Gli specialisti di ThreatFabric hanno scoperto un nuovo trojan bancario, Sturnus. Il malware è in grado di intercettare i messaggi provenienti da app di messaggistica crittografate end-to-end (Signal, WhatsApp, Telegram) e di ottenere il pieno controllo dei dispositivi tramite VNC.

I ricercatori segnalano che Sturnus utilizza uno schema di comunicazione avanzato con i server di comando e controllo: una combinazione di crittografia in chiaro, RSA e AES.

Una volta installato, il malware si connette al server di comando e controllo, registra la vittima e crea due canali di comunicazione: HTTPS crittografato per i comandi e l’esfiltrazione dei dati e un WebSocket crittografato con AES per le operazioni VNC in tempo reale.

In genere, un’infezione da Sturnus inizia con il download di un APK dannoso mascherato da Google Chrome (com.klivkfbky.izaybebnx) o Preemix Box (com.uvxuthoq.noscjahae). Il metodo esatto di distribuzione è ancora sconosciuto, ma i ricercatori sospettano che gli aggressori utilizzino annunci pubblicitari dannosi o messaggi privati nelle app di messaggistica.

Il trojan intercetta i messaggi nelle app di messaggistica istantanea non durante la trasmissione, ma dopo la decrittazione. In sostanza, il malware legge semplicemente il contenuto direttamente dallo schermo del dispositivo infetto. Per farlo, Sturnus sfrutta il servizio di accessibilità, ottenendo l’accesso a tutto ciò che viene visualizzato sullo schermo: contatti, chat, messaggi in entrata e in uscita.

“Ciò consente di aggirare completamente la crittografia end-to-end, consentendo l’accesso ai messaggi dopo che sono stati decifrati da un’app legittima, dando agli aggressori accesso diretto a conversazioni presumibilmente private”, osservano i ricercatori.

Oltre a leggere i messaggi, Sturnus richiede privilegi di amministratore su Android, consentendogli di monitorare le modifiche alle password, bloccare da remoto il dispositivo ed eludere la rimozione. A meno che i privilegi di amministratore non vengano revocati manualmente, la disinstallazione e la rimozione tramite ADB saranno bloccate.

Utilizzando VNC, gli aggressori possono simulare la pressione di tasti, l’immissione di testo, lo scorrimento e la navigazione. Al momento opportuno, possono attivare una sovrapposizione nera ed eseguire azioni nascoste: trasferire denaro da app bancarie, confermare conversazioni, approvare l’autenticazione a più fattori, modificare le impostazioni o installare app aggiuntive.

Sturnus prende di mira principalmente i conti di istituti finanziari europei, utilizzando modelli di overlay regionali. Attualmente, la banca starebbe prendendo di mira principalmente utenti dell’Europa meridionale e centrale. Poiché la portata degli attacchi è ancora limitata, i ricercatori ritengono che gli hacker stiano testando le proprie capacità prima di lanciare campagne più ampie.

L'articolo Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal proviene da Red Hot Cyber.

Have you ever wondered what goes into making it possible to use the restroom at 30,000 feet (10,000 m)? [Jason Torchinsky] at the Autopian recently gave us an interesting look at the history of the loftiest of loos.

The first airline toilets were little more than buckets behind a curtain, but eventually the joys of indoor plumbing took to the skies. Several interim solutions like relief tubes that sent waste out into the wild blue yonder or simple chemical toilets that held waste like a flying porta-potty predated actual flush toilets, however. Then, in the 1980s, commercial aircraft started getting vacuum-driven toilets that reduce the amount of water needed, and thus the weight of the system.

These vacuum-assisted aircraft toilets have PTFE-lined bowls that are rinsed with blue cleaning fluid that helps everything flow down the drain when you flush. The waste and fluid goes into a central waste tank that is emptied into a “honey truck” while at the airport. While “blue ice” falling from the sky happens on occasion, it is rare that the waste tanks leak and drop frozen excrement from the sky, which is a lot better than when the lavatory was a funnel and tube.

The longest ever flight used a much simpler toilet, and given the aerospace industry’s love of 3D printing, maybe a 3D printed toilet is what’s coming to an airplane lavatory near you?

hackaday.com/2025/11/21/handli…

Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato.

Secondo l’accusa, il trentacinquenne Maxwell Schultz, che aveva perso l’accesso ai sistemi aziendali, si è spacciato per un altro appaltatore e si è così reinfiltrato nella rete aziendale. Gli atti del Dipartimento di Giustizia non menzionano il nome dell’organizzazione, il che è tipico nei casi di malintenzionati.

I media locali, citando fonti, hanno riferito che l‘organizzazione potrebbe essere Waste Management, con sede a Houston, ma l’azienda stessa non ha risposto alle richieste dei giornalisti.

L’attacco è avvenuto il 14 maggio 2021. Utilizzando credenziali rubate, Schultz ha eseguito uno script di PowerShell e ha reimpostato circa 2.500 password presso l’organizzazione interessata. Di conseguenza, migliaia di dipendenti e collaboratori negli Stati Uniti hanno perso temporaneamente l’accesso alla rete aziendale.

L’atto d’accusa afferma che Schultz non solo ha reimpostato le password in massa, ma ha anche cercato di eliminare i registri di sistema per nascondere i suoi accessi. In alcuni casi, è addirittura riuscito a cancellare le registrazioni delle sue azioni e a cancellare il registro eventi di PowerShell.

L’accusa stima che l’attacco abbia causato danni per oltre 862.000 dollari. Questa cifra include i tempi di inattività dei dipendenti, le interruzioni dell’assistenza clienti e i costi per le indagini sull’incidente e il ripristino dell’infrastruttura.

La sentenza di Schultz è prevista per il 30 gennaio 2026. Rischia fino a dieci anni di carcere e una multa fino a 250.000 dollari.

Questa azienda ancora anonima non è l’unica ad affrontare simili problemi. Storie di malintenzionati che cercano vendetta sui datori di lavoro o che traggono profitto dall’hacking dei sistemi interni continuano a emergere regolarmente nel 2025.

Negli Stati Uniti, tra questi rientrano incidenti con Coinbase e FinWise, nonché casi di dipendenti IT nordcoreani che impiegavano aziende occidentali sotto falsa identità. In vari paesi, aziende, enti locali e persino agenzie di intelligence come l’agenzia di intelligence britannica GCHQ sono state sotto attacco.

Rapporti precedenti hanno incluso un dirigente senior che ha hackerato un sistema ospedaliero per i propri interessi commerciali, un ex amministratore che ha bloccato l’accesso del suo datore di lavoro alle apparecchiature di rete, uno sviluppatore senior che ha attivato un kill switch in un prodotto e un analista della sicurezza che ha tentato di reindirizzare i pagamenti di riscatto sul proprio account.

Tutto ciò sottolinea che le minacce interne rimangono una delle sfide più urgenti e imprevedibili per qualsiasi organizzazione.

L'articolo Dipendenti Infedeli: licenziato, rientra in azienda e resetta 2.500 password all’insaputa dell’azienda proviene da Red Hot Cyber.

Il panorama ransomware sta cambiando. Gli attori più esposti — LockBit, Hunters International, Trigona — hanno pagato il prezzo della sovraesposizione, tra operazioni internazionali, infiltrazioni, leak volontari e collassi operativi.

Dopo anni dominati da modelli quasi industriali — affiliate panel, leak site, chat pubbliche e marketing aggressivo — emergono gruppi che rifiutano la logica “LockBit-style” e si spingono verso un approccio più opaco, minimale, quasi “da operatore SIGINT”. Low profile, tecnici, quasi “professionali”, che adottano strategie di invisibilità operativa.

Il caso più recente è MONOLOCK, un nuovo gruppo ransomware apparso su DarkForums il 19 ottobre 2025 con un manifesto che sembra scritto più da un red team senior che da un cybercriminale tradizionale.

La loro presentazione è insolita, e soprattutto molto più tecnica rispetto alla media dei gruppi emergenti. E i dettagli offerti meritano un’analisi approfondita.

Un gruppo apolitico, tecnico e orientato all’OPSEC

MONOLOCK si definisce un’organizzazione apolitica specializzata nello sviluppo di toolkit per campagne ransomware completamente automatizzate, con una struttura modulare basata su BOF (Beacon Object File) e payload caricati direttamente in memoria.

Fin qui potrebbe sembrare un gruppo come tanti. Ma la svolta arriva quando dichiara quello che non farà:

• Nessun leak site
• Nessun affiliate panel
• Nessuna vetrina pubblica delle vittime
• Nessun hosting di builder o decryptor tramite server dedicati

Il motivo? La loro priorità è l’OPSEC, sia per sé stessi che per gli affiliati. Criticano apertamente i leak site: secondo MONOLOCK, la pubblicazione dei nomi delle vittime riduce la probabilità di pagamento, distrugge la reputazione anche in caso di riscatto e attira troppo l’attenzione delle forze dell’ordine. È una scelta controcorrente — e proprio per questo molto più sofisticata.

Il loro arsenale: moduli BOF e componenti avanzati

MONOLOCK presenta un’intera suite di moduli, tutti realizzati come BOF (Beacon Object File), la tecnologia nativa di Cobalt Strike per eseguire codice direttamente in memoria senza file drop.

• Privilege Escalation: Tecniche senza modificare il registro, senza LOLBins, evitando pattern rilevabili dagli EDR.
• Shadow Copy Wipe: Rimozione delle VSS per impedire qualunque tentativo di recupero locale.
• Anti-Analysis: con controlli avanzati su: debugger, hypervisor, timing anomalies, processi sospetti, delta CPU ciclici. Questi sono dettagli tipici di sviluppatori esperti di malware, non di script kiddie.
• Persistence: scheduled tasks con privilegi SYSTEM e trigger custom.
• MonoSteal Exfiltration Engine: questo è uno dei moduli più importanti che garantisce: esfiltrazione accelerata, compressione live, I/O asincrono, velocità dichiarate fino a 45 MB/s. Un valore altissimo, comparabile — come dicono loro stessi — a StealBit di LockBit. Rimarchevole, considerando che gli esfiltratori RClone-based raramente superano i 5–10 MB/s su link reali.
• MonoLock | Locker: Il ransomware vero e proprio, basato su algoritmo ChaCha20–Salsa20 ibrido con encryption asincrona fino a 276 MB/s dichiarati
• MonoLock | Decrypt: decryptor controllato tramite una chiave privata hex encoded. Questo riduce drasticamente il rischio di “fork” o copie non autorizzate. È un sistema quasi “boutique ransomware”.

Nessun leak site, nessun panel: una strategia chirurgica

Alla domanda: “Avete un TOR site? Avete già vittime?”
Rispondono così:

“Hosting extortion updates adds unnecessary weight.
Vogliamo dare alle aziende la possibilità di recuperare dati e reputazione.”

E soprattutto:

“Un affiliate panel espone builder, decryptor, database affiliati e chiavi. FBI, CERT e ricercatori adorano queste infrastrutture. Non vogliamo offrirgli un bersaglio semplice.”

È una filosofia quasi “da intelligence”.
I loro post mostrano una consapevolezza rara: sanno perché i grandi RaaS sono caduti. E non vogliono fare gli stessi errori.

Reclutamento e IAB: MONOLOCK entra nella fase operativa

MONOLOCK sta cercando:

• affiliati esperti: operatori in grado di muoversi in Active Directory
• inizial access brokers (IAB)
• malware development

E soprattutto: “Non accettiamo script kiddies”. Un messaggio destinato a filtrare affiliati impreparati — strategia usata anche da gruppi come Muliaka e dagli ex Conti Team Two.

Fee iniziale: 500$
Revenue share: 20% fisso

Livello tecnico: molto superiore alla media dei gruppi emergenti

Chi ha sviluppato i moduli BOF ha competenze avanzate:

• conoscenza profonda API di Windows
• red teaming
• uso avanzato di C2
• OPSEC
• design modulare fileless

È probabile che il team provenga da:

• ambienti di pentesting
• gruppi defezionati da altri RaaS
• ex sviluppatori di loader privati
• ecosistemi Cobalt Strike / Sliver

Evasione EDR: la filosofia MONOLOCK

Uno dei passaggi più interessanti — e rari — nella comunicazione di MONOLOCK riguarda il tema dell’evasion EDR.
A differenza di molti gruppi RaaS che millantano “UD totale”, MONOLOCK affronta l’argomento in modo tecnico, quasi professionale, riconoscendo limiti, catena di esecuzione e punti deboli.

Nel loro post dichiarano:

“Our implants beat EDRs, we have tested Windows Defender Endpoint Detection, SentinelOne, Crowdstrike and all of the commercial AVs.”

Un’affermazione forte, ma subito accompagnata da una spiegazione inusuale per trasparenza e precisione tecnica.

Subito dopo, infatti, precisano:

“Since we utilize the BoF implant format, our implant execution is based on the C2 connection, meaning that if the shellcode is detected, there is no pipe through which the implants are being loaded. We offer a shellcode loader […] to mitigate precisely this.”

Questa frase è cruciale.
MONOLOCK sta affermando esplicitamente che:

• il loro stealth non dipende dai moduli BOF, che girano in memoria ed effettivamente sfuggono a molte tecniche EDR
• il vero punto di detection è il loader, ovvero il shellcode che stabilisce la connessione iniziale al C2

E aggiungono:

“Long story short, if the C2 gets a connection, implants will run no matter what.”

In altre parole: se il loader riesce anche solo una volta a passare, il beacon caricherà i BOF e l’intera catena di strumenti diventerà estremamente difficile da rilevare.

Nessuna promessa di undetectable: un approccio insolitamente realistico

Ed è qui che arriva la parte più sorprendente — e per certi versi professionale. Alla domanda su perché non pubblicizzino il loro toolset come “undetectable”, rispondono:

“Why don’t we explicitly mention the ‘UD’ status? We will be straightforward: utilizing UD is a vague expression… it eventually bolds down to each company infrastructure.”

In sintesi:

• Non promettono undetectable totale
• Non spingono marketing ingannevole
• Non usano slogan RaaS tipici (“100% undetectable”)
• Riconoscono che la detection dipende dall’infrastruttura della vittima
• Confermano che la battaglia tecnica è sul loader, non sui BOF

Questo è un livello di autoconsapevolezza molto raro nei gruppi emergenti.

Perché MONOLOCK è estremamente pericoloso

• Attacchi molto più difficili da rilevare: I BOF riducono la superficie rilevabile da EDR/XDR. Dichiarano di poter bypassare: Defender, SentinelOne e CrowdStrike.
• Nessun leak site: le vittime perdono i “segnali esterni”, i ricercatori non hanno visibilità, aumenta l’incertezza e quindi aumentano le probabilità di pagamento.
• Esfiltrazione ultra-veloce: 45 MB/s significa che possono rubare decine di GB in pochi minuti.
• Locker ad alte prestazioni: Sui server moderni ChaCha20/Salsa20 è una scelta perfetta per velocità e stealth.
• OPSec superiore alla media: niente tor, niente panel, niente centralizzazione. Un modello molto più resiliente.

MONOLOCK non è l’ennesimo ransomware “clone”. È un’evoluzione del modello, una forma di ransomware più: silenziosa, professionale, decentralizzata, tecnica.

È l’archetipo del “ransomware boutique”: piccolo team, codice avanzato, visibilità minima, efficienza massima.

Ci aspettiamo che le prime campagne reali emergano presto, probabilmente tramite Initial Access Broker già attivi nel mercato occidentale. E quando inizieranno, non sarà facile accorgersene.

FULL-PACKAGE CTI

([em]Profilo attore[/em], MITRE ATT&CK, TTP previsti, [em]IOC)[/em]

Profilo Attore – MONOLOCK

• Tipo: Ransomware as a Toolkit (RAaT)
• Modello: No leak site, no panel
• Skill: Medio-alte
• Tecnologia: BOF, loader fileless, C2 basati su beacon
• Origine probabile: Europa Est (speculazione basata su linguaggio e pattern)
• Target previsti: aziende con infrastrutture AD, ambienti corporate, PA

MITRE ATT&CK (previsione TTP)

• Inizial Access
  
  • T1078 – Valid Accounts
  • T1190 – Vulnerability Exploitation (tramite IAB)

  
  

• Execution
  
  • T1047 – WMI
  • T1620 – Reflective Code Loading / BOF Execution

  
  

• Privilege Escalation
  
  • T1548 – Abuse of Token
  • T1068 – Exploitation for PrivEsc

  
  

• Persistence
  
  • T1053.005 – Scheduled Task SYSTEM

  
  

• Defense Evasion
  
  • T1027 – Obfuscation
  • T1497 – Sandbox Evasion
  • T1070.006 – Shadow Copy Deletion
  • T1112 – Defense Modification Avoidance

  
  

• Credential Access
  
  • T1003 – LSASS dump (probabile BOF dedicato)

  
  

• Lateral Movement
  
  • T1021 – SMB/RDP
  • T1087 – AD Enumeration

  
  

• Exfiltration
  
  • T1041 – Exfil via C2
  • T1567.002 – Exfil Compressed

  
  

• Impact
  
  • T1490 – Stop Recovery
  • T1486 – Data Encryption

  
  

IOC (comportamentali, non hash)

• Processi anomali
  
  • tasksche.exe → scheduled tasks elevati
  • processi con injection reflective loader
  • thread ad alta velocità in processi standard (es: svchost)

  
  

• Network
  
  • connessioni brevi e intermittenti verso VPS offshore
  • pattern di traffico compressi e frammentati

  
  

• File system
  
  • cancellazione improvvisa VSS
  • attività su path custom della ransom note

  
  

L'articolo MONOLOCK: il nuovo gruppo ransomware “silenzioso” che rifiuta leak site e affiliate panel proviene da Red Hot Cyber.

Una vulnerabilità critica, CVE-2025-9501, è stata scoperta nel popolare plugin WordPress W3 Total Cache Questa vulnerabilità consente l’esecuzione di comandi PHP arbitrari sul server senza autenticazione. Per eseguire l’attacco, è sufficiente lasciare un commento contenente il payload sulla risorsa vulnerabile.

Il problema riguarda tutte le versioni del plugin precedenti alla 2.8.13 ed è correlato alla funzione _parse_dynamic_mfunc(), che gestisce le chiamate di funzioni dinamiche nei contenuti memorizzati nella cache.

Secondo gli analisti di WPScan, un aggressore può iniettare comandi tramite questa funzione semplicemente pubblicando un commento appositamente creato su un sito web. Lo sfruttamento riuscito del bug conferisce all’aggressore il controllo completo sul sito, consentendogli di eseguire qualsiasi comando sul server.

W3 Total Cache è uno dei plugin di ottimizzazione delle prestazioni di WordPress più popolari, installato su oltre un milione di siti web. Gli sviluppatori del plugin hanno rilasciato una versione patchata, la 2.8.13, il 20 ottobre 2025. Tuttavia, secondo le statistiche di WordPress.org, da allora il plugin è stato scaricato circa 430.000 volte, il che significa che centinaia di migliaia di siti web sono ancora vulnerabili a CVE-2025-9501.

I ricercatori di WPScan hanno sviluppato un exploit proof-of-concept, ma prevedono di pubblicarlo solo il 24 novembre 2025, per dare agli amministratori dei siti web più tempo per aggiornarlo. Questo perché, dopo la pubblicazione di un exploit proof-of-concept, gli aggressori in genere avviano una massiccia ricerca di obiettivi vulnerabili e li attaccano.

Si consiglia agli amministratori del sito di aggiornare W3 Total Cache alla versione 2.8.13 il prima possibile. Se l’aggiornamento non è possibile, è consigliabile disattivare il plugin o adottare misure per impedire che i commenti vengano utilizzati per distribuire payload (ad esempio, disabilitare i commenti sul sito o abilitare la pre-moderazione).

L'articolo Vulnerabilità critica nel plugin WordPress W3 Total Cache. 430.000 siti a rischio! proviene da Red Hot Cyber.

Since the dawn of computers, we’ve tried different ways to store data. These days, you grab data over the network, but you probably remember using optical disks, floppies, or, more recently, flash drives to load something into your computer. Old computers had to use a variety of methods, such as magnetic tape. But many early computers used some technology that existed from the pre-computer era, like punched cards or, as [Anthony Francis-Jones] shows us, paper tape.

Paper tape was common in TeleType machines and some industrial applications. In fact, as early as 1725, looms could use paper tape, which would eventually lead to punched cards. For computers, there were two common variations that differed in how many holes were punched across the tape: 5 or 8. There was also a small sprocket hole that allowed a gear to move the tape forward through a reader.

Typically, brushes or optical sensors would read the holes into the computer. Some paper tape used regular paper, but others used oily paper. You could also get tapes made out of mylar, which was very durable.

The other big difference in tapes was in how they were punched. A conventional tape had the entire hole punched out, leaving confetti-like “chad.” There were also chadless tapes where the chad was left slightly connected to the paper.

One common feature of paper tape was that it would skip any section where every hole had been punched. This allowed you to erase parts of the tape by punching over it. Then, with scissors and tape, you could splice sections by lining up the fully punched areas between two sections of tape. You could also make endless loops of tape.

Paper tape was used as a crude word processor back in the day. They were even used to send wire photos.

youtube.com/embed/QzRhDXnpn3Q?…

hackaday.com/2025/11/20/a-pape…

On November 18 of 2025 a large part of the Internet suddenly cried out and went silent, as Cloudflare’s infrastructure suffered the software equivalent of a cardiac arrest. After much panicked debugging and troubleshooting, engineers were able to coax things back to life again, setting the stage for the subsequent investigation. The results of said investigation show how a mangled input file caused an exception to be thrown in the Rust-based FL2 proxy which went uncaught, throwing up an HTTP 5xx error and thus for the proxy to stop proxying customer traffic. Customers who were on the old FL proxy did not see this error.

The input file in question was the features file that is generated dynamically depending on the customer’s settings related to e.g. bot traffic. A change here resulted in said feature file to contain duplicate rows, increasing the number of typical features from about 60 to over 200, which is a problem since the proxy pre-allocates memory to contain this feature data.

While in the FL proxy code this situation was apparently cleanly detected and handled, the new FL2 code happily chained the processing functions and ingested an error value that caused the exception. This cascaded unimpeded upwards until panic set in: thread fl2_worker_thread panicked: called Result::unwrap() on an Err value

The Rust code in question was the following:

The obvious problem here is that an error condition did not get handled, which is one of the most basic kind of errors. The other basic mistake seems to be that of input validation, as apparently the oversized feature file doesn’t cause an issue until it’s attempted to stuff it into the pre-allocated memory section.

As we have pointed out in the past, the biggest cause of CVEs and similar is input validation and error handling. Just because you’re writing in a shiny new language that never misses an opportunity to crow about how memory safe it is, doesn’t mean that you can skip due diligence on input validation, checking every return value and writing exception handlers for even the most unlikely of situations.

We hope that Cloudflare has rolled everyone back to the clearly bulletproof FL proxy and is having a deep rethink about doing a rewrite of code that clearly wasn’t broken.

hackaday.com/2025/11/20/how-on…

If you’ve ever used an NE602 or similar IC to build a radio, you might have noticed that the datasheet has a “gilbert cell” mixer. What is that? [Electronics for the Inquisitive Experimenter] explains them in a recent video. The gilbert cell is a multiplier, and multiplying two waveforms will work to mix them together.

At the heart of the gilbert cell is essentially three differential amplifiers that share a common current source. The video shows LTSpice simulations of the circuits as he explains them.

One reason these work well on ICs is that they require very closely-matched transistors. In real life, it is hard to get transistors that match exactly. But when they are all on the same slab of silicon, it is fairly straightforward.

What we really like is that after simulating and explaining the circuit, he explains why multipliers mix signals, then builds a real circuit on the bench using discrete transistors and matched transistor arrays. There is a bit of trigonometry in the explanation, but nothing too difficult.

Of course, the most common application of differential amplifiers is the op amp. The NE602 is out of production, sadly, but if you can find any, they make dandy receivers.

youtube.com/embed/mQ36yy7mloA?…

hackaday.com/2025/11/20/gilber…

FOR IMMEDIATE RELEASE:

Independent news outlet Status Coup reported yesterday that federal immigration agents threatened its reporter, Jon Farina, with arrest for following and filming them, despite well-established First Amendment protections for newsgathering and, specifically, for recording law enforcement.

Border Patrol officers cited a federal statute barring impeding or interference with law enforcement operations, which is entirely inapplicable to Farina filming from a distance. It’s the latest in a series of worrying incidents where politicians and federal agents claim that routine reporting on immigration enforcement is somehow illegal.

Freedom of the Press Foundation’s Director of Advocacy Seth Stern said:

“Americans have a constitutional right to record law enforcement doing their jobs in public and are fully entitled to follow police in order to exercise that right. That right is by no means exclusive to reporters, but it’s especially egregious for law enforcement officers not to recognize that journalists are allowed to document what they’re up to.

“Video of the incident makes clear that the reporters were not in any way obstructing or impeding officers in violation of federal law. They were recording from a distance. It looks like these officers believe transparency itself is obstructive to their operations, which is a pretty good indicator that their operations are in need of obstruction. We’ve repeatedly seen video footage expose misconduct and lies by federal agents. The First Amendment is intended to obstruct government abuses.

“Immigration officers are placing themselves at the center of a major national controversy. Their colleagues have killed and injured people, and held them in inhumane dungeons. If they’re too thin-skinned for the public scrutiny that comes with being a part of that, they can go find a job that doesn’t involve abducting people for an authoritarian regime.”

Please contact us if you would like further comment.

freedom.press/issues/immigrati…

Once upon a time, owning a calculator watch was the epitome of cool. Well, for a very specific subset of the population with our own definition of “cool” anyway. The only thing cooler than wearing a calculator watch? Making a calculator watch, of course! If you do it as part of developing your own SDK for a popular RISC V microcontroller, all the better. That’s what [Miroslav Nemecek] did with his Antcalc watch, which is one of the demo projects for the CH32Lib SDK, which is currently under development at version 0.35 as this is written.
It appears as though the solid core wire on the back of the homemade PCB is used to hold the watch band, a nice little hack.
As you might guess, CH32LibSDK is targeting the super-cheap CH32 series of RISC V microcontrollers. Perhaps because the SDK is so early in development, there’s not much documentation outside of the example projects. The examples are all worth looking at, but our tipster wanted us to cover the Antcalc calculator watch specifically.

The Antcalc watch uses the SOP16-packaged CH32V002A4M6 to drive a small OLED display while taking input in Reverse Polish Notation from a dozen small buttons. We’re not sure how the cool kids feel about RPN these days, but that’s got to be worth extra nerd cred. Using a RISC V chip doesn’t hurt in that department, either.

For something so small– 30 mm x 55 mm–it’s looks like a decent little calculator, with 10 registers holding a mantissa of 21 digits and exponents up-to +/-99 in binary coded decimal. Seven layers on the dozen-key input pad mean most of the scientific functions you could ask for are available, along with the ability to record and replay upto 10 macros. There are also ten memory slots, all of which go into the chip’s onboard flash so are non-volatile during a battery swap. (Of which many will be necessary, since this appears to run on a single coin cell.)

If you get bored of wrist-mounted calculating, you could always repurpose this microcontroller to play MOD files on your wrist. Some people couldn’t imagine ever getting bored by a wrist-mounted calculator, and just for them we have this teardown of a beautiful 1975 model and a this article on the history of the calculator watch.

Thanks to [James Bowman] for the tip.

hackaday.com/2025/11/20/wear-t…

UBTECH Robotics, società con base a Shenzhen, ha mostrato pubblicamente la sua nuova ondata di robot umanoidi, consegnandone alcune centinaia in un’unica operazione.

L’annuncio è stato accompagnato da un video che ha rapidamente attirato l’attenzione dei social. Le riprese, realizzate all’interno di un grande magazzino completamente bianco, immortalano lunghi schieramenti di robot impegnati in movimenti sincronizzati: estraggono e reinseriscono la batteria posta sulla schiena, si siedono insieme e poi avanzano in fila verso i camion incaricati del trasporto.

Secondo l’azienda, si tratta della prima consegna su larga scala della seconda generazione dei propri modelli umanoidi, un passaggio considerato strategico per la produzione industriale. La clip si chiude con la parola “Forward”, quasi un motto che accompagna il debutto operativo dei nuovi robot.

La diffusione del filmato ha generato reazioni di segno opposto: c’è chi lo ha accolto con meraviglia e chi, invece, ha espresso una certa inquietudine. Alcuni utenti hanno persino messo in dubbio l’autenticità dell’opera, ipotizzando che potesse trattarsi di una sequenza creata digitalmente, complice l’atmosfera che ricorda le scenografie dei film di fantascienza.

I robot umanoidi sono pensati per imitare postura, movimento e operatività degli esseri umani, così da poter lavorare in ambienti condivisi. Il loro percorso parte da lontano: nel 1973 l’Università di Waseda, in Giappone, presentò Wabot-1, considerato il primo umanoide completo mai costruito. Da allora, la ricerca non si è fermata e oggi la Cina è fra i Paesi che spingono maggiormente sulla robotica avanzata.

Accanto all’interesse tecnologico, riaffiorano però timori legati al futuro del lavoro. La possibilità che macchine di questo tipo possano sostituire ruoli ripetitivi o faticosi alimenta dubbi sulle ricadute economiche per chi occupa mansioni meno qualificate, che rischiano di essere le più esposte alla competizione con robot sempre attivi e privi di costi salariali.

L’iniziativa di UBTECH si inserisce inoltre nel già teso confronto tecnologico tra Cina e Stati Uniti. La rapida crescita del settore robotico cinese viene seguita con attenzione da Washington, che da anni contende a Pechino la leadership in campi come semiconduttori, intelligenza artificiale e automazione. Resta ora da capire quale sarà la risposta statunitense di fronte a un passo avanti considerato rilevante in un settore strategico per entrambe le potenze.

L'articolo Centinaia di robot in marcia: la Cina presenta la nuova generazione umanoide proviene da Red Hot Cyber.

Negli ultimi mesi, negli Stati Uniti si è sviluppata una nuova infrastruttura per le operazioni informatiche , in cui gli agenti automatizzati stanno diventando non solo uno strumento di supporto, ma un vero e proprio partecipante alle operazioni offensive.

In un contesto di competizione con la Cina delle capacità dei sistemi autonomi, Washington sta investendo molto nella ricerca che amplia la portata degli attacchi e riduce i tempi di preparazione, orientandosi verso il concetto di hacking multi-thread basato sull’intelligenza artificiale. Uno dei centri di questa iniziativa è la poco conosciuta azienda Twenty, con sede ad Arlington, che ha ricevuto diversi contratti dalle agenzie militari statunitensi.

L’azienda, che non è ancora uscita formalmente dalla modalità stealth, ha firmato un contratto con il Cyber Command statunitense del valore massimo di 12,6 milioni di dollari. Ha inoltre ricevuto un contratto di ricerca separato con la Marina Militare per 240.000 dollari. Il fatto che una startup finanziata da venture capital riceva investimenti in tecnologie offensive la distingue dai tradizionali appaltatori che tipicamente operano in questo segmento. Inoltre, Twenty è finanziata da entità legate all’intelligence: tra gli investitori figurano In-Q-Tel, una società di venture capital fondata con il supporto della CIA, nonché fondi privati operanti nel mercato tecnologico ad alto rischio.

Il sito web di Twenty afferma che l’azienda crea strumenti di automazione che trasformano le procedure offensive ad alta intensità di lavoro da operazioni manuali a operazioni semplificate, eseguite simultaneamente contro un gran numero di obiettivi. A giudicare dal linguaggio, si tratta di sistemi che ricercano automaticamente i punti vulnerabili degli avversari, preparano scenari di penetrazione e lanciano catene di attacco con un intervento umano minimo. Questo approccio trasforma di fatto le operazioni offensive in una pipeline continua, elaborando centinaia di indirizzi e servizi simultaneamente.

Gli annunci di lavoro dell’azienda rivelano ulteriori dettagli. I requisiti per il responsabile della ricerca offensiva includono lo sviluppo di nuovi metodi per penetrare le reti nemiche, lo sviluppo di framework che descrivono le rotte di attacco e sistemi di automazione dell’hacking basati su modelli. Gli ingegneri ricercati da Twenty devono lavorare con strumenti per la gestione di più agenti di intelligenza artificiale, incluse soluzioni open source per il coordinamento di gruppi di assistenti autonomi. Altre posizioni si concentrano sullo sviluppo di personaggi digitali realistici che si impegneranno in operazioni di ingegneria sociale e nell’infiltrazione di comunità online e canali di comunicazione privati. Questo tipo di attività è tradizionalmente utilizzato dalle agenzie statali per ottenere l’accesso alle reti nemiche senza ricorrere direttamente all’hacking tecnico.

Il team di Twenty è composto da persone con una vasta esperienza nel settore militare e dell’intelligence statunitense. Il CEO dell’azienda ha prestato servizio nella Riserva della Marina e ha lavorato su prodotti di sicurezza presso un’importante azienda statunitense, entrando a far parte dell’azienda dopo aver acquisito una startup focalizzata sulla mappatura delle reti per la sicurezza nazionale. Il CTO si è concentrato sull’analisi dell’esposizione di rete e in precedenza ha prestato servizio nelle unità di intelligence dei segnali dell’esercito statunitense. Il responsabile dell’ingegneria ha trascorso oltre un decennio presso il Cyber Command e altre unità dell’esercito, mentre il responsabile degli affari governativi ha prestato servizio a Capitol Hill e nel team di transizione del Consiglio di sicurezza nazionale.

Gli Stati Uniti non sono l’unico Paese a utilizzare modelli per l’intelligence e le operazioni informatiche. Una recente ricerca di Anthropic ha scoperto che i gruppi cinesi utilizzano modelli per preparare attacchi, consentendo ad agenti autonomi di svolgere gran parte del lavoro di routine, dalla ricognizione delle infrastrutture ai piani di sfruttamento. Questi strumenti possono ridurre i tempi di preparazione di operazioni complesse e accelerare l’identificazione delle debolezze nelle reti avversarie.

Il Pentagono ha anche firmato accordi con OpenAI, Anthropic e xAI per un valore fino a 200 milioni di dollari ciascuno, ma i dettagli dei progetti non sono stati resi noti. Non ci sono informazioni sull’eventuale utilizzo degli sviluppi di queste aziende per missioni offensive. Dato il loro accesso a infrastrutture e modelli, questo rimane uno scenario probabile, soprattutto alla luce della crescente pressione esercitata dalla Cina.

Alla luce della startup in questione, vale la pena menzionare Two Six Technologies, che lavora da diversi anni a un sistema automatizzato per operazioni offensive chiamato IKE. Questo sistema consente a un modulo autonomo di decidere se lanciare un attacco quando la probabilità di successo è elevata. Questo progetto ha raccolto 190 milioni di dollari di finanziamenti, ma non vi è alcuna indicazione che sia in grado di eseguire operazioni parallele su centinaia di risorse con la stessa ampiezza dichiarata da Twenty.

L’uso di modelli in ambito difensivo è molto più diffuso. Ad esempio, l’azienda israeliana Tenzai adatta modelli di intelligenza artificiale per individuare vulnerabilità nei software aziendali. Le sue soluzioni simulano attacchi, ma non sono progettate per l’hacking vero e proprio, bensì per testare la resilienza dei sistemi dei clienti.

Lo sviluppo di sistemi offensivi automatizzati sta cambiando la struttura dei conflitti informatici. Con l’emergere di soluzioni progettate per un impatto massiccio e parallelo sulle infrastrutture avversarie, le azioni offensive stanno diventando più rapide e diffuse.

A giudicare dai contratti in corso, gli Stati Uniti stanno cercando di ottenere un vantaggio significativo in questo settore. A tal fine, stanno utilizzando una combinazione di grandi aziende, società di venture capital, risorse di intelligence e giovani aziende per creare architetture progettate per l’automazione multi-thread.

L'articolo Hacking multi-thread: gli USA pionieri sulle operazioni automatizzate con gli Agent AI proviene da Red Hot Cyber.

When you’re like [Wes] from Watch Wes Work fame, you don’t have a CNC machine hoarding issue, you just have a healthy interest in going down CNC machine repair rabbit holes. Such too was the case with a recently acquired 2001 Milltronics ML15 lathe, that at first glance appeared to be in pristine condition. Yet despite – or because of – living a cushy life at a college’s workshop, it had a number of serious issues, with a busted Z-axis drive board being the first to be tackled.
The Glentek servo board that caused so much grief. (Credit: Watch Wes Work, YouTube)
The identical servo control board next to it worked fine, so it had to be an issue on the board itself. A quick test showed that the H-bridge IGBTs had suffered the typical fate that IGBTs suffer, violently taking out another IC along with them. Enjoyably, this board by one Glentek Inc. did the rebranding thing of components like said IGBTs, which made tracking down suitable replacements an utter pain that was eased only by the desperate communications on forums which provided some clues. Of course, desoldering and testing one of the good IGBTs on the second board showed the exact type of IGBT to get.

After replacing said IGBTs, as well as an optocoupler and other bits and pieces, the servo board was good as new. Next, the CNC lathe also had a busted optical encoder, an unusable tool post and a number of other smaller and larger issues that required addressing. Along the way the term ‘pin-to-pin compatible’ for a replacement driver IC was also found to mean that you still have to read the full datasheet.

Of the whole ordeal, the Glentek servo board definitely caused the most trouble, with the manufacturer providing incomplete schematics, rebranding parts to make generic replacements very hard to find and overall just going for a design that’s interesting but hard to diagnose and fix. To help out anyone else who got cursed with a Glentek servo board like this, [Wes] has made the board files and related info available in a GitHub repository.

youtube.com/embed/BuQZeiAugp4?…

hackaday.com/2025/11/20/fixing…

It’s likely that Hackaday readers have among them a greater than average number of people who can name one special thing they did on September 23rd, 2002. On that day a new web browser was released, Phoenix version 0.1, and it was a lightweight browser-only derivative of the hugely bloated Mozilla suite. Renamed a few times to become Firefox, it rose to challenge the once-mighty Microsoft Internet Explorer, only to in turn be overtaken by Google’s Chrome.

Now in 2025 it’s a minority browser with an estimated market share just over 2%, and it’s safe to say that Mozilla’s take on AI and the use of advertising data has put them at odds with many of us who’ve kept the faith since that September day 23 years ago. Over the last few months I’ve been actively chasing alternatives, and it’s with sadness that in November 2025, I can finally say I’m Firefox-free.

Just What Went Wrong?

Browser market share, 2009 to 2025. Statcounter, CC BY-SA 3.0.
It was perhaps inevitable that Firefox would lose market share when faced with a challenger from a player with the economic muscle of Google. Chrome is everywhere, it’s the default browser in Android and ChromeOS, and when stacked up against the Internet Explorer of fifteen years or so ago it’s not difficult to see why it made for an easy switch. Chrome is good, it’s fast and responsive, it’s friendly, and the majority of end users either don’t care or don’t know enough to care that it’s Google’s way in to your data. When it first appeared, they still had the “Don’t be evil” aura to them, even if perhaps behind the warm and fuzzy feeling it had already worn away in the company itself.

If Firefox were destined to become a minority player then it could still be a successful one; after all, 2% of the global browser market still represents a huge number of users whose referrals to search engines return a decent income. But the key to being a success in any business is to know your customers, and sitting in front of this particular screen it’s difficult to escape the conclusion that Mozilla have lost touch with theirs. To understand this it’s necessary for all of us to look in the mirror and think for a moment about who uses Firefox.

Somewhere, A Group Of Users Are Being Ignored

Blink, and its name will change: Phoenix version 0.1. Mozilla Foundation; Microsoft, Inc., CC BY-SA 4.0.
A quick straw poll in my hackerspace revealed a majority of Firefox users, while the same straw poll among another group of my non-hackerspace friends revealed none. The former used Firefox because of open-source vibes, while the latter used Edge or Safari because it came with their computer, or Chrome on their phone and on their desktop because of Google services. Hackaday is not a global polling organisation, but we think it’s likely that the same trend would reveal itself more widely. If you’re in the technology space you might use Firefox, but if you aren’t you may not even have heard of it in 2025. It’s difficult to see that changing any time soon, to imagine some killer feature that would make those Chrome, Safari, and Edge users care enough to switch to Firefox.

To service and retain this loyal userbase then, you might imagine that Mozilla would address their needs and concerns with what made Phoenix a great first version back in 2002. A lightweight and versatile standards-compliant and open-source web browser with acceptable privacy standards, and without any other non-browser features attached to it. Just a browser, only a browser, and above all, a fast browser.

Instead, Mozilla appear to be following a course calculated to alarm rather than retain these users. Making themselves an AI-focused organisation, neglecting their once-unbeatable developer network, and trying to sneak data gathering into their products. They appear now to think of themselves as a fad-driven Valley startup rather than the custodians of a valuable open-source package, and unsurprisingly this is concerning to those of us who know something about what a browser does behind the scenes.

Why Is This Important?

If you have ever had to write code like this, you will know. Bret Taylor, CC-BY 2.5.
It is likely that I am preaching to the choir here, but it’s important that there be a plurality of browsers in the world. And by that I mean not just a plurality of front-ends, but a plurality of browser engines. One of the reasons Phoenix appeared all those years ago was to challenge the dominance of Microsoft Internet Explorer, the tool by which the Redmond software company were trying to shape the online world to their tune. If you remember the browser wars of that era, you’ll have tales of incompatibilities seemingly baked in on purpose to break the chances of an open Web, and we were all poorer for it. Writing Javascript with a range of sections to deal with the quirks of different browser families is now largely a thing of the past, and for that you have the people who stuck with Firefox in the 2000s to thank.

The fear is that here in 2025 we are in an analogous situation to the early 2000s, with Google replacing Microsoft. Such is the dominance of Google Chrome and the WebKit-derived Blink engine which powers it, that in effect, Google have immense power to shape the Web just as Microsoft did back in the day. Do you trust them to live up to their now-retired mission statement and not be evil? We can’t say we do. Thus Firefox’s Gecko browser engine is of crucial importance, representing as it does the only any-way serious challenger to Blink and WebKit’s near-monopoly. That it is now tied to a Mozilla leadership treating it in so cavalier a manner does not bode well for the future of the Web.

So I’ve set out my stand here, that after twenty-three years, I’m ready to abandon Firefox. It’s not a decision that has been easy, because it’s important for all of us that there be a plurality of browsers, but such is the direction being taken by Mozilla that I am not anxious to sit idly by and constantly keep an eye out for new hidden privacy and AI features to turn off with obscure checkboxes. In the following piece I’ll take a look at my hunt for alternatives, and you may be surprised by the one I eventually picked.

hackaday.com/2025/11/20/so-lon…