Diversi Processi Stessa Regia: Direzione Nazionale Antiterrorismo e Antimafia
Sede della Direzione Nazionale Antiterrorismo e Antimafia - Via Giulia, 52, 00186 Roma RM (venerdì, 9 gennaio 11:30) DIVERSI PROCESSI STESSA REGIA: Direzione Nazionale Antiterrorismo e Antimafia
La DNAA guidata dal sionista Melillo, magistrato in quota PD, sta orientando i processi contro i "Colpevoli di Palestina" in tutto il paese, trasformando i tribunali italiani in succursali dei tribunali delle forze di Occupazione israeliane in Palestina. 28 anni in totale richiesti dal pubblico ministero contro Anan, Alì e Mansour per "non aver commesso reati" contro lo Stato italiano. A questi si sono aggiunte le persecuzioni contro Hannoun, Shahin, Salem, Tarek e tanti altri colpevoli di solidarietà con la Palestina contro i Genocidi sionisti o semplicemente per essere arabo-palestinesi
LIBERTA' PER ANAN YAEESH E TUTTI GLI ALTRI PERSEGUITATI! CONTRO I TRIBUNALI AL SERVIZIO DELL'OCCUPAZIONE DELLA PALESTINA! CONTRO LA SIONISTIZZAZIONE DELLO STATO ITALIANO!
In vista dell'appuntamento nazionale a L'Aquila per l'ultima udienza del processo contro Anan, Alì e Mansour PRESIDIO DI PROTESTA VENERDI' 9 GENNAIO - ORE 11:30 DAVANTI LA SEDE DELLA DNAA (Via Giulia 52, Roma)
Diversi Processi Stessa Regia: Direzione Nazionale Antiterrorismo e Antimafia
Inizia:Venerdì Gennaio 09, 2026 @ 11:30 AM GMT+01:00 (Europe/Rome)
DIVERSI PROCESSI STESSA REGIA: Direzione Nazionale Antiterrorismo e Antimafia
La DNAA guidata dal sionista Melillo, magistrato in quota PD, sta orientando i processi contro i "Colpevoli di Palestina" in tutto il paese, trasformando i tribunali italiani in succursali dei tribunali delle forze di Occupazione israeliane in Palestina. 28 anni in totale richiesti dal pubblico ministero contro Anan, Alì e Mansour per "non aver commesso reati" contro lo Stato italiano. A questi si sono aggiunte le persecuzioni contro Hannoun, Shahin, Salem, Tarek e tanti altri colpevoli di solidarietà con la Palestina contro i Genocidi sionisti o semplicemente per essere arabo-palestinesi
LIBERTA' PER ANAN YAEESH E TUTTI GLI ALTRI PERSEGUITATI! CONTRO I TRIBUNALI AL SERVIZIO DELL'OCCUPAZIONE DELLA PALESTINA! CONTRO LA SIONISTIZZAZIONE DELLO STATO ITALIANO!
In vista dell'appuntamento nazionale a L'Aquila per l'ultima udienza del processo contro Anan, Alì e Mansour PRESIDIO DI PROTESTA VENERDI' 9 GENNAIO - ORE 11:30 DAVANTI LA SEDE DELLA DNAA (Via Giulia 52, Roma)
Pochi giorni dopo l'accordo col Fisco che vedrà l'e-commerce statunitense pagare all'erario italiano 511 milioni di euro per chiudere il contenzioso tributario su presunte condotte illecite legate al versamento dell'Iva, Amazon ha deciso di lasciare a terra i suoi droni
Carcere di Marassi - Piazzale Marassi 2 (lunedì, 29 dicembre 18:00) 🇵🇸 Presidio - La solidarietà con la Palestina non si arresta 📅 Lunedì 29 dicembre 2025 🕔 Ore 18:00 📍 Genova - Carcere Marassi
CONCERTO DI CAPODANNO "ALLA SCOPERTA DI GIOVANI TALENTI"
Magnano - Chiesa di Santa Marta - Magnano, Chiesa di Santa Marta (mercoledì, 31 dicembre 20:00) Il Festival Musica Antica a Magnano e il Ensemble Musica Antica Magnano invitano e presentato due giovane violiniste e una giovane flautista.
Piatto, Bielmonte - Al Maneggio Ristobar - Località Bielmonte 17, 13844 Piatto BI (mercoledì, 31 dicembre 22:30) Cena AL MANEGGIO E POI…. Si brinda al bar panoramica con dj set!!!
A BIELMONTE IN PIAZZETTA LA NOTTE DI CAPODANNO SI FESTEGGIA!!!!!
Biella - Galileo - Via Galileo Galilei, 1, 13900 Biella BI (mercoledì, 31 dicembre 23:30) 🥂A PARTIRE DALLE 23:30 VIENI A FESTEGGIARE IL CAPODANNO CON LA GALILEO FAMILY🥂
“This is so fucking stressful,” Jason said. On a group call, all four of us—Jason, Sam, Emanuel, and me—were bidding on something that had long eluded us. 404media.com. Not the .co domain we launched with two years ago because that’s all we could afford. But a fully-fledged .com.
That September day I was on holiday in an Airbnb. Sam was in San Diego to report on the sentencing of a high profile sex trafficker. Emanuel was home. Jason was also at home and eating a bagel. Ordinarily we wouldn’t be able to buy a .com for two main reasons: they are typically quite expensive, and when we created our company the domain was already in use by someone else.
Fortunately for us, that company had seemingly moved on to other things, and the domain was up for auction. I got some emails from our domain registrar about the auction a few days before, and some 404 Media readers contacted us about it too. This was our chance.
But an auction is a very different experience to just buying the domain outright. We would be trying to beat other people or bots. We thought that might include those kindly trying to buy the domain on our behalf, or others trying to take it from underneath us. And we had no idea how high the price might go.
I was in charge of placing the bids themselves. Soon we found I wasn’t able to place bids of a certain size because, we later learned, the account didn’t have the necessary level of verification to do so. We were leading with a bid of $1,207.
A few minutes into our group call, Jason started recording it.
“I think we should just get 202 Media if this doesn’t work,” he said.
“Okay, under one minute until the five minute extension is over,” I added.
Emanuel led a ten second countdown.
“Your bid won,” I read from the screen. Everyone cheered. Here is what we said immediately afterwards: A transcript of some of the group call. Right now, our .com domain just redirects to the .co one. Maybe we’ll put an Easter Egg or something else fun on it soon, but we also had practical reasons for buying it. The first is that we’re proud to say 404 Media is a well known publication at this point, and we don’t want anyone else parking and abusing the .com domain that many people may end up at by mistake. The second is that, understandably, many people mistakenly email us at the @404media.com domain rather than the @404media.co domain, so now we’ll be able to catch those lost emails and save us all a lot of heartache.
But our ability to buy the domain signifies something important: that we are able to grow, bit by bit, sustainably. When we launched 404 Media in August 2023, we each put $1,000 in. That was to pay for the domain, the content management system (CMS) and website host we use called Ghost, some other add-ons that automatically send people emails, and that’s about it. Buying a .com was a pipedream then, just like running a website and podcast years later was.
Since then we’ve built a fulltext RSS feed for our subscribers (something that didn’t exist with Ghost before); run multiple in-person events; and most recently produced a physical zine. All while reporting and writing cutting edge journalism on technology and AI and how they are really impacting humans every day.
Thank you to all of our paying subscribers who make it possible for us to write impactful journalism every day. And let us buy a new domain.
We paid for the development of full text RSS feeds for Ghost-based publishers. Now we can offer them to our paid subscribers, and other Ghost sites can use the service too.
Analisi e correlazioni costruite anche grazie alla piattaforma Recorded Future (Insikt Group), che in questi casi è utile per mettere ordine nel caos tra segnali, rumor e priorità operative.
C’è una tradizione natalizia che nessuno ha chiesto ma che puntualmente arriva: panettone, parenti… e un bug pre-auth che fa uscire pezzi di memoria dal server come se fossero caramelle. Questa volta il regalo avvelenato si chiama MongoBleed, ovvero CVE-2025-14847, e colpisce MongoDB Server.
Non è la classica vulnerabilità “rompo tutto e ti cifro i dati”. È peggio in un modo più subdolo: ti porto via i segreti. E con i segreti ci apro tutto il resto.
Cosa succede
Il difetto nasce nella gestione dei messaggi compressi via zlib: con campi di lunghezza incoerenti, il server può finire a restituire heap memory non inizializzata a un client remoto non autenticato. Il risultato è un leak di dati “di passaggio” in memoria, molto in stile Heartbleed vibes, ma nel mondo MongoDB.
Qui il punto chiave è uno: prima dell’autenticazione. Se l’istanza è raggiungibile da Internet, l’attaccante non deve “indovinare” nulla. Deve solo parlare col servizio.
Parliamo di possibili leak di credenziali, token di sessione, API key, chiavi cloud, PII, config e frammenti di log. È materiale perfetto per fare pivot, escalation, e trasformare un leak “passivo” in compromissione “attiva” (e monetizzabile).
E no, non ti salva l’idea rassicurante “ma tanto Mongo è dietro al firewall”: spesso non lo è. O peggio, lo è “sulla carta”.
Patch
Le versioni fixate riportate pubblicamente includono 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30; NVD conferma la finestra di impatto e i rami coinvolti (inclusi quelli legacy dove la parola “migrazione” non è più un consiglio ma una condanna rimandata).
MongoDB ha rilasciato le patch il 19 dicembre 2025 e, come sempre, il tempo tra “fix disponibile” e “abuso in massa” si misura in sbadigli.
“In the wild”
Diverse analisi riportano sfruttamento attivo e un’accelerazione dopo la pubblicazione di dettagli/PoC. In parallelo, Censys fotografa l’elefante nella stanza: circa 87.000 istanze MongoDB esposte (con i soliti Paesi ai vertici).
E qui la nota di colore amara: nel 2025 discutiamo ancora di database lasciati su Internet come se fossero una landing page. Poi ci stupiamo se qualcuno passa a “raccogliere”.
Detection
Una delle parti più fastidiose di MongoBleed è proprio questa: non è detto che lasci tracce “facili” nei soliti flussi SIEM. Diversi ricercatori stanno spingendo artefatti e logiche di hunting (Velociraptor, query dedicate), perché intercettare i pattern del PoC richiede visibilità sul posto, non solo in periferia.
In pratica: se non hai logging decente sul nodo MongoDB, rischi di scoprire l’incidente dai sintomi, non dalla diagnosi.
Ubisoft / Rainbow Six Siege
Circola l’ipotesi che MongoBleed sia stato usato come vettore di accesso iniziale in un caso mediatico legato a Ubisoft / Rainbow Six Siege. VX-Underground riporta claim espliciti, mentre altre fonti trattano la vicenda come breach reale ma con vettore ancora non dimostrato pubblicamente. Morale: teniamolo sul radar, ma senza trasformare X in un tribunale.
Ed è esattamente qui che Recorded Future/Insikt, lato intelligence, torna comodo: separare fatti, probabilità e propaganda.
Cosa mi aspetto che succeda nelle prossime settimane
Succede sempre la stessa cosa: ondata di scanning, exploitation opportunistica, poi selezione dei bersagli “buoni” (quelli da cui puoi estrarre segreti utili per entrare altrove). MongoBleed è perfetta per questo modello: rubare chiavi è spesso più efficiente che bucare un perimetro a testate.
E in Italia? Non serve fare patriottismo dell’incidente: MongoDB è ovunque in stack moderni, spesso in mano a team piccoli, spesso “temporaneamente esposto” (cioè per sempre), spesso con l’idea che “tanto non interessa a nessuno”. Spoiler: interessa eccome. Soprattutto quando quello che esce dalla memoria sono token e credenziali riutilizzabili.
Cosa fare adesso
Patchare. Subito. Se non puoi patchare immediatamente, ridurre la superficie: niente esposizione diretta su Internet e, dove previsto come mitigazione temporanea, valutare la disabilitazione della compressione zlib finché non aggiorni (è una stampella, non una guarigione). Poi ragionare da incident responder, non da sysadmin ottimista: se l’istanza era esposta e sospetti attività, considera la rotazione dei segreti potenzialmente in memoria (credenziali, API key, token, chiavi cloud) e fai hunting mirato.
Perché la domanda non è “mi hanno bucato?”. La domanda, con MongoBleed, è più cinica: “quali segreti potrebbero essere già usciti?”
Approderà oggi in Consiglio dei ministri il nuovo decreto armi per il sostegno all’Ucraina, l’atto normativo che permetterà all’Italia di proseguire i trasferimenti di materiali militari e il supporto logistico a favore di Kyiv anche nel 2026. Il testo, frutto di settimane di confronto serrato tra i ministeri competenti e la
L’anno che volge al termine è stato caratterizzato da tanti momenti rilevanti, non solo per la vita della Chiesa e la comunità dei fedeli. In uno scenario globale caratterizzato da conflitti, disuguaglianze e timori per il futuro della nostra casa comune, l’anno giubilare ha permesso di custodire e coltivare la speranza. Abbiamo dato l’ultimo saluto a papa Francesco, dopo 12 anni di un pontificato intenso e coraggioso, e accolto con emozione papa Leone XIV che, in continuità con il suo predecessore, ha chiesto alla nostra rivista di continuare a «cogliere lo sguardo di Cristo sul mondo, coltivarlo, comunicarlo, testimoniarlo». Accogliendo l’invito del Pontefice, vogliamo ripercorrere le riflessioni che ci hanno accompagnato lungo tutto l’anno santo, rileggendo con voi i 12 articoli più letti pubblicati nel 2025.
“Il povero non è soltanto qualcuno a cui si aiuta, ma la presenza sacramentale del Signore”. Papa Leone XIV lo ha affermato nell’udienza a un gruppo di pellegrini della parrocchia Santo Tomás de Villanueva di Alcalá de Henares, in Spagna, ricevuti qu…
“Il Paese non ha soltanto bisogno di fognature, di case, di strade, di acquedotti, di marciapiedi. Il Paese ha bisogno anche di una maniera di sentire, di vivere, una maniera di guardarsi, una maniera di affratellarsi”.
UNIX version 4 is quite special on account of being the first UNIX to be written in C instead of PDP-11 ASM, but it was also considered to have been lost to the ravages of time. Joyfully, we can report that the more than fifty year old magnetic tape that was recently discovered in a University of Utah storeroom did in fact contain the UNIX v4 source code. As reported by Tom’s Hardware, [Al Kossow] of Bitsavers did the recovery by passing the raw flux data from the tape read head through the ReadTape program to reconstruct the stored data.
Since the tape was so old there was no telling how much of the data would still be intact, but fortunately it turned out that the tape was not only largely empty, but the data that was on it was in good nick. You can find the recovered files here, along with a README, with Archive.org hosting the multi-GB raw tape data. The recovered data includes the tape file in SimH format and the filesystem
Suffice it to say that you will not run UNIX v4 on anything other than a PDP-11 system or emulated equivalent, but if you want to run its modern successors in the form of BSD Unix, you can always give FreeBSD a shot.
Arizona – the Arizona Pirate Party will start the year off by hosting their first in-person meeting in the Tucson area, expected to be held at a public library. Discussions will include expectations for the upcoming year, the Henry campaign, among other topics. The Arizona Pirate Party has also been actively working to help Nevada and Colorado to get a Pirate Party officially formed in their states.
Illinois – the Illinois Pirate Party released their meeting dates for 2026 for both the Illinois Pirate Party and the Chicagoland Pirate Party. The first Illinois Pirate Party will be held January 4th over Jitsi. In-person meetings for both Chicagoland and Illinois will take place in earnest come August. Otherwise, meetings are expected to be held over Jitsi unless stated otherwise.
West Virginia – Those seeking a warm place to sleep have a location available in Keyser, WV. The link and address can be found in the link to the meeting posted below.
Committee News – A renewed focus shall be put onto our committees within the US Pirate Party. Regular meetings are scheduled to be held weekly for Platform, Outreach, IT and Press Committee. A new chair, USPP PR Director Cy Kindsfather, will take over for the Outreach Committee. You can join our Discord server to find more information on committees and to get involved in the discussions.
Volunteers – We are actively seeking volunteers! This is nothing new, but if you are from the states of Idaho, Michigan, Montana, North Carolina, Ohio or West Virginia, especially, you are incredibly close to having an official party in your state. It would only take a couple volunteers to make it official, and all it might take is you (yes, YOU ).
Quote of the Week – “That’s what’s called leadership… those of us who are willing to actually look around and see ‘this isn’t getting done so I guess I’m gonna try to do something’. That’s leadership.” – Drew Bingaman
Check out our last meeting here! Victory is Arrrs.
In mid-2025, we identified a malicious driver file on computer systems in Asia. The driver file is signed with an old, stolen, or leaked digital certificate and registers as a mini-filter driver on infected machines. Its end-goal is to inject a backdoor Trojan into the system processes and provide protection for malicious files, user-mode processes, and registry keys.
Our analysis indicates that the final payload injected by the driver is a new sample of the ToneShell backdoor, which connects to the attacker’s servers and provides a reverse shell, along with other capabilities. The ToneShell backdoor is a tool known to be used exclusively by the HoneyMyte (aka Mustang Panda or Bronze President) APT actor and is often used in cyberespionage campaigns targeting government organizations, particularly in Southeast and East Asia.
The command-and-control servers for the ToneShell backdoor used in this campaign were registered in September 2024 via NameCheap services, and we suspect the attacks themselves to have begun in February 2025. We’ve observed through our telemetry that the new ToneShell backdoor is frequently employed in cyberespionage campaigns against government organizations in Southeast and East Asia, with Myanmar and Thailand being the most heavily targeted.
Notably, nearly all affected victims had previously been infected with other HoneyMyte tools, including the ToneDisk USB worm, PlugX, and older variants of ToneShell. Although the initial access vector remains unclear, it’s suspected that the threat actor leveraged previously compromised machines to deploy the malicious driver.
Compromised digital certificate
The driver file is signed with a digital certificate from Guangzhou Kingteller Technology Co., Ltd., with a serial number of 08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F. The certificate was valid from August 2012 until 2015.
We found multiple other malicious files signed with the same certificate which didn’t show any connections to the attacks described in this article. Therefore, we believe that other threat actors have been using it to sign their malicious tools as well. The following image shows the details of the certificate.
Technical details of the malicious driver
The filename used for the driver on the victim’s machine is ProjectConfiguration.sys. The registry key created for the driver’s service uses the same name, ProjectConfiguration.
The malicious driver contains two user-mode shellcodes, which are embedded into the .data section of the driver’s binary file. The shellcodes are executed as separate user-mode threads. The rootkit functionality protects both the driver’s own module and the user-mode processes into which the backdoor code is injected, preventing access by any process on the system.
API resolution
To obfuscate the actual behavior of the driver module, the attackers used dynamic resolution of the required API addresses from hash values.
The malicious driver first retrieves the base address of the ntoskrnl.exe and fltmgr.sys by calling ZwQuerySystemInformation with the SystemInformationClass set to SYSTEM_MODULE_INFORMATION. It then iterates through this system information and searches for the desired DLLs by name, noting the ImageBaseAddress of each.
Once the base addresses of the libraries are obtained, the driver uses a simple hashing algorithm to dynamically resolve the required API addresses from ntoskrnl.exe and fltmgr.sys.
The hashing algorithm is shown below. The two variants of the seed value provided in the comment are used in the shellcodes and the final payload of the attack.
Protection of the driver file
The malicious driver registers itself with the Filter Manager using FltRegisterFilter and sets up a pre-operation callback. This callback inspects I/O requests for IRP_MJ_SET_INFORMATION and triggers a malicious handler when certain FileInformationClass values are detected. The handler then checks whether the targeted file object is associated with the driver; if it is, it forces the operation to fail by setting IOStatus to STATUS_ACCESS_DENIED. The relevant FileInformationClass values include:
FileRenameInformation
FileDispositionInformation
FileRenameInformationBypassAccessCheck
FileDispositionInformationEx
FileRenameInformationEx
FileRenameInformationExBypassAccessCheck
These classes correspond to file-delete and file-rename operations. By monitoring them, the driver prevents itself from being removed or renamed – actions that security tools might attempt when trying to quarantine it.
Protection of registry keys
The driver also builds a global list of registry paths and parameter names that it intends to protect. This list contains the following entries:
ProjectConfiguration
ProjectConfiguration\Instances
ProjectConfiguration Instance
To guard these keys, the malware sets up a RegistryCallback routine, registering it through CmRegisterCallbackEx. To do so, it must assign itself an altitude value. Microsoft governs altitude assignments for mini-filters, grouping them into Load Order categories with predefined altitude ranges. A filter driver with a low numerical altitude is loaded into the I/O stack below filters with higher altitudes. The malware uses a hardcoded starting point of 330024 and creates altitude strings in the format 330024.%l, where %l ranges from 0 to 10,000.
The malware then begins attempting to register the callback using the first generated altitude. If the registration fails with STATUS_FLT_INSTANCE_ALTITUDE_COLLISION, meaning the altitude is already taken, it increments the value and retries. It repeats this process until it successfully finds an unused altitude.
The callback monitors four specific registry operations. Whenever one of these operations targets a key from its protected list, it responds with 0xC0000022 (STATUS_ACCESS_DENIED), blocking the action. The monitored operations are:
RegNtPreCreateKey
RegNtPreOpenKey
RegNtPreCreateKeyEx
RegNtPreOpenKeyEx
Microsoft designates the 320000–329999 altitude range for the FSFilter Anti-Virus Load Order Group. The malware’s chosen altitude exceeds this range. Since filters with lower altitudes sit deeper in the I/O stack, the malicious driver intercepts file operations before legitimate low-altitude filters like antivirus components, allowing it to circumvent security checks.
Finally, the malware tampers with the altitude assigned to WdFilter, a key Microsoft Defender driver. It locates the registry entry containing the driver’s altitude and changes it to 0, effectively preventing WdFilter from being loaded into the I/O stack.
Protection of user-mode processes
The malware sets up a list intended to hold protected process IDs (PIDs). It begins with 32 empty slots, which are filled as needed during execution. A status flag is also initialized and set to 1 to indicate that the list starts out empty.
Next, the malware uses ObRegisterCallbacks to register two callbacks that intercept process-related operations. These callbacks apply to both OB_OPERATION_HANDLE_CREATE and OB_OPERATION_HANDLE_DUPLICATE, and both use a malicious pre-operation routine.
This routine checks whether the process involved in the operation has a PID that appears in the protected list. If so, it sets the DesiredAccess field in the OperationInformation structure to 0, effectively denying any access to the process.
The malware also registers a callback routine by calling PsSetCreateProcessNotifyRoutine. These callbacks are triggered during every process creation and deletion on the system. This malware’s callback routine checks whether the parent process ID (PPID) of a process being deleted exists in the protected list; if it does, the malware removes that PPID from the list. This eventually removes the rootkit protection from a process with an injected backdoor, once the backdoor has fulfilled its responsibilities.
Payload injection
The driver delivers two user-mode payloads.
The first payload spawns an svchost process and injects a small delay-inducing shellcode. The PID of this new svchost instance is written to a file for later use.
The second payload is the final component – the ToneShell backdoor – and is later injected into that same svchost process.
Injection workflow:
The malicious driver searches for a high-privilege target process by iterating through PIDs and checking whether each process exists and runs under SeLocalSystemSid. Once it finds one, it customizes the first payload using random event names, file names, and padding bytes, then creates a named event and injects the payload by attaching its current thread to the process, allocating memory, and launching a new thread.
After injection, it waits for the payload to signal the event, reads the PID of the newly created svchost process from the generated file, and adds it to its protected process list. It then similarly customizes the second payload (ToneShell) using random event name and random padding bytes, then creates a named event and injects the payload by attaching to the process, allocating memory, and launching a new thread.
Once the ToneShell backdoor finishes execution, it signals the event. The malware then removes the svchost PID from the protected list, waits 10 seconds, and attempts to terminate the process.
ToneShell backdoor
The final stage of the attack deploys ToneShell, a backdoor previously linked to operations by the HoneyMyte APT group and discussed in earlier reporting (see Malpedia and MITRE). Notably, this is the first time we’ve seen ToneShell delivered through a kernel-mode loader, giving it protection from user-mode monitoring and benefiting from the rootkit capabilities of the driver that hides its activity from security tools.
Earlier ToneShell variants generated a 16-byte GUID using CoCreateGuid and stored it as a host identifier. In contrast, this version checks for a file named C:\ProgramData\MicrosoftOneDrive.tlb, validating a 4-byte marker inside it. If the file is absent or the marker is invalid, the backdoor derives a new pseudo-random 4-byte identifier using system-specific values (computer name, tick count, and PRNG), then creates the file and writes the marker. This becomes the unique ID for the infected host.
The samples we have analyzed contact two command-and-control servers:
avocadomechanism[.]com
potherbreference[.]com
ToneShell communicates with its C2 over raw TCP on port 443 while disguising traffic using fake TLS headers. This version imitates the first bytes of a TLS 1.3 record (0x17 0x03 0x04) instead of the TLS 1.2 pattern used previously. After this three-byte marker, each packet contains a size field and an encrypted payload.
Packet layout:
Header (3 bytes): Fake TLS marker
Size (2 bytes): Payload length
Payload: Encrypted with a rolling XOR key
The backdoor supports a set of remote operations, including file upload/download, remote shell functionality, and session control. The command set includes:
Command ID
Description
0x1
Create temporary file for incoming data
0x2 / 0x3
Download file
0x4
Cancel download
0x7
Establish remote shell via pipe
0x8
Receive operator command
0x9
Terminate shell
0xA / 0xB
Upload file
0xC
Cancel upload
0xD
Close connection
Conclusion
We assess with high confidence that the activity described in this report is linked to the HoneyMyte threat actor. This conclusion is supported by the use of the ToneShell backdoor as the final-stage payload, as well as the presence of additional tools long associated with HoneyMyte – such as PlugX, and the ToneDisk USB worm – on the impacted systems.
HoneyMyte’s 2025 operations show a noticeable evolution toward using kernel-mode injectors to deploy ToneShell, improving both stealth and resilience. In this campaign, we observed a new ToneShell variant delivered through a kernel-mode driver that carries and injects the backdoor directly from its embedded payload. To further conceal its activity, the driver first deploys a small user-mode component that handles the final injection step. It also uses multiple obfuscation techniques, callback routines, and notification mechanisms to hide its API usage and track process and registry activity, ultimately strengthening the backdoor’s defenses.
Because the shellcode executes entirely in memory, memory forensics becomes essential for uncovering and analyzing this intrusion. Detecting the injected shellcode is a key indicator of ToneShell’s presence on compromised hosts.
Recommendations
To protect themselves against this threat, organizations should:
Implement robust network security measures, such as firewalls and intrusion detection systems.
@Informatica (Italy e non Italy 😁) Disponibile in rete l’exploit per la vulnerabilità MongoBleed identificata in MongoDB: lo sfruttamento attivo potrebbe consentire l’accesso non controllato a zone di memoria riservate. La falla di sicurezza è già stata risolta dal vendor,
@Notizie dall'Italia e dal mondo Mente i negoziati non procedono una nuova indagine per corruzione coinvolge vari deputati ucraini, mentre l'ex capo delle forze armate ucraine sarebbe pronto a tornare in patria L'articolo UCRAINA. Deputati indagati per corruzione e nuovo stallo del negoziato proviene da
leggendo un articolo l'importante è capire il meccanismo o i meccanismi citati, e fissarseli nel cervello. per conoscenza. non cercare di acquisire solo la conclusione, che non può che essere aleatoria e non certa.
Vigliano - Biblioteca comunale "Aldo Sola" - Largo Stazione, 1, 13856 Vigliano Biellese BI, Italia (sabato, 31 gennaio 16:00) Meet the writer è il ciclo di incontri con l'autore organizzato dalla Biblioteca del Liceo del Cossatese e Vallestrona grazie al contributo della Fondazione Cassa di Risparmio di Biella nell'ambito del Bando Eventi.
Pubblicato da Einaudi, La rosa e la spina di Stefania Bertola è un romanzo di narrativa contemporanea che unisce ironia, ritmo e uno sguardo lucido sulla vita adulta. La protagonista, Rosa Soave, ha quasi quarant’anni, un figlio vivace, un lavoro nel supplemento letterario di un giornale e una quotidianità fatta di equilibri precari che saltano all’improvviso quando il marito la lascia… il giorno di Natale. Nel tentativo di rimettere ordine nella propria esistenza, Rosa si muove tra colleghi stravaganti, parenti eco-bio e relazioni complicate, mentre il passato torna a bussare sotto forma di Doralice Spina, ex compagna di liceo e “nemica perfetta”, pronta a incarnare tutte le piccole e grandi spine che rendono difficile andare avanti.
Con il suo stile brillante e riconoscibile, Stefania Bertola costruisce una commedia metropolitana popolata di personaggi vividi e situazioni esilaranti, alcune anche molto attuali e "vicine" a noi, raccontando con leggerezza temi profondi come il fallimento, il cambiamento, la maternità e il bisogno di reinventarsi. La rosa e la spina è un romanzo divertente e sincero, che celebra la complessità delle relazioni e il coraggio di ricominciare, anche quando la vita non va proprio come vorremmo.
Sarà presente in sala un punto vendita per l'acquisto dei libri e per il firmacopie finale.
Cossato - Sala Eventi Giuliana Pizzaguerra - Via Ranzoni, Cossato (sabato, 7 febbraio 16:00) Meet the writer è il ciclo di incontri con l'autore organizzato dalla Biblioteca del Liceo del Cossatese e Vallestrona grazie al contributo della Fondazione Cassa di Risparmio di Biella nell'ambito del Bando Eventi.
Di cosa parleremo:
Tutti abbiamo una storia, ma sono pochi quelli che veramente si mettono a scriverla. La maggior parte di noi la lascia nel cassetto immaginario dei progetti futuri, dove finisce per restare, incompiuta o solo fantasticata. Forse, pensiamo, non è abbastanza interessante, non abbiamo tempo, non sappiamo da dove iniziare o come costruire un meccanismo narrativo avvincente. Della scrittura autobiografica, Matteo B. Bianchi ne ha fatto una cifra stilistica: dopo i romanzi in cui si è confrontato con la sua adolescenza, con il lutto, il dolore e la scoperta di sé, in Il romanzo che hai dentro ci apre le porte della sua officina narrativa: trasforma la sua esperienza in consigli preziosi, esplora le opere di altri scrittori che si sono confrontati con il memoir, elabora esercizi e ci mette in guardia dai problemi che dovremo affrontare, ma non solo. Pagina dopo pagina, il processo di scrittura diventa un atto rivelatorio. Confrontarci con il foglio bianco significa guardarci dentro, immergerci nella nostra coscienza profonda, rivelare speranze e paure, fronteggiare l’angoscia e l’amore. Non importa se stiamo scrivendo un testo privato, destinato solo alla famiglia e agli amici, o se inseguiamo il sogno di una pubblicazione, alla fine della lettura di questo personalissimo manuale avremo chiare le coordinate del nostro percorso, saremo pronti a salvare la nostra storia dall’oblio del tempo. Perché tutti abbiamo dentro un romanzo, e grazie alla guida esperta di Matteo B. Bianchi possiamo cominciare ad affrontare la prima pagina della nostra vita.
Sarà presente in sala un punto vendita per l'acquisto dei libri e per il firmacopie finale.
Valdengo - Auditorium comunale - Via Roma 103, Valdengo (BI) (sabato, 21 febbraio 16:00) Meet the writer è il ciclo di incontri con l'autore organizzato dalla Biblioteca del Liceo del Cossatese e Vallestrona grazie al contributo della Fondazione Cassa di Risparmio di Biella nell'ambito del Bando Eventi.
Di cosa parleremo:
Ogni decisione parte da una narrazione dei fatti: un resoconto, quasi sempre in più versioni, che può contenere errori, omissioni, dimenticanze o contraddizioni. Non di rado, nell’ascoltare il testimone di un crimine, gli investigatori lo interrogano “al contrario”, chiedendogli cioè di ricostruire la storia a ritroso: in questo modo, le incongruenze delle storie inventate emergono con maggior facilità. È quello che fa anche Edgar Allan Poe nel 1842: smanioso di mostrare come il ragionamento logico-deduttivo e la teoria delle probabilità possano aiutare a ricostruire correttamente un fatto criminoso, rilegge gli atti e i resoconti dei giornali riguardo all’assassinio di Mary Cecilia Rogers, con l’intenzione di indicare il possibile assassino. Marco Malvaldi, seguendo le intuizioni di Poe, mostra come narrazione e calcolo statistico possano intrecciarsi per affrontare una delle decisioni più difficili: stabilire la colpevolezza o l’innocenza di una persona. In un continuo alternarsi di esempi e paradossi che hanno soprattutto a che vedere con investigazioni, processi e sentenze, capiremo perché due linguaggi tanto diversi siano entrambi indispensabili per confrontare tra loro le molteplici versioni di una storia, valutare l’attendibilità delle prove e, in base a queste, prendere una decisione. Alla fine, scopriremo che i motivi per cui Poe ha scritto Il mistero di Marie Rogêt non erano esattamente quelli che sembravano.
Sarà presente in sala un punto vendita per l'acquisto dei libri e per il firmacopie finale.
Meet the writer - Incontro con Francesca R. Recchia Luciani
Vigliano - Biblioteca comunale "Aldo Sola" - Largo Stazione, 1, 13856 Vigliano Biellese BI, Italia (sabato, 7 marzo 16:00) Meet the writer è il ciclo di incontri con l'autore organizzato dalla Biblioteca del Liceo del Cossatese e Vallestrona grazie al contributo della Fondazione Cassa di Risparmio di Biella nell'ambito del Bando Eventi.
Di cosa parleremo:
Filosofe. Dieci donne che hanno ripensato il mondo è un saggio che esplora il contributo di dieci donne al pensiero filosofico, mettendo al centro autrici spesso trascurate nei canoni tradizionali della storia della filosofia. Il libro parte dall’idea che per secoli la filosofia sia stata un campo dominato dagli uomini, che ha in larga misura escluso o marginalizzato le voci femminili. L’autrice ricostruisce quindi le vite e i pensieri di dieci filosofe che hanno “ripensato il mondo” attraverso prospettive originali, spesso intrecciando pensiero filosofico, esperienza esistenziale e corpo come luogo di riflessione. Tra le figure analizzate ci sono Lou Salomé, María Zambrano, Hannah Arendt, Simone de Beauvoir, Simone Weil, Carla Lonzi.Queste voci vengono presentate non solo come storiche o femministe, ma come pensatrici che hanno contribuito in modo originale alla filosofia moderna e contemporanea.
Come avrebbe detto Michela Murgia, dieci “Morgane” della filosofia: ovvero pensatrici controcorrente che, in quel contesto così ostile, hanno saputo farsi spazio. Il libro racconta le loro vite ma anche, attraverso le loro vicende, le possibili vie della conoscenza su cui hanno lavorato: dieci metodi che hanno permesso loro di scorgere, guardando la stessa realtà sotto osservazione da millenni da parte degli uomini, un “mondo altro”.
Sarà presente in sala un punto vendita per l'acquisto dei libri e per il firmacopie finale.
The 39th annual Chaos Communication Congress (39C3) is underway, and it kicked off with a talk that will resonate deeply with folks in the Hackaday universe. [Kliment] gave an impassioned invitation for everyone to start making hardware based on his experience both in the industry and in giving an intro-to-surface-mount workshop to maybe thousands of hackers over the years.
His main points are that the old “hardware is hard” cliche is overdone. Of course, working on a complicated high-reliability medical device isn’t child’s play, but that’s not where you start off. And getting started in hardware design and hobby-scale manufacture has never been easier or cheaper, and the open-source tooling gives you a foot in the door.
He tells the story of an attendee at a workshop who said “I kept waiting for the hard part to come, but then I was finished.” Starting off with the right small-scale projects, learning a few techniques, and ramping up skills built on skills is the way to go. ([Kliment] is a big proponent of hand-placed hot-plate reflow soldering, and we concur.)
This is the talk that you want to show to your software friends who are hardware-curious. It’s also a plea for more experimentation, more prototyping, more hacking, and simply more people in the hardware / DIY electronics scene. Here at Hackaday, it’s maybe preaching to the choir, but sometimes it’s just nice to hear saying it all out loud.
Un nuovo rapporto descrive in dettaglio una vulnerabilità critica scoperta da Joseph Goydish, un ricercatore di sicurezza, nel motore WebKit di Apple. Questa falla di sicurezza, se sfruttata insieme ad altri exploit, potrebbe consentire agli aggressori di eseguire codice arbitrario sui più recenti dispositivi iOS.
Il difetto, identificato come un pericoloso bug di integer overflow in iOS 26.2, potrebbe anche permettere agli aggressori di bloccare i browser. La scoperta evidenzia la presenza di questo bug e il suo potenziale impatto sulla sicurezza dei dispositivi.
La vulnerabilità deriva da un classico errore software: un overflow di interi. Secondo il rapporto, il problema si verifica durante il calcolo dei limiti di memoria per le operazioni ArrayBuffer, TypedArray e WebAssembly.
La falla di sicurezza interessa il motore JavaScriptCore (JSC), elemento centrale di Safari e di tutti i browser di terze parti su iOS. Gli hacker potrebbero sfruttare tale vulnerabilità, che rappresenta una “primitiva deterministica”, per condurre attacchi più pericolosi, nonostante le misure di difesa integrate da Apple siano al momento efficaci.
“La vulnerabilità è dovuta a un overflow di interi durante il calcolo degli offset di memoria per le operazioni TypedArray e DataView”,spiega l’analisi.
La vulnerabilità è stata confermata su iOS 26.2 (Build 23C55) in esecuzione su un iPhone 14 Pro Max. Il rapporto suggerisce che l’impatto è probabilmente più ampio e potrebbe interessare:
Tutte le versioni di iOS 26.x
macOS Sequoia 15.x
Tutti i browser iOS di terze parti (poiché devono utilizzare il motore WKWebView).
Goydish ha fornito una Proof of Concept (PoC) che dimostra la falla utilizzando solo poche righe di JavaScript. Creando un buffer DataView e impostando un valore Uint32 specifico, il codice forza il wrap-around a 32 bit, innescando il crash.
Per ora, gli utenti sono protetti da Gigacage, il meccanismo di partizionamento di sicurezza di WebKit . Quando l’overflow tenta di accedere alla memoria al di fuori della partizione consentita da 16 GB, Gigacage rileva la violazione e termina immediatamente il processo WebContent.
Quando il sistema moltiplica un indice per la dimensione di un elemento, il risultato può “aggirarsi attorno al limite dei 32 bit”. Questo errore matematico confonde il sistema, consentendo a un aggressore di richiedere un indirizzo di memoria che tecnicamente supera il controllo iniziale ma punta a una posizione ben al di fuori della zona sicura.
Sebbene ciò impedisca l’esecuzione immediata di codice dannoso, provoca un Denial of Service (DoS) persistente, che causa l’arresto anomalo immediato del browser o delle visualizzazioni web incorporate.
Tuttavia, il rapporto avverte che questa rete di sicurezza non è invincibile. “Se Gigacage venisse bypassato o il suo indirizzo di base venisse trapelato, questa vulnerabilità abilita la corruzione relativa della memoria”, consentendo agli aggressori di manipolare gli oggetti adiacenti al buffer in overflow.
Nel peggiore dei casi, ciò potrebbe portare all’esecuzione di codice remoto (RCE) tramite “Vtable Hijacking”, in cui gli aggressori danneggiano i puntatori di funzione virtuali per assumere il controllo del puntatore di istruzioni del dispositivo.
“Attualmente, Gigacage impedisce lo sfruttamento terminando il processo prima che si verifichi un danneggiamento della memoria”, conclude il rapporto, ma la presenza di un difetto logico così fondamentale serve da duro promemoria della fragile matematica alla base della moderna sicurezza web.
«Grande è la ricchezza di un mondo in agonia», scriveva Ernst Bloch. Per il momento, con l’iniziativa che è ancora nelle mani di Stati e tecnocrati, questa «agonia» è ricca soprattutto di disastri, di coercizioni e di guerre, il cui tessuto di silicio copre letteralmente la vista. Se quella di uscire progressivamente da questa «infermità sovra-equipaggiata», con l’accumulazione quantitativa delle lotte e delle forze, è un’illusione fuori tempo massimo, anche l’idea che gli scossoni delle rivolte riannodino improvvisamente i fili dell’esperienza umana e del giudizio critico risulta a suo modo consolatoria. Serve più che mai la lucidità di far proprie delle verità scomode. Ad esempio, che non c’è alcun progetto rivoluzionario bell’e pronto da ereditare dal passato; e che non esistono delle capacità umane meta-storiche su cui fare affidamento. Il dominio ha scavato a fondo. Non solo per estorcere sotto tortura i segreti della vita biologica, sfruttata fin nelle sue particelle sub-atomiche; ma anche per condizionare fin nell’intimo degli individui il senso della libertà. Nondimeno, le forme autoritarie di organizzazione fanno sempre più fatica a imporsi nei movimenti, e lo spazio-tempo dentro il quale questi si sviluppano tende ad assomigliarsi sul piano internazionale. Resta probabilmente vero quello che diceva Gustav Landauer, e cioè che nelle epoche di rottura i rivoluzionari nascono per germinazione spontanea. Ma questo non è necessariamente vero per le rivoluzioni. Continua a leggere→
arci no space zone - via vergnano 65-67 brescia (venerdì, 2 gennaio 22:00)
venerdì 2 gennaio saranno due band a farci compagnia nel mese più freddo: i @limonov.band da milano e i @normativ.band da mantova per una serata tutta punk punk punk.
anche questa volta ci sarà il karaoke(y) estremo a farci compagnia, per cui segnati durante la serata e canta a spaccagola!
Questo articolo analizza una recente e sofisticata campagna di phishing che sfrutta la tecnica Browser-in-the-Browser (BitB) per rubare credenziali, in particolare quelle di servizi come Microsoft 365. L’attacco BitB si distingue per la sua capacità di generare una falsa finestra di login che imita in modo iper-realistico un browser ufficiale, ingannando l’utente e inducendolo a inserire i dati in una schermata apparentemente legittima.
L’analisi tecnica rivela che la pericolosità di questa campagna risiede non solo nell’inganno visivo, ma anche in una complessa architettura di occultamento e anti-analisi. L’attacco è preceduto da una landing page di verifica che implementa una pipeline di decodifica JavaScript a più stadi per offuscare il payload finale, filtrare bot e sistemi di sicurezza automatizzati, e contrastare l’analisi forense.
Questo meccanismo di difesa multi-livello permette all’attacco di eludere i rilevamenti iniziali da parte degli endpoint di sicurezza e di raggiungere l’obiettivo in modo più efficace.
Vengono infine sottolineate alcune misure difensive, come la verifica costante della barra degli indirizzi reale e l’adozione dell’autenticazione a più fattori.
Come funziona l’attacco BitB
La pagina malevola genera una finestra che imita perfettamente Microsoft Edge, mostrando persino un URL autentico come login.microsoftonline.com.
In realtà, si tratta di un semplice elemento grafico spostabile all’interno della pagina, mentre la barra degli indirizzi reale del browser punta a un dominio sconosciuto. L’utente, convinto di trovarsi su un sito legittimo, viene invitato a “Sign in with Microsoft” per accedere a un documento. Inserendo le credenziali, queste finiscono direttamente nelle mani degli attaccanti.
Breve analisi
Catena di attacco: Behance
II vettore di attacco iniziale è un’email di phishing che induce la vittima a scaricare un file malevolo (o una presunta risorsa) tramite un link che reindirizza a un portale legittimo, come Behance (behance.net/).
A sua volta viene chiesto di aprire un link per scaricare un documento. Landing 1
Prima che la vera pagina venga visualizzata, ne viene mostrata una intermedia che viene usata nel contesto di attività malevole o campagne di phishing per diversi scopi, il più importante dei quali è l’anti-analisi e l’occultamento del contenuto finale sospetto, come l’analisi su Virus Total. L’analisi della landing page tramite VirusTotal aveva rilevato solo un endpoint come sospetto. Successivamente, in un’analisi successiva, il numero di endpoint che hanno segnalato la pagina come sospetta è salito a tre. Nel loader iniziale infatti è presente un codice JavaScript che implementa una pipeline di decodifica a quattro passaggi per offuscare e recuperare dati sensibili, utilizzato per nascondere stringhe, URL o frammenti HTML.
Questo file viene avviato prima di presentare la pagina sospetta perché agisce come un gate di sicurezza multilivello, vengono usare queste misure per:
filtrare i bot: se è un bot o un sistema di sicurezza automatizzato, viene reindirizzato e non vede la pagina di phishing. Questo serve a evitare che la pagina venga contrassegnata come “sospetta” da servizi come Google Safe Browsing.
nasconde il payload: il codice della minaccia finale (il “payload”) è offuscato e non è immediatamente visibile nel codice sorgente iniziale.
mitigare le possibili analisi: le misure anti-debugging rendono estremamente difficile per un ricercatore di sicurezza analizzare la minaccia, in quanto il codice cerca attivamente di rilevare e bloccare gli strumenti di analisi.
Questo è un frammento di codice del loader offuscato. Inaspettatamente sono inseriti anche i commenti sul codice su tutte le operazioni eseguite, per cui è subito di facile lettura. Un’analisi approfondita della risoluzione DNS e alla chiamata http rivela che il dominio malevolo è attestato dietro l’infrastruttura di Cloudflare, che agisce come un proxy inverso (Reverse Proxy). Questa configurazione non è casuale: l’attaccante sfrutta deliberatamente strumenti nati per la protezione e l’ottimizzazione dei dati per garantirsi un anonimato strategico.
Attraverso questo ‘scudo’, l’attore malevolo riesce a nascondere l’indirizzo IP reale del server di origine, eludere i controlli di sicurezza perimetrale basati su reputazione IP e massimizzare la vita utile della campagna di phishing. Landing 2
Una volta risolto il “puzzle” viene usato un nuovo passaggio intermedio con caratteristiche analoghe al precedente. Target
Quest’ultimo con un ulteriore redirect porta alla pagina progettata per simulare una richiesta di autenticazione Microsoft per poter accedere a un documento.. Anche in questa pagina è presente del contenuto offuscato. Inoltre sfruttando il fingerprinting del sistema operativo aggiungendo classi CSS specifiche (.browser-window.edge.dark o .browser-window.safari) al falso browser per farlo apparire esattamente come la finestra del browser dell’utente. Cliccato il bottone per autenticarsi con Microsoft, viene fatta partire in background una nuova chiamata http per recuperare il contenuto di un form di Microsoft.
Quindi successivamente viene simulato apertura di finto browser sull’area della pagina (nel nostro caso Microsoft Edge), che visualizza il login di Microsoft con tanto di url “autentico”.
Questa tecnica come accennato è nota come Browser-in-the-Browser (BITB) Attack.
Un kit per capire la tecnica
Lo sviluppatore mr.d0x ha pubblicato su GitHub, a scopo didattico, il kit “BitB Attack”, che consente di creare moduli di accesso di phishing basati su Single Sign-On estremamente realistici. Link: github.com/lucthienphong1120/B…
Conclusioni
Come emerso dall’analisi, la vera insidia si cela nella complessa architettura di occultamento che precede l’attacco finale.
La presenza di una sofisticata sequenza di decodifica JavaScript, unita alle pagine di verifica e alle misure anti-analisi e anti-bot, dimostra un elevato livello di preparazione da parte degli attaccanti.
Queste precauzioni non solo nascondono il payload dalle scansioni automatiche di sicurezza (come quelle di VirusTotal), ma rendono anche estremamente difficile per gli analisti di sicurezza decifrare e bloccare la minaccia in tempo.
L’attacco finale BitB infine induce a un l’inganno visivo per via della creazione di una falsa finestra di browser tramite elementi grafici per rubare le credenziali.
La pubblicazione di strumenti didattici come il kit “BitB Attack” da parte di mr.d0x, sebbene a scopo di ricerca, sottolinea la facilità con cui questa tecnica può essere replicata, rendendo la minaccia accessibile a un ampio spettro di malintenzionati.
Per difendersi efficacemente è necessario prestare sempre attenzione alle mail di spam, verificare sempre URL Reale e in questi casi avere l’autenticazione MFA attiva.
Quando si parla di sicurezza informatica, è facile cadere nella trappola di pensare che i problemi siano sempre lontani, che riguardino solo gli altri. Ma la realtà è che la vulnerabilità è sempre dietro l’angolo, pronta a colpire.
Uno sciame di agenti di intelligenza artificiale autonomi ha scoperto una falla critica nei dispositivi di rete utilizzati in tutto il mondo, e questo dovrebbe far suonare un campanello d’allarme per tutti.
Il rapporto di pwn.ai descrive nei dettagli la scoperta di una falla di esecuzione remota di codice (RCE) pre-autenticazione nei dispositivi prodotti da Xspeeder, un fornitore cinese noto per i suoi router e dispositivi SD-WAN. La falla, tracciata come CVE-2025-54322, ha un punteggio CVSS di 10, il che significa che è praticamente una bomba a tempo pronta a esplodere. Ecco perché è fondamentale prendere atto di questa vulnerabilità e capire le implicazioni.
Sebbene gli scanner automatici esistano da tempo, pwn.ai sostiene che questa scoperta rappresenti un balzo in avanti in termini di capacità. La loro piattaforma ha emulato autonomamente il firmware del dispositivo, identificato la superficie di attacco e progettato un modo per accedere senza l’intervento umano.“A nostra conoscenza, questo è il primo RCE 0day scoperto da un agente e sfruttabile da remoto pubblicato“,afferma il rapporto .
I dispositivi SD-WAN di Xspeeder, alimentati dal firmware principale SXZOS, sono stati presi di mira dagli agenti di intelligenza artificiale. Questi ultimi, spesso collocati in ambienti industriali e sedi remote, rappresentano nodi cruciali all’interno delle reti aziendali. Con l’obiettivo di emulare i dispositivi e acquisire un controllo non autorizzato, agli agenti fu assegnata una direttiva basilare. Ne derivarono risultati rapidi e dalle conseguenze devastanti. “Hanno identificato rapidamente un punto di ingresso RCE pre-auth completo e ci ha comunicato di aver trovato un modo per entrare”, hanno spiegato i ricercatori.
La vulnerabilità consente a un aggressore di eseguire comandi di sistema arbitrari senza mai effettuare l’accesso. Manipolando specifiche intestazioni HTTP, utilizzando in particolare uno User-Agent SXZ/2.3 e un’intestazione calcolata basata sul tempo X-SXZ-R, gli agenti sono riusciti a bypassare i controlli di sicurezza nel middleware Nginx del dispositivo.
La vulnerabilità è attualmente zero-day, il che significa che non esiste alcuna patch. Si dice che pwn.ai abbia tentato di contattare Xspeeder per oltre sei mesi per rivelare la falla in modo responsabile, ma non ha ricevuto risposta. “Abbiamo scelto questa come prima segnalazione perché, a differenza di altri fornitori, non siamo riusciti a ottenere alcuna risposta da XSpeeder nonostante oltre sette mesi di contatto”, si legge nel rapporto. “Di conseguenza, al momento della pubblicazione, questa rimane purtroppo una vulnerabilità zero-day”.
La mancanza di risposta da parte del fornitore risulta particolarmente preoccupante, considerando l’ampia diffusione di questi dispositivi. Secondo servizi di fingerprinting come Fofa, sono stati individuati numerosi sistemi esposti. In diverse aree geografiche del mondo, sono accessibili al pubblico decine di migliaia di sistemi che si basano su SXZOS, circostanza che rende questo firmware, e qualunque potenziale vulnerabilità che possa esporre, un’ampia superficie di rischio.
Fino al rilascio di una patch, le organizzazioni che utilizzano dispositivi Xspeeder SD-WAN sono invitate a isolare tali dispositivi dalla rete Internet pubblica per impedire potenziali compromissioni da parte di autori di minacce che potrebbero ora tentare di sfruttare i risultati.
Va evidenziato che la rivelazione del bug 0day risale a molti mesi fa; tuttavia, solo oggi l’azienda decide di parlarne ufficialmente, in base alla logica della divulgazione coordinata delle vulnerabilità, in modo da permettere al produttore di rilasciare la patch in totale sicurezza. E’ opportuno considerare che gli agenti intelligenti stanno progressivamente acquisendo importanza e saranno presto utilizzati per automatizzare le attività di scansione; nondimeno, è fondamentale tenere sempre presente i possibili impatti che potrebbero verificarsi in ambienti operativi.
La generazione automatica di video tramite intelligenza artificiale ha compiuto un salto significativo il 25 dicembre 2025, quando l’Università di Tsinghua ha annunciato il rilascio open source di TurboDiffusion. Il framework, sviluppato dal laboratorio TSAIL in collaborazione con Shengshu Technology e Biological Mathematics, consente di ridurre drasticamente i tempi di creazione dei video mantenendo una qualità visiva quasi priva di perdita.
Secondo i dati diffusi dal team di ricerca, TurboDiffusion permette di accelerare la generazione video fino a 200 volte rispetto ai modelli di diffusione tradizionali. In uno scenario che fino a poco tempo fa richiedeva diversi minuti di elaborazione, oggi è possibile ottenere un video in circa due secondi utilizzando una singola scheda grafica di fascia alta. I test condotti su una RTX 5090 mostrano un confronto diretto particolarmente indicativo: un video di 5 secondi in risoluzione 480P, basato su un modello da 1,3 miliardi di parametri, richiedeva in precedenza circa 184 secondi di calcolo. Con TurboDiffusion, lo stesso processo viene completato in 1,9 secondi, con un incremento di velocità pari a circa 97 volte.
L’effetto dell’ottimizzazione risulta evidente anche su modelli di dimensioni maggiori. Un modello immagine-video da 14 miliardi di parametri in risoluzione 720P può ora essere generato in 38 secondi, mentre versioni ottimizzate scendono a 24 secondi. La variante 480P dello stesso modello richiede meno di 10 secondi di elaborazione.
Le tecnologie alla base dell’accelerazione
Il rallentamento storico dei modelli di generazione video basati su Diffusion Transformer è legato a tre fattori principali: l’elevato numero di passaggi di campionamento, il costo computazionale dei meccanismi di attenzione e i limiti di memoria della GPU. TurboDiffusion affronta questi colli di bottiglia integrando quattro tecnologie complementari.
Il primo elemento è SageAttention2++, una tecnica di attenzione a bassa precisione che utilizza quantizzazione INT8 e INT4. Attraverso strategie di smoothing e quantizzazione a livello di thread, il sistema riduce il consumo di memoria e accelera il calcolo dell’attenzione da tre a cinque volte, senza impatti visibili sulla qualità del video generato. A questa soluzione si affianca l’attenzione Sparse-Linear Attention (SLA), che combina la selezione dei pixel rilevanti con una complessità computazionale lineare. Poiché SLA è compatibile con la quantizzazione a basso bit, può essere applicata in parallelo a SageAttention, amplificando ulteriormente l’efficienza dell’inferenza.
Il terzo pilastro è la distillazione a stadi rCM. Grazie a questo approccio, modelli che richiedevano decine di iterazioni possono ora generare risultati comparabili in uno o quattro passaggi, riducendo drasticamente la latenza complessiva.
Infine, TurboDiffusion (disponibile su GitHub) introduce la quantizzazione W8A8 per i livelli lineari e l’uso di operatori personalizzati sviluppati in Tritone CUDA. Questa combinazione sfrutta pienamente i Tensor Core INT8 della RTX 5090 e riduce il sovraccarico delle implementazioni standard di PyTorch. L’integrazione delle quattro tecniche consente di ottenere incrementi di velocità complessivi fino a 200 volte.
Impatto industriale e prospettive applicative
L’accelerazione ottenuta non rappresenta solo un progresso sperimentale. La possibilità di generare video 720P in pochi secondi su una singola GPU rende l’uso di questi modelli accessibile anche a singoli creatori, piccole imprese e contesti consumer, riducendo al contempo i costi di inferenza su infrastrutture cloud.
Secondo i ricercatori, una riduzione della latenza di inferenza fino a 100 volte consente alle piattaforme SaaS di servire un numero di utenti proporzionalmente maggiore a parità di risorse. Questo apre la strada a nuovi scenari, come l’editing video in tempo reale, la generazione interattiva di contenuti e la produzione automatizzata di format audiovisivi basati su AI.
Le tecnologie sviluppate dal team TSAIL risultano inoltre compatibili con architetture di chip AI cinesi, grazie all’uso di bassa profondità di bit, strutture sparse e operatori personalizzabili. SageAttention, in particolare, è già stato integrato in TensorRT di NVIDIA e adottato da piattaforme come Huawei Ascend e Moore Threads S6000, oltre che da numerose aziende e laboratori internazionali.
OpenAI sta nuovamente discutendo la possibilità di introdurre la pubblicità in ChatGPT, questa volta sotto forma di cosiddetti contenuti sponsorizzati. Non si tratta di banner tradizionali, ma di contenuti che potrebbero apparire direttamente nelle risposte del modello e influenzare in modo sottile le scelte degli utenti.
Queste informazioni sono emerse dopo che The Information ha pubblicato un articolo su prototipi interni di formati pubblicitari.
Secondo alcune fonti, l’azienda starebbe valutando uno scenario in cui l’intelligenza artificialedarebbe priorità ai contenuti sponsorizzati per garantire che vengano visualizzati nelle risposte di ChatGPT. In uno dei mockup, queste informazioni venivano visualizzate in una barra laterale accanto alla finestra di dialogo principale.
In precedenza, nella versione beta 1.2025.329 dell’app Android ChatGPT erano presenti riferimenti a una “funzione pubblicitaria” con termini come “contenuto bazaar”, “annuncio di ricerca” e “carousel di annunci di ricerca”. In seguito, sono emerse segnalazioni secondo cui OpenAI avrebbe accantonato questi piani, decidendo di concentrarsi sulla qualità del prodotto a fronte della crescente concorrenza di Gemini. Tuttavia, nuovi dati suggeriscono che l’azienda non ha abbandonato completamente l’idea.
Un rappresentante di OpenAI ha confermato ai giornalisti che la pubblicità è effettivamente in fase di valutazione. Secondo lui, con la crescita delle capacità e del pubblico di ChatGPT, l’azienda sta cercando modi per rendere la sua intelligenza artificiale accessibile a un pubblico più ampio, e la pubblicità è considerata un’opzione. OpenAI sottolinea che gli utenti si fidano del chatbot e che qualsiasi decisione pubblicitaria deve tener conto di questa fiducia.
Se tali formati dovessero emergere, le implicazioni potrebbero estendersi ben oltre il servizio stesso. A differenza della ricerca tradizionale, ChatGPT conosce già molte più informazioni sul contesto dell’utente: interessi, stile di comunicazione, attività lavorative, obiettivi a lungo termine. Questo apre la strada a un nuovo livello di pubblicità personalizzata : consigli su prodotti e servizi che appariranno come parte di una normale risposta dell’intelligenza artificiale, piuttosto che come un annuncio pubblicitario palese.
In sostanza, ChatGPT potrebbe diventare uno strumento che non si limita a rispondere alle domande, ma spinge anche delicatamente gli utenti verso acquisti specifici, in modo simile agli annunci di Google, ma con una comprensione molto più approfondita dei singoli utenti. In teoria, tali annunci potrebbero anche apparire nei risultati di ricerca all’interno della chat, mascherati da aiuto o consiglio utile.
Non è ancora noto quando esattamente OpenAI lancerà la pubblicità e quale forma assumerà nel prodotto. Tuttavia, data la rapida crescita del servizio e l’aumento dei costi infrastrutturali, i primi esperimenti commerciali potrebbero iniziare già nella prima metà del 2026.
Everyone generally knows about piston and rotary engines, with many a flamewar having been waged over the pros and cons of each design. The “correct” answer is thus to combine both into a single engine design. The resulting birotary engine comes courtesy of Czech company [Knob Engines] which makes their special engine for the aviation market. The workings of this engine and why it makes perfect sense for smaller airplanes is explained by [driving 4 answers] in a recent video.
Naturally, it’s at best confusing to call an engine a “rotary”, as this covers many types of engines. One could consider the birotary engine perhaps a cross between the traditional rotary piston engines that powered early aircraft and the Wankel rotary engines that would appear much later. The fact that both the housing and the crankshaft rotate reinforces this notion of a piston rotary, while it keeps the fixed ports and glow plugs on the housing that is typical of a Wankel-style engine. Having both the housing and crankshaft rotate is also why it’s called the ‘birotary’.
The claimed benefits of this design include a small size, low vibrations, reduced gyroscopic effect due to counter-rotation, no apex seals, and less mechanically complex than a piston engine. This comes at the cost of a very short stroke length and thus the need for a relatively high RPM and slow transition between power output levels, but those disadvantages are why small airplanes and UAVs are being targeted.
In almost every measurable way, a lossless digital audio file is superior to any analog media. This doesn’t mean that analog audio isn’t valuable though; plenty of people appreciate the compression, ambiance, and other side-effects of listening to a vinyl record or a cassette tape despite the technical limitations. To combine the audio technology of the modern world with these pleasant effects of old analog media, [Julius] built a cassette-based media streamer.
The music playback device takes input from a Bluetooth stream of some sort, converts the digital stream to analog, combines the stereo signal into a mono signal, and then records it to a cassette tape. The tape is then looped through to a playback device which outputs the sound to a single speaker. This has the effect of functioning as a tape delay device, and [Julius] did add input and output jacks to use it as such, but in its default state it has the effect of taking modern streaming through a real analog device and adding the compression and saturation that cassette tapes are known for.
The design of the device is impressive as well, showing off the tape loop and cassette front-and-center with a fluorescent vu meter on the side and a metal case. Getting all of this to work well together wasn’t entirely smooth, either, as [Julius] had to sort out a number of issues with the electronics to keep various electric noises out of the audio signal. Retro analog music players are having a bit of a resurgence right now, whether that’s as a revolt against licensed streaming services or as a way to experience music in unique ways, and our own [Kristina Panos] recently went down an interesting rabbit hole with one specific type of retro audio player.
A transcript of some of the group call.
