The Evasive Panda APT group (also known as Bronze Highland, Daggerfly, and StormBamboo) has been active since 2012, targeting multiple industries with sophisticated, evolving tactics. Our latest research (June 2025) reveals that the attackers conducted highly-targeted campaigns, which started in November 2022 and ran until November 2024.
The group mainly performed adversary-in-the-middle (AitM) attacks on specific victims. These included techniques such as dropping loaders into specific locations and storing encrypted parts of the malware on attacker-controlled servers, which were resolved as a response to specific website DNS requests. Notably, the attackers have developed a new loader that evades detection when infecting its targets, and even employed hybrid encryption practices to complicate analysis and make implants unique to each victim.
Furthermore, the group has developed an injector that allows them to execute their MgBot implant in memory by injecting it into legitimate processes. It resides in the memory space of a decade-old signed executable by using DLL sideloading and enables them to maintain a stealthy presence in compromised systems for extended periods.
The threat actor commonly uses lures that are disguised as new updates to known third-party applications or popular system applications trusted by hundreds of users over the years.
In this campaign, the attackers used an executable disguised as an update package for SohuVA, which is a streaming app developed by Sohu Inc., a Chinese internet company. The malicious package, named sohuva_update_10.2.29.1-lup-s-tp.exe, clearly impersonates a real SohuVA update to deliver malware from the following resource, as indicated by our telemetry: p2p.hd.sohu.com[.]cn/foxd/gz?f… There is a possibility that the attackers used a DNS poisoning attack to alter the DNS response of p2p.hd.sohu.com[.]cn to an attacker-controlled server’s IP address, while the genuine update module of the SohuVA application tries to update its binaries located in appdata\roaming\shapp\7.0.18.0\package. Although we were unable to verify this at the time of analysis, we can make an educated guess, given that it is still unknown what triggered the update mechanism.
Furthermore, our analysis of the infection process has identified several additional campaigns pursued by the same group. For example, they utilized a fake updater for the iQIYI Video application, a popular platform for streaming Asian media content similar to SohuVA. This fake updater was dropped into the application’s installation folder and executed by the legitimate service qiyiservice.exe. Upon execution, the fake updater initiated malicious activity on the victim’s system, and we have identified that the same method is used for IObit Smart Defrag and Tencent QQ applications.
The initial loader was developed in C++ using the Windows Template Library (WTL). Its code bears a strong resemblance to Wizard97Test, a WTL sample application hosted on Microsoft’s GitHub. The attackers appear to have embedded malicious code within this project to effectively conceal their malicious intentions.
The loader first decrypts the encrypted configuration buffer by employing an XOR-based decryption algorithm: for ( index = 0; index < v6; index = (index + 1) ) { if ( index >= 5156 ) break; mw_configindex ^= (&mw_deflated_config + (index & 3)); } After decryption, it decompresses the LZMA-compressed buffer into the allocated buffer, and all of the configuration is exposed, including several components:
The malware also checks the name of the logged-in user in the system and performs actions accordingly. If the username is SYSTEM, the malware copies itself with a different name by appending the ext.exe suffix inside the current working directory. Then it uses the ShellExecuteW API to execute the newly created version. Notably, all relevant strings in the malware, such as SYSTEM and ext.exe, are encrypted, and the loader decrypts them with a specific XOR algorithm.
Decryption routine of encrypted strings
If the username is not SYSTEM, the malware first copies explorer.exe into %TEMP%, naming the instance as tmpX.tmp (where X is an incremented decimal number), and then deletes the original file. The purpose of this activity is unclear, but it consumes high system resources. Next, the loader decrypts the kernel32.dll and VirtualProtect strings to retrieve their base addresses by calling the GetProcAddress API. Afterwards, it uses a single-byte XOR key to decrypt the shellcode, which is 9556 bytes long, and stores it at the same address in the .data section. Since the .data section does not have execute permission, the malware uses the VirtualProtect API to set the permission for the section. This allows for the decrypted shellcode to be executed without alerting security products by allocating new memory blocks. Before executing the shellcode, the malware prepares a 16-byte-long parameter structure that contains several items, with the most important one being the address of the encrypted MgBot configuration buffer.
Multi-stage shellcode execution
As mentioned above, the loader follows a unique delivery scheme, which includes at least two stages of payload. The shellcode employs a hashing algorithm known as PJW to resolve Windows APIs at runtime in a stealthy manner. unsigned int calc_PJWHash(_BYTE *a1) { unsigned int v2; v2 = 0; while ( *a1 ) { v2 = *a1++ + 16 * v2; if ( (v2 & 0xF0000000) != 0 ) v2 = ~(v2 & 0xF0000000) & (v2 ^ ((v2 & 0xF0000000) >> 24)); } return v2; } The shellcode first searches for a specific DAT file in the malware’s primary installation directory. If it is found, the shellcode decrypts it using the CryptUnprotectData API, a Windows API that decrypts protected data into allocated heap memory, and ensures that the data can only be decrypted on the particular machine by design. After decryption, the shellcode deletes the file to avoid leaving any traces of the valuable part of the attack chain.
If, however, the DAT file is not present, the shellcode initiates the next-stage shellcode installation process. It involves retrieving encrypted data from a web source that is actually an attacker-controlled server, by employing a DNS poisoning attack. Our telemetry shows that the attackers successfully obtained the encrypted second-stage shellcode, disguised as a PNG file, from the legitimate website dictionary[.]com. However, upon further investigation, it was discovered that the IP address associated with dictionary[.]com had been manipulated through a DNS poisoning technique. As a result, victims’ systems were resolving the website to different attacker-controlled IP addresses depending on the victims’ geographical location and internet service provider.
To retrieve the second-stage shellcode, the first-stage shellcode uses the RtlGetVersion API to obtain the current Windows version number and then appends a predefined string to the HTTP header: sec-ch-ua-platform: windows %d.%d.%d.%d.%d.%d This implies that the attackers needed to be able to examine request headers and respond accordingly. We suspect that the attackers’ collection of the Windows version number and its inclusion in the request headers served a specific purpose, likely allowing them to target specific operating system versions and even tailor their payload to different operating systems. Given that the Evasive Panda threat actor has been known to use distinct implants for Windows (MgBot) and macOS (Macma) in previous campaigns, it is likely that the malware uses the retrieved OS version string to determine which implant to deploy. This enables the threat actor to adapt their attack to the victim’s specific operating system by assessing results on the server side.
Downloading a payload from the web resource
From this point on, the first-stage shellcode proceeds to decrypt the retrieved payload with a XOR decryption algorithm: key = *(mw_decryptedDataFromDatFile + 92); index = 0; if ( sz_shellcode ) { mw_decryptedDataFromDatFile_1 = Heap; do { *(index + mw_decryptedDataFromDatFile_1) ^= *(&key + (index & 3)); ++index; } while ( index < sz_shellcode ); } The shellcode uses a 4-byte XOR key, consistent with the one used in previous stages, to decrypt the new shellcode stored in the DAT file. It then creates a structure for the decrypted second-stage shellcode, similar to the first stage, including a partially decrypted configuration buffer and other relevant details.
Next, the shellcode resolves the VirtualProtect API to change the protection flag of the new shellcode buffer, allowing it to be executed with PAGE_EXECUTE_READWRITE permissions. The second-stage shellcode is then executed, with the structure passed as an argument. After the shellcode has finished running, its return value is checked to see if it matches 0x9980. Depending on the outcome, the shellcode will either terminate its own process or return control to the caller.
Although we were unable to retrieve the second-stage payload from the attackers’ web server during our analysis, we were able to capture and examine the next stage of the malware, which was to be executed afterwards. Our analysis suggests that the attackers may have used the CryptProtectData API during the execution of the second shellcode to encrypt the entire shellcode and store it as a DAT file in the malware’s main installation directory. This implies that the malware writes an encrypted DAT file to disk using the CryptProtectData API, which can then be decrypted and executed by the first-stage shellcode. Furthermore, it appears that the attacker attempted to generate a unique encrypted second shellcode file for each victim, which we believe is another technique used to evade detection and defense mechanisms in the attack chain.
Secondary loader
We identified a secondary loader, named libpython2.4.dll, which was disguised as a legitimate Windows library and used by the Evasive Panda group to achieve a stealthier loading mechanism. Notably, this malicious DLL loader relies on a legitimate, signed executable named evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e), which is an older version of python.exe. This executable is a Python wrapper that normally imports the libpython2.4.dll library and calls the Py_Main function.
The secondary loader retrieves the full path of the current module (libpython2.4.dll) and writes it to a file named status.dat, located in C:\ProgramData\Microsoft\eHome, but only if a file with the same name does not already exist in that directory. We believe with a low-to-medium level of confidence that this action is intended to allow the attacker to potentially update the secondary loader in the future. This suggests that the attacker may be planning for future modifications or upgrades to the malware.
The malware proceeds to decrypt the next stage by reading the entire contents of C:\ProgramData\Microsoft\eHome\perf.dat. This file contains the previously downloaded and XOR-decrypted data from the attacker-controlled server, which was obtained through the DNS poisoning technique as described above. Notably, the implant downloads the payload several times and moves it between folders by renaming it. It appears that the attacker used a complex process to obtain this stage from a resource, where it was initially XOR-encrypted. The attacker then decrypted this stage with XOR and subsequently encrypted and saved it to perf.dat using a custom hybrid of Microsoft’s Data Protection Application Programming Interface (DPAPI) and the RC5 algorithm.
General overview of storing payload on disk by using hybrid encryption
This custom encryption algorithm works as follows. The RC5 encryption key is itself encrypted using Microsoft’s DPAPI and stored in the first 16 bytes of perf.dat. The RC5-encrypted payload is then appended to the file, following the encrypted key. To decrypt the payload, the process is reversed: the encrypted RC5 key is first decrypted with DPAPI, and then used to decrypt the remaining contents of perf.dat, which contains the next-stage payload.
The attacker uses this approach to ensure that a crucial part of the attack chain is secured, and the encrypted data can only be decrypted on the specific system where the encryption was initially performed. This is because the DPAPI functions used to secure the RC5 key tie the decryption process to the individual system, making it difficult for the encrypted data to be accessed or decrypted elsewhere. This makes it more challenging for defenders to intercept and analyze the malicious payload.
After completing the decryption process, the secondary loader initiates the runtime injection method, which likely involves the use of a custom runtime DLL injector for the decrypted data. The injector first calls the DLL entry point and then searches for a specific export function named preload. Although we were unable to determine which encrypted module was decrypted and executed in memory due to a lack of available data on the attacker-controlled server, our telemetry reveals that an MgBot variant is injected into the legitimate svchost.exe process after the secondary loader is executed. Fortunately, this allowed us to analyze these implants further and gain additional insights into the attack, as well as reveal that the encrypted initial configuration was passed through the infection chain, ultimately leading to the execution of MgBot. The configuration file was decrypted with a single-byte XOR key, 0x58, and this would lead to the full exposure of the configuration.
Our analysis suggests that the configuration includes a campaign name, hardcoded C2 server IP addresses, and unknown bytes that may serve as encryption or decryption keys, although our confidence in this assessment is limited. Interestingly, some of the C2 server addresses have been in use for multiple years, indicating a potential long-term operation.
Decryption of the configuration in the injected MgBot implant
Victims
Our telemetry has detected victims in Türkiye, China, and India, with some systems remaining compromised for over a year. The attackers have shown remarkable persistence, sustaining the campaign for two years (from November 2022 to November 2024) according to our telemetry, which indicates a substantial investment of resources and dedication to the operation.
Attribution
The techniques, tactics, and procedures (TTPs) employed in this compromise indicate with high confidence that the Evasive Panda threat actor is responsible for the attack. Despite the development of a new loader, which has been added to their arsenal, the decade-old MgBot implant was still identified in the final stage of the attack with new elements in its configuration. Consistent with previous research conducted by several vendors in the industry, the Evasive Panda threat actor is known to commonly utilize various techniques, such as supply-chain compromise, Adversary-in-the-Middle attacks, and watering-hole attacks, which enable them to distribute their payloads without raising suspicion.
Conclusion
The Evasive Panda threat actor has once again showcased its advanced capabilities, evading security measures with new techniques and tools while maintaining long-term persistence in targeted systems. Our investigation suggests that the attackers are continually improving their tactics, and it is likely that other ongoing campaigns exist. The introduction of new loaders may precede further updates to their arsenal.
As for the AitM attack, we do not have any reliable sources on how the threat actor delivers the initial loader, and the process of poisoning DNS responses for legitimate websites, such as dictionary[.]com, is still unknown. However, we are considering two possible scenarios based on prior research and the characteristics of the threat actor: either the ISPs used by the victims were selectively targeted, and some kind of network implant was installed on edge devices, or one of the network devices of the victims — most likely a router or firewall appliance — was targeted for this purpose. However, it is difficult to make a precise statement, as this campaign requires further attention in terms of forensic investigation, both on the ISPs and the victims.
The configuration file’s numerous C2 server IP addresses indicate a deliberate effort to maintain control over infected systems running the MgBot implant. By using multiple C2 servers, the attacker aims to ensure prolonged persistence and prevents loss of control over compromised systems, suggesting a strategic approach to sustaining their operations.
Inoltre quando si parla di backdoor (o di presunte tali), la domanda che segue è: chi l’ha inserita? Era per scopo di manutenzione o per altri secondi fini? Ma gli Stati Uniti non parlavano di Backdoor nei prodotti cinesi inserite al loro interno? Ma ora che gli USA hanno sbloccato l’utilizzo di tecnologia NVIDIA verso la Cina?
Tante domande, tanti dubbi che si mischiano tra tecnologie a geopolitica.
Ma in sostanza, NVIDIA, il colosso delle GPU, ha appena rilasciato un aggiornamento di sicurezza urgente per il suo software Isaac Launchable Tre vulnerabilità critiche, tutte con un punteggio CVSS 9,8, minacciavano di compromettere la sicurezza dei sistemi interessati, e solo un aggiornamento può risolvere il problema.
Secondo il l’avviso rilasciato da NVIDIA “Isaac Launchable contiene una vulnerabilità che potrebbe consentire a un aggressore di sfruttare un problema di credenziali hard-coded”.
Le vulnerabilità interessano tutte le versioni del software precedenti alla nuova versione 1.1, esponendo gli utenti a rischi che vanno dall’esecuzione di codice in modalità remota alla manomissione dei dati.
Una falla di sicurezza estremamente critica, identificata come CVE-2025-33222, è costituita da un errore di sicurezza classico ma dalle conseguenze pesanti: l’utilizzo di credenziali codificate hardcoded. Un aggressore può sfruttare questa vulnerabilità per superare completamente il sistema di autenticazione, grazie a credenziali che sono state direttamente inserite nel codice del software. “Uno sfruttamento riuscito di questa vulnerabilità potrebbe portare all’esecuzione di codice, all’escalation dei privilegi, al diniego del servizio e alla manomissione dei dati”.
Gli utenti che utilizzano versioni precedenti alla 1.1 sono vulnerabili e dovrebbero effettuare immediatamente l’aggiornamento alla versione 1.1 per colmare queste lacune critiche nella sicurezza.
Le restanti due vulnerabilità, CVE-2025-33223 e CVE-2025-33224, derivano da una gestione impropria dei privilegi. Queste falle consentono a un aggressore di attivare esecuzioni con permessi superiori a quelli di cui avrebbe bisogno.
Vista l’entità “Critica” e la vasta estensione dei possibili danni, è vivamente consigliato da NVIDIA che tutti gli utenti installino la patch al più presto. Su tutte le piattaforme, le vulnerabilità sono relative a Isaac Launchable.
Come la falla nelle credenziali hard-coded , questi problemi possono portare alla compromissione completa del sistema. Le potenziali conseguenze sono ampie e includono “esecuzione di codice, escalation dei privilegi, negazione del servizio, divulgazione di informazioni e manomissione dei dati”.
Dalle truffe telefoniche ai deepfake con l’intelligenza artificiale. Ecco alcuni consigli per evitare situazioni spiacevoli. L'intervento di Gian Lorenzo Cosi
The SIDKick Pico installed on a breadboard. (Credit: Ben Eater) Despite the Commodore 64 having been out of production for probably longer than many Hackaday readers have been alive, its SID audio chip remains a very popular subject of both retrocomputing and modern projects. Consequently a range of substitutes have been developed over the decades, all of which seek to produce the audio quality of one or more variants of the SID. This raises the question of which of these to pick when at first glance they seem so similar. Fret not, for [Ben Eater] did an entire video on comparing some modern SID substitutes and his thoughts on them.
First is the SIDKick Pico, which as the name suggests uses a Raspberry Pi Pico board for its Cortex-M0+ MCU. This contrasts with the other option featured in the video, in the form of the STM32F410-based ARMSID.
While the SIDKick Pico looks good on paper, it comes with a number of different configurations, some with an additional DAC, which can be confusing. Because of how it is stacked together with the custom PCB on which the Pi Pico is mounted, it’s also pretty wide and tall, likely leading to fitment issues. It also doesn’t work as a drop-in solution by default, requiring soldering to use the SID’s normal output pins. Unfortunately this led to intense distortion in [Ben]’s testing leading him to give up on this.
Meanwhile the ARMSID is about as boring as drop-in replacements get. After [Ben] got the ARMSID out of its packaging, noted that it is sized basically identical to the original SID and inserted it into the breadboard, it then proceeded to fire right up with zero issues.
It’s clear that the SIDKick Pico comes with a lot of features and such, making it great for tinkering. However, if all you want is a SID-shaped IC that sounds like a genuine SID chip, then the ARMSID is a very solid choice.
@Notizie dall'Italia e dal mondo Le sanzioni statunitensi contro Lukoil colpiscono il cuore energetico della Bulgaria. La raffineria di Burgas, che garantisce l’80% del carburante nazionale, diventa una leva geopolitica. Tra vendite fallite, pressioni di Washington e
We love 3D printing here, but we also love clean air, which produces a certain tension. There’s no way around the fact that printing produces various volatile organic compounds (VOCs), and that we don’t want to breathe those any more than necessary. Which VOCs, and how much? Well, [Jere Saikkonen] has created a handy-dandy calculator to help you guesstimate your exposure, or size your ventilation system, at least for FDM printing.
The emissions of most common FDM filaments are well-known by this point, so [Jere] was able to go through the literature and pull out values for different VOCs of concern like styrene and formaldehyde for ABS, PLA, Nylon, HIPS and PVA. We’re a bit disappointed not to see PETG or TPU on there, as those are common hobbyist materials, but this is still a great resource.
If you don’t like the numbers the calculator is spitting out, you can play with the air exchange rate setting to find out just how much extra ventilation you need. The one limitation here is that this assumes equilibrium conditions, which won’t be met save for very large prints. That’s arguably a good thing, since it errs on the side of over- rather than underestimating your exposure.
@Giornalismo e disordine informativo articolo21.org/2025/12/2026-la… Un giorno ebbi l’occasione di intervistare Tina Anselmi, prima ministra donna, esponente democristiana, presidente della Commissione P2, staffetta durante gli anni della lotta di Liberazione. Le chiesi qual era la sua eredità politica. Mi
@Giornalismo e disordine informativo articolo21.org/2025/12/i-conti… I conti non tornano? Semplice basterà tagliare la Corte dei conti. Così nella legge di bilancio è arrivata la vendetta contro chi ha il dovere di controllare i conti, di richiamare, di sanzionare. La traballante maggioranza di destra, in testa Salvini, non ha gradito i rilievi della Corte sul ponte sullo stretto,
Everyone loves tiny microcontroller boards, and the ESP32-C3 Super Mini boards are no exception. Unfortunately if you just casually stroll over to your nearest online purveyor of such goods to purchase a bunch of them, you’re likely to be disappointed. The reason for this is, as explained in a video by [Hacker University] that these boards are equipped with any of the variants of the ESP32-C3. The worst offender here is probably the version with the ESP32-C3 without further markings, as this one has no built-in Flash for program storage.
Beyond that basic MCU version we can see the other versions clearly listed in the Espressif ESP32-C3 datasheet. Of these, the FN4 is already listed as EOL, the FH4AZ as NRND, leaving only the FH4 and FH4X with the latter as ‘recommended’ as the newest chip revision. Here the F stands for built-in Flash with the next character for its temperature rating, e.g. H for ‘High’. Next is the amount of Flash in MB, so always 4 MB for all but the Flash-less variant.
Identifying this information from some online listing is anything but easy unless the seller is especially forthcoming. The chip markings show this information on the third row, as can be seen in the top image, but relying solely on a listing’s photos is rather sketchy. If you do end up with a Flash-less variant, you can still wire up an external Flash chip yourself, but obviously this is probably not the intended use case.
@Giornalismo e disordine informativo articolo21.org/2025/12/quando-… Cosa accade alla libertà di informazione quando il potere politico decide di silenziare dei giornalisti liberi? E quali conseguenze subisce la società se tale epurazione raggiunge il suo scopo? È da queste domande che nasce la scelta, da
@Giornalismo e disordine informativo articolo21.org/2025/12/faccett… Ci sono canzoni che non appartengono al passato perché non se ne sono mai davvero andate. Restano lì, in una zona ambigua della memoria collettiva, pronte a riemergere quando il contesto smette di riconoscerle per quello che sono state. Faccetta nera è una di queste.
@Giornalismo e disordine informativo articolo21.org/2025/12/natale-… A Gaza si muore di freddo. L’elettricità manca da due anni. Ma il mondo accende le luci di Natale e rimanda a dopo le feste il “problema”, tanto sta cominciando la fase due della tregua… L'articolo Natale a Gaza proviene da Articolo21.
Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano (martedì, 23 dicembre 19:00) GallinƏ! Da questo mese partono ben tre nuovi corsi, per cui correte in cascina, vi aspettiamo con gioia e voglia espressiva!
XXIX Natale Anticlericale emmezzo Fede zero, gravità pure
Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano (giovedì, 25 dicembre 22:00) XXIX Natale Anticlericale emmezzo Fede zero, gravità pure
C’è sempre meno spazio per gli spazi 🔭 Oltre la città conquistiamo anche le galassie 🚀 Unitevi a noi in questo viaggio oltre i dogmi la sera del 25 dicembre in Cascina Torchiera 🐔
Cena degli avanzi 🍽️ Dj set alieni 👽 Socialità e cloro al clero ⛪️
Revdar - Via Quinto Romano 17, Milano (venerdì, 26 dicembre 20:00) RENMIN – La cena popolare
📆 Primo appuntamento: venerdì 28 febbraio
Ogni ultimo venerdì del mese si cucina, si mangia e si parla. Non è solo una cena, è un momento per stare insieme e discutere di resistenza, di guerra, di lotte sociali… ma anche di perché il sugo è sempre meglio il giorno dopo e di chi ha davvero vinto la lotta tra guanciale e pancetta. Perché il cibo è politica, ma anche piacere e condivisione.
Menù della serata:
– Antipasto
– Pasta al sugo di costine
- Dolce
* alternativa vegana disponibile
📍 Dove: via Quinto Romano 17
⏰ Quando: venerdì 28 febbraio e poi ogni ultimo venerdì del mese
Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano (lunedì, 29 dicembre 19:00) Vi aspettiamo dalle 19, come ogni stramaledettissimo lunedì dell'anno con
il "Mercatork" di frutta, verdura e autoproduzioni
In questo spazio si pratica l’autogestione come espressione di responsabilità verso se stess* e tutto ciò che ci circonda. Come uno strumento di libertà e liberazione dai canoni del consumismo, come presa in carico del benessere collettivo e del pianeta
Quindi ricordati di lavare piatto e posate nell’area lavastoviglie
Riutilizza il bicchiere e quando hai finito di usarlo mettilo nei contenitori predisposti
Non buttare rifiuti per terra, utilizza i posacenere e bidoni della raccolta differenziata
Se hai dubbi CHIEDI: il tuo interessamento sarà apprezzato e ti sentirai parte di ciò che stai vivendo. Collabora alla buona riuscita dell’esperienza per tutt*, sii rispettos* e condividi la presa bene ❤
Lasciare pulito ciò che trovi pulito è Autogestione.
Lasciare pulito ciò che trovi sporco è Cura.
Lo spazio della Cascina è accessibile alle persone con difficoltà o disabilità motorie
COX18 - Via Conchetta 18, Milano (lunedì, 29 dicembre 21:00) CineCox
rassegna: A TE E FAMIGLIA / (se non ci vediamo prima)
cinecox: lunedì di dicembre 2025 ore 21.00 a cox18, via conchetta 18 Milano
Il Senso della Vita (The Meaning of Life), Monty Python, 1983, 107'
AGGIORNAMENTO: Il Senso della vita è stato posticipato a data da destinarsi e la prevista proiezione del 29 dicembre 2025 non avrà luogo. Scusate il disagio.
Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano (martedì, 30 dicembre 19:00) GallinƏ! Da questo mese partono ben tre nuovi corsi, per cui correte in cascina, vi aspettiamo con gioia e voglia espressiva!
CSA Baraonda - Segrate, via Pacinotti 13 (sabato, 10 gennaio 20:30) Lo Zebra Party ormai non ha più bisogno di presentazioni, giunto alla settima edizione si ritorna alle origini con Rock’n’roll, garage e punk, dove è nato tutto!
BAND&ONEMANBAND:
- The Lings (powerpop/garage - MN VR)
- Manduria (one man band della vita - MI)
- Spiders Squad (fusione di Boogie Spiders e Organ Squad in una big band - MB MO)
- Kansas City Shuffle (la violenza della provincia hard blues - CR)
- Slow Rush (alt rock di fuoco - VI)
DJ SET BY il numero uno OTTA DJ (Psychobilly Italian Attack)
CSA Baraonda - Segrate, via Pacinotti 13 (sabato, 10 gennaio 21:00) Lo Zebra Party ormai non ha più bisogno di presentazioni, giunto alla settima edizione si ritorna alle origini con Rock’n’roll, garage e punk, dove è nato tutto!
BAND&ONEMANBAND:
- The Lings (powerpop/garage - MN VR)
- Manduria (one man band della vita - MI)
- Spiders Squad (fusione di Boogie Spiders e Organ Squad in una big band - MB MO)
- Kansas City Shuffle (la violenza della provincia hard blues - CR)
- Slow Rush (alt rock di fuoco - VI)
DJ SET BY il numero uno OTTA DJ (Psychobilly Italian Attack)
Piano Terra - via Federico Confalonieri 3, Milano (lunedì, 12 gennaio 19:00) Chiamata alle arti verso le UTOPIADI
APE Milano // 07.02.26
Sabato 7 febbraio saremo in piazza per dire che, come previsto e ampiamente denunciato, quelli di Milano-Cortina 2026 si sono rivelati giochi d’azzardo.
Tra le molte promesse di partenza dei XXV Giochi olimpici invernali ricordiamo: gratuità, sostenibilità, rilancio delle politiche per le aree montane. Questi giochi drenano quasi sette miliardi di risorse per lo più pubbliche ai bisogni dei territori alpini e pedemontani coinvolti, e mortificano l’intero arco sud delle alpi all’insegna di un’esperienza sportiva poco accessibile, disinteressata allo sport di base, del tutto inadeguata ai cambiamenti che la crisi climatica ci impone.
Se come noi muovi alla montagna non citius, altius, fortius ma più lentamente, più in profondità e più lentamente…
Come manifesteremo il nostro dissenso
Vogliamo creare nel corteo uno spazio attraversabile da attivist e famiglie, alpinist e movimenti ecologisti, amanti e abitanti delle montagne. Lo faremo con una caratterizzazione coreografica, ma anche con un microfono aperto continuo e adeguato a dare voce alle voci che non si riconoscono nel disegno delle nocività in quota, delle grandi opere fossili, della monocultura turistica.
Quale materiale ci serve
Occhialoni e tuta da sci, vecchi bob e sci sacrificabili sull’asfalto, mazzi di cartoni e asticelle per vergare ciascun* il suo messaggio, brani per una playlist adeguata all’occasione
Quali appuntamenti per partecipare il percorso
12.01 Primo lab. creativo a Piano Terra, dalle 19 in punto
26.01 Punto raccolta materiali in occasione dell’incontro mensile a Piano Terra, dalle 19
06.02 Secondo lab. creativo in apertura delle Utopiadi
07.02 Spezzone al corteo delle Utopiadi
Cosa ti chiediamo
Far circolare l’appello
Partecipare i momenti laboratoriali
Raccogliere adesioni: non firme, disponibilità ad esserci e a contribuire operativamente, con la comunicazione, nella raccolta materiali
Rendere questa manifestazione una tappa di un viaggio che non si conclude a fine corteo
Piano Terra - via Federico Confalonieri 3, Milano (lunedì, 26 gennaio 19:00) Ogni quarto lunedì del mese la sezione di Milano si convoca a Piano Terra per un momento laboratoriale aperto a tutte e tutti. E’ l’occasione giusta per venire a conoscerci, tesserarsi, portare avanti insieme campagne e progetti, o immaginare le prossime uscite sociali dell’Associazione.
Nel mese di gennaio parleremo di:
UTOPIADI
Programmazione delle attività sociali
Restituzione delle gite
Per info scrivici una mail o vienici a trovare lun. 26 gennaio, dalle 19 alle 21, a Piano Terra (via F. Confalonieri 3, Milano)
ZAM - Milano, via Sant'Abbondio 4 (venerdì, 30 gennaio 15:00) Siamo felici di presentare la III edizione del festival di Meltemi Editore, come sempre in collaborazione con Zona Autonoma Milano.
Il tema della prossima edizione saranno gli spazi. Spazi centrali e spazi di periferia, spazi da difendere e da riconquistare, spazi per immaginare.
"Spazi di incontro
Spazi di conflitto
Libri e idee per immaginare."
30, 31 gennaio - 1 febbraio
Seguiteci nelle prossime settimane per non perdervi nessun aggiornamento!
Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano (lunedì, 2 febbraio 20:00) Odiata cena del lunedì con contorno di proiezione anti-olimpica con contributi CIO e APE Milano
Mentre Milano e Cortina si preparano a ospitare i tanto celebrati Giochi Olimpici Invernali del 2026 sbandierando valori come sostenibilità e cooperazione, una rete di attivistə si batte nei territori per spiegare come in realtà in questo grande evento vinca solo il business di pochi: una città che grazie alle Olimpiadi attira enormi flussi di capitali internazionali che rendono sempre più costoso e difficile viverci; che smantella lo sport pubblico in favore di investimenti sportivi a beneficio dei privati (che in realtà sportivi non sono, ma a beneficio dei privati sicuramente sì); che esporta anche nei delicati ecosistemi montani il suo modello di sviluppo (quello dell’iper-turismo legato allo sci alpino) miope perché i cambiamenti climatici lo hanno reso senza futuro, predatorio e distruttivo di risorse ambientali.
Anche se nessuno ha mai chiesto alle comunità interessate cosa pensano di queste Olimpiadi e se sono disposte a ospitarle nei propri territori, queste comunità hanno deciso di non essere più spettatori passivi e di partecipare al grande gioco olimpico. Da questa esperienza nasce il film documentario Il grande gioco. Il rovescio delle medaglie olimpiche, che racconta la battaglia della rete C.I.O. contro la gigantesca macchina retorica di Milano-Cortina 2026. Pensato come un film diviso in tre atti (o ”round” di una partita), ciascun “round” affronta un tema specifico: nel primo il campo di gara è quello cittadino, e più precisamente lo spicchio di città che va dallo Scalo Romana, dove si trova il villaggio olimpico, fino al quartiere di Corvetto. Qui si gioca la partita sociale più importante, fra render di nuovi e lussuosi progetti abitativi e pulsioni speculative e securitarie che mirano ad allontanare i vecchi abitanti. Il secondo round si concentra sullo sport, con l’utopico-ma-non-troppo obiettivo di riprenderci la città attraverso la pratica di uno sport popolare, inclusivo e dal basso che sconfessi quel modello di privatizzazione sportiva portato avanti dalle Olimpiadi. Mentre nel terzo e ultimo round il campo di gara si sposta in montagna, uno scenario in cui gli e le attivistə dei C.I.O. sono impegnati nel tentativo di cancellare le tracce di uno sviluppo cementizio e divoratore di risorse (gli impianti abbandonati di Cesana Torinese e Pragelato per le Olimpiadi di Torino 2006 ci ricordano qualcosa?) per restituire alla montagna il suo scenario migliore, e poi provare a immaginare insieme un futuro che sia finalmente alla nostra e alla sua portata.
Il progetto di documentario Il grande gioco nasce come laboratorio collettivo all’interno della rete di C.I.O. È un progetto durato circa due anni, totalmente autofinanziato, e composto da filmmakers, lavoratorə, ricercatorə e studentə universitariə. La particolarità del progetto - che lo differenzia dagli altri approfondimenti giornalistici sul modello dei grandi eventi olimpici - è che si tratta di un racconto fatto dall’interno e in presa diretta di un percorso politico in costruzione, con tutte le difficoltà e le incertezze che questo porta con sé.È un modo di fare cinema che parte dal basso, che ci vede allo stesso tempo “partecipanti” e narratori, e che per questo necessita di una presenza costante sul territorio e di un continuo processo di riflessione e confronto con la realtà rappresentata. Il laboratorio si è occupato in modo condiviso di tutte le fasi: ricerca, scrittura, riprese e montaggio secondo principi di orizzontalità e inclusione. Per tuttə, è un atto di fede nel potere dell’immaginazione e nell’intelligenza collettiva.
Carcere di livorno - Via delle macchie (martedì, 23 dicembre 18:00) In tutta Italia, secondo il monitoraggio costante e continuativo di Ristretti Orizzonti, i decessi nelle carceri italiane nel 2025 e fino ad oggi sono stati complessivamente 223 , di cui 76 i suicidi; tra questi il livornese Kevin Cecchi (Micce per gli amici) morto nel sonno a 31 anni pochi giorni fa, nel reparto di Media Sicurezza del carcere delle Sughere, a Livorno, come Manuel Morgon, un detenuto livornese di 41 anni, anche lui morto alle Sughere nel sonno in giovane età nel febbraio scorso.
Il carcere uccide, si sa. Discariche umane, sovraffollate e fatiscenti, nocive e degradanti, le carceri tolgono ai detenuti dignità e voglia di vivere. Non lasciamoli soli! Partecipiamo al presidio di solidarietà martedì 23 alle 18
Cantiere Sociale Camilo Cienfuegos - Via Chiella, 4, 50013 Campi Bisenzio FI (giovedì, 25 dicembre 21:00) Come ogni anno, l'unica tradizione natalizia che merita di essere rispettata e tramandata...
La Grande Tombola del K100!
Il vero momento di giubilo delle feste, gli annessi insulti e lanci di oggetti ai vincitori!
Cartelle a prezzi popolari e premi brutti che spererete di non vincere.
Immancabile birra per riprendersi dal pranzo coi parenti e tanta buona compagnia.
Si principia alle 21.00 e si continua fino a che abbiamo voglia.
Csa Next-Emerson - Via di Bellagio 15 (domenica, 4 gennaio 17:30) Domenica 4 Gennaio Happy New Disastro, la puntata special del Super Cinema Segreto (SCS).
Vieni alle 17.30 per il filmozzo a sorpresa e porta qualcosa di cibario da condividere.
Forse DJ Tranquillo costruirà un tappeto sonoro per la cena.
CPA Firenze sud - Via di Villamagna 27/a, Firenze (sabato, 17 gennaio 17:30) Benefit Prigionieri
Sabato 17 gennaio, CPA Fi-sud
Dalle ore 17:30, "To kill a war machine" , documentario su Palestine Action, gruppo nato per sabotare e distruggere l'industria bellica che arma Israele. Chiacchiera informale
Alle ore 20:30, cena popolare
Dalle ore 22:30, distro e concerti
Benefit in solidarietà con i compagni e le compagne prigionieri dello Stato italiano
ExCentrale - Via di Corticella 129 (giovedì, 1 gennaio 00:30) 💣Un capodanno convergente 🌉un ponte tra Bologna e Firenze con @gkn
31 Dicembre @ex Centrale Bologna ⏩Opening 00.30 🕦 ⏪Closing 06.30 Ecco la super line Up x questo super special @synth.o.matic di Capodanno 🔥 Un capodanno convergente, un ponte tra Bologna e Firenze con @collettivofabbricagkn
💥MATTEO INI ⚡️ZUMAL 🔥MAX VICINELLI 💣HEAVY RITUAL DIVISION 🔥MARIOBROSSTEAM
🟠Sottoscrizione 10 euro ⏩Con il ricavato si contribuirà alla nuova compagna di Azionariato Popolare di Gkn
🏭 🇵🇸 EX CENTRALE BOLOGNA- Hub delle periferie è uno spazio autogestito antifascista, antisessista e antirazzista, rispetta il luogo e le persone che lo attraversano.
🗺️Ex Centrale Bologna Via di Corticella 129 Bus 11 & 27 fermata Arcoveggio Notturno ogni mezz’ora fermata Arcoveggio.. . .
Wojtek era un orso che batteva nazisti nella Seconda Guerra Mondiale. Wojtek è anche una band che stordisce la periferia di Padova dalla primavera del 2019. Un muro di rumore, tra sludge, hardcore e doom.
⚔️ 𝐒𝐚𝐧𝐝𝐬𝐭𝐫𝐢𝐤𝐞𝐫𝐬 sᴛᴏɴᴇʀ ᴅᴏᴏᴍ sʟᴜᴅɢᴇ
Veterani della scena metal e hardcore, come vermoni della sabbia scavano nel fango del suolo a colpi di riff. Un magma di doom, sludge e stoner con pesanti influenze metal ma al contempo tremendamente lisergico e 70s.
⚔️ 𝐅𝐨𝐬𝐬𝐨 𝐃𝐞𝐥𝐥𝐚 𝐂𝐚𝐫𝐨𝐠𝐧𝐚 ɴᴇᴄʀᴏᴘᴀsᴛᴏʀᴀʟ sʟᴜᴅɢᴇ ᴍᴇᴛᴀʟ
I Fosso Della Carogna sono un power trio Sludge Metal. La band ha una formazione essenziale composta da Paolo alla chitarra e voce, Giorgia al basso e Alessio alla batteria.
🔔 Se intendi tesserarti occorre che invii in anticipo la domanda di iscrizione scaricando sul tuo telefono l'app di ARCI e selezionando come associazione HEX APS
