The holidays are rapidly approaching, and you probably already have a topic or two to argue with your family about. But what about with your hacker friends? We came upon an old favorite the other day: whether it “counts” as retrocomputing if you’re running a simulated version of the system or if it “needs” to run on old iron.

This lovely C64esque laptop sparked the controversy. It’s an absolute looker, with a custom keyboard and a retro-reimagining-period-correct flaptop design, but the beauty is only skin deep: the guts are a Raspberry Pi 5 running VICE. An emulator! Horrors!

We’ll admit to being entirely torn. There’s something about the old computers that’s very nice to lay hands on, and we just don’t get the same feels from an emulator running on our desktop. But a physical reproduction like with many of the modern C64 recreations, or [Oscar Vermeulen]’s PiDP-8/I really floats our boat in a way that an in-the-browser emulation experience simply doesn’t.

Another example was the Voja 4, the Supercon 2022 badge based on a CPU that never existed. It’s not literally retro, because [Voja Antonics] designed it during the COVID quarantines, so there’s no “old iron” at all. Worse, it’s emulated; the whole thing exists as a virtual machine inside the onboard PIC.

But we’d argue that this badge brought more people something very much like the authentic PDP-8 experience, or whatever. We saw people teaching themselves to do something functional in an imaginary 4-bit machine language over a weekend, and we know folks who’ve kept at it in the intervening years. Part of the appeal was that it reflected nearly everything about the machine state in myriad blinking lights. Or rather, it reflected the VM running on the PIC, because remember, it’s all just a trick.

So we’ll fittingly close this newsletter with a holiday message of peace to the two retrocomputing camps: Maybe you’re both right. Maybe the physical device and its human interfaces do matter – emulation sucks – but maybe it’s not entirely relevant what’s on the inside of the box if the outside is convincing enough. After all, if we hadn’t done [Kevin Noki] dirty by showing the insides of his C64 laptop, maybe nobody would ever have known.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/12/20/retroc…

Riesba NC-559-ASM flux being applied. (Credit: Bits und Bolts, YouTube)
Flux is one of those things that you cannot really use too much of during soldering, as it is essential for cleaning the surface and keeping oxygen out, but as [Bits und Bolts] recently found, not all flux is made the same. After ordering the same fake Amtech flux from the same AliExpress store, he found that the latest batch didn’t work quite the same, resulting in a Geforce 2 GTS chip getting cooked while trying to reball the chip with uncooperative flux.

Although it’s easy to put this down to a ‘skill issue’, the subsequent test of eight different flux pastes ordered from both AliExpress and Amazon, including — presumably genuine — Mechanic flux pastes with reballing a section of a BGA chip, showed quite different flux characteristics, as you can see in the video below. Although all of these are fairly tacky flux pastes, with some, the solder balls snapped easily into place and gained a nice sheen afterwards, while others formed bridges and left a pockmarked surface that’s indicative of oxygen getting past the flux barrier.

Not all flux pastes are made the same, which also translates into how easy the flux remnants are to clean up. So-called ‘no clean’ flux pastes are popular, which take little more than some IPA to do the cleaning, rather than specialized PCB cleaners as with the used Mechanic flux. Although the results of these findings are up for debate, it can probably be said that ordering clearly faked brand flux paste is a terrible idea. While the top runner brand Riesba probably doesn’t ring any bells, it might be just a Chinese brand name that doesn’t have a Western presence.

As always, caveat emptor, and be sure to read those product datasheets. If your flux product doesn’t come with a datasheet, that would be your first major red flag. Why do we need flux? Find out.

youtube.com/embed/uAqofdpe744?…

hackaday.com/2025/12/20/testin…

Quando si pensa ad Amazon, viene subito in mente il colosso dell’e-commerce e della tecnologia, ma anche un’impresa che sta combattendo una battaglia silenziosa contro i cyber-attacchi.

Ultimamente, Amazon ha alzato il velo su una questione piuttosto spinosa: gli hacker nordcoreani stanno usando le cosiddette “fattorie di laptop” in Arizona per infiltrarsi nelle aziende statunitensi. È una storia che ha dell’incredibile, ma purtroppo è vera.

Questi “cyber-criminali” si travestono da candidati lavoro, si assicurano posizioni remote e poi rubano dati sensibili per estorcere soldi. Amazon ha rivelato che da aprile 2024 ha bloccato oltre 1.800 tentativi di hacking, e la cifra è in rapido aumento; evidentemente il problema è più grande di quanto si immaginasse. Questa è una questione che richiede attenzione, e Amazon sta facendo la sua parte per arginare il fenomeno. È arrivato il momento di parlare di cybersecurity.

L’azienda stima che, trimestre dopo trimestre, i tentativi di penetrare nei sistemi di Amazon da parte di questi attori siano aumentati del 27%. Il tipico schema inizia con il pagamento di residenti negli Stati Uniti per gestire quelle che sembrano innocue attività secondarie: l’acquisto e la manutenzione di un gran numero di computer portatili connessi alle reti nazionali.

Dopo essere stati creati, questi computer finiscono per supportare dei curriculum fasulli, studiati ad hoc per sembrare professionali e attendibili, in modo che gli hacker possano proporsi come candidati per posizioni lavorative da remoto in grosse aziende tech. Una volta che sono stati assunti, si ritrovano ad avere carta bianca, senza che nessuno gli cada alle calcagna.

Solo nel 2025, gli hacker nordcoreani hanno utilizzato questo metodo per attaccare diverse aziende e piattaforme di criptovalute, causando perdite sostanziali. Sebbene gli attacchi al settore delle criptovalute siano principalmente mirati al furto di fondi, Amazon ritiene che i tentativi di infiltrazione contro la propria organizzazione siano stati probabilmente motivati dalla ricerca di dati interni sensibili.

In effetti, l’azienda ha confermato che alcuni aggressori sono riusciti a entrare in Amazon utilizzando credenziali contraffatte. All’inizio del 2025, il monitoraggio comportamentale sul laptop di un amministratore di sistema appena assunto ha attivato degli avvisi, innescando un’indagine di sicurezza interna .

I ricercatori, a seguito di un’analisi dettagliata, hanno riscontrato che i computer portatili dei lavoratori a distanza erano soggetti a controlli remoti, con una conseguente latenza dei tempi di battitura estremamente alta. Normalmente, le pause tra le battiture sui laptop collegati direttamente alle reti degli Stati Uniti sono di solito poche decine di millisecondi. Tuttavia, in questo caso specifico, la latenza ha raggiunto un valore di 110 millisecondi. Nonostante si sia trattato di un episodio isolato, esso ha messo in luce che spesso è possibile individuare tracce di tale attività.

Amazon ha inoltre condiviso ulteriori indicatori che monitora. Durante le interazioni, gli hacker spesso si tradiscono attraverso sottili errori linguistici – difficoltà nell’uso naturale di espressioni idiomatiche americane o incongruenze nell’inglese scritto – che riflettono il fatto che l’inglese non è la loro lingua madre. Questi segnali sono tra i segnali che Amazon considera prioritari nei suoi sforzi difensivi.

In precedenza, l’FBI (Federal Bureau of Investigation) degli Stati Uniti aveva smantellato diverse fabbriche di computer portatili che facilitavano le operazioni informatiche nordcoreane. Queste strutture ospitavano computer per l’uso remoto da parte di hacker, e i loro operatori erano stati successivamente condannati per il loro ruolo nelle attività illecite.

L'articolo Amazon contro gli hacker nordcoreani: sventati oltre 1800 attacchi proviene da Red Hot Cyber.

Un nuovo e formidabile nemico è emerso nel panorama delle minacce informatiche: Kimwolf, una temibile botnet DDoS, sta avendo un impatto devastante sui dispositivi a livello mondiale. Le conseguenze di questa minaccia possono essere estremamente gravi e la sua portata è in costante aumento.

Per capire la reale entità di questo problema, è essenziale considerare che Kimwolf è una rete di dispositivi contaminati da malware, i quali possono essere controllati a distanza dagli aggressori. L’obiettivo principale di Kimwolf è quello di condurre attacchi DDoS, mirati a sovraccaricare e rendere inaccessibili sistemi o reti.

Secondo l’azienda cinese QiAnXin, Kimwolf è riuscita a compromettere almeno 1,8 milioni di dispositivi eterogenei, tra cui smart TV, decoder e tablet basati su Android. Questo numero è davvero impressionante e la varietà dei dispositivi colpiti rende la situazione ancora più preoccupante.

In definitiva, Kimwolf incarna un problema che non può essere ignorato. La sua capacità di propagarsi velocemente su dispositivi diversi e di effettuare attacchi DDoS. Considerando il numero elevato di dispositivi già coinvolti, Kimwolf rappresenta una minaccia significativa che richiede attenzione e azione.

Kimwolf è compilato utilizzando il Native Development Kit (NDK) e va oltre le funzionalità DDoS convenzionali. Oltre a lanciare attacchi denial-of-service su larga scala, integra funzionalità di proxy forwarding, reverse shell access e gestione dei file. Di conseguenza, gli aggressori possono non solo arruolare dispositivi come bot, ma anche sfruttarli per operazioni offensive più ampie.

Secondo le stime di QiAnXin, la botnet ha generato un totale di 1,7 miliardi di attacchi DDoS tra il 19 e il 22 novembre 2025. A causa dell’elevato volume di attività, il suo dominio di comando e controllo, 14emeliaterracewestroxburyma02132[.]su, si è posizionato al vertice della classifica DNS di Cloudflare.

I bersagli principali di questa botnet sono modelli come TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTB, MX10 e vari altri. Sono state osservate infezioni in tutto il mondo, con concentrazioni particolarmente elevate in Brasile, India, Stati Uniti, Argentina, Sudafrica e Filippine. QiAnXin non ha ancora determinato come il malware iniziale sia stato distribuito a questi dispositivi.

In particolare, i domini di comando e controllo di Kimwolf sono stati disattivati con successo almeno tre volte a dicembre da soggetti non identificati, probabilmente attori rivali o ricercatori di sicurezza indipendenti . Questa interruzione ha costretto gli operatori della botnet a cambiare strategia e ad adottare l’Ethereum Name Service (ENS) per rafforzare la propria infrastruttura contro ulteriori rimozioni.

La botnet Kimwolf è anche collegata alla famigerata botnet AISURU. Gli investigatori hanno scoperto che gli aggressori hanno riutilizzato il codice di AISURU durante le prime fasi di sviluppo, prima di creare Kimwolf come successore più evasivo. QiAnXin sospetta che alcune campagne DDoS precedentemente attribuite ad AISURU possano aver coinvolto Kimwolf, o addirittura essere state orchestrate principalmente da quest’ultimo.

Si consiglia agli utenti di smart TV e decoder Android di verificare se i propri dispositivi utilizzano ancora le password predefinite e, in tal caso, di modificarle immediatamente. Se viene rilevato un comportamento anomalo, potrebbe essere necessario un ripristino completo del dispositivo.

Gli aggiornamenti del firmware o del sistema dovrebbero essere applicati tempestivamente non appena disponibili. Tuttavia, molti di questi dispositivi ricevono scarso o nessun supporto per gli aggiornamenti dopo il rilascio, rendendo difficile la correzione a lungo termine anche quando vengono identificate vulnerabilità .

L'articolo Kimwolf, la botnet che ha trasformato smart TV e decoder in un’arma globale proviene da Red Hot Cyber.

Back in the early days of Linux, there were multiple floppy disk distributions. They made handy rescue or tinkering environments, and they packed in a surprising amount of useful stuff. But a version 1.x kernel was not large in today’s context, so how does a floppy Linux fare in 2025? [Action Retro] is here to find out.

Following a guide from GitHub in the video below the break, he’s able to get a modern version 6.14 kernel compiled with minimal options, as well as just enough BusyBox to be useful. It boots on a gloriously minimalist 486 setup, and he spends a while trying to refine and add to it, but it’s evident from the errors he finds along the way that managing dependencies in such a small space is challenging. Even the floppy itself is problematic, as both the drive and the media are now long in the tooth; it takes him a while to find one that works. He promises us more in a future episode, but it’s clear this is more of an exercise in pushing the envelope than it is in making a useful distro. Floppy Linux was fun back in 1997, but we can tell it’s more of a curiosity in 2025.

Linux on a floppy has made it to these pages every few years during most of Hackaday’s existence, but perhaps instead of pointing you in that direction, it’s time to toss a wreath into the sea of abandonware with a reminder that the floppy drivers in Linux are now orphaned.

youtube.com/embed/SiHZbnFrHOY?…

hackaday.com/2025/12/20/linux-…

Ecco! Il 20 dicembre 1990, qualcosa di epocale successe al CERN di Ginevra.

Tim Berners-Lee, un genio dell’informatica britannico, diede vita al primo sito web della storia. Si tratta di info.cern.ch, creato con l’obiettivo di aiutare gli scienziati a condividere informazioni.

Era un progetto ambizioso, nato per facilitare la vita a ricercatori di tutto il mondo. Il suo obiettivo? Far dialogare scienziati e studiosi di paesi e istituzioni diverse. Inizialmente, solo gli addetti ai lavori del CERN potevano accedervi per poi aprire le porte al grande pubblico il successivo 6 agosto 1991.

Era un momento storico anche se molti all’interno del CERN non comprendevano fino a fondo tale innovazione!

Quel sito era essenzialmente una guida su come utilizzare il World Wide Web. In pratica, spiegava come consultare documenti remoti e configurare nuovi server. Una roba da nerd, ma che fece la storia! Oggi, quel sito e quella macchina sono pezzi da collezione, un vero e proprio tesoro del web. E pensare che tutto iniziò con una semplice idea: condividere informazioni. Che potenza non è vero?

L’aspetto grafico rifletteva la filosofia che guidava il progetto. Sfondo chiaro, testo scuro e collegamenti ipertestuali essenziali: nessun elemento decorativo, nessuna immagine. Nella proposta originaria del World Wide Web, Berners-Lee aveva chiarito che la priorità non era la grafica, ma la leggibilità universale del testo, ritenuta fondamentale per garantire l’accesso al maggior numero possibile di utenti.

Un contesto tecnologico frammentato e lo standard

Alla fine degli anni Ottanta, Internet esisteva già, ma era uno strumento riservato quasi esclusivamente a contesti accademici, militari e scientifici.

Le informazioni erano distribuite su sistemi eterogenei e spesso incompatibili tra loro: mainframe, computer personali e reti proprietarie. Tutto questo era complesso! Non essendo presente uno standard, questo non consentiva uno scambio dei dati fluido e flessibile.

Al CERN questo problema era particolarmente evidente.

Migliaia di ricercatori producevano e consultavano documentazione tecnica, ma i contenuti restavano spesso confinati su macchine specifiche o richiedevano software dedicati per essere letti. Esistevano soluzioni parziali, come ARPANET o Usenet, e sistemi di navigazione strutturata come Gopher, sviluppato dall’Università del Minnesota, ma mancava ancora un modello realmente universale per l’accesso ai documenti.
Diffusione di Arpanet all’interno degli Stati Uniti D’America nel 1980

Le tre tecnologie alla base del Web

La proposta presentata da Berners-Lee nel 1989, intitolata “Information Management”, partiva da un’idea semplice: collegare documenti distribuiti su computer diversi attraverso una rete di rimandi ipertestuali. Tra il 1990 e la fine di quell’anno, questa visione prese forma concreta grazie allo sviluppo di tre elementi fondamentali.
Documento di proposta creato da Berners lee dal titolo Information Management”, dove proponeva uno standard per le comunicazioni di documenti nel web
Erano tre le soluzioni proposte da Berners Lee:

• La prima era l’HTML, un linguaggio di markup pensato per strutturare i contenuti testuali tramite elementi semplici come titoli, paragrafi e link.
• La seconda era l’URL, un sistema di indirizzamento univoco che permetteva di identificare in modo coerente ogni risorsa disponibile sul Web.
• La terza era il protocollo HTTP, incaricato di gestire lo scambio di informazioni tra il computer dell’utente e il server che ospitava i contenuti.

Il primo sito della storia. La pagina così come si mostrava all’interno del sotto dominio info.cern.ch messo online il 20 dicembre del 1990
Queste tecnologie, ancora oggi risultano alla base della navigazione online, vennero sviluppate su un computer NeXT, una workstation prodotta dall’azienda fondata da Steve Jobs dopo l’uscita da Apple. Su quella macchina Berners-Lee realizzò anche il primo browser della storia, inizialmente chiamato WorldWideWeb e successivamente rinominato Nexus.
Computer NEXT dove venne sviluppato il primo sito della storia (fonte CERN)

Il primo browser e il primo server

Il browser originario aveva una caratteristica oggi quasi scomparsa: non serviva solo a visualizzare le pagine, ma consentiva anche di modificarle e crearne di nuove.

Il concetto di Web che si delineava era quello di un ambiente interattivo, dove gli utenti avevano la possibilità di partecipare attivamente alla creazione dei contenuti. Tuttavia, con l’avvento degli interessi commerciali, questa visione iniziale del web venne gradualmente accantonata, man mano che il business prese il sopravvento.

Lo stesso computer NeXT svolgeva anche il ruolo di primo server web al mondo. Per evitare spegnimenti accidentali, sulla macchina era stato apposto un avviso scritto a mano che invitava esplicitamente a non interromperne l’alimentazione, poiché farlo avrebbe significato rendere irraggiungibile l’intero World Wide Web.
Targhetta adesiva sul primo server web della storia che riportava di non spegnere la macchina

Dal CERN al pubblico globale

Per alcuni anni il Web rimase uno strumento utilizzato prevalentemente da fisici e ricercatori.

La svolta arrivò il 30 aprile 1993, quando il CERN decise di rendere il World Wide Web una tecnologia di pubblico dominio, rinunciando a qualsiasi diritto di sfruttamento commerciale. Questa scelta impedì la nascita di monopoli e favorì la diffusione libera degli standard.

Nello stesso periodo comparvero i primi browser grafici destinati a un pubblico più ampio. Tra questi, Mosaic, sviluppato nel 1993 dal National Center for Supercomputing Applications dell’Università dell’Illinois, introdusse la possibilità di visualizzare immagini integrate nel testo, trasformando il Web in un ambiente più accessibile e visivamente coinvolgente.
Come si mostrava il browser Mosaic nel 1993. Rispetto al browser di berners Lee introduceva la visualizzazione delle immagini all’interno dell’ipertesto.

Dalle prime pagine al Web moderno

Oggi il Web conta miliardi di pagine e centinaia di milioni di domini, ma le sue origini restano legate a quell’insieme di documenti essenziali pubblicati al CERN, oltre che a delle intuizioni che veniva qualche anno prima dal prodigio della tecnologia di Douglas Engelbart (inventore appunto dell’ipertesto e del mouse).

Nel corso degli anni Novanta la tecnologia era pronta per tutto questo, e iniziarono ad apparire i primi servizi e siti di rilievo: nel 1993 nacque Aliweb, considerato il primo motore di ricerca, mentre nel 1994 organizzazioni come Amnesty International e aziende come Pizza Hut avviarono le loro prime presenze online.

Nel 2013 il CERN ha ripristinato l’indirizzo originale del primo sito web, rendendolo nuovamente accessibile in una versione semplificata. Un archivio che non rappresenta solo un documento storico, ma la testimonianza concreta dell’inizio di una trasformazione tecnologica che ha ridefinito il modo in cui l’umanità produce, condivide e accede alle informazioni.

Tutto nasce dalla “Mothers Of All Demos”

Le fondamenta concettuali del World Wide Web affondano le radici ben prima del lavoro di Tim Berners-Lee al CERN. Un passaggio chiave risale al 9 dicembre 1968, quando Douglas Engelbart presentò a San Francisco la celebre “Mother of All Demos”. In quella dimostrazione pubblica, Engelbart mostrò una visione dell’informatica radicalmente nuova, incentrata sull’interazione uomo-macchina e sulla possibilità di usare i computer come strumenti per amplificare l’intelligenza collettiva.
Douglas Engelbart durante la “Mothers of all demos” mentre sta mostrando l’invenzione del mouse. Era il 9 dicembre 1968 al San Francisco’s Civic Auditorium.
Durante quella dimostrazione, Engelbart introdusse il suo oN-Line System (NLS), un ambiente di lavoro che integrava funzioni allora rivoluzionarie: collegamenti ipertestuali tra documenti, editing collaborativo in tempo reale, navigazione non lineare delle informazioni, finestre su schermo e comunicazione a distanza. Concetti che oggi appaiono scontati vennero presentati quando i computer erano ancora strumenti chiusi, utilizzati principalmente per il calcolo e riservati a pochi specialisti.
Douglas Engelbart’s oN-Line System (NLS): la workstation mostrata durante la Mother of All Demos del 1968, con tastiera, mouse e line processor, che introdusse concetti rivoluzionari come ipertesto, interazione grafica e collaborazione uomo-macchina.
Il genio di Engelbart non si limitò all’intuizione tecnica. La sua forza fu soprattutto la capacità di immaginare un sistema complesso, aperto e interconnesso, che richiedeva necessariamente il contributo di una comunità di ingegneri, ricercatori e sviluppatori per diventare realtà. Le idee mostrate nella Mother of All Demos non erano prodotti finiti, ma visioni operative che aprirono la strada a decenni di lavoro collettivo per essere tradotte in tecnologie concrete, scalabili e utilizzabili su larga scala.

In questa prospettiva si inserisce il contributo di Tim Berners-Lee, che tra la fine degli anni Ottanta e l’inizio dei Novanta riuscì a portare “a terra” molte di quelle intuizioni, adattandole a una rete globale come Internet. Il World Wide Web può essere letto come la sintesi pragmatica di quelle idee pionieristiche: l’ipertesto, la navigazione associativa e l’accesso distribuito all’informazione, trasformati in standard semplici, aperti e universali. Una continuità storica che collega direttamente la visione di Engelbart al Web che conosciamo oggi.
Corridoio del CERN di Ginevra, dove è presente la targa storica di dove il web è nato.
L'articolo 35 anni fa nasceva il World Wide Web: il primo sito web della storia proviene da Red Hot Cyber.

Una giuria federale del Distretto del Nebraska ha incriminato complessivamente 54 persone accusate di aver preso parte a una vasta operazione criminale basata sull’uso di malware per sottrarre milioni di dollari dagli sportelli automatici statunitensi. L’indagine riguarda attività di cosiddetto “ATM jackpotting”, una tecnica che consente di forzare l’erogazione di contante dagli sportelli bancomat senza l’uso di carte o codici legittimi.

L’annuncio è stato diffuso giovedì 18 dicembre 2025 dall’Ufficio del Procuratore degli Stati Uniti per il Distretto del Nebraska. Secondo quanto riferito, le attività contestate sarebbero riconducibili al Tren de Aragua (TdA), organizzazione criminale transnazionale di origine venezuelana, designata come organizzazione terroristica straniera.

Un primo atto di accusa, emesso il 9 dicembre 2025, coinvolge 22 imputati e comprende capi d’imputazione per cospirazione finalizzata al sostegno materiale a un’organizzazione terroristica, frode bancaria, furto con scasso, reati informatici e riciclaggio di denaro. Le autorità ritengono che i proventi ottenuti attraverso il jackpotting siano stati redistribuiti tra membri e affiliati del gruppo per occultarne l’origine illecita.

Tra le persone citate figura Jimena Romina Araya Navarro, artista venezuelana indicata come esponente di vertice del Tren de Aragua e già sanzionata dall’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense. Secondo le informazioni diffuse dall’OFAC, Araya Navarro avrebbe agevolato nel 2012 la fuga dal carcere di Tocorón di Hector Rusthenford Guerrero Flores, noto come “Niño Guerrero”, ritenuto il leader storico del gruppo. L’imputata è stata formalmente accusata di sostegno materiale al Tren de Aragua in relazione al sistema di jackpotting, che avrebbe colpito anche numerosi sportelli automatici situati nello Stato del Nebraska. In più occasioni, Araya Navarro sarebbe stata fotografata in contesti pubblici insieme a Guerrero Flores.

Un secondo atto di accusa, depositato il 21 ottobre 2025, riguarda ulteriori 32 persone e comprende 56 capi d’imputazione complessivi. Tra questi figurano accuse di frode bancaria, furto con scasso, danneggiamento di sistemi informatici e frode informatica, con numerosi episodi contestati su scala nazionale.

In caso di condanna, le pene detentive previste per gli imputati variano da un minimo di 20 anni fino a un massimo complessivo di 335 anni di reclusione, a seconda delle responsabilità individuali.

Secondo il Dipartimento di Giustizia, i gruppi coinvolti avrebbero operato con modalità strutturate e ripetute. Le squadre si spostavano in più veicoli, effettuavano sopralluoghi presso banche e cooperative di credito, analizzavano i sistemi di sicurezza e, dopo essersi assicurate di non aver attivato allarmi, procedevano alla manomissione fisica degli sportelli automatici. Il malware veniva installato rimuovendo o sostituendo il disco rigido del bancomat, oppure collegando dispositivi esterni come chiavette USB.

La variante utilizzata, identificata come Ploutus, consentiva l’invio di comandi non autorizzati al modulo di erogazione del contante, forzando l’uscita di denaro. Il software era inoltre progettato per cancellare le tracce della propria presenza, con l’obiettivo di ritardare l’individuazione dell’attacco da parte degli istituti finanziari. I profitti ottenuti venivano successivamente suddivisi secondo percentuali prestabilite.

Le indagini hanno documentato episodi di jackpotting in numerosi Stati americani. Le autorità hanno inoltre ricostruito una mappa geografica degli attacchi e stimato, aggiornando i dati ad agosto 2025, perdite complessive per diversi milioni di dollari.

Il Tren de Aragua, secondo i documenti giudiziari, nasce come banda carceraria in Venezuela a metà degli anni Duemila e si è progressivamente trasformato in un’organizzazione criminale transnazionale con ramificazioni in tutto l’emisfero occidentale. Le attività attribuite al gruppo spaziano dal traffico di droga e armi al sequestro di persona, dallo sfruttamento sessuale alle estorsioni, fino a omicidi e aggressioni. Negli ultimi anni, le autorità statunitensi ritengono che il gruppo abbia intensificato anche i reati finanziari, individuando nel jackpotting una fonte di entrate particolarmente redditizia.

Nel solo 2025, il Distretto del Nebraska ha incriminato complessivamente 67 membri e dirigenti del Tren de Aragua per una vasta gamma di reati federali, tra cui sostegno a organizzazione terroristica straniera, traffico sessuale di minori, frode bancaria, riciclaggio di denaro e accesso non autorizzato a sistemi informatici protetti.

L’operazione rientra nelle attività della Homeland Security Task Force (HSTF), istituita in base all’Ordine Esecutivo 14159, con l’obiettivo di contrastare cartelli criminali, bande straniere e reti di traffico di esseri umani attive negli Stati Uniti e all’estero. La task force opera attraverso una cooperazione interagenzia che coinvolge numerosi uffici federali, statali e locali.

Le indagini sono state coordinate dall’FBI e dalla Homeland Security Investigations di Omaha, con il supporto di numerosi uffici dell’FBI sul territorio nazionale, del Dipartimento di Giustizia e di un ampio numero di agenzie di polizia e autorità investigative statunitensi.

Come previsto dalla legge, tutte le persone incriminate sono da considerarsi presunte innocenti fino a eventuale condanna definitiva da parte di un tribunale.

L'articolo ATM sotto tiro! 54 arresti in una gang che svuotava i bancomat con i malware proviene da Red Hot Cyber.

Curtis Yarvin non è un hacker, non è un criminale informatico e non è nemmeno, in senso stretto, un esperto di cybersecurity. Eppure il suo pensiero dovrebbe interessare molto più di quanto faccia oggi chi si occupa di sicurezza, governance digitale e resilienza dei sistemi complessi. Perché Yarvin non parla di firewall o ransomware, ma di chi comanda davvero. E soprattutto di perché il sistema che difendiamo ogni giorno potrebbe essere già rotto alla radice.

Conosciuto online con lo pseudonimo di Mencius Moldbug, Yarvin è un ex programmatore, imprenditore tech e autore del blog Unqualified Reservations, una lettura che definire indigesta è un complimento.

Il suo assunto di partenza è semplice, brutale e per questo pericoloso: la democrazia liberale occidentale non governa più nulla. O meglio, governa solo in apparenza. Il potere reale, secondo Yarvin, non risiede nei parlamenti, ma in una struttura informale e autoreferenziale composta da media, accademia, burocrazia e apparati tecnici. Una rete che lui chiama “la Cattedrale”.

La Cattedrale non impone leggi, ma definisce il perimetro del pensabile. Decide quali idee sono legittime, quali sono “pericolose”, quali vanno silenziate. Non serve la censura esplicita quando il controllo è culturale. Un concetto che, a chi lavora nel mondo cyber, suona tremendamente familiare: controllo senza visibilità, governance senza accountability, potere senza responsabilità.

Da qui Yarvin fa un salto che molti considerano inaccettabile, ma che lui reputa semplicemente logico. Se la democrazia è una finzione e il potere è già concentrato, allora tanto vale smettere di fingere. Meglio un potere esplicito, centralizzato, responsabile, dichiarato. Meglio un sistema autoritario efficiente che una democrazia inefficiente e ipocrita. Nasce così la sua idea più controversa: il neo-cameralismo, ovvero Stati gestiti come aziende, con un CEO al comando e cittadini ridotti ad azionisti o utenti.

Qui il lettore medio si ferma, inorridito. Ma chi lavora nella sicurezza dovrebbe andare avanti. Perché, tolta la provocazione politica, Yarvin sta descrivendo esattamente il modello operativo delle big tech. Piattaforme private che governano spazi pubblici, prendono decisioni sovrane, applicano regole, sanzioni e algoritmi senza alcun processo democratico. Meta, Google, Amazon, Microsoft: non votiamo i loro board, ma subiamo le loro policy. Non eleggiamo i loro CEO, ma le loro scelte impattano diritti, economia, informazione e sicurezza nazionale.

La domanda scomoda non è se Yarvin abbia ragione nelle soluzioni. La domanda vera è se non abbia già ragione nella diagnosi.

Nel mondo cyber parliamo ossessivamente di attacchi, ma molto meno di chi controlla l’infrastruttura che difendiamo. Parliamo di sovranità digitale mentre deleghiamo tutto al cloud. Parliamo di resilienza mentre concentriamo il potere tecnologico in pochissime mani. Parliamo di democrazia digitale mentre accettiamo sistemi opachi, algoritmici, non auditabili. In questo contesto, Yarvin non è un profeta, è uno specchio che non vogliamo guardare.

Ovviamente le sue idee sono pericolose. Lo sono perché giustificano l’autoritarismo, riducono i diritti a variabili di sistema e trattano l’essere umano come una componente sacrificabile dell’efficienza. Ma sarebbe un errore liquidarlo come un pazzo o un reazionario nostalgico. Yarvin è figlio diretto della cultura tech, non il suo opposto. È il pensiero di Silicon Valley portato alle estreme conseguenze, senza marketing e senza storytelling etico.

Ed è qui che il mondo della cybersecurity dovrebbe fermarsi un attimo. Perché se la sicurezza serve a proteggere sistemi, dati e persone, allora dobbiamo chiederci quale sistema stiamo davvero proteggendo. Una democrazia formale svuotata? Un’infrastruttura governata da privati? Un modello in cui il controllo è già centralizzato, ma senza le responsabilità che Yarvin, paradossalmente, pretende?

Yarvin non offre soluzioni accettabili. Ma pone una domanda che nel nostro settore è diventata urgente: la sicurezza senza governance è solo manutenzione del potere altrui. E forse il vero rischio non è che le sue idee vengano applicate, ma che stiamo già vivendo in un mondo che funziona come lui descrive, fingendo che sia ancora una democrazia.

E questo, per chi fa cybersecurity, dovrebbe far molto più paura di qualsiasi ransomware.

L'articolo Curtis Yarvin: quando il problema non è la democrazia, ma l’ipocrisia del potere digitale proviene da Red Hot Cyber.