Gli aggressori utilizzano una tecnica di phishing avanzata, nota come CoPhish, che si avvale di Microsoft Copilot Studio per convincere gli utenti a concedere l’accesso non autorizzato ai propri account Microsoft Entra ID.

Un recente rapporto, descrive l’attacco nei dettagli e sottolinea come malgrado gli sforzi di Microsoft volti a rafforzare le politiche di consenso, permangano evidenti vulnerabilità negli strumenti di intelligenza artificiale offerti in cloud.

L’adozione crescente di strumenti come Copilot da parte delle organizzazioni evidenzia la necessità di un’attenta supervisione delle piattaforme low-code. In questo ambito, funzionalità configurabili dall’utente, progettate per favorire la produttività, possono inavvertitamente agevolare il phishing.
Un aggressore può utilizzare un agente Copilot Studio dannoso per indurre un bersaglio a cadere vittima di un attacco di phishing OAuth. L’aggressore o l’agente può quindi compiere azioni per conto dell’utente (Fonte Datadog Security Labs).
Questo attacco scoperto dai ricercatori di Datadog Security Labs, utilizza agenti di intelligenza artificiale personalizzabili ospitati su domini Microsoft legittimi per mascherare i tradizionali attacchi di consenso OAuth, facendoli apparire affidabili e aggirando i sospetti degli utenti.

Gli aggressori sono in grado di progettare e creare chatbot dall’aspetto innocuo, al fine di ottenere dagli utenti le credenziali di accesso e, successivamente, tokens OAuth utilizzabili per compiere azioni dannose, ad esempio, l’accesso ai calendari o la lettura delle email.

Gli attacchi di consenso OAuth, classificati nella tecnica MITRE ATT&CK T1528, consistono nell’indurre gli utenti ad approvare registrazioni di app dannose che richiedono ampie autorizzazioni per l’accesso a dati sensibili.

Gli attacchi condotti all’interno degli ambienti Entra ID prevedono la creazione di registri di applicazioni da parte degli aggressori al fine di ottenere l’accesso alle risorse messe a disposizione da Microsoft Graph, quali ad esempio la posta elettronica o OneNote. Ciò avviene mediante l’utilizzo di collegamenti di phishing che inducono le vittime a concedere il consenso. Una volta ottenuto l’approvazione, il token che ne deriva conferisce all’aggressore la possibilità di impersonificare l’utente, consentendo così l’estrazione dei dati o ulteriori azioni di compromissione.

Negli anni, Microsoft ha implementato misure di difesa più solide, come ad esempio le limitazioni relative alle applicazioni non verificate. Inoltre, un aggiornamento del luglio 2025 ha stabilito come impostazione predefinita “microsoft-user-default-recommended”, andando così a bloccare automaticamente l’accesso a autorizzazioni considerate ad alto rischio, quali Sites.Read.All e Files.Read.All, qualora non venga concessa l’approvazione da parte dell’amministratore.

Tuttavia, permangono delle lacune: gli utenti senza privilegi possono comunque approvare app interne per autorizzazioni come Mail.ReadWrite o Calendars.ReadWrite, mentre gli amministratori con ruoli come Amministratore applicazioni possono acconsentire a qualsiasi autorizzazione su qualsiasi app.

L'articolo Arriva CoPhish! Microsoft Copilot Studio usato per rubare account proviene da Red Hot Cyber.

La continua generazione di videoclip con attori famosi pubblicati senza il loro consenso sulla piattaforma Sora 2 ha nuovamente attirato l’attenzione sui problemi associati all’utilizzo di reti neurali per creare copie digitali di persone.

Dopo che il servizio di OpenAI ha pubblicato video generati con Bryan Cranston, tra cui un video con Michael Jackson, l’azienda ha annunciato che avrebbe rafforzato i controlli sull’utilizzo delle immagini e delle voci di personaggi famosi.

Lo stesso Cranston, il sindacato degli attori SAG-AFTRA e diverse importanti agenzie (United Talent Agency, Creative Artists Agency e Association of Talent Agents) hanno rilasciato una dichiarazione congiunta. Hanno sottolineato che OpenAI ha riconosciuto la generazione indesiderata e ne ha espresso rammarico. In risposta alle critiche, l’azienda ha ribadito il suo impegno nei confronti del principio di partecipazione volontaria alla creazione di copie digitali: nessun artista o performer dovrebbe apparire in tali video senza previa autorizzazione. Ha inoltre promesso di rispondere tempestivamente ai reclami relativi alle violazioni di questa politica.

Sebbene OpenAI non abbia divulgato i dettagli delle modifiche apportate all’app Sora, l’annuncio in sé ha rappresentato un passo importante nel riconoscimento pubblico del problema.

La piattaforma aveva già scatenato un’ondata di critiche dopo aver pubblicato video con immagini distorte di personaggi famosi. A seguito di questi incidenti, l’azienda ha revocato la sua precedente politica “predefinita” e ha promesso di fornire ai titolari dei diritti d’autore un controllo più granulare sulla generazione di contenuti, più vicino ai principi del consenso volontario per l’uso delle apparenze.

Sebbene Cranston abbia sottolineato la risposta positiva di OpenAI e l’abbia definita un importante esempio di promozione del dialogo, il presidente del SAG-AFTRA, Sean Astin, ha chiesto un intervento legislativo. Ha sottolineato la necessità di uno strumento legale in grado di proteggere i professionisti della creatività dalle copie non autorizzate su larga scala tramite l’intelligenza artificiale. In questo contesto, ha menzionato il disegno di legge NO FAKES (Nurture Originals, Foster Art, and Keep Entertainment Safe Act), attualmente in discussione negli Stati Uniti, che mira a proteggere dalla replica digitale senza il permesso dell’artista originale.

Nel contesto della rapida diffusione dei modelli generativi e della loro integrazione nelle piattaforme mediatiche più diffuse, tali incidenti sollevano un interrogativo urgente: quali sono i limiti di ciò che è accettabile quando le tecnologie sono in grado di ricreare i volti e le voci delle persone con una fedeltà pressoché perfetta?

Mentre le aziende promettono di rafforzare i filtri e migliorare la supervisione, la comunità professionale continua a insistere sulle garanzie istituzionali, anche a livello legislativo.

L'articolo OpenAI rafforza i controlli su Sora 2 dopo critiche per video con attori famosi proviene da Red Hot Cyber.

Nel panorama delle minacce informatiche, pochi malware sono tanto persistenti e diffusi quanto Formbook. Nato come un semplice keylogger e form-grabber, si è evoluto in un potente infostealer venduto secondo il modello Malware-as-a-Service (MaaS), rendendolo accessibile a un’ampia platea di criminali informatici. La sua capacità di esfiltrare credenziali dai browser, client email e altri software lo rende uno strumento prediletto per ottenere un accesso iniziale alle reti aziendali.

In questo articolo, analizzeremo il sample di un dropper multi-stadio progettato per distribuire l’infostealer Formbook, e, a partire dalle evidenze raccolte, illustreremo le contromisure proposte da ELMI per prevenire, rilevare e rispondere a questa tipologia di minacce.

ELMIopera nel settore IT come System Integrator da quarant’anni, offrendo consulenza professionale e supportando aziende private e pubbliche nello sviluppo di progetti innovativi.
Attualmente, l’azienda è fortemente focalizzata sui temi della Digital Transformation, con particolare riferimento alle aree tecnologiche inerenti la Digitalizzazione dei processi, la Cyber Security, l’Asset Management, l’Intelligenza Artificiale generativa e la Blockchain.

Infostealer in azione: analisi tecnica di Formbook

Come osservato in diverse campagne recenti documentate anche dall’Agenzia per la Cybersicurezza Nazionale (ACN), la distribuzione di Formbook avviene principalmente tramite malspam (Malware Spam o Malicious Spam): email malevole confezionate per sembrare legittime (finte fatture, documenti di spedizione, preventivi o comunicazioni aziendali). Il messaggio contiene tipicamente un allegato (archivi compressi .zip/.rar o file Office con macro disabilitate) o un link che, una volta cliccato, porta al download di un file JavaScript offuscato. È proprio questo file, nel campione analizzato, a costituire il dropper iniziale che dà avvio alla catena di infezione.

L’obiettivo della fase iniziale è indurre l’utente a eseguire manualmente l’allegato — affidandosi quindi alla componente di ingegneria sociale più che a vulnerabilità software. Questo approccio, combinato con tecniche di offuscamento del codice e l’uso di servizi cloud legittimi per ospitare i payload successivi, rende la campagna particolarmente insidiosa e difficile da bloccare con i soli controlli perimetrali.

L’analisi è quindi partita da un campione JavaScript, rivelando una catena di infezione complessa che impiega PowerShell come stadio intermedio e culmina con l’esecuzione “fileless” del payload finale. L’attore della minaccia ha implementato molteplici tecniche di offuscamento ed evasione, e ha sfruttato un servizio legittimo (Google Drive) per ospitare il payload, rendendo il rilevamento basato sulla rete più difficile.

Questa analisi documenta in dettaglio ogni fase, mappando le Tattiche, Tecniche e Procedure (TTPs) osservate sul framework MITRE ATT&CK e fornendo gli Indicatori di Compromissione (IoCs) necessari per il rilevamento e la mitigazione.

L’obiettivo non è solo sezionare il malware, ma capire come un singolo file si inserisca nell’enorme ecosistema del cybercrime, alimentando il mercato nero dei dati e come possa impattare significativamente l’operatività e la riservatezza dei sistemi.

Nome File 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb.js

Tipo File .js

SHA256 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

Dimensione 300 KB

Entropia 4976

VT https://www.virustotal.com

Dettaglio PEStudio

Catena d’infezione di Formbook: dal phishing all’esecuzione fileless
L’attacco si sviluppa attraverso una catena di eventi ben definita, progettata per aumentare la furtività e la probabilità di successo dell’infezione.

1. Malspam: mail con link o allegato malevolo.
2. Dropper: Viene eseguito il file .js iniziale. Lo script de-offusca e assembla in memoria un secondo payload, uno script PowerShell.
3. Loader: Lo script JS scrive il payload PowerShell su disco in %APPDATA%Plaidtry.ps1 e tenta di eseguirlo.
4. Evasione: Lo script PowerShell esegue controlli anti-analisi e anti-antivirus. Se l’ambiente è considerato sicuro, procede.
5. Download: Lo script PowerShell contatta un URL su Google Drive per scaricare un terzo payload, un file contenente dati codificati in Base64 (Pidg.chl).
6. Esecuzione Fileless: Il file scaricato viene letto, il suo contenuto Base64 viene decodificato in memoria, rivelando un iniettore di PE (Portable Executable).
7. Iniezione: L’iniettore alloca memoria nel processo powershell.exe stesso, vi scrive il payload finale di Formbook e ne avvia l’esecuzione, il tutto senza che l’eseguibile di Formbook venga mai salvato su disco.

Analisi del dropper Iniziale (File JavaScript)

Il campione iniziale viene veicolato tramite campagne malspam , una delle tecniche di distribuzione più comuni per Formbook, come documentato anche dall’ACN. L’efficacia di questa prima fase non si basa su vulnerabilità software, ma interamente sull’ingegneria sociale, studiata per ingannare e indurre l’utente a compiere un’azione decisiva.

Individuati 23 temi, sfruttati per diffondere campagne malevole in Italia, nella settimana del 20-26 Settembre

L’attore della minaccia confeziona un’e-mail che appare come una comunicazione legittima e urgente, ad esempio una finta fattura, un documento di spedizione o un preventivo. Il corpo del messaggio è solitamente breve e spinge la vittima a scaricare un allegato o visualizzare un documento esterno tramite un link.

Le campagne individuate relative al malware Formbook, distribuiscono quest’ultimo mediante email con allegati compressi come ZIP,TAR,7z.

Una volta scaricato ed estratto l’archivio, ci troviamo davanti ad un file di testo con estensione .js. Analizzando l’hash del file tramite i principali motori di TI notiamo che esso risulta segnalato come Trojan.

Il codice sorgente è fortemente offuscato: dopo un primo passaggio di formattazione la struttura sintattica risulta leggibile, ma le funzioni operative restano deliberatamente nascoste da nomi di variabili non significativi e dalla frammentazione del codice. L’analisi si è pertanto concentrata sull’identificazione di funzionalità che consentono l’interazione con il sistema operativo. La scoperta chiave è stata l’uso intensivo di ActiveXObject per istanziare oggetti COM di sistema:

• WScript.Shell: Per l’esecuzione di comandi.

• Scripting.FileSystemObject: Per la manipolazione di file.

• WbemScripting.SWbemLocator: Per l’interazione con WMI.

La logica principale dello script è un ciclo di assemblaggio: decodifica e concatena centinaia di piccole stringhe per costruire in memoria il payload della fase successiva, uno script PowerShell, che verrà salvato nella cartella %APPDATA% con il nome di “Plaidtry”.

Analisi del loader intermedio (script PowerShell)

Lo script Plaidtry.ps1 è a sua volta offuscato, ma con una logica interna. Contiene una funzione (Kuglepenne) di de-offuscamento che ricostruisce i comandi reali campionando caratteri da stringhe offuscate. Eseguendo questa funzione in un ambiente sicuro (PowerShell ISE), abbiamo potuto decodificare i comandi passo dopo passo.

Esempio de-offuscamento

Il cuore dello script è la logica di download. Imposta uno User-Agent di Firefox per mascherare la richiesta, quindi utilizza il metodo Net.WebClient.DownloadFile per scaricare un payload dall’URL di Google Drive precedentemente decodificato. Il file viene salvato come %APPDATA%Pidg.chl

Script PS de-offuscato

Dettaglio PROCMON

Dettaglio Folder

Il file Pidg.chl non è un eseguibile. È un file di testo contenente un’unica, lunga stringa codificata in Base64. Utilizzando PowerShell per decodificare questa stringa, abbiamo svelato l’ultimo e più pericoloso stadio dell’attacco: un iniettore di PE

Questo script, anch’esso altamente offuscato, è progettato per eseguire un file .exe senza mai scriverlo su disco. Le sue componenti chiave sono:

• PE Incorporato: Una variabile contenente una stringa Base64 di centinaia di kilobyte. Questa è la rappresentazione testuale del file Formbook.exe.
• API di Windows tramite P/Invoke: Lo script definisce un blocco di codice per creare un “ponte” verso le funzioni critiche di kernel32.dll, tra cui VirtualAlloc (per allocare memoria), WriteProcessMemory (per scrivere in memoria) e CreateThread (per eseguire codice in un nuovo thread).

La logica dello script è la seguente: decodifica la grande stringa Base64 per ricostruire in memoria i byte dell’eseguibile di Formbook. Successivamente, alloca una nuova regione di memoria all’interno del processo powershell.exe in cui è in esecuzione, vi copia i byte di Formbook e infine avvia un nuovo thread in quel punto.

Il risultato è che Formbook inizia la sua esecuzione come un thread all’interno di un processo PowerShell legittimo. A questo punto, l’infostealer inizierebbe la sua attività malevola: registrare i tasti premuti, rubare le credenziali salvate nei browser, catturare i dati dai form web e inviarli a un’altra infrastruttura C2 controllata dall’attaccante.

Indicazioni di mitigazione e contenimento contro gli infostealer

Dopo aver ricostruito la catena di infezione e le tecniche utilizzate da Formbook, è possibile delineare le principali azioni di mitigazione e contenimento. Lo scopo è ridurre la superficie d’attacco, bloccare la diffusione e preservare le evidenze per la triage/IR.

Mitigazione

• Isolare l’host sospetto: rimuovere la macchina dalla rete aziendale (network segmentation/isolation) preservando la macchina accesa per acquisizione forense; evitare reboot non pianificati che potrebbero cancellare evidenze volatili.
• Preservare le evidenze: acquisire immagine della memoria e snapshot del filesystem, raccogliere i log di processi, le chiavi di registro e i file sospetti (hash). Archiviare gli artefatti in area sicura con controllo degli accessi.
• Bloccare IoC a livello di rete ed endpoint: importare gli hash, i domini e gli URL conosciuti nei sistemi di prevenzione (SIEM,NGFW,XDR) e applicare regole temporanee per limitare il traffico verso host sospetti.

Eradicazione

• Indagine forense completa: correlare gli eventi (mail, download, esecuzione di script, attività di PowerShell) per stabilire il perimetro di compromissione e individuare eventuali movimenti laterali.
• Rimozione controllata: con piani di ripristino, rimuovere le componenti malevole e ripristinare gli host compromessi da backup affidabili;
• Rotazione credenziali: considerare la rotazione di credenziali e di eventuali segreti potenzialmente esfiltrati.

Prevenzione

• Limitare l’esecuzione di scripting non autorizzato: applicare policy di gruppo (GPO) per disabilitare o restringere l’uso di Windows Script Host (WSH) e l’esecuzione di script in cartelle temporanee dove non necessario.
• PowerShell: impostare policy di esecuzione restrittive, abilitare la protezione di runtime (AMSI/ConstrainedLanguage) e monitorare i moduli e le chiamate sospette.
• Application Execution Control: adottare controlli di application whitelisting (AppLocker/WDAC) per impedire l’esecuzione di binari e script non autorizzati.
• Monitoraggio comportamentale (XDR/EDR): attivare raccolta estesa di telemetria (process creation, parent/child chain, network connections, API di memoria) e regole di alerting su pattern sospetti (es. PowerShell con payload base64 molto lungo, uso di WScript.Shell, download da servizi di file hosting con agent/UA sospetto).
• Segmentazione e least privilege: segmentare reti critiche e applicare principi di least privilege agli account e ai servizi.
• Formazione e awareness: intensificare attività di phishing simulation e formazione degli utenti per ridurre il rischio d’apertura di allegati/JS malevoli.

Comunicazione e disclosure

• Coordinare la notifica: segnalare gli IoC e i dettagli tecnici alle autorità competenti (CSIRT aziendale o nazionale) e, se del caso, ai provider di hosting (es. Google per file Drive abusivi) seguendo le procedure di disclosure responsabile.
• Aggiornamento delle difese: condividere gli IoC con team Threat Intelligence e aggiornare regole SIEM/EDR per permettere threat hunting e prevenzione su larga scala.

Conclusioni sull’analisi di Formbook

L’analisi di questo campione dimostra una chiara tendenza verso catene di infezione complesse e “fileless”. L’attore della minaccia ha investito notevoli sforzi per eludere il rilevamento a ogni livello: l’offuscamento degli script iniziali, l’uso di servizi cloud legittimi per l’hosting dei payload e, infine, l’iniezione in memoria del malware vero e proprio.

Questa metodologia stratificata rappresenta una sfida significativa per le soluzioni di sicurezza tradizionali basate su firme e analisi di file. Sottolinea la necessità di un monitoraggio comportamentale avanzato (XDR) e costante in grado di rilevare attività anomale da parte di processi altrimenti legittimi come PowerShell. L’analisi, infine, ci ha permesso di ricostruire l’intera catena di attacco e di estrarre IoC e TTPs preziosi per rafforzare le posture difensive contro minacce simili.

Mapping MITRE ATT&CK per Formbook

Le TTPs osservate durante l’analisi sono state mappate sul framework MITRE ATT&CK.

Indicatori di Compromissione (IoCs)

• SHA256 (JS):

8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

• SHA256 (Pidg.chl):

C28CF95D3330128C056E6CA3CA23931DC8BBCB4385A1CE37037AF2E45B1734DC

• SHA256 (Plaidtry.ps1):

14345A45F4D51C63DFCDD1A5DC1EDD42BB169109A8903E33C4657C92AF6DF2830

• URL:

drive.google.com/uc?export=dow…

Fonti:ACN.GOV.IT ,CERT-AGID

Il supporto di ELMI nelle strategie di prevenzione e detection

ELMI propone un percorso integrato di prevenzione, rilevazione e risposta alle minaccestudiato specificamente per contrastare campagne di infostealer basate su phishing e fileless execution. La proposta combina soluzioni integrate, affiancando alla tecnologia un approccio consulenziale e formativo.

Soluzioni integrate per una sicurezza a 360°

Le misure tecniche rappresentano il primo baluardo nella protezione contro infostealer, richiedendo un’architettura di sicurezza multilivello che integra strumenti e processi dedicati. All’interno del suoSecurity Competence Center, ELMI mette a disposizione un set di soluzioni integrate che coprono l’intero ciclo di difesa.

• Servizio SOC H24: Control Room dedicata al monitoraggio, triage e gestione degli eventi di sicurezza H24/7 che possono impattare l’infrastruttura aziendale.
• ExtendedDetection & Response (XDR): soluzione di cybersecurity che integra e correla dati provenienti da endpoint, rete, email, server e cloud per offrire una visione unificata della sicurezza. Consente una rilevazione più rapida delle minacce e una risposta più efficace grazie all’analisi avanzata e all’automazione dei processi.
• Domain Threat Intelligence: servizio avanzato che monitora e analizza i domini aziendali per individuare vulnerabilità, minacce emergenti e account compromessi. Attraverso strumenti di analisi e intelligenza artificiale, supporta la mitigazione dei rischi e la protezione dell’integrità dei domini.
• Early Warning: bollettini informativi su minacce emergenti.
• Vulnerability Assessment & Threat Hunting: individuazione preventiva delle vulnerabilità e ricerca proattiva di minacce avanzate non ancora rilevate dai sistemi automatici.
• Cybersecurity Awareness: attività di formazione dedicate, per mantenere alta la consapevolezza del rischio e rafforzare la resilienza aziendale.

Il Security Competence Center integra, inoltre, servizi di Network Operation Center(NOC), dedicati alla gestione e al monitoraggio continuo della rete, e Managed Services, che consentono la gestione remota dell’infrastruttura IT, permettendo di configurare e controllare a distanza tutti i componenti aziendali.

I punti di forza del Security Competence Center di ELMI risiedono nell’approccio integrato agli incidenti informatici, nella disponibilità operativa H24 su tutto il territorio e nella capacità di offrire servizi personalizzati a 360°, garantendo così una protezione coerente e completa.

L’obiettivo non è solo quello di fornire singoli strumenti, ma costruire insieme al cliente una difesa coordinata, capace di anticipare le minacce, accelerare il rilevamento e garantire una risposta immediata.

Un approccio consulenziale e progressivo alla cybersecurity

A garantire l’efficacia dell’intero processo è la competenza di un team multidisciplinare, composto da figure specializzate come network engineer, system administrator e security analyst, con un solido background operativo e una visione end-to-end dell’infrastruttura IT.

Affrontare efficacemente il rischio cyber richiede un approccio strutturato, personalizzato e progressivo.Il supporto di ELMI si articola in tre momenti chiave:

• Audit preliminare,per fotografare lo stato di sicurezza e individuare le aree più critiche;
• Assessment tecnico e organizzativo, che misura la maturità delle difese esistenti rispetto a standard e framework internazionali;
• Roadmap personalizzata, con un piano d’azione su misura che unisce rafforzamento tecnologico, attivazione dei servizi SOC, formazione e definizione di policy.

Grazie a un approccio consulenziale e operativo integrato, ELMI accompagna i clienti lungo tutto il percorso di rafforzamento della postura di sicurezza, assicurando una progressiva riduzione del rischio e una maggiore resilienza rispetto a minacce complesse e in continua evoluzione.

L'articolo Anatomia di un furto di dati: Analisi tecnica dell’Infostealer “Formbook” proviene da Red Hot Cyber.

If you ever wanted to win a bar bet about a world record, you probably know about the Guinness book for World Records. Did you know, though, that there are some robots in that book? Guinness pointed some out in a recent post.

Ever wonder about the longest table-tennis rally with a robot or the fastest robotic cube solver? No need to wonder anymore.

Our favorite was the fastest robot to solve a puzzle cube. This robot solved the Rubik’s Cube in 103 milliseconds! Don’t blink or you’ll miss it in the video embedded. Of course, the real kudos go to the team that created the robot: [Matthew Patrohay], [Junpei Ota], [Aden Hurd], and [Alex Berta].

Another favorite was the smallest humanoid robot. In order to win this record, the robot must be able to move its shoulders, elbows, knees, and hips just like a human. It also has to be able to walk on two feet. This tiny little guy meets the requirements and stands only 57.6 mm (2.26 in) tall! Created by [Tatsuhiko Mitsuya] in April 2024, this robot can be controlled via Bluetooth.

We’ve seen entries in this category before — check them out in Almost Breaking The World Record For The Tiniest Humanoid Robot, But Not Quite.

youtube.com/embed/Ogchiuuhxnc?…

hackaday.com/2025/10/26/record…

In March 2025, Kaspersky detected a wave of infections that occurred when users clicked on personalized phishing links sent via email. No further action was required to initiate the infection; simply visiting the malicious website using Google Chrome or another Chromium-based web browser was enough.

The malicious links were personalized and extremely short-lived to avoid detection. However, Kaspersky’s technologies successfully identified a sophisticated zero-day exploit that was used to escape Google Chrome’s sandbox. After conducting a quick analysis, we reported the vulnerability to the Google security team, who fixed it as CVE-2025-2783.

Acknowledgement for finding CVE-2025-2783 (excerpt from the security fixes included into Chrome 134.0.6998.177/.178)

We dubbed this campaign Operation ForumTroll because the attackers sent personalized phishing emails inviting recipients to the Primakov Readings forum. The lures targeted media outlets, universities, research centers, government organizations, financial institutions, and other organizations in Russia. The functionality of the malware suggests that the operation’s primary purpose was espionage.

We traced the malware used in this attack back to 2022 and discovered more attacks by this threat actor on organizations and individuals in Russia and Belarus. While analyzing the malware used in these attacks, we discovered an unknown piece of malware that we identified as commercial spyware called “Dante” and developed by the Italian company Memento Labs (formerly Hacking Team).

Similarities in the code suggest that the Operation ForumTroll campaign was also carried out using tools developed by Memento Labs.

In this blog post, we’ll take a detailed look at the Operation ForumTroll attack chain and reveal how we discovered and identified the Dante spyware, which remained hidden for years after the Hacking Team rebrand.

Attack chain

Operation ForumTroll attack chain

In all known cases, infection occurred after the victim clicked a link in a spear phishing email that directed them to a malicious website. The website verified the victim and executed the exploit.

When we first discovered and began analyzing this campaign, the malicious website no longer contained the code responsible for carrying out the infection; it simply redirected visitors to the official Primakov Readings website.

Therefore, we could only work with the attack artifacts discovered during the first wave of infections. Fortunately, Kaspersky technologies detected nearly all of the main stages of the attack, enabling us to reconstruct and analyze the Operation ForumTroll attack chain.

Phishing email

Example of a malicious email used in this campaign (translated from Russian)

The malicious emails sent by the attackers were disguised as invitations from the organizers of the Primakov Readings scientific and expert forum. These emails contained personalized links to track infections. The emails appeared authentic, contained no language errors, and were written in the style one would expect for an invitation to such an event. Proficiency in Russian and familiarity with local peculiarities are distinctive features of the ForumTroll APT group, traits that we have also observed in its other campaigns. However, mistakes in some of those other cases suggest that the attackers were not native Russian speakers.

Validator

The validator is a relatively small script executed by the browser. It validates the victim and securely downloads and executes the next stage of the attack.

The first action the validator performs is to calculate the SHA-256 of the random data received from the server using the WebGPU API. It then verifies the resulting hash. This is done using the open-source code of Marco Ciaramella’s sha256-gpu project. The main purpose of this check is likely to verify that the site is being visited by a real user with a real web browser, and not by a mail server that might follow a link, emulate a script, and download an exploit. Another possible reason for this check could be that the exploit triggers a vulnerability in the WebGPU API or relies on it for exploitation.

The validator sends the infection identifier, the result of the WebGPU API check and the newly generated public key to the C2 server for key exchange using the Elliptic-curve Diffie–Hellman (ECDH) algorithm. If the check is passed, the server responds with an AES-GCM key. This key is used to decrypt the next stage, which is hidden in requests to bootstrap.bundle.min.js and .woff2 font files. Following the timeline of events and the infection logic, this next stage should have been a remote code execution (RCE) exploit for Google Chrome, but it was not obtained during the attack.

Sandbox escape exploit

List of in-the-wild 0-days caught and reported by Kaspersky

Over the years, we have discovered and reported on dozens of zero-day exploits that were actively used in attacks. However, CVE-2025-2783 is one of the most intriguing sandbox escape exploits we’ve encountered. This exploit genuinely puzzled us because it allowed attackers to bypass Google Chrome’s sandbox protection without performing any obviously malicious or prohibited actions. This was due to a powerful logical vulnerability caused by an obscure quirk in the Windows OS.

To protect against bugs and crashes, and enable sandboxing, Chrome uses a multi-process architecture. The main process, known as the browser process, handles the user interface and manages and supervises other processes. Sandboxed renderer processes handle web content and have limited access to system resources. Chrome uses Mojo and the underlying ipcz library, introduced to replace legacy IPC mechanisms, for interprocess communication between the browser and renderer processes.

The exploit we discovered came with its own Mojo and ipcz libraries that were statically compiled from official sources. This enabled attackers to communicate with the IPC broker within the browser process without having to manually craft and parse ipcz messages. However, this created a problem for us because, to analyze the exploit, we had to identify all the Chrome library functions it used. This involved a fair amount of work, but once completed, we knew all the actions performed by the exploit.

In short, the exploit does the following:

• Resolves the addresses of the necessary functions and code gadgets from dll using a pattern search.
• Hooks the v8_inspector::V8Console::Debug function. This allows attackers to escape the sandbox and execute the desired payload via a JavaScript call.
• Starts executing a sandbox escape when attackers call console.debug(0x42, shellcode); from their script.
• Hooks the ipcz::NodeLink::OnAcceptRelayedMessage function.
• Creates and sends an ipcz message of the type RelayMessage. This message type is used to pass Windows OS handles between two processes that do not have the necessary permissions (e.g., renderer processes). The exploit retrieves the handle returned by the GetCurrentThread API function and uses this ipcz message to relay it to itself. The broker transfers handles between processes using the DuplicateHandle API function.
• Receives the relayed message back using the ipcz::NodeLink::OnAcceptRelayedMessage function hook, but instead of the handle that was previously returned by the GetCurrentThread API function, it now contains a handle to the thread in the browser process!
• Uses this handle to execute a series of code gadgets in the target process by suspending the thread, setting register values using SetThreadContext, and resuming the thread. This results in shellcode execution in the browser process and subsequent installation of a malware loader.

So, what went wrong, and how was this possible? The answer can be found in the descriptions of the GetCurrentThread and GetCurrentProcess API functions. When these functions are called, they don’t return actual handles; rather, they return pseudo handles, special constants that are interpreted by the kernel as a handle to the current thread or process. For the current process, this constant is -1 (also equal to INVALID_HANDLE_VALUE, which brings its own set of quirks), and the constant for the current thread is -2. Chrome’s IPC code already checked for handles equal to -1, but there were no checks for -2 or other undocumented pseudo handles. This oversight led to the vulnerability. As a result, when the broker passed the -2 pseudo handle received from the renderer to the DuplicateHandle API function while processing the RelayMessage, it converted -2 into a real handle to its own thread and passed it to the renderer.

Shortly after the patch was released, it became clear that Chrome was not the only browser affected by the issue. Firefox developers quickly identified a similar pattern in their IPC code and released an update under CVE-2025-2857.

When pseudo handles were first introduced, they simplified development and helped squeeze out extra performance – something that was crucial on older PCs. Now, decades later, that outdated optimization has come back to bite us.

Could we see more bugs like this? Absolutely. In fact, this represents a whole class of vulnerabilities worth hunting for – similar issues may still be lurking in other applications and Windows system services.

To learn about the hardening introduced in Google Chrome following the discovery of CVE-2025-2783, we recommend checking out Alex Gough’s upcoming presentation, “Responding to an ITW Chrome Sandbox Escape (Twice!),” at Kawaiicon.

Persistent loader

Persistence is achieved using the Component Object Model (COM) hijacking technique. This method exploits a system’s search order for COM objects. In Windows, each COM class has a registry entry that associates the CLSID (128-bit GUID) of the COM with the location of its DLL or EXE file. These entries are stored in the system registry hive HKEY_LOCAL_MACHINE (HKLM), but can be overridden by entries in the user registry hive HKEY_CURRENT_USER (HKCU). This enables attackers to override the CLSID entry and run malware when the system attempts to locate and run the correct COM component.

COM hijacking in a nutshell

The attackers used this technique to override the CLSID of twinapi.dll {AA509086-5Ca9-4C25-8F95-589D3C07B48A} and cause the system processes and web browsers to load the malicious DLL.

This malicious DLL is a loader that decrypts and executes the main malware. The payload responsible for loading the malware is encoded using a simple binary encoder similar to those found in the Metasploit framework. It is also obfuscated with OLLVM. Since the hijacked COM object can be loaded into many processes, the payload checks the name of the current process and only loads the malware when it is executed by certain processes (e.g., rdpclip.exe). The main malware is decrypted using a modified ChaCha20 algorithm. The loader also has the functionality to re-encrypt the malware using the BIOS UUID to bind it to the infected machine. The decrypted data contains the main malware and a shellcode generated by Donut that launches it.

LeetAgent

LeetAgent is the spyware used in the Operation ForumTroll campaign. We named it LeetAgent because all of its commands are written in leetspeak. You might not believe it, but this is rare in APT malware. The malware connects to one of its C2 servers specified in the configuration and uses HTTPS to receive and execute commands identified by unique numeric values:

• 0xC033A4D (COMMAND) – Run command with cmd.exe
• 0xECEC (EXEC) – Execute process
• 0x6E17A585 (GETTASKS) – Get list of tasks that agent is currently executing
• 0x6177 (KILL) – Stop task
• 0xF17E09 (FILE \x09) – Write file
• 0xF17ED0 (FILE \xD0) – Read file
• 0x1213C7 (INJECT) – Inject shellcode
• 0xC04F (CONF) – Set communication parameters
• 0xD1E (DIE) – Quit
• 0xCD (CD) – Change current directory
• 0x108 (JOB) – Set parameters for keylogger or file stealer

In addition to executing commands received from its C2, it runs keylogging and file-stealing tasks in the background. By default, the file-stealer task searches for documents with the following extensions: *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptx.

The configuration data is encoded using the TLV (tag-length-value) scheme and encrypted with a simple single-byte XOR cipher. The data contains settings for communicating with the C2, including many settings for traffic obfuscation.

In most of the observed cases, the attackers used the Fastly.net cloud infrastructure to host their C2. Attackers frequently use it to download and run additional tools such as 7z, Rclone, SharpChrome, etc., as well as additional malware (more on that below).

The number of traffic obfuscation settings may indicate that LeetAgent is a commercial tool, though we have only seen ForumTroll APT use it.

Finding Dante

In our opinion, attributing unknown malware is the most challenging aspect of security research. Why? Because it’s not just about analyzing the malware or exploits used in a single attack; it’s also about finding and analyzing all the malware and exploits used in past attacks that might be related to the one you’re currently investigating. This involves searching for and investigating similar attacks using indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs), as well as identifying overlaps in infrastructure, code, etc. In short, it’s about finding and piecing together every scrap of evidence until a picture of the attacker starts to emerge.

We traced the first use of LeetAgent back to 2022 and discovered more ForumTroll APT attacks on organizations and individuals in Russia and Belarus. In many cases, the infection began with a phishing email containing malicious attachments with the following names:

• Baltic_Vector_2023.iso (translated from Russian)
• DRIVE.GOOGLE.COM (executable file)
• Invitation_Russia-Belarus_strong_partnership_2024.lnk (translated from Russian)
• Various other file names mentioning individuals and companies

In addition, we discovered another cluster of similar attacks that used more sophisticated spyware instead of LeetAgent. We were also able to track the first use of this spyware back to 2022. In this cluster, the infections began with phishing emails containing malicious attachments with the following names:

• SCAN_XXXX_<DATE>.pdf.lnk
• <DATE>_winscan_to_pdf.pdf.lnk
• Rostelecom.pdf.lnk (translated from Russian)
• Various others

The attackers behind this activity used similar file system paths and the same persistence method as the LeetAgent cluster. This led us to suspect that the two clusters might be related, and we confirmed a direct link when we discovered attacks in which this much more sophisticated spyware was launched by LeetAgent.

Connection between LeetAgent and commercial spyware called Dante

After analyzing this previously unknown, sophisticated spyware, we were able to identify it as commercial spyware called Dante, developed by the Italian company Memento Labs.

The Atlantic Council’s Cyber Statecraft Initiative recently published an interesting report titled “Mythical Beasts and where to find them: Mapping the global spyware market and its threats to national security and human rights.” We think that comparing commercial spyware to mythical beasts is a fitting analogy. While everyone in the industry knows that spyware vendors exist, their “products” are rarely discovered or identified. Meanwhile, the list of companies developing commercial spyware is huge. Some of the most famous are NSO Group, Intellexa, Paragon Solutions, Saito Tech (formerly Candiru), Vilicius Holding (formerly FinFisher), Quadream, Memento Labs (formerly Hacking Team), negg Group, and RCS Labs. Some are always in the headlines, some we have reported on before, and a few have almost completely faded from view. One company in the latter category is Memento Labs, formerly known as Hacking Team.

Hacking Team (also stylized as HackingTeam) is one of the oldest and most famous spyware vendors. Founded in 2003, Hacking Team became known for its Remote Control Systems (RCS) spyware, used by government clients worldwide, and for the many controversies surrounding it. The company’s trajectory changed dramatically in 2015 when more than 400 GB of internal data was leaked online following a hack. In 2019, the company was acquired by InTheCyber Group and renamed Memento Labs. “We want to change absolutely everything,” the Memento Labs owner told Motherboard in 2019. “We’re starting from scratch.” Four years later, at the ISS World MEA 2023 conference for law enforcement and government intelligence agencies, Memento Labs revealed the name of its new surveillance tool – DANTE. Until now, little was known about this malware’s capabilities, and its use in attacks had not been discovered.

Excerpt from the agenda of the ISS World MEA 2023 conference (the typo was introduced on the conference website)

The problem with detecting and attributing commercial spyware is that vendors typically don’t include their copyright information or product names in their exploits and malware. In the case of the Dante spyware, however, attribution was simple once we got rid of VMProtect’s obfuscation and found the malware name in the code.

Dante spyware name in the code

Dante

Of course, our attribution isn’t based solely on the string “Dante” found in the code, but it was an important clue that pointed us in the right direction. After some additional analysis, we found a reference to a “2.0” version of the malware, which matches the title of the aforementioned conference talk. We then searched for and identified the most recent samples of Hacking Team’s Remote Control Systems (RCS) spyware. Memento Labs kept improving its codebase until 2022, when it was replaced by Dante. Even with the introduction of the new malware, however, not everything was built from scratch; the later RCS samples share quite a few similarities with Dante. All these findings make us very confident in our attribution.

Why did the authors name it Dante? This may be a nod to tradition, as RCS spyware was also known as “Da Vinci”. But it could also be a reference to Dante’s poem Divine Comedy, alluding to the many “circles of hell” that malware analysts must pass through when detecting and analyzing the spyware given its numerous anti-analysis techniques.

First of all, the spyware is packed with VMProtect. It obfuscates control flow, hides imported functions, and adds anti-debugging checks. On top of that, almost every string is encrypted.

VMProtect anti-debugging technique

To protect against dynamic analysis, Dante uses the following anti-hooking technique: when code needs to execute an API function, its address is resolved using a hash, its body is parsed to extract the system call number, and then a new system call stub is created and used.

Dante anti-hooking technique (simplified)

In addition to VMProtect’s anti-debugging techniques, Dante uses some common methods to detect debuggers. Specifically, it checks the debug registers (Dr0–Dr7) using NtGetContextThread, inspects the KdDebuggerEnabled field in the KUSER_SHARED_DATA structure, and uses NtQueryInformationProcess to detect debugging by querying the ProcessDebugFlags, ProcessDebugPort, ProcessDebugObjectHandle, and ProcessTlsInformation classes.

To protect itself from being discovered, Dante employs an interesting method of checking the environment to determine if it is safe to continue working. It queries the Windows Event Log for events that may indicate the use of malware analysis tools or virtual machines (as a guest or host).

The strings Dante searches for in the event logs

It also performs several anti-sandbox checks. It searches for “bad” libraries, measures the execution times of the sleep() function and the cpuid instruction, and checks the file system.

Some of these anti-analysis techniques may be a bit annoying, but none of them really work or can stop a professional malware analyst. We deal with these techniques on an almost daily basis.

After performing all the checks, Dante does the following: decrypts the configuration and the orchestrator, finds the string “DANTEMARKER” in the orchestrator, overwrites it with the configuration, and then loads the orchestrator.

The configuration is decrypted from the data section of the malware using a simple XOR cipher. The orchestrator is decrypted from the resource section and poses as a font file. Dante can also load and decrypt the orchestrator from the file system if a newer, updated version is available.

The orchestrator displays the code quality of a commercial product, but isn’t particularly interesting. It is responsible for communication with C2 via HTTPs protocol, handling modules and configuration, self-protection, and self-removal.

Modules can be saved and loaded from the file system or loaded from memory. The infection identifier (GUID) is encoded in Base64. Parts of the resulting string are used to derive the path to a folder containing modules and the path to additional settings stored in the registry.

An example of Dante’s paths derivation

The folder containing modules includes a binary file that stores information about all downloaded modules, including their versions and filenames. This metadata file is encrypted with a simple XOR cipher, while the modules are encrypted with AES-256-CBC, using the first 0x10 bytes of the module file as the IV and the key bound to the machine. The key is equal to the SHA-256 hash of a buffer containing the CPU identifier and the Windows Product ID.

To protect itself, the orchestrator uses many of the same anti-analysis techniques, along with additional checks for specific process names and drivers.

If Dante doesn’t receive commands within the number of days specified in the configuration, it deletes itself and all traces of its activity.

At the time of writing this report, we were unable to analyze additional modules because there are currently no active Dante infections among our users. However, we would gladly analyze them if they become available. Now that information about this spyware has been made public and its developer has been identified, we hope it won’t be long before additional modules are discovered and examined. To support this effort, we are sharing a method that can be used to identify active Dante spyware infections (see the Indicators of compromise section).

Although we didn’t see the ForumTroll APT group using Dante in the Operation ForumTroll campaign, we have observed its use in other attacks linked to this group. Notably, we saw several minor similarities between this attack and others involving Dante, such as similar file system paths, the same persistence mechanism, data hidden in font files, and other minor details. Most importantly, we found similar code shared by the exploit, loader, and Dante. Taken together, these findings allow us to conclude that the Operation ForumTroll campaign was also carried out using the same toolset that comes with the Dante spyware.

Conclusion

This time, we have not one, but three conclusions.

1) DuplicateHandle is a dangerous API function. If the process is privileged and the user can provide a handle to it, the code should return an error when a pseudo-handle is supplied.

2) Attribution is the most challenging part of malware analysis and threat intelligence, but also the most rewarding when all the pieces of the puzzle fit together perfectly. If you ever dreamed of being a detective as a child and solving mysteries like Sherlock Holmes, Miss Marple, Columbo, or Scooby-Doo and the Mystery Inc. gang, then threat intelligence might be the right job for you!

3) Back in 2019, Hacking Team’s new owner stated in an interview that they wanted to change everything and start from scratch. It took some time, but by 2022, almost everything from Hacking Team had been redone. Now that Dante has been discovered, perhaps it’s time to start over again.

Full details of this research, as well as future updates on ForumTroll APT and Dante, are available to customers of the APT reporting service through our Threat Intelligence Portal.

Contact: intelreports@kaspersky.com

Indicators of compromise

Kaspersky detections
Exploit.Win32.Generic
Exploit.Win64.Agent
Trojan.Win64.Agent
Trojan.Win64.Convagent.gen
HEUR:Trojan.Script.Generic
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
UDS:DangerousObject.Multi.Generic

Folder with modules
The folder containing the modules is located in %LocalAppData%, and is named with an eight-byte Base64 string. It contains files without extensions whose names are also Base64 strings that are eight bytes long. One of the files has the same name as the folder. This information can be used to identify an active infection.

Loader
7d3a30dbf4fd3edaf4dde35ccb5cf926
3650c1ac97bd5674e1e3bfa9b26008644edacfed
2e39800df1cafbebfa22b437744d80f1b38111b471fa3eb42f2214a5ac7e1f13

LeetAgent
33bb0678af6011481845d7ce9643cedc
8390e2ebdd0db5d1a950b2c9984a5f429805d48c
388a8af43039f5f16a0673a6e342fa6ae2402e63ba7569d20d9ba4894dc0ba59

Dante
35869e8760928407d2789c7f115b7f83
c25275228c6da54cf578fa72c9f49697e5309694
07d272b607f082305ce7b1987bfa17dc967ab45c8cd89699bcdced34ea94e126

securelist.com/forumtroll-apt-…

We always enjoy videos from [w2aew]. His recent entry looks at vertical or VFETs, which are, as he puts it, a JFET that thinks it is a triode. He clearly explains how the transistor works as a conductor unless you bias the gate to form a depletion zone.

The transistors have a short channel, which means they conduct quite well. The low gate resistance and capacitance mean the devices can also switch very quickly. These devices were once in vogue for audio applications. However, they’d fallen out of favor until recently. The reason is that they work quite well in switching power supplies.

How good is the on resistance? So good that his meter reported the probes were shorted instead of measuring the resistance. Pretty good. We’ve seen these VFET transistors used as switches to drive magnetic field coils many years ago and they replaced much more complex circuitry.

The curve tracer in the video is a beautiful instrument of its own. The digital displays give it a high tech yet retro look. A curve tracer, if you haven’t used one, plots stepped voltages against current flowing, and is very useful for examining semiconductor devices. While not as fancy, it is possible to make one to connect to a scope quite easily.

We are pretty sure that it is a Tektronix 576. We watched a repair of a similar unit, the 577, if you’d like to see some (probably) similar insides.

youtube.com/embed/93ke5wM0gZ0?…

hackaday.com/2025/10/26/vfets-…

There was a bit of a kerfuffle this week with the news that an airliner had been hit by space junk. The plane, a United Airlines 737, was operating at 36,000 feet on a flight between Denver and Los Angeles when the right windscreen was completely shattered by the impact, peppering the arm of one pilot with bits of glass. Luckily, the heavily reinforced laminated glass stayed intact, but the flight immediately diverted to Salt Lake City and landed safely with no further injuries. The “space junk” report apparently got started by the captain, who reported that they saw what hit them and that “it looked like space debris.”

We were a little skeptical of this initial assessment, mainly because the pilots and everyone aboard the flight were still alive, which we’d assume would be spectacularly untrue had the plane been hit by anything beyond the smallest bit of space junk. As it turns out, our suspicions were justified when Silicon Valley startup WindBorne Systems admitted that one of its high-altitude balloons hit the flight. The company, which uses HABs to gather weather data for paying customers, seems to have complied with all the pertinent regulations, like filing a NOTAM, so why the collision happened is a bit of a mystery.

Their blog post about the incident contains a clue, though, since they have made an immediate change to “minimize time spent between 30,000 and 40,000 feet,” which is the sweet spot for commercial aviation. They also state that future changes will allow them to monitor flight tracking data and autonomously avoid planes. From this, we gather that the balloons can at least control their altitude, which perhaps means this one somehow got stuck at 36,000 feet. We’d love to know more about these HABs; we wonder if there’s any way to track and recover these things like there is for radiosondes?

In other initially fake news, there was a bit of a stir in amateur radio circles with a report that Hytera ham radios were being banned from sale in the U.S. The report came in a video from Matt Covers Tech, and suggested that Hytera’s handy talkie radios had somehow fallen afoul of regulators. We did some checking around but couldn’t come up with anything to back up this claim until the indispensable Josh (KI6NAZ) over at Ham Radio Crash Course got ahold of the story and did his usual bang-up analysis. TL;DW — no, Hytera handy talkies are not being banned from sale in the U.S., but yes, the company does seem to be in a heap of trouble with the FCC and the federal government over some of their other shenanigans, to the point of felony indictments.

youtube.com/embed/RsX3JztCcLU?…

Back in the day, pranks were pretty simple and, with the possible exception of a burning poop-filled paper bag catching the bushes next to your front step on fire, mostly harmless. But pranks seem to scale with time and with technology, to the point where it’s now possible to stuff a dead-end street with 50 Waymos robotaxis. The stunt, which prankster Riley Walz describes in high-tech terms as “the world’s first Waymo DDoS” attack — we seriously doubt that — was carried out in a decidedly low-tech manner by enlisting 50 co-conspirators to simultaneously order a ride to San Francisco’s longest dead-end street. The Jaguar robotaxis dutifully reported to the address, packing the narrow street with waiting cars. Nobody got into the cars, resulting in a $5 missed-ride charge, but even if the riders did show up, we assume the autonomous cars would have had the robot equivalent of a stroke trying to figure out how to get out of each other’s way. Like most pranks, it was pretty cool as long as you weren’t the one on the receiving end. It’s not clear whether there were any repercussions for Riley — again, we doubt it — but we can imagine there would have been had anyone on that street needed fire or EMS while the attack was in progress.

If you’ve been worried about AI, you’re not alone. And while there’s plenty to be concerned about, according to Andy Masley, water use by AI data centers shouldn’t be one of them. In his excellent analysis, he looks at all the details of AI water use and comes to the convincing conclusion that, all things considered, U.S. data centers really don’t use that much water — about 0.2% of the 132 billion gallons consumed nationwide every day. Even then, that fraction of a percent includes the water needed to generate the electricity for those data centers; take that out, and the number drops to about 50 million gallons a day. And those figures are for all data centers; limited to just AI data centers, that number drops to about 0.008% of the freshwater consumed daily nationwide. We haven’t checked Andy’s math, of course, nor have we vetted his bona fides or checked to see if he has an axe to grind in this area. But it’s an eye-opening article nonetheless.

And finally, if you just can’t get enough of the surveillance state while you’re out in the world, you can now extend pervasive monitoring tech into the very heart of your home with the world’s first toilet wearable. The aptly named Throne One clips to the rim of your toilet and uses an array of sensors to monitor your gut health. The company doesn’t specify what sensors are used, but since the main data points seem to be where your poop falls on the Bristol Stool Scale and measuring hydration by urine color, there’s got to be a camera in there somewhere. There’s also allowance for multiple users, and while we suppose the polar opposite of facial recognition could be used to distinguish one butt from another, we’d imagine it would be simpler to determine who’s using the toilet via Bluetooth. There’s also a microphone, to listen in on “urinary dynamics” for those who pee standing up. Honestly, while we’d never actually use this thing, we’d love to do a teardown and see what’s inside. New in box only, of course.

hackaday.com/2025/10/26/hackad…

I use Mastodon from time to time and i am now trying Friendica.
People say that Friendica is really awesome and can do a lot of things, etc...
and ok it has groups like #Facebook does and other features that i have yet to explore, but i am quite disappointed i must say, most groups are basically dead with 3 users and no posts or very few posts.
On facebook i can find groups about weird things like VCR Fanatics or cool stuff, but here there is nothing ....

Am i missing something here? 🥺

homehack.nl/when-to-use-friend…

Ho trovato questo articolo che tratta brevemente i due, certo è un po' vecchietto, ma immagino che renda l'idea. Ci smanetterò ancora sopra.
Anche se, a meno di sbagliarmi, anche su #Mastodon posso interfacciarmi con #BlueSky e altri social federati

Non so, non so particolarmente convinto da questo Friendica.
Sicuramente ha molte più opzioni di Mastodon, ma mi pare tanto primordiale ancora e quando infili tante cose poi alla fine non viene bene niente. 😁

Quanta gente utilizza questo social network?

Blaise Pascal is known for a number of things, but we remember him best for the Pascaline, an early mechanical calculator. [Chris Staecker] got a chance to take a close look at one, which is quite a feat since there were only about 20 made, and today we only know where nine of them wound up.

This Pascaline was lost for many years, and turned up in an antique store, where they thought it was a music box of some kind. The recent owner passed away, and now this machine is going to go up for auction, probably for more than we can afford. While he wasn’t able to handle the antique, he has plenty of knock-offs that were made back when people actually used them, which wasn’t that long ago. One of these is transparent, so you can see the mechanism inside.

The idea is to use the wheels like an old-fashioned phone dial to add counts to an output wheel. A linkage moves the next input wheel every time the current output wheel passes nine. Of course, if you have a multi-digit carry, it might take a little more elbow grease than just flipping the dial one normal position.

The Pascaline could subtract, too, but modern versions use a more efficient method. Pascal was worried about the extra elbow grease required to push the carry, and the Pascaline actually stored energy to drive the carry mechanism. Pretty forward-thinking for someone building the very first mechanical calculator.

This Pascaline was unusual because it was made for surveying and used old French units. If it were made today, for example, it would have inch wheels that would carry a foot when they went past 11.

What a beautiful machine. You’d like to think that if you lived in the 1650s, you’d dream up this machine. But, to be honest, we probably wouldn’t. We can’t say anything about you.

We’ve seen Pascaline machines before, of course. While we love complex mechanical computers, there’s a certain charm to the simple ones, too.

youtube.com/embed/CROrLQpN6dc?…

hackaday.com/2025/10/26/examin…

È giunto il momento che il governo turco accolga le richieste del movimento di liberazione curdo e adotti le misure legali e politiche necessarie per rendere questo processo reciproco e bilaterale.

A seguito dell’annuncio odierno, il Congresso nazionale del Kurdistan (KNK) accoglie nuovamente con favore i passi coraggiosi e determinati compiuti dal movimento di liberazione curdo verso una pace giusta in Turchia.

In risposta all’appello per la pace e una società democratica lanciato il 27 febbraio dal leader del popolo curdo Abdullah Öcalan, la parte curda si è dimostrata determinata ad adottare misure concrete per giungere a una soluzione pacifica della questione curda. A seguito di questo appello, il PKK ha dichiarato un cessate il fuoco unilaterale il 1° marzo e ha successivamente convocato il suo 12° Congresso a maggio, annunciando la decisione del partito di sciogliersi e porre fine alla lotta armata. Per riaffermare le sue decisioni in materia di pace e una società democratica, 30 combattenti per la libertà curdi, guidati dalla co-presidente dell’Unione delle comunità del Kurdistan (KCK) Besê Hozat, hanno bruciato le loro armi in una cerimonia pubblica l’11 luglio.

Questa mattina è stato compiuto un altro passo. Nelle montagne del Kurdistan meridionale (regione del Kurdistan iracheno), il movimento di liberazione curdo ha annunciato il ritiro di tutti i combattenti dalla Turchia, in conformità con la decisione del 12° Congresso del PKK, per promuovere il processo di pace e società democratica.

L’annuncio è stato fatto da Sabri Ok, membro del Consiglio Esecutivo della KCK, insieme a 25 guerriglieri per la libertà, tra cui Vejîn Dersîm, membro del comando provinciale di di Serhat delle Unità femminili libere (YJA Star), e Devrîm Palu, membro del consiglio di comando delle Forze di difesa del popolo (HPG) giunti dal Bakurê Kurdistan del nord alle Zone di difesa di Medya, nel Kurdistan meridionale. La KCK ha chiesto che insieme al rilascio di Abdullah Öcalan, lo Stato turco adotti immediatamente misure legali e politiche specifiche.

È giunto il momento che il governo turco accolga queste richieste e adotti misure concrete per rendere questo processo bilaterale e reciproco. Lo storico processo di transizione può essere organizzato all’interno di un quadro specifico, e richiede che ad Abdullah Öcalan, l’architetto di questo processo, sia consentito di vivere e lavorare liberamente come capo negoziatore per la parte curda.

Invitiamo pertanto l’Unione Europea, il Consiglio d’Europa e tutti gli Stati che svolgono un ruolo in Medio Oriente a sollecitare il governo turco a trovare una soluzione politica alla questione curda. Le concessioni della parte curda sono una chiara dimostrazione della sua determinazione, perseveranza e convinzione nel trovare una soluzione pacifica e garantire una vita migliore a tutti i popoli della Turchia e della regione.

È necessario riconoscere e apprezzare i passi storici compiuti dalla parte curda. La Commissione Europea, gli Stati membri dell’UE e gli Stati Uniti dovrebbero utilizzare tutti i mezzi a loro disposizione per incoraggiare la Turchia a partecipare onestamente a questo processo e rimuovere immediatamente il PKK dalle loro liste di organizzazioni terroristiche.

Consiglio Esecutivo del Congresso Nazionale del Kurdistan

26.10.2025

L'articolo Un altro atto storico del movimento di liberazione curdo: il ritiro dei combattenti dalla Turchia proviene da Retekurdistan.it.

La prigioniera curda Zeynab Jalalian, condannata all’ergastolo, è stata riportata nella prigione di Yazd solo un giorno dopo essere stata sottoposta a un intervento di embolizzazione dei fibromi, nonostante il peggioramento delle sue condizioni di salute.

Kurdistan Human Rights Network (KHRN) ha riferito che, a fronte del peggioramento delle sue condizioni e della crescente pressione internazionale, Zeynab Jalalian è stata recentemente trasferita sotto stretta sorveglianza in un ospedale privato di Yazd, dove è stata sottoposta all’operazione. Durante il trasferimento indossava catene alle caviglie. Tuttavia è stata riportata in carcere solo 24 ore dopo, prima di completare le necessarie cure post-operatorie.

Negli ultimi mesi, le autorità carcerarie hanno ripetutamente bloccato il suo trasferimento in ospedale e le hanno negato l’accesso alle cure mediche, adducendo vari pretesti, mentre la sua salute continuava a peggiorare.

Il 16 settembre 2025, un gruppo di 22 organizzazioni per i diritti umani e 13 difensori dei diritti umani, coordinati da REDRESS e KHRN, hanno rilasciato una dichiarazione congiunta chiedendo il suo immediato accesso alle cure mediche, la fine delle molestie e delle minacce e il suo rilascio incondizionato.

In precedenza, il 1° maggio, nove relatori speciali delle Nazioni Unite avevano espresso seria preoccupazione per la detenzione prolungata e arbitraria di Jalalian, il suo peggioramento delle condizioni di salute e le segnalazioni di torture e altre forme di maltrattamento. Avevano esortato le autorità iraniane a garantirle l’accesso immediato e incondizionato a cure mediche adeguate in un ospedale civile indipendente, avvertendo che “il tempo è essenziale”.

Zeynab Jalalian, a cui sono state negate le visite dei familiari per diversi anni, continua a soffrire di molteplici problemi di salute. Nonostante ciò, l’organizzazione di medicina legale di Yazd l’ha dichiarata idonea alla detenzione.

Nel frattempo, gli organi di sicurezza hanno subordinato il suo rilascio alla manifestazione di rimorso e pentimento.

L'articolo La prigioniera politica curda Zeynab Jalalian è tornata in prigione un giorno dopo l’intervento chirurgico proviene da Retekurdistan.it.

Le popolazioni del Kurdistan e del Medio Oriente stanno vivendo un passaggio cruciale. Dopo anni di guerra, invasioni e tentativi di cancellazione politica e culturale, si apre oggi un nuovo scenario complesso: la prospettiva di un processo di pace in Turchia e il futuro incerto delle conquiste curde in Siria e in Iraq.

Il 12° congresso del Pkk ha sancito la fine della lotta armata e la volontà di portare avanti la battaglia sul piano politico, con l’annuncio ufficiale dello scioglimento dell’organizzazione armata e la nascita di una prospettiva politica che mira a trasformare la tregua in un percorso di pace irreversibile.

Una commissione parlamentare, sostenuta dalla maggior parte dei partiti turchi, sta ora discutendo il percorso di pace. La sfida è enorme: superare decenni di conflitto, cambiare leggi liberticide, democratizzare la Turchia e garantire giustizia per tutte le comunità.

Anche la caduta del decennale regime di Bashar Assad ha aperto nuove prospettive e pericoli. Negli ultimi mesi Ankara ha intensificato la pressione contro le Forze democratiche siriane (Sdf), l’alleanza curdo-araba che ha guidato la resistenza contro l’Isis. Il governo turco continua a considerare le Sdf una mera emanazione del Pkk e il presidente turco Erdogan minaccia nuove operazioni militari contro il Rojava se i curdi non accetteranno lo scioglimento delle proprie strutture difensive. Dietro queste minacce si nasconde la volontà di liquidare l’esperienza dell’Amministrazione autonoma democratica della Siria del nord-est.

La risposta curda è arrivata con chiarezza da parte di Abdullah Öcalan: il Rojava è una linea rossa. La prospettiva di cancellare le conquiste democratiche dei curdi non è accettabile né in Siria né in Turchia. Allo stesso tempo, nel Kurdistan del sud (Iraq), aree come Shengal e Makhmour continuano a subire attacchi e restrizioni, nel silenzio della comunità internazionale.

Oggi più che mai è vitale rafforzare gli sforzi di solidarietà con il popolo curdo e di pressione sul governo turco affinché le prospettive di pace si realizzino e il conflitto lasci spazio alla lotta politica e civile.

È in questo contesto che invitiamo tutte e tutti all’Assemblea nazionale di Rete Kurdistan in Italia, aperta a realtà organizzate, movimenti e singoli solidali con il popolo curdo. Sarà un momento per discutere insieme del nuovo scenario, delle responsabilità internazionali, del ruolo della solidarietà dal basso e delle prospettive per la costruzione di un Medio Oriente libero, democratico e giusto.

Programma;

10:00 Aggiornamenti da Turchia, Siria, Rojava, Iraq, Campo di Makhmour, Shengal e Iran

A seguire dibattito

13:30 – 15:00 Pranzo

A seguire dibattito, presentazione progetti e programmazione

Bologna, 25 Ottobre 2025 – dalle ore 10:00 presso Centro Sociale TPO, Via Casarini 17/5

L'articolo Assemblea nazionale di Rete Kurdistan Italia proviene da Retekurdistan.it.

Un incontro con il giornalista turco, torinese di adozione, MURAT CINAR, per discutere del processo di pace in corso tra kurdi ed Erdogan, il futuro del Rojava, il disarmo del Partito dei Lavoratori del Kurdistan, i riflessi sull’area mediorientale.

“C’è un uomo che dal profondo di una cella, su un’isola, in mezzo al Mar di Marmara, dove è stato tenuto in isolamento per oltre 26 anni, proprio come Nelson Mandela, ci parla di pace dopo 41 anni di conflitto armato tra guerriglia del Pkk ed esercito turco, mentre il mondo precipita in un abisso bellico e prevalgono logiche di sterminio di interi popoli…”

SABATO 11 OTTOBRE ALLE ORE 15.30
LABORATORIO CIVICO “CARLA NESPOLO”
VIA FAA’ DI BRUNO 39 – ALESSANDRIA
Al termine, ricco buffet.

Non mancate! Per info: 335 7564743 Organizza:
Associazione Verso il Kurdistan – ANPI di Alessandria – Città Futura

L'articolo Tempo di speranza: il futuro del processo di pace in Turchia e nel Levante proviene da Retekurdistan.it.

Arriva “Çand”- festival della cultura curda. Dal 16 al 18 ottobre, al Centro Socio Culturale Ararat (largo Dino Frisullo). Tre giorni di musica, cinema, letteratura, danza, buon cibo e tutta la poesia del crepuscolo nel cuore di Testaccio.

Tutti i giorni porte aperte dalle 17.30 con mostre fotografiche, infoshop e cena a cura della comunità curda di Roma.

L’iniziativa è promossa e sostenuta dall’Assessorato alla Cultura di Roma in collaborazione con l’Ufficio d’Informazione del Kurdistan in Italia e con il supporto di Zètema Progetto Cultura.

#CultureRoma

L'articolo “Çand”- festival della cultura curda proviene da Retekurdistan.it.

HTS ha imposto un blocco nei quartieri di Sheikh Maqsoud e Ashrafiyeh. Moschee, scuole e ospedali sono stati trasformati in quartieri generali militari. Almeno 42.000 famiglie sono senza carburante. Hay’at Tahrir al-Sham (HTS), guidata da Ahmed al-Sharaa (noto anche come Jolani), continua a violare l’accordo firmato il 10 marzo con Mazloum Abdi, comandante generale delle Forze democratiche siriane (SDF), intensificando i suoi attacchi nelle aree dell’amministrazione autonoma. Le fazioni affiliate a HTS, che hanno intensificato la loro attività da Deir Hafir a Tishrin e Aleppo, stanno prendendo di mira specificamente i quartieri di Sheikh Maqsood e Ashrafiyah nel tentativo di provocare scontri.

Durante i primi anni della crisi siriana, Sheikh Maqsood e Ashrafiyah furono presi di mira prima da al-Nusra e poi dall’ISIS. Adesso i due quartieri, che ospitano circa 50.000 famiglie (circa 500.000 persone), sono sotto assedio da parte di HTS. Delle sette strade principali che li collegano ad Aleppo, tre sono state bloccate con barricate di terra.

Come parte dell’accordo del 10 marzo, il 1° aprile è stato firmato un accordo tra l’Assemblea Generale dei quartieri di Sheikh Maqsood e Ashrafiyah e HTS per istituire posti di blocco congiunti lungo la strada principale. Tuttavia le fazioni di HTS hanno violato l’accordo 77 volte, effettuando sorveglianza con droni e rapendo civili. Hanno anche trasformato strutture pubbliche, come l’ospedale Asturiyan, in postazioni militari.

Gli svincoli di El Yarmouk, El Jindol, El Hadiqa Road, El Shihan Road, Telia Ashrafiyeh Road, El Ewarid Road e El Cezira Road collegano i quartieri ad Aleppo. Ma negli ultimi giorni, le forze di HTS hanno bloccato diverse di queste vie di comunicazione, tra cui Yarmouk Road a ovest di Sheikh Maqsoud, El Jindol Junction a nord e Nadiya El Cela Road.

Damasco vuole soffocarci

Parlando della situazione con Yeni Özgür Politika , Nuri Shekho, co-presidente dell’Assemblea generale dei quartieri di Sheikh Maqsood e Ashrafiyah ha dichiarato: “Il governo di Damasco vuole soffocarci. Quello che sta succedendo ora non è diverso da quello che faceva la Quarta Brigata del regime Baath”.

Nuri Shekho ha osservato che da quando HTS ha preso il controllo di Damasco nel dicembre 2024 ha attuato una politica di “vendetta”, perpetrando massacri, repressioni ed epurazioni in diverse città. “Stanno cercando di imporre un governo monolitico ovunque vadano. Uno stato o un potere fondato sulla vendetta potrà mai avere successo?”, ha chiesto. Sottolineando che i gruppi responsabili dei massacri di alawiti, drusi e cristiani stanno ora prendendo di mira i curdi, in particolare in questi due quartieri, Shekho ha avvertito che, mentre sono in corso colloqui per risolvere la situazione, HTS sta creando le condizioni per il conflitto.

HTS ha istituito da 25 a 30 posti di blocco che si estendono da ovest a nord di Aleppo, isolando i quartieri e interrompendo la rotta Deir Hafir-Regione di Cizire che collega Aleppo ai territori dell’Amministrazione Autonoma. Gli abitanti del posto sono ora costretti a utilizzare percorsi alternativi attraverso i villaggi di Hama, con una deviazione di 300 chilometri. Nel frattempo, i giovani che percorrono la strada di Deir Hafir vengono arrestati con il pretesto di avere legami con le SDF. Secondo fonti della Sicurezza Interna (Asayish), più di 20 persone sono state arrestate.

Damasco approva gli attacchi ma non può garantire la sicurezza

Shekho ha sottolineato che contro i quartieri è in corso una guerra particolare. Oltre a Emshat e Hamzat, nell’assedio sono coinvolti anche gruppi militanti stranieri, tra cui uiguri e turkmeni. “Questi gruppi prendono ordini direttamente dallo Stato turco. Sono pesantemente armati e non hanno legge, giustizia o moralità. Minacciano: “Se non consegnate le armi e non obbedite, il vostro destino sarà come quello di Serekaniye e Gire Spi”. Il silenzio di Damasco significa due cose: approvazione e incapacità di garantire la sicurezza”.

Le persone vengono uccise e le case sequestrate

Shekho ha anche descritto la tensione e l’insicurezza diffuse ad Aleppo: “Le case della gente vengono sequestrate, ci sono arresti, furti e uccisioni quotidiane. Vogliono imporre lo stesso nei nostri quartieri. La pressione militare e politica ha un impatto diretto sulla vita quotidiana. Ma entrambi i quartieri si rifiutano di arrendersi in qualsiasi circostanza. Continuiamo i colloqui per trovare una soluzione”.

Ha aggiunto: “Il cosiddetto governo ad interim ha respinto il progetto di uguaglianza, democrazia e libertà. Al contrario, impone sfollamenti, distruzione, oppressione e crisi. HTS sta imponendo uno stato sunnita a tutti i popoli”.

Militanti portati da Afrin

Hevîn Suleiman, co-presidente dell’Assemblea generale dei quartieri di Sheikh Maqsoud e Ashrafiyeh, ha dichiarato che i militanti hanno occupato ospedali, moschee e scuole. Rispondendo alla domanda sul perché il governo ad interim non stia risolvendo il problema ha dichiarato: “Quando solleviamo la questione con loro dicono che si tratta di ‘gruppi fuori controllo’. Le fazioni Emshat e Hamzat di Afrin sono state trasferite ad Aleppo. Lo abbiamo segnalato a Damasco, ma non c’è stata alcuna risposta, nessuna iniziativa. Di conseguenza l’accordo del 1° aprile non viene attuato, perché la Turchia vuole sabotarlo e distruggere il sistema attuale. Questi combattenti stranieri stanno cercando di prendere il controllo di Sheikh Maqsoud. La minaccia è costante”.

Hevîn ha osservato che l’Amministrazione Autonoma sta cercando di far rispettare l’accordo e di risolvere la crisi attraverso il dialogo: “I comitati congiunti devono cooperare ma a causa di interferenze esterne tutto questo nella pratica non è ancora avvenuto. Il governo ad interim vuole assorbire le nostre istituzioni. Ma insistiamo affinché tutti i popoli siedano al tavolo delle trattative con le proprie identità. La vita in questi quartieri dovrebbe servire da modello per tutta la Siria. Stiamo adottando precauzioni, ma non stiamo interrompendo il dialogo. Vogliamo una Siria decentralizzata che rappresenti tutti i colori, le identità e le culture. Il governo ad interim di Damasco, tuttavia, vuole un governo centralizzato”.

Oltre 40.000 famiglie senza carburante

Suleiman ha sottolineato come gli attacchi influiscano sulla vita quotidiana a Sheikh Maqsood e Ashrafiyah: “I servizi pubblici e sociali di base sono interrotti. Ancora più importante, le consegne di gasolio sono bloccate. L’inverno si avvicina. Ci sono malati, anziani e bambini. Se il gasolio non arriva, ci sarà una grave crisi di elettricità e riscaldamento”.

HTS, che ha chiuso la strada Aleppo-Raqqa vicino a Deir Hafir la scorsa settimana, sta impedendo al gasolio di entrare nei quartieri. Secondo Mihemed Ibiş, membro del comitato carburanti, che ha parlato con l’agenzia stampa ANHA prima dell’embargo, precedentemente circa 7.000 famiglie potevano almeno accedere al combustibile per il riscaldamento; adesso 42.000 famiglie ne sono completamente private.

L'articolo 500.000 persone sotto assedio a Sheikh Maqsood e Ashrafiyah proviene da Retekurdistan.it.

Nella spirale caotica della violenza nel mondo l’emergere di un nuovo attore capace di rispondere al bisogno di pace e libertà dei popoli è diventato inevitabile. Qualunque sia il suo nome o la sua forma, una cosa è certa: la ricostruzione del PKK è iniziata.

Il mondo si trova alle soglie di un periodo critico, in cui violenza e caos sono sempre più normalizzati e i segni del crollo delle civiltà moderne sono evidenti. Eppure, oggi, la violenza non è prodotta solo dal rombo degli aerei da guerra o dal rumore dei carri armati, ma anche dall’intorpidimento delle menti, dalla cancellazione della memoria e dalla pacificazione delle società.

Una citazione attribuita al filosofo tedesco Günther Anders descrive in modo sorprendente questa nuova forma di controllo: “Per reprimere preventivamente qualsiasi ribellione, non c’è bisogno di ricorrere alla violenza. Metodi arcaici come quelli di Hitler sono ormai obsoleti. Abbassare il livello di istruzione, trasformare l’accesso alla conoscenza in un privilegio d’élite e distrarre le masse con intrattenimento senza fine e intossicazione da consumi. In questo modo, l’ebbrezza della pubblicità e del consumo diventa lo standard della felicità umana e il modello di libertà. Oggi, lo stesso quadro si ripete: la violenza non opera attraverso la proibizione diretta, ma attraverso il vuoto e l’oblio. Alle società viene costantemente detto “è finita”, i legami con la memoria vengono recisi e le volontà sono costrette ad arrendersi. A questo punto riecheggiano nella nostra mente le parole del poeta francese Charles Baudelaire: “Il più grande trucco del diavolo è convincerti che non esiste”.

La decisione del PKK di sciogliersi al suo 12° Congresso è stata interpretata da molti come una “fine”. Eppure, questo non è altro che un trucco per nascondere la verità. Se un’epoca può essersi chiusa, ciò non significa che il bisogno di libertà dei popoli sia finito. Al contrario, l’ampiezza del vuoto rende inevitabile una nuova domanda: la ricostruzione del PKK?

Il concetto di “vuoto” è stato ampiamente discusso in concomitanza con lo scioglimento del PKK. Eppure la verità è questa: la storia del PKK è sempre stata quella di colmare un vuoto, affermando la verità contro l’inesistenza. Fin dalla sua fondazione, ha respinto la negazione imposta al popolo curdo, ha reso visibile l’invisibile, ha dato voce a chi era stato messo a tacere e ha ampliato l’eredità che aveva ereditato.

Oggi il PKK è più di un’organizzazione disciolta: è una verità storica che dura da mezzo secolo e una fiamma eterna di resistenza.

Dal congresso di fondazione del 1978 alla decisione di scioglimento del 2025, ogni congresso ha rappresentato la ricostruzione di questa verità in forme diverse. Il ritorno nel paese e l’inizio della lotta di guerriglia nel 1982, l’approfondimento ideologico e la dichiarazione dell’ARGK nel 1986, il Congresso di Heftanîn del 1990 come congresso di guerriglia, la riforma del 1995, la rinascita nonostante la cospirazione internazionale del 1999, il “congresso di costruzione” del 2005 su un nuovo paradigma, l’istituzionalizzazione della linea della Nazione Democratica nel 2013 e, infine, lo scioglimento del 2025, hanno tutti risposto alle profonde crisi del loro tempo e sono stati processi di ricostruzione.

Pertanto la domanda che dobbiamo porci oggi è: lo scioglimento è davvero una fine o la rinascita di una verità storica in un’altra forma? Lo scioglimento del PKK viene presentato come una fine; ma la realtà è che continua a vivere come speranza nella coscienza e nella memoria del popolo.

Il concetto di “generazione” di Ibn Khaldun, sviluppato nella Muqaddimah e ripreso da studiosi di sociologia e storia tra cui Hamit Bozarslan, è significativo per comprendere la dimensione temporale della trasformazione sociale e politica. Secondo lui la vita di una comunità o di una dinastia dura circa tre generazioni, ciascuna della durata media di quarant’anni, portando la durata naturale del potere politico a circa 120 anni. In questo ciclo, la prima generazione rappresenta la fondazione, la lotta e la solidarietà; la seconda generazione gode dei benefici del potere acquisito; e la terza generazione, scollegata dalla memoria della lotta, tende alla dissoluzione.

Ibn Khaldun illustra questo concetto con gli Israeliti: la comunità ebraica guidata da Mosè, portando con sé le tracce della schiavitù, non poté entrare direttamente nella “terra promessa” e vagò nel deserto per quarant’anni. La generazione che aveva sperimentato la schiavitù perì nel deserto, sostituita da una nuova generazione nata libera. Qui “generazione” non è semplicemente una categoria biologica, ma portatrice di memoria sociale e coscienza politica. Perché si verifichi una trasformazione sociale, almeno una generazione deve cambiare.

Applicando questo concetto alla Turchia, il processo di cambio di regime può essere visto come un governo che si avvicina alla fine di un ciclo generazionale, nel tentativo di integrare le dinamiche sociali esistenti nel suo quadro.

Le apparenti divisioni tra CHP, MHP e AKP sono, in realtà, parte di una strategia volta a tenere sotto controllo tutti gli elementi del regime. Come osserva Ibn Khaldun, le trasformazioni sociali maturano nel corso di un ciclo generazionale. In questo processo, l’accumulazione morale e sociale sviluppata dal Movimento per la Libertà del Kurdistan nel corso di decenni non può essere integrata in immagini negoziali fuorvianti. Qui, la distinzione morale, la resistenza intergenerazionale e la memoria sociale giocano un ruolo decisivo.

Le apparenti divisioni tra CHP, MHP e AKP sono, in realtà, parte di una strategia volta a tenere sotto controllo tutti gli elementi del regime. Come osserva Ibn Khaldun, le trasformazioni sociali maturano nel corso di un ciclo generazionale. In questo processo, l’accumulazione morale e sociale sviluppata dal movimento di liberazione del Kurdistan nel corso di decenni non può essere integrata in immagini negoziali fuorvianti. Qui, la distinzione morale, la resistenza intergenerazionale e la memoria sociale giocano un ruolo decisivo.

Pertanto, gli sforzi per un cambio di regime non dovrebbero essere visti semplicemente come divisioni tattiche superficiali, ma devono essere valutati alla luce di queste differenze generazionali e morali. In definitiva, ci troviamo di fronte a una Turchia al collasso economico, politico e morale, e a un Kurdistan in piena ascesa.

Cosa significa ricostruzione?

Lo scioglimento del PKK non è una fine; è la rinascita di una verità storica in nuove forme. Ma questa rinascita non può essere una mera ripetizione nostalgica. “Ricostruire il PKK” significa adattare la sua eredità cinquantennale alle caotiche condizioni del mondo odierno e ricostruirlo su un piano politico, sociale e morale più avanzato.

La richiesta di libertà e di pace non può essere distrutta

Lo scioglimento del PKK non elimina il bisogno di libertà del popolo. Finché il popolo curdo, le donne e gli oppressi manterranno la propria volontà, questa rivendicazione si riorganizzerà sotto un’altra organizzazione, forma o nome. La storia ci insegna che, come le leggi della natura, la volontà del popolo non ammette vuoti.

L’eredità morale porterà il nuovo attore

La più grande eredità del PKK non risiede nei suoi successi militari o politici, ma nel fondamento morale della sua resistenza e nei suoi valori rivoluzionari. Le conquiste militari e politiche sono spesso temporanee e contingenti. La consapevolezza di dover la vita al popolo, all’eredità dei martiri e la linea della libertà delle donne: questa eredità morale costituisce la base per la ricostruzione.

La soggettività strategica è essenziale

I curdi non devono più essere una mera merce di scambio sul tavolo degli altri; devono costruirne una loro. Questa equazione, sempre persa nei negoziati asimmetrici, cambia solo quando i curdi stabiliscono un proprio orizzonte strategico. La ricostruzione richiede soggettività diplomatica, infrastrutture economiche e istituzionali e l’integrità di una visione sociale.

La diaspora, le donne e i giovani sono i pionieri di questo processo

Nel XXI secolo, la lotta per la pace e la democrazia emerge non solo a livello nazionale, ma anche attraverso le voci della diaspora. La linea di libertà creata dalle donne, il dinamismo dei giovani, l’influenza internazionale della diaspora e l’esperienza e la conoscenza accumulate: tutte e tre queste fonti sono essenziali per la ricostruzione.

L’orizzonte della Nazione Democratica è la strada da seguire

La paradigmatica trasformazione del PKK nel confederalismo democratico offre un modello di soluzione nel caos mediorientale, un modello non solo per i curdi, ma per tutti i popoli della regione. Oggi, la ricostruzione significa istituzionalizzare questo orizzonte e creare meccanismi per portarlo dal livello locale a quello universale. In conclusione, lo scioglimento del PKK non è la fine di una storia, ma l’inizio di una nuova era. Nella spirale caotica della violenza globale, l’emergere di un nuovo attore che risponda alla richiesta di pace e libertà dei popoli è diventato inevitabile. Qualunque sia il suo nome, la sua forma o ciò che chiunque altro dice, una verità assoluta e innegabile rimane: la ricostruzione del PKK è iniziata.

di HÜSEYIN SALIH DURMUŞ

L'articolo Ricostruire il PKK nel mezzo del caos del nuovo ordine mondiale proviene da Retekurdistan.it.

In Siria, 2.541 persone hanno firmato la petizione “Voglio visitare Öcalan”. L’Iniziativa siriana per la libertà del leader Abdullah Öcalan e l’Iniziativa degli avvocati siriani per la difesa del leader Abdullah Öcalan hanno rilasciato una dichiarazione pubblica il 20 agosto per annunciare i risultati della campagna di raccolta firme lanciata in tutta la Siria nell’ambito della campagna “Voglio visitare Öcalan” lanciata dal Forum europeo per la libertà e la pace.

La dichiarazione rilasciata davanti alla sede dell’Iniziativa siriana per la libertà del leader Abdullah Öcalan a Qamishlo è stata letta in arabo dal membro dell’Iniziativa Jiyan Erkendi e in curdo dal membro dell’Iniziativa degli avvocati Ahin Heyder.

Nella dichiarazione si afferma che la campagna ha suscitato grande interesse e si aggiunge: “Hanno partecipato alla campagna difensori dei diritti umani, accademici, politici, intellettuali, leader tribali, religiosi, medici, ingegneri, curdi, arabi, assiri, armeni, yazidi, alawiti, ismailiti, drusi, turcomanni, circassi e molti altri gruppi etnici e religiosi provenienti da tutta la Siria. Hanno partecipato anche personalità di spicco di Damasco, Aleppo, Latakia, Tartus, Hums, Daraa, Quneitra, Siweyda e Idlib”.

La dichiarazione ha sottolineato che la campagna si è conclusa il 10 settembre e ha aggiunto che un totale di 2.541 persone provenienti da tutta la Siria vi hanno partecipato. La dichiarazione ha aggiunto che le firme raccolte saranno inviate al Segretario Generale delle Nazioni Unite, all’Organizzazione Europea per la Prevenzione della Tortura (CPT), alla Presidenza del Consiglio d’Europa, al Consiglio per i Diritti Umani delle Nazioni Unite e al ministero della giustizia turco.

L'articolo 2.541 persone in Siria firmano la petizione per incontrare Öcalan proviene da Retekurdistan.it.

Musa Anter, affettuosamente conosciuto come “Apê Musa” (Zio Musa), era un importante scrittore curdo che scriveva per il quotidiano Özgür Gündem e il settimanale Yeni Ülke. Fu ucciso a colpi d’arma da fuoco a Diyarbakır il 20 settembre 1992.

Attirati fuori dal suo hotel da una persona che gli chiedeva aiuto per risolvere una controversia immobiliare, Anter e un amico salirono su un taxi con un uomo sconosciuto, descritto come di età compresa tra i 25 e i 30 anni. Quando iniziarono a sospettare che si trattasse di una trappola, chiesero di scendere dal taxi. Anche l’uomo che li accompagnava scese e, dopo averli superati, iniziò a sparare contro di loro con una pistola.

Musa Anter è stato colpito da quattro proiettili ed è morto poco dopo. L’amico, colpito da due proiettili, è rimasto gravemente ferito. Amnesty International ha riferito che nell’attacco è stata utilizzata una pistola calibro 9 mm con 14 colpi, avvenuto secondo il gruppo alla periferia della città, vicino a una stazione di polizia e a un posto di controllo del traffico presidiato.

Musa che non viveva a Diyarbakır, era in visita in città per firmare libri durante un festival culturale. Un gruppo precedentemente sconosciuto, Boz-Ok, ha rivendicato la responsabilità dell’omicidio, ma i redattori di Yeni Ülke e Özgür Gündem hanno smentito la notizia, incolpando lo Stato e le organizzazioni anti-guerriglia.

Nato nel 1920 nel villaggio di Zivingê a Nusaybin, Musa Anter ha vissuto molte esperienze nel corso della sua vita che altri conoscevano solo per sentito dire. Ha vissuto gli anni della fondazione della Repubblica Turca, la rivolta dello sceicco Said e il genocidio di Dersim, e la Seconda Guerra Mondiale da studente.

Fu uno dei protagonisti della breve primavera del movimento nazionale curdo alla fine degli anni ’50; nel “Processo dei 49” fu accusato di propaganda curda e separatismo. Il contesto era la sua poesia Qimil (Punteruolo), che aveva pubblicato in curdo sulla rivista Ileri Yurt nell’agosto del 1959. La rivista, con sede ad Amed (Diyarbakir), fu ancora una volta la prima rivista dopo decenni ad affrontare la questione curda. Musa Anter ne era il direttore.

Abdülkadir Aygan, un ex militante del PKK diventato informatore e reclutato dal JITEM (Servizio di intelligence e antiterrorismo della gendarmeria turca), ha affermato di aver fatto parte di un’unità del JITEM, insieme a un “Hamit” di Şırnak, che aveva assassinato Musa Anter.

Nel 2006 la Corte europea dei diritti dell’uomo (CEDU) ha riconosciuto la Turchia colpevole dell’omicidio di Musa Anter e l’ha condannata a una multa di 28.500 euro.

Nel 2009, 17 anni dopo l’omicidio, i pubblici ministeri turchi hanno riaperto +il caso in seguito all’interrogatorio di Aygan del 2004, in cui confessò di essere coinvolto nell’omicidio di Anter. Nel 2010, il caso fu accorpato ad altri due processi che coinvolgevano diversi presunti membri del JİTEM, tra cui Aygan, come imputati. Il processo accorpato iniziò a essere noto come “processo principale del JİTEM” (come ce n’erano altri). L’esercito turco confermò l’esistenza non ufficiale del JİTEM come unità di intelligence temporanea dal 1988 al 1990, che fu resa ufficiale prima di essere sciolto nel 2001, secondo quanto riportato in un promemoria del processo.

Hamit Yıldırım, accusato da Aygan di essere l’uomo armato, è stato arrestato in Turchia nel 2012 ma rilasciato nel 2017, quando è stato raggiunto il limite legale per la detenzione di una persona senza condanna.

Per motivi di sicurezza, nel 2015 il processo è stato trasferito da Diyarbakır ad Ankara. Il caso di omicidio di Anter, o “processo principale JİTEM”, è stato archiviato dalla sesta Corte per i crimini gravi di Ankara il 21 settembre 2022, a causa della prescrizione.

L'articolo 33 anni fa l’uccisione di Musa Anter proviene da Retekurdistan.it.

Il Comitato dei Ministri del Consiglio d’Europa ha esortato la Turchia a dare attuazione alle sentenze della Corte europea dei diritti dell’uomo sul politico incarcerato Selahattin Demirtaş e a rilasciarlo.

Il Comitato dei ministri del Consiglio d’Europa nella sua 1537ª riunione tenutasi dal 15 al 17 settembre 2025, ha rimesso all’ordine del giorno l’attuazione della sentenza Selahattin Demirtaş (n. 2), ex co-presidente del Partito della Democrazia dei popoli (HDP), e dei casi correlati. Ricordando le sentenze della Corte europea dei diritti dell’uomo (CEDU), il Comitato ha sottolineato che Selahattin Demirtaş e altri parlamentari eletti sono stati detenuti senza prove sufficienti, che tali detenzioni erano motivate politicamente e violavano i diritti alla libertà di espressione e alla rappresentanza politica.

Il Comitato dei Ministri ha espresso profonda preoccupazione per il fatto che la Corte Costituzionale non abbia ancora esaminato i ricorsi e ha esortato la Turchia ad adottare misure per il rilascio immediato di Demirtaş e degli altri ricorrenti, in linea con le sentenze della CEDU. Il Comitato ha inoltre raccomandato che i tribunali prendano in considerazione misure alternative.

Nel contesto delle misure generali, il Comitato ha criticato l’attuale quadro costituzionale e legislativo della Turchia, che viene ritenuto sufficiente e ha sottolineato come non garantisca il pluralismo politico e il libero esercizio delle funzioni dei rappresentanti dell’opposizione. Anche l’elevato numero di recenti tentativi di revoca dell’immunità parlamentare e gli arresti di sindaci eletti sono motivo di preoccupazione. Il Comitato ha invitato la Turchia ad avviare riforme legislative per rafforzare il pluralismo politico e garantire la libertà di espressione, nonché a fornire formazione a pubblici ministeri e giudici in linea con gli standard della Corte europea dei diritti dell’uomo.

Più in generale il Comitato ha incoraggiato le autorità a prendere ulteriormente atto della “Commissione nazionale per la solidarietà, la fratellanza e la democrazia” e della “Turchia antiterrorismo” e ha invitato le autorità a collaborare con il Comitato e il Segretariato al fine di progredire nell’attuazione delle misure individuali e generali in questo caso.

Il Comitato dei Ministri riesaminerà le misure individuali nella riunione di dicembre 2025 e le misure generali nel marzo 2026.

L'articolo Il Comitato dei Ministri esorta la Turchia a rilasciare Selahattin Demirtaş proviene da Retekurdistan.it.

Il 27 ottobre alle ore 15.00, presso la Sala Galileo della Biblioteca, la Direttrice, dott.ssa Elisabetta Sciarra, presenterà le principali linee programmatiche dell’Istituto per il 2026, in relazione agli obiettivi e ai compiti dell’amministrazione.

Saranno illustrati i maggiori programmi di spesa in termini di esecuzione di lavori e acquisizione di servizi, nonché le attività e gli eventi previsti, con particolare riferimento alle risorse economiche, umane e strumentali impiegate.

Ingresso da via Magliabechi n. 2.

Per informazioni:
bnc-fi@cultura.gov.it

L'articolo Presentazione della programmazione della Biblioteca nazionale centrale di Firenze per il 2026 proviene da Biblioteca nazionale centrale di Firenze.

In a recent write-up, [David Delony] explains how he built a Wolfram Mathematica-like engine with Python.

Core to the system is SymPy for symbolic math support. [David] said being able to work with symbolic math easily has helped his understanding of calculus and linear algebra. For statistics support he includes NumPy, pandas, and SciPy. NumPy is useful for creating multidimensional arrays and supports basic descriptive statistics such as mean, median, and standard deviation; pandas is a library for operating on tabular data arranged into “DataFrames”, it can load data from spreadsheets (including Excel) and relational databases; and SciPy is a “grab bag” of operations designed for scientific computing, it includes some useful statistics operations, including common probability distributions, such as the binomial, normal, and Student’s t-distribution.

For regression analysis [David] includes statsmodels and Pingouin. If you’re not familiar with the term “regression analysis” it basically refers to the process of curve fitting. When your data is two-dimensional, with one dependent variable, the simple linear regression algorithm will generate a function that fits the data as y = mx + b, including the slope (m) and the y-intercept (b); this can be extrapolated to higher dimensional data and other types of regression.

If you have an interest in symbolic math you might enjoy learning about Mathematica And Wolfram On The Raspberry Pi.

hackaday.com/2025/10/26/making…

Secondo The Information, OpenAI sta lavorando attivamente alla propria rete neurale per la creazione musicale, che competerà con progetti come Suno e Udio.

Le fonti della pubblicazione riportano che il nuovo prodotto dovrebbe avere diverse modalità. In primo luogo, genererà semplicemente una traccia in base a una richiesta di testo. In secondo luogo, il modello sarà in grado di creare musica per una traccia vocale registrata dall’utente o per un video. Questo amplia significativamente la gamma di applicazioni dell’IA.

OpenAI è molto cauta in materia di copyright, soprattutto dopo il lancio di Sora 2, che inizialmente generava copie di molti personaggi famosi, reali e immaginari, da Stephen Hawking a Pikachu. Per creare il modello musicale, l’azienda sta collaborando con la Juilliard School, uno dei conservatori più prestigiosi degli Stati Uniti.

Gli studenti della scuola contribuiscono ad annotare il materiale musicale: spartiti, struttura e armonie. L’idea è di addestrare il modello non semplicemente a partire da tracce scaricate, ma utilizzando una logica musicale attentamente annotata, che riduce i rischi legali e migliora la coerenza musicale.

Non è ancora noto se il nuovo prodotto verrà rilasciato come app standalone o integrato in uno dei prodotti di OpenAI. Un candidato logico per l’integrazione sarebbe Sora 2, che potrebbe sovrapporre colonne sonore AI ai video creati con esso. La data di lancio del nuovo modello non è stata divulgata.

Sebbene OpenAI abbia lanciato modelli di musica generativa in passato, questi sono precedenti al lancio di ChatGPT; più di recente, l’azienda ha sviluppato modelli audio focalizzati su sintesi vocale e sintesi vocale.

L'articolo OpenAI lavora su una rete neurale per la creazione musicale proviene da Red Hot Cyber.

It is hard to remember a time when no one had a spreadsheet. Sure, you had big paper ledgers if you were an accountant. But most people just scribbled their math on note paper or, maybe, an engineering pad. [Christopher Drum] wanted to look at what the state of the art in 1978 spreadsheet technology could do. So he ran VisiCalc.

Surprisingly, VisiCalc got a lot of things right that we still use today. One thing we don’t see much of is the text-based menu. As [Christopher] puts it, when you press the slash key, “what first appears to be ‘the entire alphabet’ pops up at the top of the screen.” In reality, it is a menu of letters that each correspond to some command. For example, C will clear the sheet (after prompting you, of course).

Interestingly, VisiCalc of the day didn’t do a natural order of evaluation. It would process by rows or by columns, your choice. So if cell A1 depended on cell B5, you’d probably get a wrong answer since A1 would always be computed before B5. Interestingly, the old Apple didn’t have up and down keys, so you had to toggle what the right and left keys did using the space bar. Different times!

This is a great look into a very influential piece of software and its tutorials. If you have old VisiCalc files you want to drag into the 21st century, [Christopher] explains the convoluted process to get mostly there.

We’ve been known to abuse spreadsheets pretty badly, although we’ve seen worse.

hackaday.com/2025/10/26/spread…

Gli specialisti di BI.ZONE hanno identificato due vulnerabilità (CVE-2025-62592 e CVE-2025-61760) in Oracle VirtualBox. Combinate assieme consentivano a un aggressore di uscire da una macchina virtuale e raggiungere il sistema host macOS basato su ARM.

Si sottolinea che questa è la prima catena di vulnerabilità di questo tipo di cui si abbia notizia pubblica dal rilascio della versione 7.1.0 di VirtualBox nel 2024, che ha introdotto il supporto ARM in macOS.

La vulnerabilità CVE-2025-62592 (punteggio CVSS 6.0) è stata scoperta nella scheda grafica virtuale QemuRamFB nel gestore di lettura MMIO qemuFwCfgMmioRead. Consente a un aggressore di leggere una quantità illimitata di memoria oltre i limiti dell’array. Di conseguenza, l’aggressore può accedere a dati sensibili, inclusi indirizzi base randomizzati di programmi e librerie. La vulnerabilità riguarda solo VirtualBox per macOS su un processore ARM.

CVE-2025-61760 (punteggio CVSS 7,5) è una vulnerabilità di buffer overflow basata sullo stack nella funzione virtioCoreR3VirtqInfo. Un aggressore può sfruttare questa vulnerabilità utilizzando le informazioni ottenute sfruttando il CVE-2025-62592. L’aggressore può quindi uscire dalla macchina virtuale ed eseguire codice arbitrario sull’host, assumendo il controllo dell’hypervisor e di altre macchine virtuali.

Di conseguenza, l’aggressore può accedere al microfono e alla fotocamera del dispositivo, leggere e modificare qualsiasi file, compresi quelli di altre applicazioni. Può anche avviare nuovi processi, ottenendo di fatto il controllo quasi completo del sistema operativo host.

“Quando si sviluppa un exploit per applicazioni moderne, gli aggressori hanno spesso bisogno di due vulnerabilità: una per far trapelare ASLR e una per corrompere le strutture di memoria dei processi. Le vulnerabilità scoperte dal nostro team sono autosufficienti per questa catena. Il loro sfruttamento è in qualche modo ostacolato da mitigazioni protettive come NX (No-eXecute) e stack canary, ma è possibile sovrascrivendo altre variabili locali della funzione virtioCoreR3VirtqInfo”, commenta Pavel Blinnikov, responsabile del team di ricerca sulle vulnerabilità.

Le informazioni sulle vulnerabilità sono state segnalate al fornitore e il 21 ottobre 2025 Oracle ha rilasciato un aggiornamento critico della patch che risolve entrambi i problemi.

L'articolo Vulnerabilità in Oracle VirtualBox: rischio di fuga da macchina virtuale proviene da Red Hot Cyber.