Il futuro dei computer è fotonico
@Informatica (Italy e non Italy 😁)
Restano in realtà molti ostacoli tecnici; ma potrebbero essere una svolta per i grandi modelli linguistici e generativi, come quelli dietro a ChatGPT.
L'articolo Il futuro dei computer è fotonico proviene da Guerre di Rete.
L'articolo proviene da #GuerreDiRete di guerredirete.it/il-futuro-dei-…
Informatica (Italy e non Italy 😁) reshared this.
securityaffairs.com/178140/sec…
#securityaffairs #hacking
U.S. CISA adds Ivanti EPMM, MDaemon Email Server, Srimax Output Messenger, Zimbra Collaboration, and ZKTeco BioTime flaws to its Known Exploited Vulnerabilities catalog
CISA adds Ivanti, MDaemon Email Server, Srimax Output Messenger, Zimbra, ZKTeco BioTime flaws to its Known Exploited Vulnerabilities catalogPierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Data breach: Comune di Pisa
@Informatica (Italy e non Italy 😁)
Il Comune di Pisa è stato oggetto di un data breach da parte del collettivo NOVA. Cerchiamo di capire cosa è successo e le conseguenze di tale azione. Cosa è […]
L'articolo Data breach: Comune di Pisa proviene da Edoardo Limone.
L'articolo proviene dal blog dell'esperto di edoardolimone.com/2025/05/21/d…
Informatica (Italy e non Italy 😁) reshared this.
Dero miner zombies biting through Docker APIs to build a cryptojacking horde
Introduction
Imagine a container zombie outbreak where a single infected container scans the internet for an exposed Docker API, and bites exploits it by creating new malicious containers and compromising the running ones, thus transforming them into new “zombies” that will mine for Dero currency and continue “biting” new victims. No command-and-control server is required for the delivery, just an exponentially growing number of victims that are automatically infecting new ones. That’s exactly what the new Dero mining campaign does.
During a recent compromise assessment project, we detected a number of running containers with malicious activities. Some of the containers were previously recognized, while others were not. After forensically analyzing the containers, we confirmed that a threat actor was able to gain initial access to a running containerized infrastructure by exploiting an insecurely published Docker API. This led to the running containers being compromised and new ones being created not only to hijack the victim’s resources for cryptocurrency mining but also to launch external attacks to propagate to other networks. The diagram below describes the attack vector:
Infection chain
The entire attack vector is automated via two malware implants: the previously unknown propagation malware nginx and the Dero crypto miner. Both samples are written in Golang and packed with UPX. Kaspersky products detect these malicious implants with the following verdicts:
- nginx:
Trojan.Linux.Agent.gen; - Dero crypto miner:
RiskTool.Linux.Miner.gen.
nginx: the propagation malware
This malware is responsible for maintaining the persistence of the crypto miner and its further propagation to external systems. This implant is designed to minimize interaction with the operator and does not require a delivery C2 server. nginx ensures that the malware spreads as long as there are users insecurely publishing their Docker APIs on the internet.
The malware is named “nginx” to masquerade as the well-known legitimate nginx web server software in an attempt to evade detection by users and security tools. In this post, we’ll refer to this malware as “nginx”.
After unpacking the nginx malware, we parsed the metadata of the Go binary and were able to determine the location of the Go source code file at compilation time: “/root/shuju/docker2375/nginx.go”.
Nginx source code file
Infecting the container
The malware starts by creating a log file at “/var/log/nginx.log”.
Log file creation
This log file will be used later to log the running activities of the malware, including data like the list of infected machines, the names of created malicious containers on those machines, and the exit status code if there were any errors.
Malware operations log
After that, in a new process, a function called main.checkVersion loops infinitely to make sure that the content of a file located at “/usr/bin/version.dat” inside the compromised container always equals 1.4. If the file contents were changed, this function overwrites them.
Ensuring that version.dat exists and contains 1.4
If version.dat doesn’t exist, the malicious function creates this file with the content 1.4, then sleeps for 24 hours before the next iteration.
Creating version.dat if it doesn’t exist
The malware uses the version.dat file to identify the already infected containers, which we’ll describe later.
The nginx sample then executes the main.monitorCloudProcess function that loops infinitely in a new process making sure that a process named cloud, which is a Dero miner, is running. First, the malware checks whether or not the cloud process is running. If it’s not, nginx executes the main.startCloudProcess function to launch the miner.
Monitoring and executing the cloud process
In order to execute the miner, the main.startCloudProcess function attempts to locate it at “/usr/bin/cloud”.
Executing the miner
Spreading the infection
Host search
Next, the nginx malware will go into an infinite loop of generating random IPv4 /16 network subnets to scan them and compromise more networks with the main.generateRandomSubnet function.
Infinite loop of network subnets generation and scanning
The subnets with the respective IP ranges will be passed to the main.scanSubnet function to be scanned via masscan, a port scanning tool installed in the container by the malware, which we will describe in more detail later. The scanner is looking for an insecure Docker API published on the internet to exploit by scanning the generated subnet via the following command: masscan -p 2375 -oL – –max-rate 360.
Scanning the generated subnet via masscan
The output of masscan is parsed via regex to extract the IPv4s that have the default Docker API port 2375 open. Then the extracted IPv4s are passed to the main.checkDockerDaemon function. It checks if the remote dockerd daemon on the host with a matching IPv4 is running and responsive. To do this, the malware attempts to list all running containers on the remote host by executing a docker -H PS command. If it fails, nginx proceeds to check the next IPv4.
Remotely listing running containers
Container creation
After confirming that the remote dockerd daemon is running and responsive, nginx generates a container name with 12 random characters and uses it to create a malicious container on the remote target.
Container name generation
The malicious container is created with docker -H run -dt –name –restart always ubuntu:18.04 /bin/bash. The malware uses a –restart always flag to start the newly created containers automatically when they exit.
Malicious container created on a new host
Then nginx prepares the new container to install dependencies later by updating the packages via docker -H exec apt-get -yq update.
Updating container packages
Next, the malicious sample uses a docker -H exec apt-get install -yq masscan docker.io command to install masscan and docker.io in the container, which are dependencies for the malware to interact with the Docker daemon and to perform the external scan to infect other networks.
Remotely installing the malware dependencies inside the newly created container
Then it transfers the two malicious implants, nginx and cloud, to the container by executing docker -H cp -L /usr/bin/ :/usr/bin.
Transferring nginx and cloud to the newly created container
The malware maintains persistence by adding the transferred nginx binary to /root/.bash_aliases to make sure that it will automatically execute upon shell login. This is done via a docker -H exec bash –norc -c \'echo \"/usr/bin/nginx &\" > /root/.bash_aliases\' command.
Adding the nginx malware to .bash_aliases for persistence
Compromising running containers
Up until this point, the malware has only created new malicious containers. Now, it will try to compromise the ubuntu:18.04-based running containers. The sample first executes the main.checkAndOperateContainers function to check all the running containers on the remote vulnerable host for two conditions: the container has an ubuntu:18.04-base and it doesn’t contain a version.dat file, which is an indicator that the container had been previously infected.
Listing and compromising existing containers on the remote target
If these conditions are satisfied, the malware executes the main.operateOnContainer function to proceed with the same attack vector described earlier to infect the running container. The infection chain is repeated, hijacking the container resources to scan and compromise more containers and mining for the Dero cryptocurrency.
That way, the malware does not require a C2 connection and also maintains its activity as long as there is an insecurely published Docker API that can be exploited to compromise running containers and create new ones.
cloud – the Dero miner
Executing and maintaining cloud, the crypto miner, is the primary goal of the nginx sample. The miner is also written in Golang and packed with UPX. After unpacking the binary, we were able to attribute it to the open-source DeroHE CLI miner project found on GitHub. The threat actor wrapped the DeroHE CLI miner into the cloud malware, with a hardcoded mining configuration: a wallet address and a DeroHE node (derod) address.
If no addresses were passed as arguments, which is the case in this campaign, the cloud malware uses the hardcoded encrypted configuration as the default configuration. It is stored as a Base64-encoded string that, after decoding, results in an AES-CTR encrypted blob of a Base64-encoded wallet address, which is decrypted with the main.decrypt function. The configuration encryption indicates that the threat actors attempt to sophisticate the malware, as we haven’t seen this in previous campaigns.
Decrypting the crypto wallet address
Upon decoding this string, we uncovered the wallet address in clear text: dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y.
Behavioral analysis of the decryption function
Then the malware decrypts another two hardcoded AES-CTR encrypted strings to get the dero node addresses via a function named main.sockz.
Function calls to decrypt the addresses
The node addresses are encrypted the same way the wallet address is, but with other keys. After decryption, we were able to obtain the following addresses: d.windowsupdatesupport[.]link and h.wiNdowsupdatesupport[.]link.
Decoded addresses in memory
The same wallet address and the derod node addresses had been observed before in a campaign that targeted Kubernetes clusters with Kubernetes API anonymous authentication enabled. Instead of transferring the malware to a compromised container, the threat actor pulls a malicious image named pauseyyf/pause:latest, which is published on Docker Hub and contains the miner. This image was used to create the malicious container. Unlike the current campaign, the attack vector was meant to be stealthy as threat actors didn’t attempt to move laterally or scan the internet to compromise more networks. These attacks were seen throughout 2023 and 2024 with minor changes in techniques.
Takeaways
Although attacks on containers are less frequent than on other systems, they are not less dangerous. In the case we analyzed, containerized environments were compromised through a combination of a previously known miner and a new sample that created malicious containers and infected existing ones. The two malicious implants spread without a C2 server, making any network that has a containerized infrastructure and insecurely published Docker API to the internet a potential target.
Analysis of Shodan shows that in April 2025, there were 520 published Docker APIs over port 2375 worldwide. It highlights the potential destructive consequences of the described threat and emphasizes the need for thorough monitoring and container protection.
Docker APIs published over port 2375 ports worldwide, January–April 2025 (download)
Building your containerized infrastructure from known legitimate images alone doesn’t guarantee security. Just like any other system, containerized applications can be compromised at runtime, so it’s crucial to monitor your containerized infrastructure with efficient monitoring tools like Kaspersky Container Security. It detects misconfigurations and monitors registry images, ensuring the safety of container environments. We also recommend proactively hunting for threats to detect stealthy malicious activities and incidents that might have slipped unnoticed on your network. The Kaspersky Compromise Assessment service can help you not only detect such incidents, but also remediate them and provide immediate and effective incident response activities.
Indicators of compromise
File hashes
094085675570A18A9225399438471CC9 nginx
14E7FB298049A57222254EF0F47464A7 cloud
File paths
NOTE: Certain file path IoCs may lead to false positives due to the masquerading technique used.
/usr/bin/nginx
/usr/bin/cloud
/var/log/nginx.log
/usr/bin/version.dat
Derod nodes addresses
d.windowsupdatesupport[.]link
h.wiNdowsupdatesupport[.]link
Dero wallet address
dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y
securelist.com/dero-miner-infe…
Ju reshared this.
securityaffairs.com/178131/unc…
#securityaffairs #hacking
A OpenPGP.js flaw lets attackers spoof message signatures
A flaw in OpenPGP.js, tracked as CVE-2025-47934, lets attackers spoof message signatures; updates have been released to address the flaw.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Il Bias del Presente! E’ il nemico subdolo della tua sicurezza informatica!
Nel labirinto digitale in cui la nostra vita si svolge sempre più frequentemente, siamo costantemente bombardati da stimoli che promettono gratificazione immediata: un like sui social media, l’accesso istantaneo a informazioni, la comodità di un click.
In questo contesto di appagamento istantaneo, un potente meccanismo psicologico, il Bias del Presente, agisce silenziosamente, influenzando le nostre decisioni online, spesso a discapito della nostra sicurezza cibernetica. Questo articolo esplorerà come la nostra innata tendenza a privilegiare i benefici immediati rispetto alle conseguenze future ci rende vulnerabili ai pericoli del cyberspazio, analizzando le sue manifestazioni più comuni e suggerendo strategie per mitigare i rischi.
La sirena della gratificazione immediata
La nostra vita virtuale è un palcoscenico di interazioni fugaci e desideri istantanei. La notifica che promette un premio immediato, il link allettante che cattura la nostra curiosità, l’applicazione “gratuita” che ci offre un accesso senza intoppi: tutte queste sirene digitali fanno leva sul nostro innato desiderio di gratificazione immediata. In questi frangenti, il Bias del Presente prende il sopravvento sulla nostra razionalità, spingendoci a compiere azioni che, se valutate con una prospettiva a lungo termine, apparirebbero palesemente rischiose. Clicchiamo impulsivamente, condividiamo incautamente e accettiamo condizioni senza la dovuta diligenza, attratti dalla promessa di un appagamento immediato, ignorando i potenziali pericoli che si celano dietro l’angolo digitale.
Password facili e clic impulsivi
Consideriamo l’esempio emblematico delle password. La creazione e la memorizzazione di password complesse e uniche rappresentano un piccolo “costo” immediato in termini di tempo e sforzo cognitivo. Tuttavia, il beneficio a lungo termine di una maggiore sicurezza e della protezione dai tentativi di accesso non autorizzato è incommensurabilmente più grande. Eppure, molti di noi cedono alla tentazione della semplicità, scegliendo password banali e facilmente prevedibili, spinti dal desiderio di un accesso rapido e senza intoppi ai nostri account. Il Bias del Presente ci impedisce di percepire appieno la gravità del rischio futuro, focalizzandoci unicamente sulla piccola “scomodità” del momento.
Lo stesso principio si applica alla nostra interazione con link ed allegati sconosciuti. La promessa di un’offerta esclusiva, di un’informazione sensazionale o di un video virale fa leva sulla nostra curiosità e sul desiderio di essere “sul pezzo”. Cliccare su un link sospetto o scaricare un allegato da una fonte non verificata offre una gratificazione immediata (la potenziale scoperta di qualcosa di interessante), ma ci espone al rischio concreto di malware, phishing e furto di dati personali. Il Bias del Presente ci rende ciechi al potenziale danno futuro, accecati dal luccichio effimero dell’interesse immediato.
Il costo nascosto della condivisione
Anche la nostra presenza sui social media è profondamente influenzata da questo bias. La ricerca di validazione sociale attraverso “like” e commenti, il desiderio di condividere momenti della nostra vita per sentirci connessi e parte di una comunità, ci spingono spesso a trascurare le implicazioni a lungo termine della nostra impronta digitale. Condividiamo informazioni personali, dettagli sulla nostra posizione, opinioni controverse, senza considerare appieno come questi dati potrebbero essere utilizzati in futuro, magari contro di noi. La gratificazione immediata dell’interazione sociale e del riconoscimento prevale sulla prudenza e sulla consapevolezza dei rischi per la nostra privacy a lungo termine.
La seduzione della continuità
Il Bias del Presente si insinua anche nel nostro approccio agli aggiornamenti software e alle misure di sicurezza. L’installazione di un aggiornamento può sembrare un’interruzione fastidiosa della nostra attività online immediata. Ignoriamo i promemoria, posticipiamo l’operazione, attratti dalla continuità del nostro flusso digitale attuale. Tuttavia, questi aggiornamenti spesso contengono patch di sicurezza cruciali che ci proteggono da vulnerabilità note. La nostra impazienza e il desiderio di mantenere inalterato il nostro presente digitale ci rendono bersagli più facili per gli attacchi informatici che sfruttano proprio quelle falle di sicurezza non sanate.
Coltivare la forza mentale per un mondo digitale sicuro
Sviluppare la forza mentale non è un processo passivo, ma richiede impegno e pratica costante. Ecco alcune strategie per rafforzare la nostra resilienza psichica nel contesto digitale. Invece di considerare le azioni pratiche di sicurezza come meri compiti da spuntare su una lista, incorniciamole come atti di auto-compassione digitale.
Ogni password robusta che creiamo è un abbraccio protettivo alla nostra identità online, uno scudo eretto con cura contro l’intrusione.
Aggiornare il software diventa un atto di nutrimento del nostro ecosistema digitale, fornendogli le vitamine necessarie per resistere alle malattie del web.
Essere scettici prima di cliccare non è solo prudenza, ma un esercizio di intelligenza emotiva digitale, riconoscendo che non tutte le offerte scintillanti sono genuine.
Pensare due volte prima di condividere online è un atto di mindfulness digitale, una pausa consapevole per valutare l’impronta emotiva che lasciamo nel mondo virtuale.
Configurare impostazioni di privacy restrittive è un modo per definire i nostri confini psicologici online, proteggendo la nostra energia mentale dalla dispersione.
Fare backup regolari è un atto di resilienza emotiva anticipata, preparandoci con cura per eventuali “lutti” digitali.
In definitiva, ogni azione pratica di sicurezza è intrisa di psicologia: è un atto di auto-efficacia, un modo tangibile per riprendere il controllo in un ambiente digitale che spesso ci fa sentire impotenti.
In conclusione, la sicurezza nel mondo digitale non è solo una questione di strumenti e tecnologie, ma anche di forza mentale. Coltivare la consapevolezza, la gestione dell’attenzione, il pensiero critico e l’intelligenza emotiva ci permette di diventare utenti più resilienti e capaci di proteggerci attivamente dalle insidie del cyberspazio. Investire nella nostra forza mentale è investire nella nostra sicurezza digitale a lungo termine. Non si tratta solo di proteggere dati, ma di proteggere la nostra tranquillità mentale, la nostra fiducia e la nostra capacità di vivere serenamente nell’era digitale. Che ne pensate?
L'articolo Il Bias del Presente! E’ il nemico subdolo della tua sicurezza informatica! proviene da il blog della sicurezza informatica.
Il Bias del Presente! E’ il nemico subdolo della tua sicurezza informatica!
📌 Link all'articolo : redhotcyber.com/post/il-bias-d…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
Il Bias del Presente! E' il nemico subdolo della tua sicurezza informatica!
Scopri come il Bias del Presente ci spinge a ignorare la sicurezza digitale, mettendoci a rischio ogni giorno.Daniela Farina (Red Hot Cyber)
reshared this
Fault Analysis of a 120W Anker GaNPrime Charger
Taking a break from his usual prodding at suspicious AliExpress USB chargers, [DiodeGoneWild] recently had a gander at what used to be a good USB charger.
Before it went completely dead, the Anker 737 GaNPrime USB charger which a viewer sent him was capable of up to 120 Watts combined across its two USB-C and one USB-A outputs. Naturally the charger’s enclosure couldn’t be opened non-destructively, and it turned out to have (soft) potting compound filling up the voids, making it a treat to diagnose. Suffice it to say that these devices are not designed to be repaired.
With it being an autopsy, the unit got broken down into the individual PCBs, with a short detected that eventually got traced down to an IC marked ‘SW3536’, which is one of the ICs that communicates with the connected USB device to negotiate the voltage. With the one IC having shorted, it appears that it rendered the entire charger into an expensive paperweight.
Since the charger was already in pieces, the rest of the circuit and its ICs were also analyzed. Here the gallium nitride (GaN) part was found in the Navitas GaNFast NV6136A FET with integrated gate driver, along with an Infineon CoolGaN IGI60F1414A1L integrated power stage. Unfortunately all of the cool technology was rendered useless by one component developing a short, even if it made for a fascinating look inside one of these very chonky USB chargers.
youtube.com/embed/-JV5VGO55-I?…
Sicurezza Zero Trust e 5G. Un connubio necessario
@Informatica (Italy e non Italy 😁)
Il 5G consente di connettere un numero elevato di endpoint. Le politiche Zero Trust possono diventare quindi complesse a cominciare dagli aspetti organizzativi fino a quelli operativi. Ericsson Italia spiega di quali considerazioni occorre tenere conto
L'articolo Sicurezza Zero Trust e 5G. Un connubio necessario proviene da Cyber
Informatica (Italy e non Italy 😁) reshared this.
False VPN, Finti Tool: Le Estensioni Chrome che Rubano Tutto
Da febbraio 2024, il Chrome Web Store ha iniziato a distribuire componenti aggiuntivi dannosi per il browser, camuffati da utili utility, ma in realtà utilizzati per rubare dati, dirottare sessioni ed eseguire codice arbitrario. Questi componenti aggiuntivi sono creati da un gruppo sconosciuto e sono rivolti a utenti che cercano strumenti di produttività, servizi VPN, piattaforme bancarie e crittografiche, nonché strumenti per l’analisi e la creazione di contenuti multimediali.
Secondo il team di DomainTools Intelligence, gli aggressori stanno creando siti web falsi che sembrano servizi reali come DeepSeek, Manus, DeBank, FortiVPN e Site Stats. Queste pagine reindirizzano gli utenti a estensioni false nel Chrome Web Store che sembrano svolgere le funzioni promesse. Tuttavia, oltre a questo, rubano cookie, login e password, iniettano pubblicità, reindirizzano il traffico verso risorse dannose e interferiscono con il contenuto delle pagine web utilizzando la manipolazione del DOM.
Il pericolo è aggravato dal fatto che queste estensioni si assegnano privilegi eccessivi nel file manifest.json. Ciò consente loro di accedere a tutti i siti visitati dall’utente, scaricare codice arbitrario da server remoti, utilizzare WebSocket per instradare il traffico e persino aggirare la protezione della Content Security Policy tramite il gestore di eventi “onreset” incorporato negli elementi DOM temporanei.
Non si sa ancora esattamente come gli utenti arrivino su pagine dannose, ma si presume che vengano utilizzati schemi standard: phishing, pubblicità e link sui social network. DomainTools ha scoperto che i siti contengono spesso tracker di Facebook, che potrebbero indicare una promozione tramite piattaforme Meta: pagine, gruppi e campagne pubblicitarie.
Nonostante gli sforzi di Google per rimuovere le estensioni dannose dal suo store, i criminali informatici dispongono ancora di un’infrastruttura molto vasta: oltre 100 siti falsi ed estensioni correlate. Grazie ai siti web e all’inserimento nell’archivio delle estensioni ufficiale, gli aggressori possono comparire nei risultati di ricerca sia su Internet sia all’interno dello stesso Chrome Web Store, creando l’illusione di legittimità.
Si consiglia agli utenti di scaricare componenti aggiuntivi solo da sviluppatori affidabili, di leggere attentamente le recensioni, di analizzare le autorizzazioni richieste e di evitare estensioni il cui nome o logo ricorda prodotti popolari ma presenta piccole differenze.
L'articolo False VPN, Finti Tool: Le Estensioni Chrome che Rubano Tutto proviene da il blog della sicurezza informatica.
Ju reshared this.
Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware
Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle reti compromesse.
Secondo gli analisti di Prodaft, il malware è stato pubblicizzato sui forum di hacking dall’aprile 2024 e ha iniziato a guadagnare popolarità tra gli estorsori all’inizio del 2025. Ad esempio, Skitnet è già stato utilizzato negli attacchi degli operatori di BlackBasta e Cactus.
Un’infezione da Skitnet inizia con l’esecuzione di un loader scritto in Rust sul computer di destinazione, che decifra il binario Nim crittografato con ChaCha20 e lo carica nella memoria. Il payload Nim crea una reverse shell basata su DNS per comunicare con il server C&C, avviando una sessione utilizzando query DNS casuali.
Il malware avvia quindi tre thread: uno per inviare richieste di segnalazione DNS, un altro per monitorare ed estrarre l’output della shell e un altro per ascoltare e decifrare i comandi dalle risposte DNS.
I messaggi e i comandi da eseguire vengono inviati tramite HTTP o DNS in base ai comandi inviati tramite il pannello di controllo Skitnet. In questo pannello, l’operatore può visualizzare l’indirizzo IP del target, la sua posizione, il suo stato e inviare comandi per l’esecuzione.
Il malware supporta i seguenti comandi:
- Start: si insinua nel sistema scaricando tre file (tra cui una DLL dannosa) e creando un collegamento al file eseguibile legittimo Asus (ISP.exe) nella cartella di avvio. Ciò attiva un hook DLL che esegue lo script PowerShell pas.ps1 per comunicare continuamente con il server C&C;
- Screen: tramite PowerShell, viene acquisito uno screenshot del desktop della vittima, caricato su Imgur e quindi l’URL dell’immagine viene inviato al server C&C;
- Anydesk : scarica e installa in modo silenzioso lo strumento di accesso remoto AnyDesk, nascondendone la finestra e l’icona nella barra delle applicazioni;
- Rutserv : scarica e installa in modo silenzioso lo strumento di accesso remoto RUT-Serv;
- Shell : esegue un ciclo di comandi PowerShell. Invia un messaggio iniziale “Shell running…”, quindi interroga il server ogni 5 secondi per nuovi comandi, che vengono eseguiti utilizzando Invoke-Expression, e quindi i risultati vengono inviati indietro;
- Av — elenca i software antivirus e di sicurezza installati sul computer tramite query WMI (SELECT * FROM AntiVirusProduct nello spazio dei nomi root\SecurityCenter2). I risultati vengono inviati al server di controllo.
Oltre a questi comandi, gli operatori di Skitnet possono sfruttare le funzionalità del loader .NET, che consente l’esecuzione di script PowerShell in memoria per personalizzare ulteriormente gli attacchi.
Gli esperti sottolineano che, sebbene i gruppi estorsivi utilizzino spesso strumenti propri, adattati per operazioni specifiche e difficili da rilevare da parte degli antivirus, il loro sviluppo non è economico e richiede il coinvolgimento di sviluppatori qualificati, non sempre disponibili.
Utilizzare malware standard come Skitnet è più economico, consente una distribuzione più rapida e rende più difficile l’attribuzione perché il malware è utilizzato da molti aggressori.
I ricercatori di Prodaft hanno pubblicato su GitHub degli indicatori di compromissione relativi a Skitnet.
C2 servers
github.com/prodaft/malware-ioc…
109.120.179.170
178.236.247.7
181.174.164.47
181.174.164.41
181.174.164.4
181.174.164.240
181.174.164.2
181.174.164.180
181.174.164.140
181.174.164.107
181.174.164.238
L'articolo Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware proviene da il blog della sicurezza informatica.
assofante reshared this.
Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware
📌 Link all'articolo : redhotcyber.com/post/skitnet-i…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware
Skitnet è il nuovo malware preferito dai gruppi ransomware. Usa DNS, PowerShell e accessi remoti per controllare le reti compromesse.Redazione RHC (Red Hot Cyber)
reshared this
Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov
Dall’inizio del 2025, l’app di messaggistica Telegram ha consegnato alle autorità i dati di 22.777 utenti, ovvero più di tre volte in più rispetto allo stesso periodo del 2024, quando furono scoperti 5.826 account.
Le informazioni provengono da un repository GitHub in cui vengono pubblicati i report sulla trasparenza di Telegram per Paese. Secondo questi dati, solo negli Stati Uniti, da gennaio a marzo sono stati trasferiti i dati di 1.664 utenti, per un totale di 576 richieste ricevute dalle autorità statunitensi.
Telegram, nonostante la sua immagine di piattaforma per la comunicazione libera, è da tempo utilizzato non solo per comunicare con gli amici, ma anche come piattaforma per attività illegali, che vanno da falsi schemi finanziari al traffico di armi e al gioco d’azzardo. In passato, Pavel Durov, il fondatore del servizio, ha sempre dichiarato il suo impegno a favore della libertà di parola e il suo rifiuto di collaborare con le agenzie governative.
Tuttavia, la posizione cambiò dopo il suo arresto in Francia nel 2024. Allora le autorità del Paese chiesero a Telegram di fornire informazioni su un caso di abusi su minori e il rifiuto dell’azienda si concluse con l’arresto del suo responsabile.
Da allora, l’approccio di Telegram alle richieste è cambiato. Il servizio ha iniziato a rispondere in modo più attivo alle richieste delle forze dell’ordine. L’app di messaggistica dispone addirittura di uno speciale bot che consente agli utenti di scoprire quante richieste sono state ricevute nel loro Paese e quanti account sono stati interessati. Sebbene il bot sia limitato alla registrazione di un utente specifico, esistono risorse di terze parti e canali Telegram in cui vengono pubblicate versioni aggiornate dei report. Una di queste risorse è curata da Tek, specialista in tecnologia di Human Rights Watch.
Secondo i dati aggiornati di GitHub, Telegram ha elaborato almeno 13.615 richieste provenienti da diversi paesi nel primo trimestre del 2025. Di conseguenza, sono state trasferite informazioni su 22.277 utenti. A titolo di paragone, il numero di richieste di questo tipo nello stesso periodo del 2024 era significativamente inferiore.
Il numero di richieste provenienti dalla Francia è aumentato in modo particolarmente significativo, passando da 4 a 668. Nel 2024, 17 utenti sono stati esposti tramite queste richieste e nel 2025 sono stati 1.425. La Romania, che non era inclusa nei rapporti dell’anno precedente, ha inviato 37 richieste nel 2025, ricevendo dati su 88 account.
Questi cambiamenti avvengono sullo sfondo di relazioni tese tra Durov e le autorità francesi. Dopo il suo arresto nel 2024, non ha potuto lasciare la Francia per molto tempo, ma nel marzo 2025 i suoi avvocati sono riusciti a ottenere la sua liberazione temporanea, dopodiché è volato a Dubai. Da quel momento in poi, ha iniziato a pubblicare post al vetriolo sui social media, tra cui allusioni a pressioni politiche.
Così, dopo le elezioni in Romania, in cui ha vinto un candidato centrista, Durov ha accusato uno Stato dell’Europa occidentale, di cui non ha fatto il nome, di aver tentato di interferire nel processo elettorale. Sul suo canale Telegram ha scritto che un certo regime europeo gli aveva chiesto di “sopprimere le voci conservatrici in Romania”, presumibilmente per proteggere la democrazia. Secondo lui, lui rifiutò.
Telegram sottolinea che, nonostante il cambio di rotta, non bloccherà i canali politici o i movimenti di protesta, né in Europa né in altre regioni. Allo stesso tempo, il forte aumento del numero di richieste e del volume di dati divulgati indica che la piattaforma sta gradualmente perdendo il suo status di “paradiso digitale”.
L'articolo Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov proviene da il blog della sicurezza informatica.
Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov
📌 Link all'articolo : redhotcyber.com/post/telegram-…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov
Privacy addio: Telegram rivela i dati di migliaia di utenti alle forze dell’ordineRedazione RHC (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
Video dello speech di Michele Mezza, Giornalista e Docente presso l’Università Federico II di Napoli, dal titolo ‘MediaSecurity - L’informazione come linguaggio della guerra ibrida’ all'interno della Red Hot Cyber Conference 2025.
👉 Accedi al Video intervento : youtube.com/watch?v=2g604m1uZm…
#redhotcyber #informationsecurity #cultura #workshop #seminari #ethicalhacking #dataprotection #hacking #cybersecurity #cybercrime #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #privacy #infosecurity #rhcconference #conference #eventi
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
Cybersecurity & cyberwarfare reshared this.
The Mouse Language, Running on Arduino
Although plenty of us have our preferred language for coding, whether it’s C for its hardware access, Python for its usability, or Fortran for its mathematic prowess, not every language is specifically built for problem solving of a particular nature. Some are built as thought experiments or challenges, like Whitespace or Chicken but aren’t used for serious programming. There are a few languages that fit in the gray area between these regions, and one example of this is the language MOUSE which can now be run on an Arduino.
Although MOUSE was originally meant to be a minimalist language for computers of the late 70s and early 80s with limited memory (even for the era), its syntax looks more like a more modern esoteric language, and indeed it arguably would take a Python developer a bit of time to get used to it in a similar way. It’s stack-based, for a start, and also uses Reverse Polish notation for performing operations. The major difference though is that programs process single letters at a time, with each letter corresponding to a specific instruction. There have been some changes in the computing world since the 80s, though, so [Ivan]’s version of MOUSE includes a few changes that make it slightly different than the original language, but in the end he fits an interpreter, a line editor, graphics primitives, and peripheral drivers into just 2KB of SRAM and 32KB Flash so it can run on an ATmega328P.
There are some other features here as well, including support for PS/2 devices, video output, and the ability to save programs to the internal EEPROM. It’s an impressive setup for a language that doesn’t get much attention at all, but certainly one that threads the needle between usefulness and interesting in its own right. Of course if a language where “Hello world” is human-readable is not esoteric enough, there are others that may offer more of a challenge.
190 milioni rubati in pochi click: così è stato arrestato l’uomo chiave del caso Nomad
Il cittadino americano-israeliano Alexander Gurevich è stato arrestato a Gerusalemme con l’accusa di essere coinvolto in uno dei più grandi attacchi informatici nella storia della finanza decentralizzata. L’attacco in questione riguarda il ponte cross-chain Nomad, che ha portato al furto di circa 190 milioni di dollari in criptovalute nell’agosto 2022.
Secondo la piattaforma analitica TRM Labs, sono stati i loro specialisti a fornire alle agenzie internazionali di contrasto le informazioni che hanno permesso loro di stabilire l’identità di Gurevich. Il suo arresto è stato il risultato del coordinamento tra la polizia israeliana, il Dipartimento di Giustizia degli Stati Uniti, l’FBI e l’Interpol. Gurevich sarà presto estradato negli Stati Uniti; sono già state concordate le necessarie procedure legali.
Nomad Bridge è un protocollo che consente agli utenti di trasferire asset tra diverse blockchain. Il 1° agosto 2022, gli aggressori hanno sfruttato una vulnerabilità nella funzione process() dello smart contract Replica, emersa dopo un aggiornamento. Invece di verificare completamente la prova del messaggio, il sistema accettava qualsiasi transazione con un hash di radice corretto, indipendentemente dalla sua validità. Ciò ha consentito all’aggressore di aggirare il controllo e di prelevare fondi dal bridge.
Lo schema in sé era così primitivo che è stato rapidamente copiato da centinaia di altri wallet: era sufficiente ripetere il formato di una transazione riuscita. L’attacco hacker “in stile mob” che ne risultò si trasformò in un attacco di massa spontaneo, con centinaia di partecipanti che saccheggiarono simultaneamente le risorse del bridge. In totale sono stati rubati più di 190 milioni di dollari in ETH, USDC, WBTC e altri token ERC-20.
Sebbene Gurevich, secondo TRM Labs, non abbia creato l’exploit né lanciato l’attacco, il suo ruolo nel crimine è considerato fondamentale. Ha collaborato con i primi partecipanti ed è stato coinvolto nel riciclaggio di ingenti quantità di beni rubati. I portafogli associati hanno iniziato a ricevere fondi nel giro di poche ore dall’attacco.
Gurevich ha utilizzato il “chain-hopping” per nascondere le sue tracce, trasferendo fondi tra diverse blockchain tramite il mixer Tornado Cash e trasferendo anche ethereum nelle criptovalute anonime Monero (XMR) e Dash. Per incassare la criptovaluta, ha utilizzato exchange non depositari, broker over-the-counter, conti offshore e società fittizie. Una parte dei fondi è stata trasferita in valuta fiat tramite piattaforme che non richiedono la verifica dell’identità.
Nonostante il sistema di occultamento a più stadi e il lungo lasso di tempo trascorso dall’attacco, gli specialisti sono riusciti a tracciare le transazioni e a stabilire un contatto con Gurevich, cosa che ha portato al suo arresto. Secondo i pubblici ministeri, l’uomo avrebbe personalmente prelevato da Nomad Bridge asset digitali per un valore di circa 2,89 milioni di dollari. Inoltre, il 4 agosto 2022, contattò il direttore tecnico di Nomad, ammise di essere alla ricerca di vulnerabilità, si scusò per l’accaduto e chiese addirittura una “ricompensa” di 500 mila dollari.
Inizialmente, nei rapporti di TRM Labs compariva un nome diverso: Ocie Morrell. Tuttavia, il 17 maggio 2025 è stato pubblicato un emendamento che confermava che la questione era in discussione. Al momento del suo arresto, stava tentando di lasciare Israele passando per l’aeroporto Ben Gurion, utilizzando documenti che riportavano il nome Alexander Blok, nome da lui ufficialmente cambiato poco prima dell’arresto.
Il caso Nomad Bridge è considerato uno degli esempi più chiari di come anche le vulnerabilità più semplici nell’infrastruttura DeFi possano portare a furti di massa e alla partecipazione di centinaia di wallet anonimi. Nonostante l’apparente anonimato delle transazioni blockchain, l’analisi delle tracce digitali e la cooperazione internazionale consentono di identificare gli organizzatori anche a distanza di anni.
L'articolo 190 milioni rubati in pochi click: così è stato arrestato l’uomo chiave del caso Nomad proviene da il blog della sicurezza informatica.
securityaffairs.com/178120/dat…
#securityaffairs #hacking
SK Telecom revealed that malware breach began in 2022
South Korean mobile network operator SK Telecom revealed that the security breach disclosed in April began in 2022.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
190 milioni rubati in pochi click: così è stato arrestato l’uomo chiave del caso Nomad
📌 Link all'articolo : redhotcyber.com/post/190-milio…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
190 milioni rubati in pochi click: così è stato arrestato l'uomo chiave del caso Nomad
Arrestato in Israele Alexander Gurevich, coinvolto nell’attacco da 190 milioni di dollari al Nomad Bridge. Era ricercato da FBI e Interpol.Redazione RHC (Red Hot Cyber)
reshared this
Plugging Plasma Leaks in Magnetic Confinement With New Guiding Center Model
Although the idea of containing a plasma within a magnetic field seems straightforward at first, plasmas are highly dynamic systems that will happily escape magnetic confinement if given half a chance. This poses a major problem in nuclear fusion reactors and similar, where escaping particles like alpha (helium) particles from the magnetic containment will erode the reactor wall, among other issues. For stellarators in particular the plasma dynamics are calculated as precisely as possible so that the magnetic field works with rather than against the plasma motion, with so far pretty good results.
Now researchers at the University of Texas reckon that they can improve on these plasma system calculations with a new, more precise and efficient method. Their suggested non-perturbative guiding center model is published in (paywalled) Physical Review Letters, with a preprint available on Arxiv.
The current perturbative guiding center model admittedly works well enough that even the article authors admit to e.g. Wendelstein 7-X being within a few % of being perfectly optimized. While we wouldn’t dare to take a poke at what exactly this ‘data-driven symmetry theory’ approach exactly does differently, it suggests the use machine-learning based on simulation data, which then presumably does a better job at describing the movement of alpha particles through the magnetic field than traditional simulations.
Top image: Interior of the Wendelstein 7-X stellarator during maintenance.
Working On Open-Source High-Speed Ethernet Switch
Our hacker [Andrew Zonenberg] reports in on his open-source high-speed Ethernet switch. He hasn’t finished yet, but progress has been made.
If you were wondering what might be involved in a high-speed Ethernet switch implementation look no further. He’s been working on this project, on and off, since 2012. His design now includes a dizzying array of parts. [Andrew] managed to snag some XCKU5P FPGAs for cheap, paying two cents in the dollar, and having access to this fairly high-powered hardware affected the project’s direction.
You might be familiar with [Andrew Zonenberg] as we have heard from him before. He’s the guy who gave us the glscopeclient, which is now ngscopeclient.
As perhaps you know, when he says in his report that he is an “experienced RTL engineer”, he is talking about Register-Transfer Level, which is an abstraction layer used by hardware description languages, such as Verilog and VHDL, which are used to program FPGAs. When he says “RTL” he’s not talking about Resistor-Transistor Logic (an ancient method of developing digital hardware) or the equally ancient line of Realtek Ethernet controllers such as the RTL8139.
When it comes to open-source software you can usually get a copy at no cost. With open-source hardware, on the other hand, you might find yourself needing to fork out for some very expensive bits of kit. High speed is still expensive! And… proprietary, for now. If you’re looking to implement Ethernet hardware today, you will have to stick with something slower. Otherwise, stay tuned, and watch this space.
Common Ramen reshared this.
If Certificate Transparency logs were available as torrents, would you help seeding them?
If so, with how much storage and with what client?
I’m not sure how we’d update the torrent as the log grows. Does BEP 38 deduplication work with RSS feeds?
Cybersecurity & cyberwarfare reshared this.
Stylus Synth Should Have Used a 555– and Did!
For all that “should have used a 555” is a bit of a meme around here, there’s some truth to it. The humble 555 is a wonderful tool in the right hands. That’s why it’s wonderful to see this all-analog stylus synth project by EE student [DarcyJ] bringing the 555 out for the new generation.
The project is heavily inspired by the vintage stylophone, but has some neat tweaks. A capacitor bank means multiple octaves are available, and using a ladder of trim pots instead of fixed resistors makes every note tunable. [Darcy] of course included the vibrato function of the original, and yes, he used a 555 for that, too. He put a trim pot on that, too, to control the depth of vibrato, which we don’t recall seeing on the original stylophone.
The writeup is very high quality and could be recommended to anyone just getting started in analog (or analogue) electronics– not only does [Darcy] explain his design process, he also shows his pratfalls and mistakes, like in the various revisions he went through before discovering the push-pull amplifier that ultimately powers the speaker.
Since each circuit is separately laid out and indicated on the PCB [Darcy] designed in KiCad for this project. Between that and everything being thru-hole, it seems like [Darcy] has the makings of a lovely training kit. If you’re interested in rolling your own, the files are on GitHub under a CERN-OHL-S v2 license, and don’t forget to check out the demo video embedded below to hear it in action.
Of course, making music on the 555 is hardly a new hack. We’ve seen everything from accordions to paper-tape player pianos to squonkboxes over the years. Got another use for the 555? Let us know about it, in the inevitable shill for our tip line you all knew was coming.
youtube.com/embed/EBShBqbxInw?…
Despite what CISA says, Google told me: "there has been no reports of or evidence of exploitation of the vulnerability. We are reaching out to CISA for clarification of their categorization."
malwarebytes.com/blog/news/202…
Update your Chrome to fix serious actively exploited vulnerability | Malwarebytes
Make sure your Chrome is on the latest version, to patch against an actively exploited vulnerability that can be used to steal sensitive information from websites.Pieter Arntz (Malwarebytes)
Cybersecurity & cyberwarfare reshared this.
As The World Burns, At least You’ll Have Secure Messaging
There’s a section of our community who concern themselves with the technological aspects of preparing for an uncertain future, and for them a significant proportion of effort goes in to communication. This has always included amateur radio, but in more recent years it has been extended to LoRa. To that end, [Bertrand Selva] has created a LoRa communicator, one which uses a Pi Pico, and delivers secure messaging.
The hardware is a rather-nice looking 3D printed case with a color screen and a USB A port for a keyboard, but perhaps the way it works is more interesting. It takes a one-time pad approach to encryption, using a key the same length as the message. This means that an intercepted message is in effect undecryptable without the key, but we are curious about the keys themselves.
So if Meshtastic isn’t quite the thing for you then it’s possible that this could be an alternative. As an aside we’re interested to note that it’s using a 433 MHz LoRa module, revealing the different frequency preferences that exist between enthusiasts in different countries.
youtube.com/embed/R846vWyKoqg?…
securityaffairs.com/178114/hac…
#securityaffairs #hacking
4G Calling (VoLTE) flaw allowed to locate any O2 customer with a phone call
A flaw in O2 4G Calling (VoLTE) leaked user location data via network responses due to improper IMS standard implementation.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
The Make-roscope
Normal people binge-scroll social media. Hackaday writers tend to pore through online tech news and shopping sites incessantly. The problem with the shopping sites is that you wind up buying things, and then you have even more projects you don’t have time to do. That’s how I found the MAKE-roscope, an accessory aimed at kids that turns a cell phone into a microscope. While it was clearly trying to appeal to kids, I’ve had some kids’ microscopes that were actually useful, and for $20, I decided to see what it was about. If nothing else, the name made it appealing.
My goal was to see if it would be worth having for the kinds of things we do. Turns out, I should have read more closely. It isn’t really going to help you with your next PCB or to read that tiny print on an SMD part. But it is interesting, and — depending on your interests — you might enjoy having one. The material claims the scope can magnify from 125x to 400x.
What Is It?
The whole thing is in an unassuming Altoids-like tin. Inside the box are mostly accessories you may or may not need, like a lens cloth, a keychain, plastic pipettes, and the like. There are only three really interesting things: A strip of silicone with a glass ball in it, and a slide container with five glass slides, three of which have something already on them. There’s also a spare glass ball (the lens).
What I didn’t find in my box were cover slips, any way to prepare specimens, and — perhaps most importantly — clear instructions. There are some tiny instructions on the back of the tin and on the lens cloth paper. There is also a QR code, but to really get going, I had to watch a video (embedded below).
youtube.com/embed/Td62kPb24tU?…
What I quickly realized is that this isn’t a metalurgical scope that takes images of things. It is a transmissive microscope like you find in a biology lab. Normally, the light in a scope like that goes up through the slide and into the objective. This one is upside down. The light comes from the top, through the slide, and into the glass ball lens.
Bio Scopes Can Be Fun
Of course, if you have an interest in biology or thin films or other things that need that kind of microscope, this could be interesting. After all, cell phones sometimes have macro modes that you can use as a pretty good low-power microscope already if you want to image a part or a PCB. You can also find lots of lenses that attach to the phone if you need them. But this is a traditional microscope, which is a bit different.
The silicone compresses, which seems to be the real trick. Here’s how it works in practice. You turn on your camera and switch to the selfie lens. Then you put the silicone strip over the camera and move it around. You’ll see that the lens makes a “spotlight” in the image when it is in the right place. Get it centered and zoom until you can’t see the circle of the lens anymore.
Then you put your slide down on the lens and move it around until you get an image. It might be a little fuzzy. That’s where the silicone comes in. You push down, and the image will snap into focus. The hardest part is pushing down while holding it still and pushing the shutter button.
Zeiss and Nikon don’t have anything to worry about, but the images are just fine. You can grab a drop of water or swab your cheek. It would have been nice to have some stain and either some way to microtome samples, or at least instructions on how you might do that with household items.
Verdict
For most electronics tasks, you are better off with a loupe, magnifiers, a zoomed cell phone, or a USB microscope. But if you want a traditional microscope for science experiments or to foster a kid’s interest in science, it might be worth something.
For electronics, you are better off with a metallurgical scope. Soldering under a stereoscope is life-changing. We’ve seen more expensive versions of this, too, but we aren’t sure they are much better.
Ransomware ESXi, falso password manager KeePass sotto attacco: come proteggersi
@Informatica (Italy e non Italy 😁)
I cybercriminali hanno creato siti web cloni di KeePass ed alcuni siti falsi del password manager sono stati sponsorizzati tramite Google Ads, sfruttando tecniche di malvertising per distribuire il ransomware ESXi. Ecco come mitigare il rischio
Informatica (Italy e non Italy 😁) reshared this.
TikTok sotto la lente Ue: perché la piattaforma è accusata di violare il Dsa e cosa rischia davvero
@Informatica (Italy e non Italy 😁)
L’inadempimento da parte di TikTok del Regolamento Ue, se confermato, può costare fino al 6% del fatturato mondiale. La cinese ByteDance (società madre del social) rischia anche l’imposizione di una
Informatica (Italy e non Italy 😁) reshared this.
When Repairs Go Inside Integrated Circuits
What can you do if your circuit repair diagnosis indicates an open circuit within an integrated circuit (IC)? Your IC got too hot and internal wiring has come loose. You could replace the IC, sure. But what if the IC contains encryption secrets? Then you would be forced to grind back the epoxy and fix those open circuits yourself. That is, if you’re skilled enough!
In this video our hacker [YCS] fixes a Mercedes-Benz encryption chip from an electronic car key. First, the black epoxy surface is polished off, all the way back to the PCB with a very fine gradient. As the gold threads begin to be visible we need to slow down and be very careful.
The repair job is to reconnect the PCB points with the silicon body inside the chip. The PCB joints aren’t as delicate and precious as the silicon body points, those are the riskiest part. If you make a mistake with those then repair will be impossible. Then you tin the pads using solder for the PCB points and pure tin and hot air for the silicon body points.
Once that’s done you can use fine silver wire to join the points. If testing indicates success then you can complete the job with glue to hold the new wiring in place. Everything is easy when you know how!
Does repair work get more dangerous and fiddly than this? Well, sometimes.
youtube.com/embed/9y7xRpFYLjk?…
Thanks to [J. Peterson] for this tip.
The World Wide Web and the Death of Graceful Degradation
In the early days of the World Wide Web – with the Year 2000 and the threat of a global collapse of society were still years away – the crafting of a website on the WWW was both special and increasingly more common. Courtesy of free hosting services popping up left and right in a landscape still mercifully devoid of today’s ‘social media’, the WWW’s democratizing influence allowed anyone to try their hands at web design. With varying results, as those of us who ventured into the Geocities wilds can attest to.
Back then we naturally had web standards, courtesy of the W3C, though Microsoft, Netscape, etc. tried to upstage each other with varying implementation levels (e.g. no iframes in Netscape 4.7) and various proprietary HTML and CSS tags. Most people were on dial-up or equivalently anemic internet connections, so designing a website could be a painful lesson in optimization and targeting the lowest common denominator.
This was also the era of graceful degradation, where us web designers had it hammered into our skulls that using and navigating a website should be possible even in a text-only browser like Lynx, w3m or antique browsers like IE 3.x. Fast-forward a few decades and today the inverse is true, where it is your responsibility as a website visitor to have the latest browser and fastest internet connection, or you may even be denied access.
What exactly happened to flip everything upside-down, and is this truly the WWW that we want?
User Vs Shinies
Back in the late 90s, early 2000s, a miserable WWW experience for the average user involved graphics-heavy websites that took literal minutes to load on a 56k dial-up connection. Add to this the occasional website owner who figured that using Flash or Java applets for part of, or an entire website was a brilliant idea, and had you sit through ten minutes (or more) of a loading sequence before being able to view anything.
Another contentious issue was that of the back- and forward buttons in the browser as the standard way to navigate. Using Flash or Java broke this, as did HTML framesets (and iframes), which not only made navigating websites a pain, but also made sharing links to a specific resource on a website impossible without serious hacks like offering special deep links and reloading that page within the frameset.
As much as web designers and developers felt the lure of New Shiny Tech to make a website pop, ultimately accessibility had to be key. Accessibility, through graceful degradation, meant that you could design a very shiny website using the latest CSS layout tricks (ditching table-based layouts for better or worse), but if a stylesheet or some Java- or VBScript stuff didn’t load, the user would still be able to read and navigate, at most in a HTML 1.x-like fashion. When you consider that HTML is literally just a document markup language, this makes a lot of sense.
More succinctly put, you distinguish between the core functionality (text, images, navigation) and the cosmetics. When you think of a website from the perspective of a text-only browser or assistive technology like screen readers, the difference should be quite obvious. The HTML tags mark up the content of the document, letting the document viewer know whether something is a heading, a paragraph, and where an image or other content should be referenced (or embedded).
If the viewer does not support stylesheets, or only an older version (e.g. CSS 2.1 and not 3.x), this should not affect being able to read text, view images and do things like listen to embedded audio clips on the page. Of course, this basic concept is what is effectively broken now.
It’s An App Now
This in itself is not a problem, as being able to do partial page refreshes rather than full on page reloads can save a lot of bandwidth and copious amounts of sanity with preserving page position and lack of flickering. What is however a problem is how there’s no real graceful degradation amidst all of this any more, mostly due to hard requirements for often bleeding edge features by these frameworks, especially in terms of JavaScript and CSS.
Sometimes these requirements are apparently merely a way to not do any testing on older or alternative browsers, with ‘forum’ software Discourse (not to be confused with Disqus) being a shining example here. It insists that you must have the ‘latest, stable release’ of either Microsoft Edge, Google Chrome, Mozilla Firefox or Apple Safari. Purportedly this is so that the client-side JavaScript (Ember.js) framework is happy, but as e.g. Pale Moon users have found out, the problem is with a piece of JS that merely detects the browser, not the features. Blocking the browser-detect-* script in e.g. an adblocker restores full functionality to Discourse-afflicted pages.
Wrong Focus
It’s quite the understatement to say that over the past decades, websites have changed. For us greybeards who were around to admire the nascent WWW, things seemed to move at a more gradual pace back then. Multimedia wasn’t everywhere yet, and there was no Google et al. pushing its own agenda along with Digital Restrictions Management (DRM) onto us internet users via the W3C, which resulted in the EFF resigning in protest.
Although Google et al. ostensibly profess to have only our best interests at heart when features were added to Chrome, the very capable plugins system from Netscape and Internet Explorer taken out back and WebExtensions Manifest V3 introduced (with the EFF absolutely venomous about the latter), privacy concerns are mounting amidst concerns that corporations now control the WWW, with even new HTML, CSS and JS features being pushed by Google solely for its use in Chrome.
For those of us who still use traditional browsers like Pale Moon (forked from Firefox in 2009), it is especially the dizzying pace of new ‘features’ that discourages us from using effectively non-Chromium-based browsers, with websites all too often having only been tested in Chrome. Functionality in Safari, Pale Moon, etc. often is more a matter of luck as the assumption is made by today’s crop of web devs that everyone uses the latest and greatest Chrome browser version. This ensures that using non-Chromium browsers is fraught with functionally defective websites, as the ‘Web Compatibility Support’ section of the Pale Moon forum illustrates.
Question is whether this is the web which we, the users, want to see.
Low-Fidelity Feature
Another unpleasant side-effect of web apps is that they force an increasing amount of JS code to be downloaded, compiled and ran. This contrasts with plain HTML and CSS pages that tend to be mere kilobytes in size in addition to any images. Back in The Olden Days
In this and earlier described scenarios the consequence is the same: you must be using the latest Chromium-based browser to use many sites, you will be using a lot of RAM and CPU for even basic pages, and forget about using retro- or alternative systems that do not support the latest encryption standards and certificates.
The latter is due to the removal of non-encrypted HTTP from many browsers, because for some reason downloading public information from HTTP and FTP sites without encrypting said public data is a massive security threat now, and the former is due to the frankly absurd amounts of JS, with the Task Manager feature in many browsers showing the resource usage per tab, e.g.:
Of these tabs, there is no way to reduce their resource usage, no ‘graceful degradation’ or low-fidelity mode, so that older systems as well as the average smart phone or tablet will struggle or simply keel over to keep up with the demands of the modern WWW, with even a basic page using more RAM than the average PC had installed by the late 90s.
Meanwhile the problems that we web devs were moaning about around 2000 such as an easy way to center content with CSS got ignored, while some enterprising developers have done the hard work of solving the graceful degradation problem themselves. A good example of this is the FrogFind! search engine, which strips down DuckDuckGo search results even further, before passing any URLs you click through a PHP port of Mozilla’s Readability. This strips out anything but the main content, allowing modern website content to be viewed on systems with browsers that were current in the very early 1990s.
In short, graceful degradation is mostly an issue of wanting to, rather than it being some kind of unsurmountable obstacle. It requires learning the same lessons as the folk back in the Flash and Java applet days had to: namely that your visitors don’t care how shiny your website, or how much you love the convoluted architecture and technologies behind it. At the end of the day your visitors Just Want Things to Work
Tl;dr: content is for your visitors, the eyecandy is for you and your shareholders.
Garante Privacy: ecco cosa contesta al chatbot Replika
@Informatica (Italy e non Italy 😁)
Il Garante Privacy sanziona la società di San Francisco Luka per il chatbot Replika. Ed apre un autonomo procedimento con specifico riferimento alle basi giuridiche relative all’intero ciclo di vita del sistema di intelligenza artificiale
L'articolo Garante Privacy: ecco cosa contesta al chatbot
Informatica (Italy e non Italy 😁) reshared this.
Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione
Nel panorama delle minacce odierne, Defendnotrappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).
L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:
- WMI (Windows Management Instrumentation)
- COM (Component Object Model)
- Windows Security Center (WSC)
2. Processi di esecuzione del Malware
2.1 Abuso del Windows Security Center (WSC)
Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.
❝ Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema. ❞
Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).
2.2 Uso di WMI e COM senza Elevazione di Privilegi
Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:
- WMI Namespace: root\SecurityCenter2
- COM Object: WSC.SecurityCenter2
In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.
2.3 Iniezione e Persistenza
In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.
3. Esempi Tecnici Pratici
3.1 Simulazione WMI via PowerShell
Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.
3.2 Spoofing avanzato in C++ (uso COM diretto)
Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.
3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)
Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.
Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.
3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)
Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):
Compilato con:
Compilato con:
mofcomp.exe fakeav.mof
Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.
3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)
Script che intercetta modifiche sospette al namespace SecurityCenter2:
Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.
3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)
Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:
Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.
3.7 Ispezione della Configurazione Defender tramite MpPreference
Permette di individuare modifiche anomale o disabilitazioni silenziose:
Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.
3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)
Controllare che non vi siano DLL anomale caricate nel processo del Security Center:
Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.
3.9 Identificazione di AV Fake tramite Analisi della Firma del File
Esempio in PowerShell per analizzare i binari AV registrati:
Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.
4. Script di Monitoraggio e Rilevamento
Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su:
- Stato di Defender
- Prodotti AV registrati
- Anomalie nei nomi/firme
- Task sospetti legati a fake AV
Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.
4.1 PowerShell: Rilevamento Anomalie in WSC
Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).
5. Strategie di Mitigazione e Difesa
Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:
5.1. Monitoraggio WSC Periodico
Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.
5.2. Abilitare Tamper Protection
Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.
5.3. Applicare Policy di Lock-down
Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:
Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled
5.4. Controllo Accessi a WMI e COM
Strumenti EDR devono tracciare accessi sospetti a:
- root\SecurityCenter2
- COM object WSC.SecurityCenter2
- Script non firmati che accedono a questi componenti
5.5. Rilevamento Comportamentale con EDR
EDR avanzati devono essere configurati per:
- Rilevare registrazioni anomale di provider AV.
- Intercettare iniezioni in processi trusted.
- Rilevare uso anomalo delle API COM/WMI da script non firmati.
6. Conclusioni
L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.
Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.
È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.
In ottica difensiva, è fondamentale:
- Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
- Monitorare regolarmente lo stato dei provider registrati nel Security Center.
- Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.
In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.
L'articolo Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione proviene da il blog della sicurezza informatica.
DK 9x29 - Cose da Impero
Microsoft su ordine di Trump interrompe il servizo di posta elettronica di un cittadino britannico, impiegato di un organo internazionale con sede all'Aia, di cui gli USA non fanno parte. Prova provata che le fliali europee di compagnie USA sono una estensione diretta del potere imperiale americano. Aziende e istituzioni europee se ne devono svincolare, e al più presto.
spreaker.com/episode/dk-9x29-c…
reshared this
Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test
In occasione di BUILD 2025, Microsoft ha annunciato l’aggiunta della crittografia post-quantistica (PQC) alle build di test di Windows Insider (a partire dalla versione 27852) e alla libreria SymCrypt-OpenSSL versione 1.9.0 e successive. L’obiettivo è consentire agli utenti di testare algoritmi resistenti ai computer quantistici nelle proprie infrastrutture prima che venga attivato il calcolo quantistico di massa.
Nello specifico, Microsoft ha aggiunto due algoritmi, ML-KEM (un meccanismo di incapsulamento basato su reticolo) e ML-DSA (un algoritmo di firma digitale), alle librerie Cryptography API: Next Generation (CNG), nonché alle funzioni di elaborazione dei certificati e dei messaggi crittografici. Questi algoritmi sono disponibili per i partecipanti al programma Windows Insider.
Il supporto è fornito anche agli utenti Linux tramite la libreria SymCrypt-OpenSSL (SCOSSL), che fornisce un’interfaccia OpenSSL agli algoritmi Microsoft. ML-KEM e ML-DSA che sono tra i primi algoritmi crittografici approvati dal National Institute of Standards and Technology (NIST) degli Stati Uniti come resistenti agli attacchi quantistici.
Microsoft sottolinea che l’implementazione tempestiva del PQC è volta ad attenuare i rischi associati allo schema “raccogli ora, decifra più tardi”. Questa tattica prevede l’intercettazione di dati crittografati con metodi classici e la loro successiva decrittografia in futuro tramite computer quantistici.
Questi algoritmi post-quantistici sono stati inclusi nella libreria SymCrypt nel dicembre 2024. Sono ora disponibili per l’uso su una gamma più ampia di sistemi e applicazioni, inclusi Windows e Linux, tramite l’interfaccia SCOSSL di OpenSSL.
L'articolo Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test proviene da il blog della sicurezza informatica.
Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione
📌 Link all'articolo : redhotcyber.com/post/bypass-di…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione
Defendnot: malware avanzato che disattiva Microsoft Defender usando solo funzioni legittime di Windows, eludendo EDR e senza privilegi elevati.Andrea Mongelli (Red Hot Cyber)
reshared this
Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test
📌 Link all'articolo : redhotcyber.com/post/microsoft…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy #engineering #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking #dataprotection #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #infosecurity
Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test
Microsoft introduce la crittografia post-quantistica su Windows e Linux con ML-KEM e ML-DSA: protezione contro i futuri attacchi quantistici.Redazione RHC (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
securityaffairs.com/178105/hac…
#securityaffairs #hacking
China-linked UnsolicitedBooker APT used new backdoor MarsSnake in recent attacks
China-linked UnsolicitedBooker used a new backdoor, MarsSnake, to target an international organization in Saudi Arabia.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
An Awful 1990s PDA Delivers AI Wisdom
There was a period in the 1990s when it seemed like the personal data assistant (PDA) was going to be the device of the future. If you were lucky you could afford a Psion, a PalmPilot, or even the famous Apple Newton — but to trap the unwary there were a slew of far less capable machines competing for market share.
[Nick Bild] has one of these, branded Rolodex, and in a bid to make using a generative AI less alluring, he’s set it up as the interface to an LLM hosted on a Raspberry Pi 400. This hack is thus mostly a tale of reverse engineering the device’s serial protocol to free it from its Windows application.
Finding the baud rate was simple enough, but the encoding scheme was unexpectedly fiddly. Sadly the device doesn’t come with a terminal because these machines were very much single-purpose, but it does have a memo app that allows transfer of text files. This is the wildly inefficient medium through which the communication with the LLM happens, and it satisfies the requirement of making the process painful.
We see this type of PDA quite regularly in second hand shops, indeed you’ll find nearly identical devices from multiple manufacturers also sporting software such as dictionaries or a thesaurus. Back in the day they always seemed to be advertised in Sunday newspapers and aimed at older people. We’ve never got to the bottom of who the OEM was who manufactured them, or indeed cracked one apart to find the inevitable black epoxy blob processor. If we had to place a bet though, we’d guess there’s an 8051 core in there somewhere.
youtube.com/embed/GvXCZfoAy88?…
securityaffairs.com/178088/dat…
#securityaffairs #hacking
UK’s Legal Aid Agency discloses a data breach following April cyber attack
The UK’s Legal Aid Agency suffered a cyberattack in April and has now confirmed that sensitive data was stolen during the incident.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Aaron Toponce ⚛️
in reply to Filippo Valsorda • • •Adam ♿
in reply to Aaron Toponce ⚛️ • • •@atoponce how many hundreds of terabytes of storage do you have?
Actually Filippo do you know what the current size of the complete log is?
Filippo Valsorda
in reply to Adam ♿ • • •Adam ♿
in reply to Filippo Valsorda • • •Arch
in reply to Filippo Valsorda • • •Filippo Valsorda
in reply to Filippo Valsorda • • •Risotto Bias
in reply to Filippo Valsorda • • •dominikh
in reply to Filippo Valsorda • • •dominikh
in reply to dominikh • • •Filippo Valsorda
in reply to dominikh • • •@dominik .torrent size is dominated by files, not pieces, already at 256KiB piece size, because tiles (files) are on average 180KB compressed and bencode is a pretty wasteful format.
Verification time is a good point.
They are indeed append-only, but I am worried that if they are too annoying to use to fetch a log, no one will use them, and then they are just wasting bandwidth.
I guess downloading 25 (6 months / 1 week) torrents into the same directory is not the end of the world?
dominikh
in reply to dominikh • • •Filippo Valsorda
in reply to dominikh • • •@dominik Being append-only, we're sort of the best case scenario for deduplication, since all pieces except the last truncated one stay the same when updating a torrent, so we don't really need v2.
But also, AFAICT Transmission doesn't support v2. What they claimed as v2 support is actually "we don't break on the v2 backwards-compatible fields in hybrid torrents but we use the v1 fields" IIUC.
dominikh
in reply to Filippo Valsorda • • •Graham Sutherland / Polynomial
in reply to Filippo Valsorda • • •external quantum efficiency
in reply to Filippo Valsorda • • •