collegamento all'originale

In una lista di destra, chi l'avrebbe mai detto... in questo paese i fenomeni finiscono tutti dalla stessa parte.

il Post

2025-10-16 06:02:20

flipboard - Link to source

Maria Rosaria Boccia ha detto che si candiderà alle elezioni regionali in Campania - Il Post
https://www.ilpost.it/2025/10/16/maria-rosaria-boccia-candidata-elezioni-regionali-campania/?utm_source=flipboard&utm_medium=activitypub

Pubblicato su News @news-ilPost



Maria Rosaria Boccia ha detto che si candiderà alle elezioni regionali in Campania

Il Post

friendica (DFRN) - Collegamento all'originale

Rapporto Politico e Umanitario sulle Barriere e i Checkpoint nella Cisgiordania Occupata
A cura dell’Unità di Monitoraggio per i Diritti Umani – Associazione dei Palestinesi in Italia
Nel cuore della Cisgiordania occupata, oltre 1274 cancelli metallici e checkpoint militari israeliani bloccano quotidianamente la vita dei palestinesi. Queste barriere, installate agli ingressi delle città, tra i villaggi e lungo le strade riservate esclusivamente ai coloni israeliani, costituiscono un sistema di separazione forzata e un vero e proprio regime di apartheid moderno.
Ogni giorno, studenti, lavoratori, impiegati, malati, donne incinte e anziani sono costretti ad attendere ore intere sotto il sole cocente o il freddo solo per attraversare queste barriere per andare al lavoro, a scuola o in ospedale.
Situazione attuale:
• Alcuni checkpoint sono aperti solo in orari specifici: chi arriva tardi deve passare la notte fuori casa.
• I soldati israeliani esercitano forme sistematiche di umiliazione, attraverso controlli minuziosi, domande provocatorie e ritardi intenzionali.
• In posti come il checkpoint di Qalandiya, i cittadini sono costretti a scendere dai mezzi, passare per tunnel e subire controlli corporei estenuanti, come se stessero attraversando una frontiera internazionale.
• L’accesso ai territori del 1948 (Israele) richiede permessi complessi, più difficili di un visto turistico, concessi in modo arbitrario, rendendo la vita palestinese un mosaico di enclavi isolate (bantustan) senza connessione geografica.
Implicazioni umanitarie e politiche:
• Frammentazione del tessuto sociale e territoriale palestinese.
• Impossibilità di creare uno Stato palestinese contiguo e sovrano.
• Violazioni gravi del diritto internazionale, in particolare del diritto alla libertà di movimento.
• Rafforzamento di un sistema di apartheid riconosciuto da numerose organizzazioni internazionali.
Chiediamo alla comunità internazionale, alle organizzazioni per i diritti umani e alla coscienza globale di:
• Agire per la rimozione delle barriere.
• Fermare il regime di permessi arbitrari.
• Garantire la libertà di movimento per il popolo palestinese.

14/10/2025
Associazione dei Palestinesi in Italia (API)


FREE ASSANGE Italia

Rapporto Politico e Umanitario sulle Barriere e i Checkpoint nella Cisgiordania Occupata A cura dell’Unità di Monitoraggio per i Diritti Umani – Associazione  dei Palestinesi in Italia Nel cuore della Cisgiordania occupata, oltre 1274 cancelli metall…
Telegram

luke15n 🐳 reshared this.

friendica (DFRN) - Collegamento all'originale
Riceviamo e pubblichiamo:

FREE ASSANGE Italia

Telegram

friendica (DFRN) - Collegamento all'originale

Mysterious Elephant: a growing threat


Introduction


Mysterious Elephant is a highly active advanced persistent threat (APT) group that we at Kaspersky GReAT discovered in 2023. It has been consistently evolving and adapting its tactics, techniques, and procedures (TTPs) to stay under the radar. With a primary focus on targeting government entities and foreign affairs sectors in the Asia-Pacific region, the group has been using a range of sophisticated tools and techniques to infiltrate and exfiltrate sensitive information. Notably, Mysterious Elephant has been exploiting WhatsApp communications to steal sensitive data, including documents, pictures, and archive files.

The group’s latest campaign, which began in early 2025, reveals a significant shift in their TTPs, with an increased emphasis on using new custom-made tools as well as customized open-source tools, such as BabShell and MemLoader modules, to achieve their objectives. In this report, we will delve into the history of Mysterious Elephant’s attacks, their latest tactics and techniques, and provide a comprehensive understanding of this threat.

The emergence of Mysterious Elephant


Mysterious Elephant is a threat actor we’ve been tracking since 2023. Initially, its intrusions resembled those of the Confucius threat actor. However, further analysis revealed a more complex picture. We found that Mysterious Elephant’s malware contained code from multiple APT groups, including Origami Elephant, Confucius, and SideWinder, which suggested deep collaboration and resource sharing between teams. Notably, our research indicates that the tools and code borrowed from the aforementioned APT groups were previously used by their original developers, but have since been abandoned or replaced by newer versions. However, Mysterious Elephant has not only adopted these tools, but also continued to maintain, develop, and improve them, incorporating the code into their own operations and creating new, advanced versions. The actor’s early attack chains featured distinctive elements, such as remote template injections and exploitation of CVE-2017-11882, followed by the use of a downloader called “Vtyrei”, which was previously connected to Origami Elephant and later abandoned by this group. Over time, Mysterious Elephant has continued to upgrade its tools and expanded its operations, eventually earning its designation as a previously unidentified threat actor.

Latest campaign


The group’s latest campaign, which was discovered in early 2025, reveals a significant shift in their TTPs. They are now using a combination of exploit kits, phishing emails, and malicious documents to gain initial access to their targets. Once inside, they deploy a range of custom-made and open-source tools to achieve their objectives. In the following sections, we’ll delve into the latest tactics and techniques used by Mysterious Elephant, including their new tools, infrastructure, and victimology.

Spear phishing


Mysterious Elephant has started using spear phishing techniques to gain initial access. Phishing emails are tailored to each victim and are convincingly designed to mimic legitimate correspondence. The primary targets of this APT group are countries in the South Asia (SA) region, particularly Pakistan. Notably, this APT organization shows a strong interest and inclination towards diplomatic institutions, which is reflected in the themes covered by the threat actor’s spear phishing emails, as seen in bait attachments.

Spear phishing email used by Mysterious Elephant
Spear phishing email used by Mysterious Elephant

For example, the decoy document above concerns Pakistan’s application for a non-permanent seat on the United Nations Security Council for the 2025–2026 term.

Malicious tools


Mysterious Elephant’s toolkit is a noteworthy aspect of their operations. The group has switched to using a variety of custom-made and open-source tools instead of employing known malware to achieve their objectives.

PowerShell scripts


The threat actor uses PowerShell scripts to execute commands, deploy additional payloads, and establish persistence. These scripts are loaded from C2 servers and often use legitimate system administration tools, such as curl and certutil, to download and execute malicious files.

Malicious PowerShell script seen in Mysterious Elephant's 2025 attacks
Malicious PowerShell script seen in Mysterious Elephant’s 2025 attacks

For example, the script above is used to download the next-stage payload and save it as ping.exe. It then schedules a task to execute the payload and send the results back to the C2 server. The task is set to run automatically in response to changes in the network profile, ensuring persistence on the compromised system. Specifically, it is triggered by network profile-related events (Microsoft-Windows-NetworkProfile/Operational), which can indicate a new network connection. A four-hour delay is configured after the event, likely to help evade detection.

BabShell


One of the most recent tools used by Mysterious Elephant is BabShell. This is a reverse shell tool written in C++ that enables attackers to connect to a compromised system. Upon execution, it gathers system information, including username, computer name, and MAC address, to identify the machine. The malware then enters an infinite loop of performing the following steps:

  1. It listens for and receives commands from the attacker-controlled C2 server.
  2. For each received command, BabShell creates a separate thread to execute it, allowing for concurrent execution of multiple commands.
  3. The output of each command is captured and saved to a file named output_[timestamp].txt, where [timestamp] is the current time. This allows the attacker to review the results of the commands.
  4. The contents of the output_[timestamp].txt file are then transmitted back to the C2 server, providing the attacker with the outcome of the executed commands and enabling them to take further actions, for instance, deploy a next-stage payload or execute additional malicious instructions.

BabShell uses the following commands to execute command-line instructions and additional payloads it receives from the server:


Customized open-source tools


One of the latest modules used by Mysterious Elephant and loaded by BabShell is MemLoader HidenDesk.

MemLoader HidenDesk is a reflective PE loader that loads and executes malicious payloads in memory. It uses encryption and compression to evade detection.

MemLoader HidenDesk operates in the following manner:

  1. The malware checks the number of active processes and terminates itself if there are fewer than 40 processes running — a technique used to evade sandbox analysis.
  2. It creates a shortcut to its executable and saves it in the autostart folder, ensuring it can restart itself after a system reboot.
  3. The malware then creates a hidden desktop named “MalwareTech_Hidden” and switches to it, providing a covert environment for its activities. This technique is borrowed from an open-source project on GitHub.
  4. Using an RC4-like algorithm with the key D12Q4GXl1SmaZv3hKEzdAhvdBkpWpwcmSpcD, the malware decrypts a block of data from its own binary and executes it in memory as a shellcode. The shellcode’s sole purpose is to load and execute a PE file, specifically a sample of the commercial RAT called “Remcos” (MD5: 037b2f6233ccc82f0c75bf56c47742bb).

Another recent loader malware used in the latest campaign is MemLoader Edge.

MemLoader Edge is a malicious loader that embeds a sample of the VRat backdoor, utilizing encryption and evasion techniques.

It operates in the following manner:

  1. The malware performs a network connectivity test by attempting to connect to the legitimate website bing.com:445, which is likely to fail since the 445 port is not open on the server side. If the test were to succeed, suggesting that the loader is possibly in an emulation or sandbox environment, the malware would drop an embedded picture on the machine and display a popup window with three unresponsive mocked-up buttons, then enter an infinite loop. This is done to complicate detection and analysis.
  2. If the connection attempt fails, the malware iterates through a 1016-byte array to find the correct XOR keys for decrypting the embedded PE file in two rounds. The process continues until the decrypted data matches the byte sequence of MZ\x90, indicating that the real XOR keys are found within the array.
  3. If the malware is unable to find the correct XOR keys, it will display the same picture and popup window as before, followed by a message box containing an error message after the window is closed.
  4. Once the PE file is successfully decrypted, it is loaded into memory using reflective loading techniques. The decrypted PE file is based on the open-source RAT vxRat, which is referred to as VRat due to the PDB string found in the sample:
    C:\Users\admin\source\repos\vRat_Client\Release\vRat_Client.pdb


WhatsApp-specific exfiltration tools


Spying on WhatsApp communications is a key aspect of the exfiltration modules employed by Mysterious Elephant. They are designed to steal sensitive data from compromised systems. The attackers have implemented WhatsApp-specific features into their exfiltration tools, allowing them to target files shared through the WhatsApp application and exfiltrate valuable information, including documents, pictures, archive files, and more. These modules employ various techniques, such as recursive directory traversal, XOR decryption, and Base64 encoding, to evade detection and upload the stolen data to the attackers’ C2 servers.

  • Uplo Exfiltrator

The Uplo Exfiltrator is a data exfiltration tool that targets specific file types and uploads them to the attackers’ C2 servers. It uses a simple XOR decryption to deobfuscate C2 domain paths and employs a recursive depth-first directory traversal algorithm to identify valuable files. The malware specifically targets file types that are likely to contain potentially sensitive data, including documents, spreadsheets, presentations, archives, certificates, contacts, and images. The targeted file extensions include .TXT, .DOC, .DOCX, .PDF, .XLS, .XLSX, .CSV, .PPT, .PPTX, .ZIP, .RAR, .7Z, .PFX, .VCF, .JPG, .JPEG, and .AXX.

  • Stom Exfiltrator

The Stom Exfiltrator is a commonly used exfiltration tool that recursively searches specific directories, including the “Desktop” and “Downloads” folders, as well as all drives except the C drive, to collect files with predefined extensions. Its latest variant is specifically designed to target files shared through the WhatsApp application. This version uses a hardcoded folder path to locate and exfiltrate such files:
%AppData%\\Packages\\xxxxx.WhatsAppDesktop_[WhatsApp ID]\\LocalState\\Shared\\transfers\\

The targeted file extensions include .PDF, .DOCX, .TXT, .JPG, .PNG, .ZIP, .RAR, .PPTX, .DOC, .XLS, .XLSX, .PST, and .OST.

  • ChromeStealer Exfiltrator

The ChromeStealer Exfiltrator is another exfiltration tool used by Mysterious Elephant that targets Google Chrome browser data, including cookies, tokens, and other sensitive information. It searches specific directories within the Chrome user data of the most recently used Google Chrome profile, including the IndexedDB directory and the “Local Storage” directory. The malware uploads all files found in these directories to the attacker-controlled C2 server, potentially exposing sensitive data like chat logs, contacts, and authentication tokens. The response from the C2 server suggests that this tool was also after stealing files related to WhatsApp. The ChromeStealer Exfiltrator employs string obfuscation to evade detection.

Infrastructure


Mysterious Elephant’s infrastructure is a network of domains and IP addresses. The group has been using a range of techniques, including wildcard DNS records, to generate unique domain names for each request. This makes it challenging for security researchers to track and monitor their activities. The attackers have also been using virtual private servers (VPS) and cloud services to host their infrastructure. This allows them to easily scale and adapt their operations to evade detection. According to our data, this APT group has utilized the services of numerous VPS providers in their operations. Nevertheless, our analysis of the statistics has revealed that Mysterious Elephant appears to have a preference for certain VPS providers.

VPS providers most commonly used by Mysterious Elephant (download)

Victimology


Mysterious Elephant’s primary targets are government entities and foreign affairs sectors in the Asia-Pacific region. The group has been focusing on Pakistan, Bangladesh, and Sri Lanka, with a lower number of victims in other countries. The attackers have been using highly customized payloads tailored to specific individuals, highlighting their sophistication and focus on targeted attacks.

The group’s victimology is characterized by a high degree of specificity. Attackers often use personalized phishing emails and malicious documents to gain initial access. Once inside, they employ a range of tools and techniques to escalate privileges, move laterally, and exfiltrate sensitive information.

  • Most targeted countries: Pakistan, Bangladesh, Afghanistan, Nepal and Sri Lanka


Countries targeted most often by Mysterious Elephant (download)

  • Primary targets: government entities and foreign affairs sectors


Industries most targeted by Mysterious Elephant (download)

Conclusion


In conclusion, Mysterious Elephant is a highly sophisticated and active Advanced Persistent Threat group that poses a significant threat to government entities and foreign affairs sectors in the Asia-Pacific region. Through their continuous evolution and adaptation of tactics, techniques, and procedures, the group has demonstrated the ability to evade detection and infiltrate sensitive systems. The use of custom-made and open-source tools, such as BabShell and MemLoader, highlights their technical expertise and willingness to invest in developing advanced malware.

The group’s focus on targeting specific organizations, combined with their ability to tailor their attacks to specific victims, underscores the severity of the threat they pose. The exfiltration of sensitive information, including documents, pictures, and archive files, can have significant consequences for national security and global stability.

To counter the Mysterious Elephant threat, it is essential for organizations to implement robust security measures, including regular software updates, network monitoring, and employee training. Additionally, international cooperation and information sharing among cybersecurity professionals, governments, and industries are crucial in tracking and disrupting the group’s activities.

Ultimately, staying ahead of Mysterious Elephant and other APT groups requires a proactive and collaborative approach to cybersecurity. By understanding their TTPs, sharing threat intelligence, and implementing effective countermeasures, we can reduce the risk of successful attacks and protect sensitive information from falling into the wrong hands.

Indicators of compromise

File hashes


Malicious documents
c12ea05baf94ef6f0ea73470d70db3b2 M6XA.rar
8650fff81d597e1a3406baf3bb87297f 2025-013-PAK-MoD-Invitation_the_UN_Peacekeeping.rar

MemLoader HidenDesk
658eed7fcb6794634bbdd7f272fcf9c6 STI.dll
4c32e12e73be9979ede3f8fce4f41a3a STI.dll

MemLoader Edge
3caaf05b2e173663f359f27802f10139 Edge.exe, debugger.exe, runtime.exe
bc0fc851268afdf0f63c97473825ff75

BabShell
85c7f209a8fa47285f08b09b3868c2a1
f947ff7fb94fa35a532f8a7d99181cf1

Uplo Exfiltrator
cf1d14e59c38695d87d85af76db9a861 SXSHARED.dll

Stom Exfiltrator
ff1417e8e208cadd55bf066f28821d94
7ee45b465dcc1ac281378c973ae4c6a0 ping.exe
b63316223e952a3a51389a623eb283b6 ping.exe
e525da087466ef77385a06d969f06c81
78b59ea529a7bddb3d63fcbe0fe7af94

ChromeStealer Exfiltrator
9e50adb6107067ff0bab73307f5499b6 WhatsAppOB.exe

Domains/IPs


hxxps://storycentral[.]net
hxxp://listofexoticplaces[.]com
hxxps://monsoonconference[.]com
hxxp://mediumblog[.]online:4443
hxxp://cloud.givensolutions[.]online:4443
hxxp://cloud.qunetcentre[.]org:443
solutions.fuzzy-network[.]tech
pdfplugins[.]com
file-share.officeweb[.]live
fileshare-avp.ddns[.]net
91.132.95[.]148
62.106.66[.]80
158.255.215[.]45

securelist.com/mysterious-elep…